7年IDC运维经验 专业服务器托管 服务器租用

电信ICP解决方案

电信ICP解决方案

背景描述:
   对于一个ICP(Internet内容供应商)来说,拥有大量的访问量和用户是ICP的目标,但这样,又会带来系统安全、网络带宽与服务器处理能力的大量需求。因此,我们可以说,对于一个ICP来说,一台好的防火墙不但可以给他们带来网络的安全,而且可以不对网络造成任何影响,最好还可以提高服务器的响应速度。而一般的软件防火墙由于是基于通用操作系统的,不仅在安全性上大受操作系统本身的影响,而且网络效率大打折扣。
   天网防火墙ICP型,就是面对ICP开发的一代全新的防火墙产品,它的高安全性令服务器高枕无忧,可以媲美100M以太网交换机网络效率令数据畅通无阻,而且天网防火墙系统拥有构造双机热备份结构的功能,从而能提高系统的稳定性、容错性。由于防火墙系统是整个网络的网关,是连接内部网络、外部网络、DMZ区的交通枢纽,具备双机热备份本领的天网防火墙系统无疑是整体网络稳定性、容错性的保证。特性说明:

软硬件一体化的结构
   防火墙对于用户来说,只是一个安全网关。整体系统采用黑盒设计,防火墙系统与硬件紧密结合,发挥硬件最高效能,减少由于操作系统问题而产生网络漏洞的可能,提高系统自身安全性。

针对ICP的特性,提供高效畅通的网络通道:
   针对为ICP特点:需要保护的主机数量少,但并发连数量大设计的执行执照,天网防火墙ICP型并不象其他产品,只是笼统地按照并发数量作为价格依据,而是采用保护的主机数量作为防火墙的执行执照。
   作为一个ICP节点,网络系统将承受大量的并发用户访问,天网防火墙的网络核心可支持超大量的并发连接,远超任何基于通用操作系统的防火墙。 作为一台防火墙,其最基本功能是保护网络不受非法入侵者所破坏的同时,还要保证网络的畅通无阻,天网防火墙的网络核心专门为TCP/IP及Firewall而设计,同时还针对CPU的计算核心进行了优化处理,能大大提升系统性能。网络底层的多个部分由汇编语言编写,比同类系统性能提高20%-60%。

双机热备份(选件)
   采取双机热备份结构的天网防火墙系统在常规运作的时候分为主服务器和备份服务器,备份服务器通过专用通信端口作主服务器设置、纪录数据的镜像。备份服务器的网络设备并不运作,防火墙工作由主服务器完成。如果因网络或某些因素使主防火墙服务器不能正常运作时,备份服务器会在十秒钟内自动启动,负责保护网络安全,并发出警告通知网络管理员。

智能的负载分担模块(选件),降低了ICP网站建设的成本
   随着出色的Internet应用服务的使用人数不断增加,服务器变得不胜负荷,如果无法及时处理大量的用户服务请求,将出现服务中断的情况。以往在解决这些问题的时候,只能采用更强计算能力的服务器来替换原来的服务器,旧的服务器只能淘汰掉。并且,单台服务器的负载能力也是有限的,不可能无限扩展,同时,高档服务器的价格是随着服务器的性能呈现指数型上升,因此,采用多台廉价服务器组成负载分担的系统模型日渐成为主流。

负载分担系统主要是将集中在一台服务器上的用户服务请求分发到多台服务器上。
  在负载分担方式出现的初期,有不少网络的设计采用域名轮转的方式,即是一个域名对应多台服务器,作为一种廉价的方案,域名轮转的方式可以在解决一些服务器的负载问题,但是,由于这种负载分担的方式有很大的局限性:无法根据各台服务器的负载情况,将用户服务请求发送到不同的服务器上;在其中一台服务器出现问题无法工作的时候,系统仍然会将用户访问请求发送到出现故障的服务器上,造成一部分服务的中断;由于域名解释一般在各地的服务器上都会有Cache存在,因此会造成一个地区的用户访问请求将集中在同一台服务器上。因而实际上,采用域名轮转的方式来做系统负载分担,其效果并不明显,而且存在着一定的弊端。
   使用天网防火墙的分布式方案,可以建造具有快速响应时间和高容错的大容量服务器集群系统。天网防火墙的负载分布模块,可以智能地将用户的服务请求分布到多台服务器上面,同时,提供容错功能,可以自动隔离出问题的服务器。系统具体功能如下:

1) 动态负载均衡
   天网防火墙的负载分布模块可以根据服务器的负载情况,包括CPU 占用量,系统Load等情况,自动选择负载最小的服务器,将用户的服务请求发送到该机器上。

2) 容错处理
   天网防火墙的负载分布模块可以自动检测服务器的可用性,当某一台服务器出现故障的时候,分布式系统会自动绕开发生故障的机器,不会将用户的服务请求发送到改机器上,保证了系统的正常运作。
   在实际应用中,由于服务器端常常存在着CGI程序,这些程序会将用户的信息保存在服务器的内存中,如果负载分担系统不能识别用户来源,就会将同一个用户的请求分布到不同的服务器上,就会导致无法正常运行程序。而天网防火墙的负载负担模块采用独有的IIDR(智能身份识别)算法,能够保证同一个用户的CGI请求可以保留在同一台服务器上,保证服务的正常运作。
 采用分布式结构建造大规模的Internet应用,可以容纳大量的用户,然而在用户量增大到一定的情况下,负载分担服务器处于整个网络中心的位置,有可能反而成为服务系统的瓶颈。天网防火墙负载分担模块在设计时采用的高性能的专用散列算法,保证系统即使在处理巨大的用户量(每秒同时连接数大于30000用户)下,网络效率仍然可以达到80%以上。

 

解决方案:

  为了保证ICP稳定性、容错性,方案使用天网防火墙电信型,通过防火墙划分为物理上相互独立的两个网段:

公共网段(Public Network)

私有网段(Private Network)

  其中,公共网段提供面向Internet的广域网连接和接受互联网用户访问的支持;私有网段安放Web服务器、Smtp服务器和POP3服务器,提供Web和电子邮件应用服务。

 

安全策略

目的:划分安全区域。
制订安全策略,包括用户访问控制,定义访问级别,确定服务类型。
审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。
根据对用户需求的分析,ICP站点的网络可以划分为以下几个安全区域:

内部网段
外部网段

分属两个安全区域的网段通过天网防火墙进行互连。
 

No.
安全区域
安全级别
访问级别
1

外部网段
低级

无。提供网络连接。
2
内部网段
高级
自由访问外部网络资源;对外不可见。


 

现有需要进行审核和过滤的应用和服务类型包括:
 

服务类型
端口范围/协议类型
说明
WWW

80, tcp
WWW服务
FTP
21, tcp
文件传输服务
DNS
53, tcp/udp
域名解析服务
SMTP/POP3
25/110, tcp
电子邮件

标签:

站内搜索

联系人

苏州服务器托管->苏州电信IDC机房托管 苏州工业园区国际科技园E101-10 公司名称:苏州乐拓数据中心联系电话:0512- 62620253转分机22 客户经理:李应中 手机咨询:13915437295 电邮地址:lyz@letuo.com
腾讯QQ 853039693

 

苏州电信IDC凭借高等级的数据中心环境以及优质的网络资源,可满足金融、IT、政府、制造等客户建立企业数据中心的需求,
凭借苏州电信IDC服务,客户可有效地提高企业IT服务的可靠性,降低运营成本,满足最大的市场覆盖能力。
   苏州电信IDC的业务内容主要有:
   一、基本服务
  1、机位/机架出租;
  2、VIP机房出租;
  3、互联网端口出租、服务器租赁。
 
   二、专线接入
  提供各种带宽及端口类型的DDN/FR、SDH、ATM、IPLC、MPLS-VPN专线。
三、增值服务
  1、安全防护
     防火墙、入侵监测、DDOS防护、安全评估与优化、紧急响应。
  2、数据存储
     数据存储、数据备份、数据恢复、数据备份与恢复、灾备集成外包服务、灾备维护外包服务
  3、网络优化
     负载均衡、内容分发、SSL加速
  4、网络性能管理
     网络流量报告、异常流量报警、分析与评估报告
  5、其他增值服务
     DNS、工作区出租
四、现场支持服务
  网络布线、设备安装、现场维护服务。
 

成功案例--