【正文】 性。通過下面的方案介紹我們就會明白為什么目前10大IDC中會有9家采用NETAPP的存儲解決方案來為IDC的用戶提供基礎(chǔ)設(shè)施和增值服務(wù)。示例二：如果有100臺SUN或HP的服務(wù)器提供ASP等業(yè)務(wù)，用戶需要對數(shù)據(jù)進行備份保護，那么一般情況下需要在每臺服務(wù)器上安裝備份軟件，如果每套軟件價格大約US$，需要花費150萬美金，并且這種備份方式要站用大量的網(wǎng)絡(luò)資源和服務(wù)器的計算資源。假設(shè)有400臺主機需要托管并且主機類型主要是NT、 LINUX等平臺。作為存儲中心的成本可以有兩種評測，一種是簡單的容量成本，另一種是與IDC系統(tǒng)有關(guān)聯(lián)關(guān)系的功能或服務(wù)成本。作為IDC的集中存儲系統(tǒng)需求要面對未來IDC用戶的需求的多樣性，可以按照模塊方式為用戶提供模塊化的服務(wù)。因此IDC如何能夠提供更多的數(shù)據(jù)保護、數(shù)據(jù)管理服務(wù)成為IDC建立時系統(tǒng)設(shè)計的一個重要方面。IDC之間的競爭目前主要表現(xiàn)是網(wǎng)絡(luò)帶寬、基礎(chǔ)設(shè)施等IDC的基本要素的比較，隨著IDC產(chǎn)生的越來越多，IDC之間的競爭已經(jīng)表現(xiàn)在如何能夠為IDC的用戶提供更多的數(shù)據(jù)及安全服務(wù)，如：防火墻、數(shù)據(jù)備份、鏡像站點、負(fù)載均衡、統(tǒng)計分析等數(shù)據(jù)安全、管理、分析等增值服務(wù)。數(shù)據(jù)分布在眾多的平臺和服務(wù)器之上，備份和管理的工作變的越來越復(fù)雜，多個服務(wù)器上分散的數(shù)據(jù)很難共享，而且這種分散的存儲模式也帶來了巨大的資源浪費，系統(tǒng)管理人員無法在多個系統(tǒng)間有效的調(diào)度存儲資源。因此整個IT系統(tǒng)的高可用性變的非常重要，而作為信息系統(tǒng)核心的數(shù)據(jù)部分的高可用性更是重中之重，服務(wù)器的宕機可以通過多臺服務(wù)器冗余帶來保護，但是如果服務(wù)器上的數(shù)據(jù)沒有有效的保護或成為訪問瓶頸，則可能成為致命的缺陷。在傳統(tǒng)的分布式處理模式下，網(wǎng)站內(nèi)所有的信息分布在內(nèi)部各個服務(wù)器上，信息的管理，信息的可用性受到了很大的限制，不能充分發(fā)揮應(yīng)有的作用，而且系統(tǒng)的升級和新業(yè)務(wù)的開發(fā)部署也都不能及時響應(yīng)Internet快速變化的要求，在這種情形下，以信息為中心的集中處理模式應(yīng)時代的需要再次走上了歷史舞臺，而構(gòu)建企業(yè)信息基礎(chǔ)設(shè)施則更是集中處理模式的重中之重。數(shù)據(jù)存儲系統(tǒng)1． IDC存儲系統(tǒng)綜述在新的以信息為核心的時代，如何更有效的管理、保護和共享企業(yè)信息已為各行業(yè)的發(fā)展提出了新的挑戰(zhàn)。在IDC系統(tǒng)中，在每個重要的服務(wù)取得網(wǎng)絡(luò)的入口處安放一個探測器，對每個進出此段網(wǎng)絡(luò)的數(shù)據(jù)流進行檢查探測，當(dāng)其發(fā)現(xiàn)某一個數(shù)據(jù)流不是正常的數(shù)據(jù)流時，探測器把此數(shù)據(jù)流截獲住，并向位于管理區(qū)的管理服務(wù)器發(fā)送入侵信息和警告，然后由管理服務(wù)器在做相應(yīng)的防御對策。4. 網(wǎng)絡(luò)和系統(tǒng)入侵監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的入侵檢測是在網(wǎng)絡(luò)上增加一臺掃描儀器和在主要服務(wù)器上增加相應(yīng)的防入侵軟件來實現(xiàn)。訪問日記，即Access Log。完成系統(tǒng)內(nèi)部IP地址到Internet合法IP地址的轉(zhuǎn)換，保證能夠從系統(tǒng)內(nèi)部訪問Internet，隱藏內(nèi)部網(wǎng)絡(luò)和主機的結(jié)構(gòu)。屏蔽對于某些Internet站點的訪問?？刂茝腎nternet上過來的IP數(shù)據(jù)的流向，如數(shù)據(jù)包其目的地址只能是某個區(qū)域的DNS、WWW等服務(wù)器。屏蔽對于網(wǎng)絡(luò)不必要且有安全漏洞的服務(wù)，如Telnet、FTP等。通過對IP包的檢查，過濾對網(wǎng)絡(luò)安全有潛在威脅的IP數(shù)據(jù)包。在Internet/Intranet上，通過防火墻來在兩個或多個網(wǎng)絡(luò)間加強訪問控制，其目的是保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊，隔離風(fēng)險區(qū)域與安全區(qū)域的連接，但不妨礙人們對風(fēng)險區(qū)域的訪問。集中防病毒主要是對進出的郵件和HTTP流數(shù)據(jù)進行防病毒；分散是保護內(nèi)部網(wǎng)的單個終端用戶。集中防病毒的方法是在主要的服務(wù)器上安裝防病毒軟件，此軟件先對進出此服務(wù)器的數(shù)據(jù)進行檢查，然后再把通過檢查的數(shù)據(jù)發(fā)送給客戶；分散防病毒是只在客戶端安裝防病毒軟件，它只檢查進出客戶端的數(shù)據(jù)是否有病毒感染。2．防病毒(AntiVirus)目前病毒在網(wǎng)絡(luò)和Internet上傳播主要以電子郵件和Web瀏覽的方式傳播，以及內(nèi)部網(wǎng)絡(luò)上員工的共享文件的傳播。文件系統(tǒng)的安全管理：控制用戶對系統(tǒng)內(nèi)特殊文件的訪問權(quán)限，特別是刪除、移動等權(quán)限，對使用NFS系統(tǒng)可以采用kerberos方式認(rèn)證。如果需要可以規(guī)定用戶只能在指定的時間內(nèi)才能登錄系統(tǒng)，并對登錄系統(tǒng)的用戶進行審核（audit）。操作系統(tǒng)的安全性建設(shè)主要包括用戶的管理、超級用戶的管理、文件系統(tǒng)安全管理、遠(yuǎn)程對系統(tǒng)的訪問等。應(yīng)用層的安全將從三個方面來考慮：增強應(yīng)用服務(wù)器系統(tǒng)的安全；采用身份認(rèn)證機制，以保證應(yīng)用的可靠性；采用數(shù)據(jù)加密技術(shù)和防病毒軟件，以保證應(yīng)用的安全性。除了主機/服務(wù)器的操作系統(tǒng)自身的安全性之外，目前有多種產(chǎn)品可供選擇，包括SUN公司的Security Manager和CA公司的Unicenter TNG等產(chǎn)品。 通過配置了多級防火墻，以隔離IDC網(wǎng)絡(luò)各個組成部分相互之間的非法訪問（合法訪問可以通過）；對于Internet用戶來講，如果想非法侵入IDC內(nèi)部網(wǎng)絡(luò)，必須突破防火墻的防范。這兩個方面所采用的技術(shù)和思路是一致的。次DNS服務(wù)器Sun E420R2x450MHz UltraSPARC CPU1GB Memory Internal Disk 可 選內(nèi)部DNS主DNS服務(wù)器Sun E420R2x450MHz UltraSPARC CPU1GB Memory Internal Disk具體的服務(wù)器配置如下表所示。如下圖說明了DNS解析流程，為了保證IDC的DNS域名的可靠性和安全性，我們采用Split DNS技術(shù)來設(shè)計IDC的DNS系統(tǒng)，即把IDC的DNS系統(tǒng)劃分為內(nèi)部和外部兩部分，其中外部DNS系統(tǒng)位于公共服務(wù)區(qū)，負(fù)責(zé)IDC正常對外解析工作，如IDC的Web服務(wù)器、IDC用戶的Web服務(wù)器等解析工作全由外部DNS服務(wù)器來完成；內(nèi)部DNS系統(tǒng)主要有兩項工作，一是負(fù)責(zé)解析IDC內(nèi)部網(wǎng)絡(luò)的主機，如目錄服務(wù)器、郵件服務(wù)器等，另一工作是負(fù)責(zé)當(dāng)內(nèi)部要查詢Internet上域名時，其把查詢?nèi)蝿?wù)轉(zhuǎn)發(fā)到外部DNS服務(wù)器上，然后由外部DNS服務(wù)器完成查詢?nèi)蝿?wù)，返回結(jié)果。IDC的DNS系統(tǒng)除了要為IDC自身服務(wù)之外，還要為其客戶提供相應(yīng)的域名定義、為用戶開設(shè)虛擬域名服務(wù)等。DNS是向用戶提供域名查詢或域名登錄服務(wù)，其與Internet中的其它域名服務(wù)器形成全球域名服務(wù)體系。IDC基礎(chǔ)系統(tǒng)建設(shè)IDC在前期建設(shè)中，首要任務(wù)之一是建設(shè)其基礎(chǔ)服務(wù)系統(tǒng)，IDC的基礎(chǔ)系統(tǒng)主要有DNS系統(tǒng)、目錄服務(wù)系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、安全系統(tǒng)等。樓層交換機Cat2924支持10/100自適應(yīng)端口速率，而且2924支持多交換機堆疊，在端口數(shù)不夠時，可以簡便地擴充端口而無需增加上層交換機的端口。其交換帶寬可以從32Gbps（15Mpps）擴展到256Gbps（150Mpps），用戶可以根據(jù)需要選配端口。8．網(wǎng)絡(luò)的擴展性網(wǎng)絡(luò)良好的擴展性可以讓供應(yīng)商在相當(dāng)長一段時間內(nèi)持續(xù)提供一致服務(wù)，而無需進行新的投資，我們在網(wǎng)絡(luò)設(shè)計中也充分考慮到了這一點。入侵檢測系統(tǒng)則可以對惡意的入侵行為進行探測，進行記錄。 對于本地接入的公司所托管的服務(wù)器，由于公司LAN和托管服務(wù)器處于一個LAN結(jié)構(gòu)之內(nèi)，所以，服務(wù)器運行維護可以通過定義VLAN進行。這種情況下，由VPN Server或VPN 路由器保證連接的安全性和可靠性。對遠(yuǎn)程維護的行為進行可以通過以下幾種方式進行：6．用戶的遠(yuǎn)程維護一般情況下，IDC用戶會要求遠(yuǎn)程維護自己的托管服務(wù)器，由于用戶只允許對自己托管的服務(wù)器進行訪問，因此，必須采用如：VPN、VLAN等技術(shù)保證這一點。服務(wù)器通過一組接入交換機Cat3524連入主干交換網(wǎng)絡(luò)。4．WEB服務(wù)器的連接我們?yōu)镮DC中的每臺托管服務(wù)器都配置兩組網(wǎng)卡，一組用于前端網(wǎng)絡(luò)的連接，提供WEB訪問；另一組用于后端網(wǎng)絡(luò)的連接，提供對數(shù)據(jù)庫、郵件等服務(wù)器以及存儲系統(tǒng)的訪問。 域/域Hash算法(Domain/Domain hash) 目的IP地址 加權(quán)輪詢(Weighted Round Robin, WRR) 具有專利權(quán)的ACA負(fù)載均衡算法而作為基于流的交換機的CSS，一旦流建立起來后，該流所有的流量都將以線速轉(zhuǎn)發(fā)。與其他的負(fù)載均衡設(shè)備比較，CSS具有更高的負(fù)載均衡能力，因為它是一種基于流的交換機，其他廠家的負(fù)載均衡設(shè)備則是基于包的交換機。同時CSS11000系列還支持加權(quán)輪詢Weighted Round Robin；最小連接機制；最大連接數(shù)限制等多種算法實現(xiàn)負(fù)載均衡。在本方案中服務(wù)器置于 CSS11800內(nèi)容服務(wù)交換機之后，所以由CSS11800完成服務(wù)器的負(fù)載均衡。NetCache C1105的特點：可靠性/可用性/可擴展性專用的體系結(jié)構(gòu)專注于內(nèi)容可用性的提供微碼的核心系統(tǒng)，在增加數(shù)據(jù)可用性的前提下達到最小的開銷WAFL（Write Anywhere File System）NetApp專利的文件系統(tǒng)優(yōu)化了磁盤到網(wǎng)絡(luò)的傳輸冗余的熱插拔電源ECC內(nèi)存保護OS的冗余拷貝簡化的管理專用的內(nèi)容管理和送達軟件大型部署時的多系統(tǒng)管理應(yīng)用分析與報告的日志快速的安裝與啟動企業(yè)框架軟件集成提供集中的應(yīng)用管理基于WEB與CLI的管理溫度、電源監(jiān)控提供可預(yù)測的系統(tǒng)管理安 全加固了的TCP/IP協(xié)議棧在沒有防火墻的保護下也能抵御一般的網(wǎng)絡(luò)攻擊Icapenabled 過濾和病毒檢測本地支持的第三方過濾表NTLM、LDAP與RADIUS認(rèn)證支持