电信ICP解决方案

2004-9-22　发布方：广州众达天网　网友评论 0 条　点击进入论坛

背景描述：

    对于一个ICP（Internet内容供应商）来说，拥有大量的访问量和用户是ICP的目标，但这样，又会带来系统安全、网络带宽与服务器处理能力的大量需求。因此，我们可以说，对于一个ICP来说，一台好的防火墙不但可以给他们带来网络的安全，而且可以不对网络造成任何影响，最好还可以提高服务器的响应速度。而一般的软件防火墙由于是基于通用操作系统的，不仅在安全性上大受操作系统本身的影响，而且网络效率大打折扣。

    天网防火墙ICP型，就是面对ICP开发的一代全新的防火墙产品，它的高安全性令服务器高枕无忧，可以媲美100M以太网交换机网络效率令数据畅通无阻，而且天网防火墙系统拥有构造双机热备份结构的功能，从而能提高系统的稳定性、容错性。由于防火墙系统是整个网络的网关，是连接内部网络、外部网络、DMZ区的交通枢纽，具备双机热备份本领的天网防火墙系统无疑是整体网络稳定性、容错性的保证。特性说明:

软硬件一体化的结构

    防火墙对于用户来说，只是一个安全网关。整体系统采用黑盒设计，防火墙系统与硬件紧密结合，发挥硬件最高效能，减少由于操作系统问题而产生网络漏洞的可能，提高系统自身安全性。

针对ICP的特性，提供高效畅通的网络通道：

    针对为ICP特点：需要保护的主机数量少，但并发连数量大设计的执行执照，天网防火墙ICP型并不象其他产品，只是笼统地按照并发数量作为价格依据，而是采用保护的主机数量作为防火墙的执行执照。
 
    作为一个ICP节点，网络系统将承受大量的并发用户访问，天网防火墙的网络核心可支持超大量的并发连接，远超任何基于通用操作系统的防火墙。 作为一台防火墙，其最基本功能是保护网络不受非法入侵者所破坏的同时，还要保证网络的畅通无阻，天网防火墙的网络核心专门为TCP/IP及Firewall而设计，同时还针对CPU的计算核心进行了优化处理，能大大提升系统性能。网络底层的多个部分由汇编语言编写，比同类系统性能提高20%-60%。

双机热备份（选件）

    采取双机热备份结构的天网防火墙系统在常规运作的时候分为主服务器和备份服务器，备份服务器通过专用通信端口作主服务器设置、纪录数据的镜像。备份服务器的网络设备并不运作，防火墙工作由主服务器完成。如果因网络或某些因素使主防火墙服务器不能正常运作时，备份服务器会在十秒钟内自动启动，负责保护网络安全，并发出警告通知网络管理员。

智能的负载分担模块（选件），降低了ICP网站建设的成本

    随着出色的Internet应用服务的使用人数不断增加，服务器变得不胜负荷，如果无法及时处理大量的用户服务请求，将出现服务中断的情况。以往在解决这些问题的时候，只能采用更强计算能力的服务器来替换原来的服务器，旧的服务器只能淘汰掉。并且，单台服务器的负载能力也是有限的，不可能无限扩展，同时，高档服务器的价格是随着服务器的性能呈现指数型上升，因此，采用多台廉价服务器组成负载分担的系统模型日渐成为主流。

    负载分担系统主要是将集中在一台服务器上的用户服务请求分发到多台服务器上。

    在负载分担方式出现的初期，有不少网络的设计采用域名轮转的方式，即是一个域名对应多台服务器，作为一种廉价的方案，域名轮转的方式可以在解决一些服务器的负载问题，但是，由于这种负载分担的方式有很大的局限性：无法根据各台服务器的负载情况，将用户服务请求发送到不同的服务器上；在其中一台服务器出现问题无法工作的时候，系统仍然会将用户访问请求发送到出现故障的服务器上，造成一部分服务的中断；由于域名解释一般在各地的服务器上都会有Cache存在，因此会造成一个地区的用户访问请求将集中在同一台服务器上。因而实际上，采用域名轮转的方式来做系统负载分担，其效果并不明显，而且存在着一定的弊端。

    使用天网防火墙的分布式方案，可以建造具有快速响应时间和高容错的大容量服务器集群系统。天网防火墙的负载分布模块，可以智能地将用户的服务请求分布到多台服务器上面，同时，提供容错功能，可以自动隔离出问题的服务器。系统具体功能如下：

1） 动态负载均衡

    天网防火墙的负载分布模块可以根据服务器的负载情况，包括CPU 占用量，系统Load等情况，自动选择负载最小的服务器，将用户的服务请求发送到该机器上。

2） 容错处理

    天网防火墙的负载分布模块可以自动检测服务器的可用性，当某一台服务器出现故障的时候，分布式系统会自动绕开发生故障的机器，不会将用户的服务请求发送到改机器上，保证了系统的正常运作。

    在实际应用中，由于服务器端常常存在着CGI程序，这些程序会将用户的信息保存在服务器的内存中，如果负载分担系统不能识别用户来源，就会将同一个用户的请求分布到不同的服务器上，就会导致无法正常运行程序。而天网防火墙的负载负担模块采用独有的IIDR（智能身份识别）算法，能够保证同一个用户的CGI请求可以保留在同一台服务器上，保证服务的正常运作。

    采用分布式结构建造大规模的Internet应用，可以容纳大量的用户，然而在用户量增大到一定的情况下，负载分担服务器处于整个网络中心的位置，有可能反而成为服务系统的瓶颈。天网防火墙负载分担模块在设计时采用的高性能的专用散列算法，保证系统即使在处理巨大的用户量（每秒同时连接数大于30000用户）下，网络效率仍然可以达到80%以上。

解决方案：

 
    为了保证ICP稳定性、容错性，方案使用天网防火墙电信型，通过防火墙划分为物理上相互独立的两个网段：

公共网段（Public Network）

私有网段（Private Network）

    其中，公共网段提供面向Internet的广域网连接和接受互联网用户访问的支持；私有网段安放Web服务器、Smtp服务器和POP3服务器，提供Web和电子邮件应用服务。

安全策略

目的：划分安全区域。

    制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。

    审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。

    根据对用户需求的分析，ICP站点的网络可以划分为以下几个安全区域：

内部网段

外部网段

    分属两个安全区域的网段通过天网防火墙进行互连。

    现有需要进行审核和过滤的应用和服务类型包括：

相关案例

• ·黑匣子监控系统[图]
• ·EZ-Lock易锁_文件加密保护系统[图]
• ·东育恒远远程教学资源解决方案[组图]
• ·DCI黑匣子网络安全监控系统[图]
• ·F1JEE ,J2EE业务基础软件和工作流平台[图]

• ·博商零售业网上商店系统解决方案
• ·蓝波物资管理系统——船舶行业软件产品
• ·总体规划下渤船重工管加工分厂的数字化工作
• ·中国舰船研究设计中心PDM系统实施与应用[图]
• ·博商零售业网上商店系统解决方案

推荐解决方案

领军企业实施案例

电子杂志订阅

赞助商链接