随着互联网及其应用的快速发展,客户对网站系统访问的响应时间、网站内容以及所提供服务的可靠性、即时性等要求也越来越高,使得以单台服务器来支撑整个网站的系统已无法满足客户需求。取而代之的是一组服务器群。同时,黑客、病毒对网站的恶意侵入也越来越多,如何保证客户访问网站快速、高效是网站管理人员重点考虑的问题。
阿姆瑞特UTM产品可以根据服务器实际的响应时间,平衡服务器群中所有服务器之间的通信负载,从而提高整个网站的性能和响应能力。通过强悍的防火墙和IPS系统保证网站的安全性,从而提高服务器群的效率,达到安全和效率的统一。
一、大型网站网络特点
用户访问量大,吞吐量、并发要求高;
对于大型网站,服务器数量可能不是很多,但用户访问量大,因此在网络安全产品选型的时候,要求该产品具有海量的吞吐量和并发连接数。
具有多台服务器、要求接入设备具备负载均衡
大型网站拥有多台服务器,这些服务器以对称方式组成一个服务器群集,每台服务器都具有同等地位,均能单独对外提供服务。通过特定的负载均衡技术,将外部客户请求视服务器群集中各服务器上的负载状况合理分配到某台服务器上,籍此大幅提高获取数据的速度,解决海量并发访问问题。此种群集技术可以用最少的投资获得接近于大型主机的性能。
经常面临黑客和病毒入侵
由于大型网站对外提供服务,因为这些服务器是面向Internet提供服务的,而这些服务器的操作系统为windows或者Linux,会有很多漏洞,因此经常受到黑客攻击和病毒侵扰,如果保证这些服务器的安全性,是网管比较头痛的问题。
多个ISP接入
由于访问大型网站的用户来源于世界各地,为了使各个地方用户访问该网站都快速,因此大型网站都申请多个不同的ISP接入,例如:中国网通、中国电信、中国铁通等。这样方便不同用户访问不同的服务器地址,达到快速的目的。
某网站使用二十台服务器对外提供Web服务,使用四台服务器作为Smtp服务器,两台服务器作为POP3服务器,对外进行服务。为了保证服务器的安全性同时满足使每台服务器的负载相差不大,使用阿姆瑞特UTM作安全防护的同时,开启UTM设备的负载均衡功能。
该方案技术特定如下:
不同接入的用户通过不同链路访问服务器
阿姆瑞特UTM可以基于不同的策略定义不同的路由,因此可以根据源地址、服务等定义不同的路由。从而达到不需要其他设备可以连接多个ISP,应用在多个出口的环境。 通过策略路由功能,网通用户通过网通地址访问服务器;联通用户通过联通地址访问服务器;铁通用户通过铁通的地址访问服务器。
多个ISP互相备份
阿姆瑞特UTM可以提供对服务器的链路备份功能,当网通链路中断时候,所有用户通过联通或者铁通地址访问服务器;当联通链路中断时候,所有用户通过网通或者铁通地址访问服务器;当铁通链路中断时候,所有用户通过网通或者电信地址访问服务器。
服务器容错处理
阿姆瑞特UTM的“服务器状态检测功能”,对每台服务器的工作状态进行检测,如果某台服务器宕机,或者响应速度较低时及时把流量向其它服务器进行分配,确保用户访问服务器在任何时候都不会中断。
服务器负载均衡
阿姆瑞特UTM智能地根据客户源IP地址、连接率等因素把所有来自Internet的访问数据流均衡地分配到每台服务器上去,既保证了每台服务器都工作在一个合适的压力之下,又保证了客户不论被连接到哪台服务器,得到的响应速度都是相同的。
在实际应用中,由于服务器端常常存在着CGI程序,这些程序会将用户的信息保存在服务器的内存中,如果负载分担系统不能识别用户来源,就会将同一个用户的请求分布到不同的服务器上,就会导致无法正常运行程序。阿姆瑞特UTM在对服务器进行负载均衡的时候,可以基于源IP、源网络、连接状态分配等机制,能够保证同一个用户的CGI请求可以保留在同一台服务器上,保证服务的正常运作。
IPS与IDS有效统一
在该应用中,阿姆瑞特UTM可以针对服务器同时开启IPS规则和IDS规则。IPS与IDS对应不同的特征库,当数据包进入UTM设备,首先经过IPS检查,可以确定100%的攻击,UTM可以对该攻击进行阻断;如果数据包疑是攻击,进行IDS检查,UTM对该数据进行审计,从而达到IPS和IDS的统一,保证服务器的同时不会产生因为误报而将正常数据包阻断现象。同时通过硬件加速保证系统的性能。
动态IPS/IDS配置界面
阿姆瑞特UTM的IPS/IDS的配置界面来源于IDP特征库的索引,当IDP特征库升级后,由UTM设备内核PUSH(下推)到管理器中,从而实现时时更新的IPS/IDS的专业分组配置界面,将用户需要做的IPS/IDS分组工作转化为由专业的厂商来做。将IPS/IDS在配置上最大的难题彻底解决,最大程度的减少管理员的工作压力,使得配置界面更加人性化、专业化、合理化。
实时的反病毒网关:
依托卡巴斯基强大的病毒特征库和基于特征和启发式的扫描阿姆瑞特UTM可以在进出网站的数据包进行检测,过滤各种已知和未知病毒,提供针对未知病毒、蠕虫、特洛伊木马和其它恶意内容的高性能保护。