【正文】 當(dāng)黑客入侵服務(wù)器系統(tǒng)時，也是采取上述動作。此類防入侵軟件有兩個主要功能，一個掃描網(wǎng)絡(luò)和系統(tǒng)上的安全漏洞，以便在網(wǎng)絡(luò)和系統(tǒng)建立初期，就解決好安全問題，此功能也屬于安全保護范圍；另一個功能是在網(wǎng)絡(luò)和系統(tǒng)運行時，監(jiān) 控數(shù)據(jù)流，及時發(fā)現(xiàn)黑客入侵，從而做到防止黑客的入侵。 IDC 不僅要建設(shè)自己的防火墻系統(tǒng)，同時也要考慮特定的用戶需要建立起自己的防火墻系統(tǒng)，即用需要在其自己的應(yīng)用前增設(shè)相應(yīng)的防火墻系統(tǒng)來保護其應(yīng)用的安全（這可根據(jù)用戶的實際需求再進行建設(shè)）。 防火墻要完成如下主要功能： 3．防火墻 (Firewall) 防火墻 (Firewall)是保證網(wǎng)絡(luò)安全的重要手段之一，在建設(shè) IDC 基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)安全性時，首先是要考慮防火墻的建設(shè)。 由于 IDC 主要為客戶服務(wù)，數(shù)據(jù)主要集中在服務(wù)器上，所以在 IDC 系統(tǒng)的防病毒體系中主要采用集中防病毒方法，但同時對一些與服務(wù)器相交戶的內(nèi)部客戶段（如管理客戶段）也采用分散的防病毒方法。防病毒可以分為集中防病毒和分散防病毒兩種方法。 遠程對系統(tǒng)的訪問：封閉系統(tǒng)的 tel、 ftp、r訪問（ rsh、 rlogin、 rcp）等功能；但可以對系統(tǒng)管理員開放相應(yīng)的 tel、 ftp功能，以便利于對系統(tǒng)的管理和維護。 超級用戶的管理：嚴格限制有普通用戶變成超級用戶（如使用 su、 rlogin等命令），如果需要可以使用如 CA Unicenter TNG這樣的軟件來控制系統(tǒng)超級用戶的權(quán)限。 用戶管理：對用戶的管理主要有用戶的賬號口令管理，設(shè)置用戶賬號的有效期， 用戶賬號口令的存活期限等。 操作系統(tǒng)的安全性建設(shè)應(yīng)是整個系統(tǒng)安全性建設(shè)的基礎(chǔ)。 主機 /服務(wù)器系統(tǒng)的安全是針對個別機器的。另外，各級防火墻可采用不同的產(chǎn)品，以提高網(wǎng)絡(luò)整體的安全性。網(wǎng)絡(luò)層的安全主要是防范對于整個網(wǎng)絡(luò)的非法訪問，一般通過防火墻來實現(xiàn)。 系統(tǒng)安全架構(gòu)將從三個層次來考慮： 網(wǎng)絡(luò)層、主機 /服務(wù)器系統(tǒng)及應(yīng)用層。 安全性建設(shè) 系統(tǒng)安全架構(gòu)的設(shè)計將包括兩個方面：防止 IDC 網(wǎng)絡(luò)外部用戶對 IDC 網(wǎng)絡(luò)系統(tǒng)可能的攻擊，以及防止 IDC 網(wǎng)絡(luò)內(nèi)部各子系統(tǒng)之間可能的攻擊。 如下圖說明了 DNS解析流程， 我們采用兩臺 Sun E420R服務(wù)器作為外部 DNS服務(wù)器，兩臺 Sun E420R服務(wù)器作為內(nèi)部 DNS服務(wù)器，所有兩臺服務(wù)器之間以主次方式運行， DNS軟件可采用 Solaris系統(tǒng)中的，也可使用 Inter上公開的 Bind。 為了保證 IDC 的 DNS 域名的可靠性和安全性，我們采用 Split DNS 技術(shù)來設(shè)計 IDC 的 DNS系統(tǒng)，即把 IDC 的 DNS系統(tǒng)劃分為內(nèi)部和外部兩部分，其中外部 DNS 系統(tǒng)位于公共服務(wù)區(qū)，負責(zé) IDC 正常對外解析工作，如 IDC 的 Web 服務(wù)器、 IDC 用戶的 Web 服務(wù)器等解析工作全由外部 DNS 服務(wù)器來完成；內(nèi)部DNS系統(tǒng)主要有兩項工作，一是負責(zé)解析 IDC 內(nèi)部網(wǎng)絡(luò)的主機，如目錄服務(wù)器、郵件服務(wù)器等，另一工作是負責(zé)當(dāng)內(nèi)部要查詢 Inter上域名時，其把查詢?nèi)蝿?wù)轉(zhuǎn)發(fā)到外部 DNS服務(wù)器上，然后由外部 DNS服務(wù)器完成查詢?nèi)蝿?wù)，返回結(jié)果。 IDC 的 DNS系統(tǒng)除了要為 IDC 自身服務(wù)之外，還要為其客戶提供相應(yīng)的域名定義、為用戶開設(shè)虛擬域名服務(wù)等。 DNS 是向用戶提供域名查詢或域名登錄服務(wù)，其與 Inter 中的其它域名服務(wù)器形成全球域名服務(wù)體系。 IDC 基礎(chǔ)系統(tǒng)建設(shè) IDC 在前期建設(shè)中，首要任務(wù)之一是建設(shè)其基礎(chǔ)服務(wù)系統(tǒng)， IDC 的基礎(chǔ)系統(tǒng)主要有 DNS系統(tǒng)、目錄服務(wù)系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、安全系統(tǒng)等。 樓層交換機 Cat2924支持 10/100自適應(yīng)端口速率，而且 2924支持多交換機堆疊，在端口數(shù)不夠時，可以簡便地擴充端口而無需增加上層交換機的端口。其交換帶寬可以從 32Gbps（ 15Mpps）擴展到256Gbps（ 150Mpps），用戶可以根據(jù)需要選配端口。 8．網(wǎng)絡(luò)的擴展性 網(wǎng)絡(luò)良好的擴展性可以讓供應(yīng)商在相當(dāng)長一段時間內(nèi)持續(xù)提供一致服務(wù)，而無需進行新的投資，我們在網(wǎng)絡(luò)設(shè)計中也充分考慮到了這一點。 入侵檢測系統(tǒng)則可以對惡意的入侵行為進行探測，進行記錄。 對于本地接入的公司所托管的服務(wù)器，由于公司 LAN 和托管服務(wù)器處于一個 LAN 結(jié)構(gòu)之內(nèi)，所以，服務(wù)器運行維 護可以通過定義 VLAN 進行。這種情況下，由 VPN Server 或 VPN 路由器保證連接的安全性和可靠性。 對遠程維護的行為進行可以通過以下幾種方式進行： 6．用戶的遠程維護 一般情況下， IDC 用戶會要求遠 程維護自己的托管服務(wù)器，由于用戶只允許對自己托管的服務(wù)器進行訪問，因此，必須采用如： VPN、 VLAN 等技術(shù)保證這一點。 服務(wù)器通過一組接入交換機 Cat3524連入主干交換網(wǎng)絡(luò)。 4． WEB服務(wù)器的連接 我們?yōu)?IDC 中的每臺托管服務(wù)器都配置兩組網(wǎng)卡，一組用于前端網(wǎng)絡(luò)的連接，提供 WEB訪問；另一組用于后端網(wǎng)絡(luò)的連接，提供對數(shù)據(jù)庫、郵件等服務(wù)器以及存儲系統(tǒng)的訪問。 域 /域 Hash算法 (Domain/Domain hash) 目的 IP 地址 加權(quán)輪詢 (Weighted Round Robin, WRR) 具有專利權(quán)的 ACA負載均衡算法 而作為基于流的交換機的 CSS，一旦流建立起來后，該流所有的流量都將以線速轉(zhuǎn)發(fā)。與其他的負載均衡設(shè)備比較， CSS具有更高的負載均衡能力，因為它是一種基于流的交換機，其他廠家的負載均衡設(shè)備則是基于包的交換機。 同時 CSS11000系列還支持加權(quán)輪詢 Weighted Round Robin；最小連接機制；最大連接數(shù)限制等多種算法實現(xiàn)負載均衡。在本方案中服務(wù)器置于 CSS11800內(nèi)容服務(wù)交換機之后，所以由 CSS11800完成服務(wù)器的負載均衡。 NetCache C1105 的特點： 可靠性 /可用性 /可擴展性 專用的體系結(jié)構(gòu)專注于內(nèi)容可用性的提供 微碼的核心系統(tǒng)，在增加數(shù)據(jù)可用性的前提下達到最小的開銷 WAFL（ Write Anywhere File System） NetApp專利的文件系統(tǒng)優(yōu)化了磁盤到網(wǎng)絡(luò)的傳輸 冗余的熱插拔電源 ECC 內(nèi)存保護 OS的冗余拷貝 簡化的管理 專用的內(nèi)容管理和送達軟件 大型部署時的多系統(tǒng)管理 應(yīng)用分析與報告的日志 快速的安裝與啟動 企業(yè)框架軟件集成提供集中的應(yīng)用管理 基于 WEB與 CLI的管理 溫度、電源監(jiān)控提供可預(yù)測的系統(tǒng)管理 安 全 加固了的 TCP/IP 協(xié)議棧在沒有防火墻的保護下也能抵御一般的網(wǎng)絡(luò)攻擊 Icapenabled 過濾和病毒檢測 本地支持的第三方過濾表 NTLM、 LDAP與 RADIUS 認證支持 ACL 多協(xié)議 支持 HTTP、 FTP、 NNTP 支持主要的流技術(shù) (MMS， RTSP， QuickTime) iCAPenabled 應(yīng)用提供靈 活的對增值服務(wù)的訪問 3．服務(wù)器負載均衡的實現(xiàn) 對于大部分站點而言，采用多個服務(wù)器而不是一臺大型服務(wù)器，可以提高服務(wù)器的響應(yīng)性能，減少服務(wù)器的單點故障。 總之， CACHE對 IDC 以及 ISP都是必不可少的，經(jīng)營者可以通過靈活地使用CACHE來最大限度地降低成本，提升利潤。 2．用 CACHE加速 INTERNET訪問 Inter的發(fā)展趨勢是盡可能地將內(nèi)容在地理上靠近用戶，由于本方案中 INTERNET 接入用戶的大都來自與商務(wù)寫字樓和酒店公寓，其對 INTERNET的訪問 具有很大的重復(fù)性，所以有效地部署 CACHE可以大大地降低 INTERNET接入的帶寬負荷，提高內(nèi)容的相應(yīng)速 度。樓層交換機使用 Catalyst 2924XL交換機。 核心交換使用兩臺 Catalyst 6509構(gòu)成，形成全冗余的高速網(wǎng)絡(luò)核心。用戶訪問層：由若干臺 Cat4000和一組 Cat2924組成，提供企業(yè)和個人用戶接入，提供 INTERNET上網(wǎng)，企業(yè)用戶還可以通過 VLAN 和自己的托管服務(wù)器連接實現(xiàn)日常的維護工作。同時，后端網(wǎng)絡(luò)通過防火墻和前端的核心網(wǎng)絡(luò)連接，實現(xiàn) IDC 管理中心對前端網(wǎng)絡(luò)的管理，防火墻則為后端網(wǎng)絡(luò)提供更嚴格的保護。 IDC 網(wǎng)絡(luò)建設(shè) IDC 網(wǎng)絡(luò)功能結(jié)構(gòu) 我們建議的 IDC 網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示： 布線系統(tǒng)：機房應(yīng)有完整的綜合布線系統(tǒng)，布線系統(tǒng)包括數(shù)據(jù)布線、語音布線、終端布線。 IDC 的 空調(diào)系統(tǒng)：機房的溫度、通風(fēng)方式和機房空氣環(huán)境等。 計費系統(tǒng)：計費系統(tǒng)是 IDC 收入的保證。 I