隨著互聯網及其應用的快速發展,客戶對網站系統訪問的響應時間、網站內容以及所提供服務的可靠性、即時性等要求也越來越高,使得以單臺服務器來支撐整個網站的系統已無法滿足客戶需求。取而代之的是一組服務器群。同時,黑客、病毒對網站的惡意侵入也越來越多,如何保證客戶訪問網站快速、高效是網站管理人員重點考慮的問題。
阿姆瑞特UTM產品可以根據服務器實際的響應時間,平衡服務器群中所有服務器之間的通信負載,從而提高整個網站的性能和響應能力。通過強悍的防火墻和IPS系統保證網站的安全性,從而提高服務器群的效率,達到安全和效率的統一。
一、大型網站網絡特點
![*]("file:///C:/DOCUME~1/master/LOCALS~1/Temp/msohtml1/01/clip_image002.gif"){kind=small}
用戶訪問量大,吞吐量、并發要求高;
對于大型網站,服務器數量可能不是很多,但用戶訪問量大,因此在網絡安全產品選型的時候,要求該產品具有海量的吞吐量和并發連接數。
具有多臺服務器、要求接入設備具備負載均衡
大型網站擁有多臺服務器,這些服務器以對稱方式組成一個服務器群集,每臺服務器都具有同等地位,均能單獨對外提供服務。通過特定的負載均衡技術,將外部客戶請求視服務器群集中各服務器上的負載狀況合理分配到某臺服務器上,籍此大幅提高獲取數據的速度,解決海量并發訪問問題。此種群集技術可以用最少的投資獲得接近于大型主機的性能。
經常面臨黑客和病毒入侵
由于大型網站對外提供服務,因為這些服務器是面向Internet提供服務的,而這些服務器的操作系統為windows或者Linux,會有很多漏洞,因此經常受到黑客攻擊和病毒侵擾,如果保證這些服務器的安全性,是網管比較頭痛的問題。
多個ISP接入
由于訪問大型網站的用戶來源于世界各地,為了使各個地方用戶訪問該網站都快速,因此大型網站都申請多個不同的ISP接入,例如:中國網通、中國電信、中國鐵通等。這樣方便不同用戶訪問不同的服務器地址,達到快速的目的。
某網站使用二十臺服務器對外提供Web服務,使用四臺服務器作為Smtp服務器,兩臺服務器作為POP3服務器,對外進行服務。為了保證服務器的安全性同時滿足使每臺服務器的負載相差不大,使用阿姆瑞特UTM作安全防護的同時,開啟UTM設備的負載均衡功能。
該方案技術特定如下:
![]("/uploadfile/200708/20070816101821305.jpg")
![*]("file:///C:/DOCUME~1/master/LOCALS~1/Temp/msohtml1/01/clip_image001.gif"){kind=small}
不同接入的用戶通過不同鏈路訪問服務器
阿姆瑞特UTM可以基于不同的策略定義不同的路由,因此可以根據源地址、服務等定義不同的路由。從而達到不需要其他設備可以連接多個ISP,應用在多個出口的環境。 通過策略路由功能,網通用戶通過網通地址訪問服務器;聯通用戶通過聯通地址訪問服務器;鐵通用戶通過鐵通的地址訪問服務器。
多個ISP互相備份
阿姆瑞特UTM可以提供對服務器的鏈路備份功能,當網通鏈路中斷時候,所有用戶通過聯通或者鐵通地址訪問服務器;當聯通鏈路中斷時候,所有用戶通過網通或者鐵通地址訪問服務器;當鐵通鏈路中斷時候,所有用戶通過網通或者電信地址訪問服務器。
服務器容錯處理
阿姆瑞特UTM的“服務器狀態檢測功能”,對每臺服務器的工作狀態進行檢測,如果某臺服務器宕機,或者響應速度較低時及時把流量向其它服務器進行分配,確保用戶訪問服務器在任何時候都不會中斷。
服務器負載均衡
阿姆瑞特UTM智能地根據客戶源IP地址、連接率等因素把所有來自Internet的訪問數據流均衡地分配到每臺服務器上去,既保證了每臺服務器都工作在一個合適的壓力之下,又保證了客戶不論被連接到哪臺服務器,得到的響應速度都是相同的。
在實際應用中,由于服務器端常常存在著CGI程序,這些程序會將用戶的信息保存在服務器的內存中,如果負載分擔系統不能識別用戶來源,就會將同一個用戶的請求分布到不同的服務器上,就會導致無法正常運行程序。阿姆瑞特UTM在對服務器進行負載均衡的時候,可以基于源IP、源網絡、連接狀態分配等機制,能夠保證同一個用戶的CGI請求可以保留在同一臺服務器上,保證服務的正常運作。
IPS與IDS有效統一
在該應用中,阿姆瑞特UTM可以針對服務器同時開啟IPS規則和IDS規則。IPS與IDS對應不同的特征庫,當數據包進入UTM設備,首先經過IPS檢查,可以確定100%的攻擊,UTM可以對該攻擊進行阻斷;如果數據包疑是攻擊,進行IDS檢查,UTM對該數據進行審計,從而達到IPS和IDS的統一,保證服務器的同時不會產生因為誤報而將正常數據包阻斷現象。同時通過硬件加速保證系統的性能。
動態IPS/IDS配置界面
阿姆瑞特UTM的IPS/IDS的配置界面來源于IDP特征庫的索引,當IDP特征庫升級后,由UTM設備內核PUSH(下推)到管理器中,從而實現時時更新的IPS/IDS的專業分組配置界面,將用戶需要做的IPS/IDS分組工作轉化為由專業的廠商來做。將IPS/IDS在配置上最大的難題徹底解決,最大程度的減少管理員的工作壓力,使得配置界面更加人性化、專業化、合理化。
實時的反病毒網關:
依托卡巴斯基強大的病毒特征庫和基于特征和啟發式的掃描阿姆瑞特UTM可以在進出網站的數據包進行檢測,過濾各種已知和未知病毒,提供針對未知病毒、蠕蟲、特洛伊木馬和其它惡意內容的高性能保護。
