【正文】 另一方面，這些頁面的破環(huán)行為會嚴重降低用戶對站點的信心。理解了數據特征、評估了相關風險并確定了保護控制的成本后，可靠的商業(yè)判斷應確定所需的保護。必須做出的最有代價的和重要的決定之一為，是否在地理上復制站點系統和數據庫，或者采用可供選擇的可能計劃。自然災難、火災、恐怖分子攻擊和主網絡中斷不太可能，但總有站點不能運行的潛在可能。經過認真規(guī)劃、實現和維護的 DMZ 是相當安全的。不過，高度敏感的數據通常值得額外的保護。常用的方法有： 敏感數據應存儲在內部防火墻之內（例如，示例站點的安全網絡）。由于某些訪問路徑必須通過防火墻開放才能合法訪問數據，因此這個解決方案并非萬能的，并可能將性能降低到無法接受的程度。 數據庫通常主要包含低敏感的數據，但有一些數據必須加以保護，如信用卡號。如果此類數據在 DMZ 內，應在數據庫中加密并在需要使用時解密。 口令只有經過單向算法轉換后才能存儲，從不以明碼存儲。 需要特別注意用于客戶身份驗證的目錄，因為該子系統的突破會暴露所有的客戶數據。Microsoft 的 SQL Server 關系型數據庫加強了 ANSI/ISO SQL 標準，它指定用戶不能查看或修改數據，除非數據的擁有者授予其許可。為確保嚴格而安全的身份驗證，在 Windows NT 身份驗證模式下運行 SQL Server 非常重要。（由于系統管理員以明碼傳送的口令定義用戶登錄帳戶，因此不推薦 SQL Server 的身份驗證模式。）保護 SQL Server 一般在本文的范圍之外。有關詳細信息，請參閱 MSDN 提供的 SQL Server Books Online?？蛻簦ǔ蓡T）訪問控制客戶訪問控制包括驗證客戶身份的身份驗證機制，以及指定所驗證用戶可訪問的資源的授權機制。大型站點的身份驗證可與匿名客戶瀏覽器的 cookie 表示一樣簡單。（客戶的 cookie 還廣泛用于維護客戶身份驗證和授權的狀態(tài)。為了防止篡改，Web 服務器應使用密鑰來標記 cookie。還應該對 cookie 中的敏感數據加密。）匿名注冊常用于跟蹤廣告和客戶的個人化。對于用戶的網站應用程序，使用最廣泛的身份驗證機制是基于窗體的登錄，它將用戶 ID 和口令組合在加密的 SSL 會話中。盡管 客戶驗證正進一步應用于商業(yè)應用程序，但還不可能在近期內面向用戶的站點流行。身份驗證苦于行業(yè)標準的整體匱乏。已有的第三方方法還是專用的。從傳統上看，大多數身份驗證函數硬性編寫在商業(yè)邏輯中，因此開發(fā)和維護的成本很高?；?LDAP 的目錄服務器 — 通常為可伸縮性和可用性而克隆的 — 位于 DMZ 中用于支持身份驗證，有時也用于授權。本身已提供 LDAP 的“Windows 2000 活動目錄”可支持框圍以外的上百萬用戶?！盎顒幽夸洝钡目蓴U展構架，可組成與 Windows 文件系統、IIS 和其他 Microsoft 產品良好結合的安全訪問控制基礎。Microsoft 的“站點服務器 ”和“站點服務器 商業(yè)版”可擴展為虛擬支持無限的用戶數量?！罢军c服務器”可在本機 Windows 目錄服務和 — 對大型站點很重要的 — SQL Server 數據庫上實現 LDAP 協議。與 IIS 結合的“站點服務器成員”支持身份驗證和授權，包括用戶、組、憑據、權限、角色和首選項?！俺蓡T”的可擴展構架，在對象、甚至屬性級上支持站點專用的、真正的 ACL?！罢军c服務器成員”可大大減輕與客戶訪問功能相關的負擔，同時提供強大而完全集成的內置功能。Microsoft 的“護照”服務 () 提供了另一種高級的客戶身份驗證方法?！白o照”是通用的登錄服務，合作伙伴可以將其集成在自己站點內。對客戶的便利在于：通過 Microsoft 的伙伴 Wallet 服務，簡化了對合作伙伴的站點的登錄訪問，并能進行安全的、單擊方式的購物。由于身份驗證功能下放給了“護照”，因此減輕了合作伙伴站點上開發(fā)和支持這種功能的負擔。合作伙伴也能共享客戶配置文件信息，并有權訪問存儲在 Wallet 中的安全信用卡數據。合作伙伴必須在其站點上安裝“護照”管理器來代理“護照”登錄、管理 cookie 和轉換 wallet 數據。“護照”使用廣泛應用瀏覽器 cookie 的 Kerberos 樣式的身份驗證。要點站點安全并非附加的特性。預先規(guī)劃安全，并根據它評估實現期望的保護的風險和成本，是非常重要的。安全域模型是保證在站點上實現充分的、節(jié)省成本的安全性的重要工具。保護機制可劃分為網絡安全、平臺安全和應用程序安全（超出本文范圍）。網絡安全的關鍵元素是防火墻/DMZ、網絡分段和 SSL 加密。平臺安全由強化的操作系統和服務組成，還包括實現審核功能和監(jiān)控工具。電子商務和顧客個人化支持需要客戶身份驗證和授權。LDAP 協議支持訪問控制功能。保密的顧客信息，特別是口令和帳戶信息，應該存放在內部防火墻之中。管理與運作簡介站點對網絡和不間斷服務的依賴，向保證正在運行的服務的可用性、健壯性和性能的操作人員，施加了相當壓力。設計精良的管理系統，是成功管理和運作大型商務站點的關鍵。良好的部署工具可使 Web 站點平穩(wěn)加速地成長。良好的監(jiān)控和疑難解答工具可使操作人員在業(yè)務受到影響之前，迅速解決組件和服務出現的問題。管理系統本身必須能夠確保系統不間斷地運行。許多大型站點在地理上與操作人員相隔甚遠，而且常駐在接近高容量 Internet 帶寬的被管理的數據中心之中。為了減少上外地工作的出差成本，管理網絡必須提供遠程部署、供給、監(jiān)控和為地域上十分分散的站點排除故障的能力。站點系統的管理和運作系統是非常復雜和困難的。運作人員在部署、調整和運作 Web 站點系統方面面臨挑戰(zhàn)。Microsoft 和許多第三方廠商提供了大量 Windows NT 系統的管理產品。另外成套的 Microsoft 開發(fā)工具，使操作人員能夠自定義管理系統，以更好地運行站點。站點的管理應結合系統和網絡管理。Microsoft 的“系統管理服務器”可用于系統管理任務，如計劃、部署及更改和配置管理。Microsoft 的工具和服務包，如“性能監(jiān)視器”、“SNMP 服務”、WMI、事件日志和備份工具，可用于事件管理、性能管理和存儲管理（操作管理）。大型站點經常從提供網絡基礎結構、服務和工具的 Web 宿主公司購買網絡管理（例如，排除故障和解決點小問題，還有對服務器、骨干路徑、路由器、電源系統的全天候監(jiān)控，還有其他影響站點內容向全世界傳播的一切）。本節(jié)專門討論系統和運行管理，而將網絡管理留給 Web 宿主提供商，并說明如何使用 Microsoft 的產品和技術建立可靠而強大的管理系統。本節(jié)中要解決的主要內容： 為提高可用性和增強安全性，而將管理網絡與服務網絡分開。 分布管理網絡組件來： 消除或減少性能瓶頸。 消除單個故障點。 允許獨立擴展。 提高管理系統可用性。 盡可能使用 Microsoft 工具和產品，獲得因與底層平臺緊密結合而帶來的更高的性能。 盡可能使任務自動化。 監(jiān)控能改進基礎結構的每一件事情，并在問題發(fā)生前先識別它們。 管理基礎結構管理網絡管理和運作可以共享后端網絡，也可以存在于單獨的 LAN 之上。使用后端網絡的管理（有時稱為帶內管理）成本較低并易于運作。但是由于下面的原因，這種方式可能不適合管理全天候服務： 帶內管理妨礙了服務網絡的性能。與管理相關的通知，如 SNMP 陷阱，可能會布滿網絡，產生并/或擴大性能瓶頸的影響。 服務網絡癱瘓時，不可能產生故障通知。 安全的含義。因此，對于大型 Web 站點，為可伸縮性、可用性和安全性起見，開發(fā)人員應該建立分離的管理網絡。管理系統組件通常，管理系統是由管理控制臺、管理服務器和管理代理組成的。 圖 13. 管理系統組件圖 13 是個簡圖，它說明了核心管理系統組件以及它們之間的通信。管理控制臺管理系統是通過管理控制臺與用戶的接口。管理控制臺負責： 用戶登錄和身份驗證（網絡操作員、管理員）。 提供對所有管理服務器的訪問：一旦訪問了某個管理服務器，用戶可根據該服務器的權限，查看所有被管理節(jié)點的狀態(tài)、發(fā)布在這些節(jié)點上更新軟件和配置的命令。 提供對用戶發(fā)布的命令的響應。許多當前的解決方案實現了管理控制臺和管理服務器，它們本應視作兩個邏輯層，但為節(jié)省成本和方便使用起見，被實現在單一層中。但有時因為可用性、可伸縮性和被管理的網絡遠離操作中心等原因，希望或需要解除這兩層之間的耦合。 管理服務器管理服務器是管理系統的主力。管理服務器通過專用的或標準的協議，與被管理的節(jié)點（Windows NT 服務器、Cisco 路由器和其他網絡裝置）通信。管理服務器負責： 在其權限內接受、過濾和關聯來自被管理節(jié)點的事件。 收集、存儲和分析性能信息。 在被管理節(jié)點上分布和安裝軟件。 更新被管理節(jié)點上的配置參數。因為管理服務器收集大量信息（每天數據多達數千兆），所以該信息通常存儲在單獨的計算機，即后端服務器上。管理代理管理代理是駐留在被管理節(jié)點上的程序。為了接受管理，每個設備 — 不論是 Windows NT 服務器還是簡單的網絡集線器 — 都必須有一個管理代理。管理代理主要執(zhí)行以下功能： 監(jiān)控被管理設備的資源并接收資源主動發(fā)送的通知和事件。 提供配置和調整被管理節(jié)點資源的工具。 按需查詢被管理設備的資源，查看它們當前的配置、狀態(tài)和性能數據。某些節(jié)點可能只有一個代理，如 SNMP 管理的網絡路由器。其他，如 Windows NT 服務器，比較復雜而且包括多個使用不同協議的代理。代理和服務器使用標準的和專用的協議通信。擴展管理基礎結構為了保護最初投資，管理系統必須能從小做起并與其管理的站點一起擴大。當某個站點擴展并新添了設備和服務后，管理系統必須充分擴展。小型站點可用非常簡單的管理系統管理，這種管理系統通常使用后端網絡。最簡單的管理系統是集中系統：少量裝有管理服務器和控制臺軟件的計算機。每臺計算機都能管理整個站點。下面介紹集中管理系統。要擴展這樣的管理系統，開發(fā)人員必須將其分布開來。接著，我們要介紹分布式管理系統所需的步驟。最后，給大家一個分布式管理系統的示例。集中管理系統管理系統既可以集中也可以分布。單個中央管理實體控制著全部管理系統，這就是集中管理系統的特征。集中管理是由一臺（或多臺）強大的計算機實現的，這（些）計算機允許訪問該站點系統的所有組件，監(jiān)控所有設備并接受來自所有被管理元素的報警和通知。中央管理通常是由主服務網絡完成的。由于集中管理系統簡單、低成本和容易管理，所以它在小型環(huán)境（如只有幾個服務器的啟動站點）中很受歡迎。Microsoft 為集中管理系統提供了豐富的工具和應用程序，如 SMS、PerfMon、時間日志、Robocopy 和腳本工具。第三方廠商還提供了其他應用程序和工具分布式管理系統隨著 Web 站點的快速增長，集中管理系統被證明是低效率的。集中在一臺或兩臺計算機上的集中管理系統存在嚴重問題：缺乏可伸縮性，產生性能瓶頸，并且具有單個故障點。這些問題使集中管理系統不適用于管理非常大的、迅速擴展的和高度可用的站點。為了解決可伸縮性和可用性問題，管理系統應按下面方法分布： 將管理控制臺從管理服務器分離。 添加更多的服務器，使每一個服務器管理較少的節(jié)點。 添加更多的控制臺，允許訪問更多的管理員和技術員。 在服務器之間，按地域或管理功能劃分工作量。 管理系統示例我們的示例站點使用在單獨 LAN 上實現的分布式管理系統。圖 14 描繪了示例站點所用的管理系統。因為本章的主題是管理系統，所以我們把被管理的系統 — 站點本身 — 表示為云狀。有關示例站點體系結構的詳細內容，請參閱圖 3。圖 14. 管理系統示例在本管理系統示例中，不同線條樣式、粗細和注釋分別表示管理 LAN、遠程訪問和安裝在管理系統組件上的應用程序。主要有： 管理網絡（粗實線）。 RAS 撥入管理網絡（細實線）。管理控制臺在本示例管理網絡中，管理控制臺是與管理服務器分離的，這樣可將其集中在（高度安全的）“網絡操作中心”。必須仔細選擇管理工具和應用程序，以遠程提供幾乎所有的管理功能。管理控制臺可以運行 Windows NT 服務器，工作站或專業(yè)版。它們通常安裝了許多應用程序：“系統管理服務器管理員控制臺”、“終端服務 (TS) 客戶機”、Telnet、Internet Explorer 和 SNMP MIB 瀏覽器。這些工具全都提供遠程管理功能，因此能被旅行中的技術人員用于漫游的環(huán)境中。管理服務器在分布系統中，每個管理服務器只能為其管轄范圍內的被管理節(jié)點服務 — 如，一個區(qū)或一個分區(qū)、一層樓、一幢大樓、一個校園、一座城市等等。例如，本地的管理服務器可以運行在歐洲和北美的每個辦公室中，管理著本地的事件和網絡。分布管理服務器并將它們分區(qū)、使它們只管理有限數量的節(jié)點，將允許人們： 將管理服務器鎖在保險柜中。 減少或消除網絡擁堵（就是說，亞洲的 Windows NT 服務器由東京的管理服務器升級，而用不著新澤西的服務器）。 消除單個故障點。同一管理服務器不與其他區(qū)域的被管理節(jié)點交互（但是，也不排除這樣做）。我們建議管理服務器運行 Windows NT 服務器版或 Windows 2000 服務器版，以保證更好的系統穩(wěn)定性，并提供僅在服務器版本中可用的附加服務。管理服務器擁有的管理應用程序，提供了站點所需的系統和網絡管理功能。Microsoft 提供的服務和應用程序應安裝在管理服務器上（“性能監(jiān)視器”、“系統管理服務 (SMS)”和“事件日志”）。SNMP 陷阱管理器或陷阱接收器也應安裝在管理服務器上。后端服務器 (BES)后端服務器是具有大容量硬盤的計算機，用于長期存放管理服務器收集的信息。沒有必要用單獨的計算機存儲管理數據。但是，最大的商務站點每天要記錄數以千兆計的數據（為了日后的數據采