【正文】 既然所有的Web應(yīng)用請求都必須經(jīng)過負(fù)載均衡系統(tǒng)，那么系統(tǒng)就可以確定活動會話的數(shù)量，在任何實(shí)例訪問中。由于透明會話故障恢復(fù)需要節(jié)點(diǎn)具備相應(yīng)的操作信息，因此為了實(shí)現(xiàn)該功能，集群中的所有節(jié)點(diǎn)必須具有公共存儲區(qū)域或通用數(shù)據(jù)庫，存儲會話信息數(shù)據(jù)，以提供每個節(jié)點(diǎn)在進(jìn)行單獨(dú)進(jìn)程會話故障恢復(fù)時所需要的操作信息。透明會話故障恢復(fù)。當(dāng)集群中的一個節(jié)點(diǎn)不能處理請求時（通常是由于down機(jī)），請求被發(fā)送到其他節(jié)點(diǎn)。通過故障恢復(fù)機(jī)制獲得高可靠性. 故障恢復(fù)發(fā)生在當(dāng)集群中某個節(jié)點(diǎn)不能處理請求，需將請求重新導(dǎo)向到其他節(jié)點(diǎn)時。在HTTP通信中，負(fù)載均衡器可以提供服務(wù)器一致性，但并不是通過一個安全的途徑（例如：HTTPS）來提供這種服務(wù)。負(fù)載均衡器的優(yōu)點(diǎn)服務(wù)器一致性. 負(fù)載均衡器讀取客戶端發(fā)出的每一個請求中所包含的cookies或url解釋。當(dāng)返回一個應(yīng)答時，客戶端看到的只是從負(fù)載均衡器上所返回的結(jié)果。如果某臺機(jī)器被從集群中移除了，請求不會別發(fā)往已經(jīng)不存在的服務(wù)器上，因?yàn)樗械臋C(jī)器表面上都具有同一個IP地址，即使集群中的某個節(jié)點(diǎn)被移除了，該地址也不會發(fā)生變化。所以，在某種程度上，負(fù)載均衡器是將整個集群的IP地址報(bào)漏給外部網(wǎng)絡(luò)。(用于實(shí)際服務(wù)主機(jī)性能不一致時)負(fù)載均衡器負(fù)載均衡器通過虛擬IP地址方法，解決了輪流排程所面臨的許多問題。 Weighted leastconnections (WLC)： 考慮它們的容量向較少連接的服務(wù)器分配較多的工作?？梢愿鶕?jù)負(fù)載信息動態(tài)的向上或向下調(diào)整。)216。 Leastconnections (LCS)： 向較少連接的服務(wù)器分配較多的工作(IPVS 表存儲了所有的活動的連接?！　〕松厦娼榻B的輪流排程方法外，還有三種DNS負(fù)載均衡處理分配方法，將這四種方法列出如下：216。但是，由于在Internet上，ISPs將眾多的DNS存放在緩存中，以節(jié)省訪問時間，因此，DNS的更新就會變得非常緩慢，以至于有的用戶可能會訪問一些已經(jīng)不存在的站點(diǎn)，或者一些新的站點(diǎn)得不到訪問。如果其中的一個節(jié)點(diǎn)毀壞，那么所有的訪問該節(jié)點(diǎn)的請求將不會有所回應(yīng)，這是任何人都不愿意看到的。不支持高可靠性。當(dāng)用戶通過上述基于文本標(biāo)志的方法與服務(wù)器建立連接之后，其所有的后續(xù)訪問均是連接到同一個服務(wù)器上。而DNS輪流排程則不具備這種智能化的特性。不支持服務(wù)器間的一致性。簡單. 不需要網(wǎng)絡(luò)專家來對之進(jìn)行設(shè)定，或在出現(xiàn)問題時對之進(jìn)行維護(hù)。 為了支持輪流排程，系統(tǒng)管理員只需要在DNS服務(wù)器上作一些改動，而且在許多比較新的版本的DNS服務(wù)器上已經(jīng)增加了這種功能。因此，在這種技術(shù)中，集群中的所有的節(jié)點(diǎn)對于網(wǎng)絡(luò)來說都是可見的。當(dāng)?shù)谒膫€請求到達(dá)時，第一臺機(jī)器的IP地址將被再次返回，循環(huán)調(diào)用。這幾個IP地址代表集群中不同的機(jī)器，并在邏輯上映射到同一個站點(diǎn)名。在我們上面所假象的例子中， 。當(dāng)瀏覽器獲得該站點(diǎn)的IP地址后，便通過該IP地址連接到所要訪問的站點(diǎn)，將頁面展現(xiàn)在用戶面前。在現(xiàn)有眾多的均衡服務(wù)器負(fù)載的方法中，廣泛研究并使用的是以下兩個方法：DNS負(fù)載平衡的方法RRDNS(RoundRobin Domain Name System) 負(fù)載均衡器DNS輪流排程 RRDNS(RoundRobin Domain Name System)域名服務(wù)器（Domain Name Server）中的數(shù)據(jù)文件將主機(jī)名字映射到其IP地址。對于一個特定的請求，如果所申請的服務(wù)器不能進(jìn)行處理的話，那么其他的服務(wù)器能不能對之進(jìn)行有效的處理呢？對于一個高效的系統(tǒng)，如果一個Web服務(wù)器失敗的話，其他的服務(wù)器可以馬上取代它的位置，對所申請的請求進(jìn)行處理，而且這一過程對用戶來說，要盡可能的透明，使用戶察覺不到！穩(wěn)定性決定了應(yīng)用程序能否支持不斷增長的用戶請求數(shù)量，它是應(yīng)用程序自身的一種能力。從而實(shí)現(xiàn)了更高的有效性和穩(wěn)定性，而這也正是基于Web的企業(yè)應(yīng)用所必須具備的特性。web應(yīng)用服務(wù)器集群系統(tǒng)，是由一群同時運(yùn)行同一個web應(yīng)用的服務(wù)器組成的集群系統(tǒng)，在外界看來，就像是一個服務(wù)器一樣。此外，Web應(yīng)用程序可以使用URL授權(quán)——以及授權(quán)管理器（Authorization Manager）——對用戶的訪問加以控制。所有的ASP內(nèi)置功能都使用低權(quán)限賬戶（匿名用戶）在系統(tǒng)中運(yùn)行。這種做法可以防止某些人調(diào)用一些不夠安全的動態(tài)頁面。Web服務(wù)擴(kuò)展列表默認(rèn)情況下的IIS安裝不會編譯、執(zhí)行或者提交任何動態(tài)頁面。IIS ，并僅僅能夠?yàn)橛脩籼峁╈o態(tài)內(nèi)容。 功能特性描述鎖定服務(wù)器IIS 。更高的安全性IIS 4x 或 IIS 5x安全，它擁有很多新的功能特性，能夠大大提高您的Web基礎(chǔ)結(jié)構(gòu)的安全性。IIS 。過去，HTTP協(xié)議的非Unicode結(jié)構(gòu)將開發(fā)人員限制在系統(tǒng)代碼頁上。通過使用Web服務(wù)，企業(yè)可以將編程接口暴露給他們的數(shù)據(jù)或業(yè)務(wù)邏輯，也可以通過客戶端和服務(wù)器應(yīng)用程序獲得和操縱這些數(shù)據(jù)和業(yè)務(wù)邏輯。XML Web 服務(wù)IIS Web服務(wù)平臺。 .NET、JScript174。包括： Microsoft Visual C++174。此外，它還可以幫助他們開發(fā)與他們目前正在設(shè)計(jì)和開發(fā)的應(yīng)用程序完全相同的程序。在Windows Server 2003中， Framework的得到了進(jìn)一步優(yōu)化，因?yàn)橛脕硖幚碚埱蟮捏w系架構(gòu)與IIS 。功能特性描述，Windows Server 2003提供了更為美妙的開發(fā)體驗(yàn)。處理器關(guān)聯(lián)還可以和運(yùn)行在多處理器計(jì)算機(jī)之上的Web園配合使用，在這些計(jì)算機(jī)上，CPU群集專門共指定的應(yīng)用程序池使用。Web園IIS ，這種配置又被稱作Web園（Web garden）。所有這些改進(jìn)都使得IIS .新的內(nèi)核模式驅(qū)動程序，Windows Server 2003引入了一種新的內(nèi)核模式驅(qū)動程序，即HTTP協(xié)議堆棧（），并使用它進(jìn)行HTTP的解析和緩存，從而大大提高了系統(tǒng)的伸縮性和性能表現(xiàn)。通過運(yùn)行IIS ，您可以在單臺服務(wù)器上管理更多的站點(diǎn)和并發(fā)執(zhí)行更多的工作進(jìn)程。功能特性描述站點(diǎn)伸縮性IIS 。 Service Interfaces（ADSI），可以在管理腳本中使用，并且可以用來修改基于XML的配置元數(shù)據(jù)庫。對WMI的支持IIS Management Instrumentation（Windows管理規(guī)范，WMI）， Web管理員可以通過它獲取重要的企業(yè)管理數(shù)據(jù)，例如性能計(jì)數(shù)器和配置文件。利用一個簡單的命令，管理員即可管理多個本地或遠(yuǎn)程計(jì)算機(jī)。例如，管理員可以使用該特性添加一個新的站點(diǎn)，創(chuàng)建虛擬目錄，或者修改應(yīng)用程序池和工作進(jìn)程的配置——所有這些都是在IIS ，并且無需進(jìn)行重新編譯或者重新啟動服務(wù)器。使用常見的文本編輯工具對其進(jìn)行直接編輯提供了更為出色的可管理性。功能特性描述基于XML的配置文件IIS （metabase）為發(fā)生故障的服務(wù)器帶來了經(jīng)過改進(jìn)的備份和恢復(fù)功能?？焖俟收媳Ｗo(hù)可以保護(hù)Web服務(wù)器免遭拒絕服務(wù)攻擊?？焖俚墓收媳Ｗo(hù)如果某個應(yīng)用程序在短時間內(nèi)頻繁發(fā)生故障，IIS ，并且向所有新發(fā)出和排入隊(duì)列的針對該應(yīng)用程序的請求返回一個“503服務(wù)不可用”錯誤信息。自動進(jìn)程回收IIS ——例如CPU利用率和內(nèi)存占用情況，自動停止和重新啟動發(fā)生故障的Web站點(diǎn)和應(yīng)用程序，同時將請求放入隊(duì)列。健康狀況監(jiān)視IIS ，并自動重新啟動應(yīng)用程序池中發(fā)生故障的Web站點(diǎn)或應(yīng)用程序，從而提高了應(yīng)用程序的可用性。功能特性描述容錯進(jìn)程架構(gòu)IIS （又稱應(yīng)用程序池）。Web服務(wù)器更高的可靠性和可用性IIS ，以提高Web服務(wù)器的可靠性和可用性。IIS ，改善了對XML元數(shù)據(jù)庫（metabase）的管理，并且提供了新的命令行工具。IIS ，從而減少了暴露在攻擊者面前的攻擊表面積?；贗IS ，Windows Server 2003為開發(fā)者提供高標(biāo)準(zhǔn)的附加功能，包括快速應(yīng)用程序開發(fā)以及廣泛的語言選擇，同時也提供了國際化支持和支持最新的Web標(biāo)準(zhǔn)。服務(wù)器合并還可以降低企業(yè)與人工、硬件以及站點(diǎn)管理相關(guān)的成本。服務(wù)器合并IIS ，它為Web服務(wù)器的合并提供了新的機(jī)遇。另外，增強(qiáng)了在安全方面的認(rèn)證和授權(quán)。更安全、易于管理IIS 。特點(diǎn)描述可靠性與可伸縮性IIS 、更可靠的Web服務(wù)器環(huán)境，新的環(huán)境包括應(yīng)用程序健康監(jiān)測、應(yīng)用程序自動地循環(huán)利用。IIS 。IIS 。各個子公司的系統(tǒng)管理員可以獨(dú)立的管理子公司的域，并可以在以后修改和編輯組策略，以適應(yīng)公司未來的需求。216。216。 防火墻功能：ISA服務(wù)器位于企業(yè)網(wǎng)絡(luò)和外網(wǎng)之間，采用三網(wǎng)卡分別連接內(nèi)網(wǎng)和外網(wǎng)和DZM區(qū)，充分利用防火墻的角色，并利用網(wǎng)站和內(nèi)容規(guī)則來限制用戶能夠訪問的網(wǎng)站216。集團(tuán)中所有的客戶端做為ISA的客戶端，所有的互聯(lián)網(wǎng)的訪問均通過ISA服務(wù)器轉(zhuǎn)發(fā)，這樣，就可以在ISA服務(wù)器上對所有網(wǎng)絡(luò)流量進(jìn)行監(jiān)控并對實(shí)現(xiàn)網(wǎng)絡(luò)訪問的過濾。具體的設(shè)計(jì)方案如下：216。其次，在方案設(shè)計(jì)中，充分應(yīng)用Window系統(tǒng)提供的組策略功能，利用組策略，可以在每個公司的域中設(shè)計(jì)安全策略。在本域內(nèi)的權(quán)限的分配，可以使用AGDLP策略，在域間的權(quán)限分配，使得AGDLP策略，依次將用戶加入全局組，將全局組加入通用組，在將通用組加入域本地組，最后可以根據(jù)需要將權(quán)限授予指定的域本地組，采用這樣的方式，不僅可以使用戶的組織和權(quán)限分配簡單，也可以減少域間的復(fù)制流量，從而提高系統(tǒng)的性能。 組的管理為了滿足集團(tuán)用戶管理的需求，更好的在網(wǎng)絡(luò)中管理用戶權(quán)限的分配，使系統(tǒng)的管理得到最大的簡化，方案中采用AGDLP策略及AGUDLP策略。用戶帳戶在所屬的部門的OU中創(chuàng)建。216。 OU的設(shè)計(jì)集團(tuán)的OU設(shè)計(jì)目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團(tuán)的商業(yè)模型相匹配。 在系統(tǒng)設(shè)計(jì)時包括三個部分，分別是OU，用戶及組的設(shè)計(jì)，為了更好的滿足集團(tuán)的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結(jié)構(gòu)與集團(tuán)的管理結(jié)構(gòu)相匹配，方案中采用了如下所述的設(shè)計(jì)。 操作主機(jī)分配：操作主機(jī)域中扮演著重要的角色，直接影響到域是否能夠正常工作，在Windows2003的域中，一共有五種操作主機(jī)，分別是構(gòu)架主機(jī)，域名主機(jī)，RID主機(jī)，PDC仿真器，結(jié)構(gòu)主機(jī)。即使域中的一臺域控制器發(fā)生故障，仍然能保障系統(tǒng)的正常運(yùn)行。采用這種結(jié)構(gòu)，可以將網(wǎng)絡(luò)中的全部資源，分散到每個域的域控制器中存儲，減少了每臺域控制器的信息存儲，從而減少復(fù)制流量和網(wǎng)絡(luò)對象的查詢時間。本方案采用Windows系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲網(wǎng)絡(luò)對象，并且管理簡單，即實(shí)現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。 合理的用戶管理：所有的用戶采用統(tǒng)一的命名規(guī)則，每個單位對本單位員工帳戶進(jìn)行獨(dú)立的管理，并按不同部門管理賬號。 簡單的設(shè)計(jì)：在保障滿足需求的前提下，設(shè)計(jì)方案應(yīng)簡單為佳，避免由于復(fù)雜的設(shè)計(jì)增加工程實(shí)施難度和增加集團(tuán)系統(tǒng)管理的復(fù)雜性?？偛抗芾韱T對集團(tuán)所有系統(tǒng)有管理權(quán)限。使管理員在任何一個位置均能對服務(wù)器進(jìn)行維護(hù)和管理?？偛抗芾韱T有權(quán)管理各個子公司的系統(tǒng)216。 清晰的邏輯結(jié)構(gòu)：要求集團(tuán)范圍內(nèi)的系統(tǒng)管理結(jié)構(gòu)清晰，層次分明，能夠充分的與集團(tuán)的管理結(jié)構(gòu)相吻合。系統(tǒng)建立完成后，要求能滿足企業(yè)個方面的應(yīng)用需求，包括辦公自動化，郵件收發(fā)，信息共享和發(fā)布，員工帳戶管理，系統(tǒng)安全管理等。同時需要建立WEB服務(wù)器，用于在互聯(lián)網(wǎng)上發(fā)布企業(yè)信息。 ⑹ 因特網(wǎng)的接入安全控制 因特網(wǎng)的接入安全控制是非常重要的，不僅需要布置防火墻等安全設(shè)備，還要指定嚴(yán)格的安全策略。只有用戶使用申請通過批準(zhǔn)之后網(wǎng)絡(luò)管理員才能將端口激活。 ⑷ 園區(qū)用戶的接入控制 因?yàn)橐话愕陌踩胧┒疾皇轻槍W(wǎng)絡(luò)呢的用戶的，嚴(yán)格控制用戶的接入，可以避免非法用戶接入帶來的潛在的安全隱患。保證了局域網(wǎng)的運(yùn)行安全，可以避免因?yàn)閂LAN被錯誤或者惡意的增加。 設(shè)置了口令之后，除非交換機(jī)設(shè)置了正確的口令，否則?？诹罟芾碇贫劝诹畹脑O(shè)置，保管，更改，口令的強(qiáng)度等內(nèi)容。 要為所有的設(shè)備設(shè)置口令。通過將設(shè)備安置在獨(dú)立的設(shè)備間中，并增加門禁系統(tǒng)，確保只有授權(quán)的管理和維護(hù)人員才能接觸到物理設(shè)備。 因特網(wǎng)的接入安全控制 ⑴ 提高設(shè)備的物理安全性 設(shè)備的物理安全性是指運(yùn)行中的設(shè)備，未經(jīng)授權(quán)的人員不能直接接觸到。 園區(qū)網(wǎng)用戶的接入控制216。 配置設(shè)備的口令216。 通過以下幾個技術(shù)方面的實(shí)施，可以在一定程度上保障網(wǎng)絡(luò)的安全：216。其次，必須具有一定的技術(shù)手段來保障網(wǎng)絡(luò)的安全。 一個網(wǎng)絡(luò)的安全，首先要有嚴(yán)格和有效執(zhí)行的管理制度。 旭日集團(tuán)園區(qū)網(wǎng)有5000用戶，網(wǎng)絡(luò)規(guī)模比較大，并且和因特網(wǎng)存在連接。 ⑼ VPNCisco6509系列以太網(wǎng)路由交換機(jī)支持VPN,VPN（虛擬專網(wǎng)）是利用公共網(wǎng)絡(luò)資源(如公用電信網(wǎng))為客戶組建專用網(wǎng)的一種技術(shù)，它通過對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包和加密傳輸，在公網(wǎng)上傳輸私有數(shù)據(jù)，達(dá)到私有網(wǎng)絡(luò)的安全級別，從而利用公網(wǎng)構(gòu)筑專網(wǎng)（即VPN）。策略路由是設(shè)置在接收報(bào)文接口而不是發(fā)送接口。策略路由（PolicyBased Routing，簡稱PBR）是目前越來越多的路由器或三層交換機(jī)設(shè)備正在支持的一項(xiàng)路由擴(kuò)展功能，支持策略路由的設(shè)備不僅能以報(bào)文的目的IP地址為依據(jù)來進(jìn)行路由選擇，還可以以報(bào)文的源IP地址、源MAC地址、報(bào)文大小、報(bào)文進(jìn)入的端口、報(bào)文類型、報(bào)文的VLAN屬性等等其它擴(kuò)展條件來選擇路由。通過數(shù)據(jù)流的目的IP地址和源IP地址進(jìn)行計(jì)算，Cisco6509系列以太網(wǎng)路由交換機(jī)可以保證同一個IP轉(zhuǎn)發(fā)流都從同一個路由路徑被轉(zhuǎn)發(fā)出去，從而保證了整個端到端網(wǎng)絡(luò)的路由報(bào)文轉(zhuǎn)發(fā)的有序性，避免了TCP全局同步等問題的發(fā)生。 Cisco6509系列以太網(wǎng)路由交換機(jī)最大支持4條等價路由，并且不論RIP、OSPF等路由協(xié)議產(chǎn)生的路由，還是靜態(tài)配置路由，不論是網(wǎng)段路由還是主機(jī)路由，甚至缺省路由，都可以支持等價路由。以前部分路由交換機(jī)雖然也宣稱支持等價路由，但實(shí)際上只是從軟件上支持，對軟件轉(zhuǎn)發(fā)