【文章內(nèi)容簡介】 臺Quidway S8512連接，每臺SecPath 1000F的一塊千兆內(nèi)網(wǎng)卡連接關(guān)鍵應(yīng)用服務(wù)器區(qū)的Cisco6509，兩臺SecPath 1000F之間通過1GE端口相連，兩臺SecPath 1000F做負(fù)載分擔(dān)/冗余備份，對關(guān)鍵應(yīng)用服務(wù)器區(qū)進(jìn)行保護(hù)。u 防火墻配置在防火墻設(shè)置上我們按照以下原則配置來提高網(wǎng)絡(luò)安全性：1）根據(jù)總體安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自公網(wǎng)對內(nèi)網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則和“由內(nèi)向外的連接基本允許，但由外向內(nèi)的訪問和連接一定要經(jīng)過審核”的策略。2）將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外攻擊。3）在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對應(yīng)表，防止IP地址被盜用。4）在防火墻上進(jìn)行防拒絕服務(wù)攻擊（DoS\DDoS）配置。5）定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。通過對以上5個地點(diǎn)配置防火墻，并在網(wǎng)管網(wǎng)絡(luò)中安裝一臺防火墻集中管理服務(wù)器，對處于不同子網(wǎng)中的多個防火墻進(jìn)行集中管理和配置，就組成了朝陽教育信息網(wǎng)的防火墻系統(tǒng)，構(gòu)成了整個朝陽教育信息網(wǎng)安全防護(hù)的第一道屏障。防火墻系統(tǒng)連接見朝陽教育信息網(wǎng)網(wǎng)絡(luò)安全連接圖。 網(wǎng)絡(luò)入侵檢測系統(tǒng)深化設(shè)計(jì)每臺NISD_1000E配置2個1000BASET標(biāo)準(zhǔn)監(jiān)控接口，控制中心設(shè)在網(wǎng)管網(wǎng)絡(luò)中的一臺服務(wù)器上。NISD_1000E的配置分布如下：1. 出口網(wǎng)絡(luò)與核心網(wǎng)之間部署一臺NISD_1000E2個GE探頭分別配置在出口網(wǎng)絡(luò)中的Cisco4003與兩臺核心交換機(jī)S8512相連的兩條千兆鏈路上。2. 關(guān)鍵應(yīng)用服務(wù)器區(qū)與核心網(wǎng)之間部署一臺NISD_1000E2個GE探頭分別配置在關(guān)鍵應(yīng)用服務(wù)器區(qū)與核心網(wǎng)絡(luò)之間的兩臺防火墻后面。 網(wǎng)絡(luò)漏洞掃描系統(tǒng)深化設(shè)計(jì)在內(nèi)網(wǎng)中采用一套先進(jìn)的《網(wǎng)絡(luò)安全性分析系統(tǒng)ISExplorer》漏洞掃描系統(tǒng)。《網(wǎng)絡(luò)安全性分析系統(tǒng)ISExplorer》可安裝在一臺筆記本電腦上，定期對不同網(wǎng)段的工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。 網(wǎng)絡(luò)防病毒系統(tǒng)深化設(shè)計(jì)1）在網(wǎng)管網(wǎng)絡(luò)中的一臺服務(wù)器上安裝Symantec AntiVirus Corporate Edition網(wǎng)絡(luò)版殺毒軟件的系統(tǒng)中心，負(fù)責(zé)管理網(wǎng)絡(luò)中心不少于100臺的服務(wù)器和30臺PC機(jī)。2）在網(wǎng)絡(luò)中心的主機(jī)上安裝Symantec AntiVirus Corporate Edition網(wǎng)絡(luò)版的服務(wù)器端和客戶端。3）安裝完Symantec AntiVirus Corporate Edition網(wǎng)絡(luò)版后，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進(jìn)行對本機(jī)的查殺毒。4）Symantec AntiVirus Corporate Edition系統(tǒng)中心負(fù)責(zé)整個網(wǎng)絡(luò)中心的升級工作。為了安全和管理的方便起見，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動地到Symantec全球網(wǎng)站上獲取最新的升級文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動將最新的升級文件分發(fā)到其它100多個服務(wù)器端和30個客戶端，并自動對Symantec AntiVirus Corporate Edition殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。采取這種升級方式，一方面確保網(wǎng)絡(luò)中心內(nèi)的Symantec AntiVirus Corporate Edition殺毒軟件的更新保持同步，使整個網(wǎng)絡(luò)中心都具有最強(qiáng)的防病毒能力；另一方面，由于整個網(wǎng)絡(luò)的升級、更新都是有程序來自動、智能完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中因?yàn)闆]有及時升級為最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力。 朝陽區(qū)教育信息網(wǎng)網(wǎng)絡(luò)安全拓?fù)鋱D3. 應(yīng)用服務(wù)系統(tǒng)深化設(shè)計(jì) 需求分析服務(wù)器作為整個系統(tǒng)硬件的核心，承擔(dān)了整個系統(tǒng)運(yùn)行數(shù)據(jù)的建立、存儲、查詢、操作、備份以及整個后臺應(yīng)用程序的運(yùn)行任務(wù)根據(jù)客戶的要求，從業(yè)務(wù)上我們把應(yīng)用分為數(shù)據(jù)庫服務(wù)、INTERNET應(yīng)用服務(wù)、辦公管理服務(wù)、大流量數(shù)據(jù)服務(wù)，計(jì)費(fèi)管理服務(wù)和網(wǎng)管服務(wù)等。WEB服務(wù)是以服務(wù)器建立起供廣大教師和學(xué)生登陸及瀏覽的WEB頁面，提供各種教育信息、新聞、實(shí)事動態(tài)、多媒體教學(xué)資源庫、課件制作等等，隨著信息和資源的積累，WEB服務(wù)器會需要比較大的空間來存放這些數(shù)據(jù)。而這些數(shù)據(jù)的特點(diǎn)是文件比較小，但是同時并發(fā)的數(shù)量眾多，這就要求服務(wù)器和存儲設(shè)備都具有高速、穩(wěn)定、高數(shù)據(jù)吞吐量的性能。對于存儲設(shè)備來說，基于全光纖結(jié)構(gòu)的SAN架構(gòu)可以滿足這種需求。Internet的快速增長使多媒體網(wǎng)絡(luò)服務(wù)器，特別是Web服務(wù)器，面對的訪問者數(shù)量快速增加，網(wǎng)絡(luò)服務(wù)器需要具備提供大量并發(fā)訪問服務(wù)的能力。因此對于提供大負(fù)載Web服務(wù)的服務(wù)器來講，CPU、I/O處理能力很快會成為瓶頸。 簡單的提高硬件性能并不能真正解決這個問題，因?yàn)閱闻_服務(wù)器的性能總是有限的，一般來講，一臺PC服務(wù)器所能提供的并發(fā)訪問處理能力大約為1000個，更為高檔的專用服務(wù)器能夠支持30005000個并發(fā)訪問，這樣的能力還是無法滿足負(fù)載較大的網(wǎng)站的要求。必須采用多臺服務(wù)器提供網(wǎng)絡(luò)服務(wù)，并將網(wǎng)絡(luò)請求分配給這些服務(wù)器分擔(dān)，才能提供處理大量并發(fā)服務(wù)的能力。 目前負(fù)載均衡技術(shù)大多數(shù)是用于提高諸如WEB服務(wù)器、FTP服務(wù)器和其它關(guān)鍵任務(wù)服務(wù)器上的Internet服務(wù)器程序的可用性和可伸縮性。當(dāng)使用多臺服務(wù)器來分擔(dān)負(fù)載的時候，可以按服務(wù)器的功能進(jìn)行分割，將一臺服務(wù)器用于提供靜態(tài)頁面訪問，而另一些用于提供CGI等需要大量消耗資源的動態(tài)頁面訪問。然而由于網(wǎng)絡(luò)訪問的突發(fā)性，使得很難確定那些頁面造成的負(fù)載太大，如果將服務(wù)的頁面分割的過細(xì)就會造成很大浪費(fèi)。事實(shí)上造成負(fù)載過大的頁面常常是在變化中的，如果要經(jīng)常按照負(fù)載變化來調(diào)整頁面所在的服務(wù)器，那么勢必對管理和維護(hù)造成極大的問題。因此這種分割方法只能是大方向的調(diào)整，對于大負(fù)載的網(wǎng)站，根本的解決辦法還需要應(yīng)用負(fù)載均衡技術(shù)。 隨著業(yè)務(wù)的不斷擴(kuò)展和系統(tǒng)穩(wěn)定性要求的不斷提高，需要對現(xiàn)有的服務(wù)器進(jìn)行負(fù)載均衡。為了保證各臺服務(wù)器的負(fù)載均勻分布，合理地分流用戶，需要一種服務(wù)器負(fù)載均衡設(shè)備對多臺服務(wù)器進(jìn)行負(fù)載均衡，同時該設(shè)備還要提供高度的安全性。教育中心的Email服務(wù)。由于學(xué)生數(shù)量眾多，加上也要為每一位教師提供Email信箱，所以Email服務(wù)器的數(shù)據(jù)存儲需求也十分的龐大，特點(diǎn)也是文件數(shù)量多，服務(wù)器對數(shù)據(jù)檢索，并讀到數(shù)據(jù)速度要快，同時并發(fā)數(shù)據(jù)流多。因此也建議采用SAN架構(gòu)。采用負(fù)載均衡輪詢的方式。數(shù)據(jù)庫服務(wù)器將運(yùn)行SQL SERVER和ORACLE，由于該數(shù)據(jù)庫的特性，加上數(shù)據(jù)庫對數(shù)據(jù)讀寫十分頻繁，以及參考許多數(shù)據(jù)庫存儲的成功案例，SAN架構(gòu)以其成熟的技術(shù)，優(yōu)異的性能，良好的擴(kuò)展性成為了首選。OA辦公管理服務(wù)是將許多日常的書面辦公工作實(shí)現(xiàn)電子化，放到網(wǎng)絡(luò)上進(jìn)行，簡化了辦公流程，提高效率，是現(xiàn)代e化的流行趨勢。大流量數(shù)據(jù)服務(wù)主要是流媒體點(diǎn)播服務(wù)。就是將許多多媒體的課件及教學(xué)資源放到網(wǎng)絡(luò)上，廣大師生可以直接到網(wǎng)絡(luò)上自由點(diǎn)播，選擇自已需要的素材，進(jìn)行復(fù)習(xí)備課等，由于數(shù)據(jù)量和傳輸量大，對存儲空間和服務(wù)器的I/O帶寬都提出了很高的要求。對于計(jì)費(fèi)管理服務(wù)，朝陽區(qū)教育信息中心目前采用的是兩臺SUN E250小型機(jī)。其中一臺做計(jì)費(fèi)管理的前端應(yīng)用，另一臺安裝基于Solaris Oracle來做前端的數(shù)據(jù)庫服務(wù)。 服務(wù)器的安裝與功能分配l 數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫服務(wù)器選用四臺IBM eServer xSeries 366。每臺服務(wù)器都配置兩個光纖適配器（HBA卡），每臺服務(wù)器要用兩條1000M光纖分別與兩臺光纖交換機(jī)點(diǎn)對點(diǎn)連接。 同時，每臺服務(wù)器上將分別安裝EMC PowerPath174。 管理軟件，實(shí)現(xiàn)服務(wù)器和存儲設(shè)備之間多通道存取。如果其中一條通道發(fā)生故障，PowerPath會自動將I/O 負(fù)荷切換到幸存的通道，并在發(fā)生故障的通道得到修復(fù)后立即恢復(fù)其使用。如果在服務(wù)器訪問磁盤陣列數(shù)據(jù)量比較大和頻繁時， PowerPath可增加全面I/O吞吐率，更快地完成更多的任務(wù)；也可以自動負(fù)載均衡算法智能地管理多條I/O通道的流量，極大地提高了系統(tǒng)的效率和I/O的吞吐率，避免I/O的瓶頸。 SQL數(shù)據(jù)庫和Oracle數(shù)據(jù)庫勻放到兩臺EMC CX500智能光纖磁盤陣列中。n ORACLE數(shù)據(jù)庫服務(wù)器：在INTRENET網(wǎng)絡(luò)結(jié)構(gòu)中，Oracle數(shù)據(jù)庫是對用戶數(shù)量最多、性能最為穩(wěn)定的數(shù)據(jù)庫?；贠racle數(shù)據(jù)庫的DBMS能方便生成適用不同業(yè)務(wù)的應(yīng)用數(shù)據(jù)庫系統(tǒng)。選用兩臺IBM eServer xSeries 366。一臺裝WINDOWS2000操作系統(tǒng)；一臺裝LINUX操作系統(tǒng)。n SQL server數(shù)據(jù)庫服務(wù)器：兩臺SQL server數(shù)據(jù)庫服務(wù)器安裝Win2000操作系統(tǒng)，將兩臺SQL數(shù)據(jù)庫服務(wù)器互為雙機(jī)容錯，保證運(yùn)行系統(tǒng)的冗余、穩(wěn)定。l INTERNET應(yīng)用服務(wù)器216。 郵件服務(wù)器：由于朝陽區(qū)教育信息中心計(jì)劃將來要為每一位教師分配一個郵箱，目前所用的郵件服務(wù)器的負(fù)載能力遠(yuǎn)達(dá)不到教委的要求。我們選用四臺IBM eServer xSeries 346 （招標(biāo)文件中應(yīng)用服務(wù)器1的規(guī)格） 做一負(fù)載均衡的輪詢的集群方案，來滿足教育辦公網(wǎng)，每天所要面臨著大量的有郵件往來。 在朝陽教育信息中心，郵件服務(wù)器是基于Solaris平臺的。但在后來系統(tǒng)的不斷升級，目前及未來所采用的都是Linux系統(tǒng)平臺。我們建議項(xiàng)目實(shí)施中郵件集群系統(tǒng)由四臺服務(wù)器和磁盤陣列組成，每臺服務(wù)器上都要安裝Linux操作系統(tǒng)，其中有一臺作為主ATM（高級流量管理器），在ATM上要求安裝TurboLinux Cluster Server6軟件。216。 虛擬主機(jī)（Virtual Host/ Virtual Server）：使用特殊的軟硬件技術(shù)，把一臺計(jì)算機(jī)主機(jī)分成一臺臺“虛擬”的主機(jī)，每一臺虛擬主機(jī)都具有獨(dú)立的域名和IP地址（或共享的IP地址），具有完整的Internet服務(wù)器功能。 在同一臺硬件、同一個操作系統(tǒng)上，運(yùn)行著為多個用戶打開的不同的服務(wù)器程序，互不干擾；而各個用戶擁有自己的一部分系統(tǒng)資源（IP地址、文件存儲空間、內(nèi)存、CPU時間等）。 選用一臺IBM eServer xSeries 346 （招標(biāo)文件中管理服務(wù)器的規(guī)格）。216。 Web服務(wù)器： Web信息發(fā)布需要大容量內(nèi)存，能確保服務(wù)在大用戶量并發(fā)時的系統(tǒng)穩(wěn)定性和服務(wù)效率，Web服務(wù)器選用性能和功能指標(biāo)較高的服務(wù)器，選用兩臺IBM eServer xSeries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。同時實(shí)現(xiàn)服務(wù)的負(fù)載均衡。216。 DNS服務(wù)器：選用三臺IBM eServer xSeries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格），做內(nèi)網(wǎng)和外網(wǎng)的域名解析。其中兩臺做內(nèi)網(wǎng)的DNS，另一臺做外網(wǎng)的DNS，三臺服務(wù)器配置相同，要靠第三方軟件區(qū)分開訪問的地址是來自內(nèi)網(wǎng)還是外網(wǎng)。這種實(shí)現(xiàn)的方式也是教育信息中心目前DNS服務(wù)器所實(shí)現(xiàn)的方法。216。 DHCP服務(wù)器：選用一臺IBM eServer xSeries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。作全網(wǎng)絡(luò)ip地址自動分配。216。 FTP服務(wù)器：選用一臺IBM eServer xSeries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。216。 TELNET服務(wù)器：選用一臺IBM eServer xSeries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。216。 管理服務(wù)器：傳輸網(wǎng)絡(luò)中的時鐘管理、IP網(wǎng)中的網(wǎng)絡(luò)監(jiān)控管理、網(wǎng)管服務(wù)器和入侵檢測服務(wù)器分別選用IBM eServer xSeries 346 （招標(biāo)文件中管理服務(wù)器的規(guī)格）。216。 日志服務(wù)器： 日志服務(wù)器能對網(wǎng)絡(luò)用戶上網(wǎng)行為進(jìn)行記錄與分析、審計(jì)核心關(guān)鍵信息的訪問等。實(shí)現(xiàn)對數(shù)據(jù)的采集、分流，并把記錄的數(shù)據(jù)暫時保存在系統(tǒng)中。通過對進(jìn)出網(wǎng)絡(luò)的通信數(shù)據(jù)的分析，實(shí)現(xiàn)對訪問網(wǎng)絡(luò)資源行為的記錄和分析，保障網(wǎng)絡(luò)和關(guān)鍵機(jī)密信息的安全。216。 數(shù)據(jù)備份服務(wù)器：負(fù)責(zé)整個網(wǎng)絡(luò)中各服務(wù)器上的數(shù)據(jù)備份。選用IBM eServer xSeries 346 （招標(biāo)文件中應(yīng)用服務(wù)器1的規(guī)格）。216。l 大流量服務(wù)器群216。 流媒體點(diǎn)播服務(wù)器：多數(shù)流媒體的點(diǎn)播系統(tǒng)都采用B/S 三層模式，所有的開發(fā)基于WEB 服務(wù)器上完成，客戶端采用通用的瀏覽器軟件可以完成遠(yuǎn)程教育應(yīng)用系統(tǒng)中所有權(quán)限許可的功能。視頻服務(wù)器，主要提供基于流媒體的課件點(diǎn)播服務(wù)，要求海量存儲，帶寬大，在用戶主要是通過網(wǎng)絡(luò)訪問時，其帶寬壓力最大，推薦放置在主干，與Web服務(wù)器最好是不要有過多的網(wǎng)絡(luò)碰撞。對于數(shù)據(jù)建議存放在磁盤陣列中。存放各種動態(tài)信息，要求高速，安全，可靠，為了安全，推薦放置在后臺，采用內(nèi)部IP 地址。由于遠(yuǎn)程教育數(shù)據(jù)量較大以及跨系統(tǒng)性考慮，推薦采用Oracle 數(shù)據(jù)庫；216。 視頻會議：對于視頻會議的時時交互性。要求服務(wù)器有著很強(qiáng)的處理能力，同時要求服務(wù)器的內(nèi)存及緩存都較高，才能保證傳輸?shù)臄?shù)據(jù)幀的完整和連續(xù)。視頻會議服務(wù)器配置好內(nèi)網(wǎng)IP地址并通過路由器把服務(wù)映射出去?；ヂ?lián)網(wǎng)用戶通過信息中心映射好的公網(wǎng)IP訪問系統(tǒng)。局域網(wǎng)用戶通過訪問服務(wù)器內(nèi)網(wǎng)IP地址，實(shí)現(xiàn)客戶端的自動下載、安裝、升級以及會議的全部功能。內(nèi)外網(wǎng)訪問方式的不同在最大程度上保護(hù)了企業(yè)寶貴的互聯(lián)網(wǎng)出口帶寬。 選擇數(shù)據(jù)庫服務(wù)器的規(guī)格型號。l 應(yīng)用服務(wù)器群216。 OA服務(wù)器： OA應(yīng)用軟件和Web信息發(fā)布需要大容量內(nèi)存，能確保服務(wù)在大用戶量并發(fā)時的系統(tǒng)穩(wěn)定性和服務(wù)效率，保證系統(tǒng)及日志的記錄。建議采用應(yīng)用服務(wù)器2的機(jī)型。l 關(guān)鍵應(yīng)用服務(wù)器群關(guān)鍵數(shù)據(jù)包括一些關(guān)鍵應(yīng)用和非關(guān)鍵應(yīng)用，對關(guān)鍵應(yīng)用，我們要時時保證數(shù)據(jù)的完整性（如數(shù)據(jù)庫上的數(shù)據(jù)）。對于非關(guān)鍵應(yīng)用，我們只是在存儲空間上可能要