Asp的安全管理（12）_ASP文摘

来自 Internet 的 DNS 查询不可能通过 DMZ 进入内部网络来获取答案。一些近期的攻击使用 DNS 来传递其有效载荷。Internet 上的用户没有必要对内部网络上的服务器进行查询。

消除故障点。在高可用性环境中，只需简单倍增 DNS 服务器的数量即可。

硬件负载平衡 — 保持服务器的最佳性能

Windows 2000 Advanced Server 包括一种称为“网络负载平衡服务”或 NLBS 的功能。NLBS 为 Web 站点管理员提供了在相同配置的服务器农场中进行服务器负载分配的方法。NLBS 对不需要复杂状态维护或性能监视的应用程序来说非常适用。但对于需要这些工作的应用程序来说，则应选择硬件负载平衡。这些设备有时称为第 7 层交换机。

像 F5 网络的 BigIP Content Switch（非官方认可，只是行业中认同它是最好产品之一）这样的设备在 OSI 模型的第 2 到第 7 层工作。BigIP Content Switch 检测应用程序的状态和运行情况，在 Web 服务器之间提供负载平衡和真实容错。若要消除任何单一的故障点，需使用两个与所有 Web 服务器完全相符的负载平衡设备。F5 还提供了支持加密套接字协议层 (SSL) 的 BigIP Content Switch 版本。SSL 会话在 BigIP SSL Accelerator中终止，然后确定由哪台 Web 服务器执行该工作。BigIP Accelerator 进行下列操作：

卸载 Web 服务器的 SSL 处理，提高其性能。

集中管理证书。将证书安装在 SSL 加速器上，而不是每一台 Web 服务器上。它还可使多个 BigIP 控制器之间的证书同步。

启用 HTTP 主机标头。

解决 AOL 客户端 IP 地址共享问题。

消除故障点。如果目标仅仅是平衡服务器的负载，一台负载平衡设备足矣。但是若要提供真实容错功能，则需多台配置完全匹配的设备。

存储区域网络 — 对内部网络的集中存储

存储区域网络技术已非常成熟，只要是配备有大存储容量的地方都可使用。SAN 将存储功能从通用服务器移到为传输大量数据而特别设计的高速网络上。这有助于：

通过将磁盘阵列移出机柜来优化服务器机柜空间。

通过将数据存储在单独的、不易遭受目前所知类型攻击的网络中，增加数据的安全性。

通过在数据网络之外保留通信备份，提供不受 LAN 约束的备份。

最初，使用光纤通道仲裁环 (FC-AL) 来建立 SAN。较新的光纤通道交换机提供更高水平的吞吐量，并使管理员可以设计没有单一故障点的 SAN。

交换光纤通道 SAN 至少包括：

两台位于核心相互连接的 FC 交换机。

几台位于外围的交换机 — 每个 LAN 有一台与 SAN 连接的交换机。每台外围交换机都与两台核心交换机连接。

每台服务器中的 FC 接口与其本地的 SAN 交换机相连。

SAN 磁盘群集有一台交换机与两台核心交换机连接。

SAN 备份设备的一台交换机，与两台核心交换机连接。

消除故障点。倍增核心以外的所有设备：在每台服务器中使用两个光纤通道适配器、每个 LAN 中使用两台外围交换机、对 SAN 磁盘群集使用两台外围交换机，以及对 SAN 备份设备使用两台外围交换机。始终将两台外围交换机与两台核心交换机相连。