|
 |
|
 |
 首页 >> 解决方案 |
|
|
| 高阳信安DS2000-Biz防火墙解决方案 [解决方案] |
| 厂商资料 |
| 2005-5-25 13:40:00 文/ |
|
企业建网站,最痛苦的是莫过于有限的经费和无限的性能要求。网站设计者对硬件得投入总是慎之有慎:小型机太贵了,不如用PC做负载均衡;对外提供的服务多,还是多买几台PC,每两台提供一种服务,整体性能和可靠性都有保证;安全不能不考虑,防火墙至少要有一台。北京某企业门户网站正是按照这个想法开始建设,决定提供WEB、FTP下载、在线点播等服务,并预定了开通日期。
网站系统联调阶段,猛然发现,当初考虑欠妥,只有一个公网的IP地址能用,要提供的服务却有一大堆。而且,大部分防火墙所宣称的“负载均衡”,并非是网络层的“负载均衡”,而是基于代理,只能支持WEB,不支持其他业务,尤其是网站苦心开发多年,赖以生存的特色服务。若不是意外发现了高阳信安的DS2000-Biz防火墙,当初做设计的小伙子就面临下岗了。
高阳信安的DS2000-Biz防火墙外表上和大多数防火墙没有多大区别,提供了外网、内网接口,对外提供服务的服务器都放置在DMZ区。说明书很简洁,内容却非常详细,按照手册的要求略作配置,防火墙就工作了。
简单的设定了几条安全规则后,注意力集中在了解决网络地址问题上。可是,在DS2000-Biz的设置软件中,可以发现,问题的解决异乎寻常的简单。首先将公网的IP地址赋予外网端口。然后,设置动态地址转换,将内网的地址段映射到公网的IP地址,内网的用户已经能正常的访问INTERNET了。将公网的IP地址的80端口分配给WWW服务,依次填入2台WWW服务器在DMZ区的IP地址,找一台笔记本电脑拨号上网,用浏览器访问一下,正常。在后台可以看到,2台WWW服务器都工作了,负载基本相同。
FTP服务器的负载均衡设置与此相识,很简单。同样测试了一下,工作情况良好。其实,FTP服务的负载均衡很难实现。因为WWW服务是无连接的,每个请求发向哪一台服务器没有影响;但FTP服务不同,防火墙必须 “记住”每一条连接,并“保持”住。DS2000-Biz防火墙在这方面的智能化程度较高,用户省去许多烦恼。
解决了FTP服务器之后,在线点播服务也顺利实现。DS2000-Biz防火墙通过复用唯一的一个公网IP地址,全部实现了公司内部上网和对外提供多种服务的要求,而且,相互之间丝毫没有冲突,基于网络层的“负载均衡”工作流畅,一切是如此轻松。
一切安装完毕后,安全检测必不可少。PIN扫描、SYN 攻击、IP碎片攻击,无论是WIN NT还是最近流行的LINUX都该倒下了,可是处于DS2000-Biz防火墙保护下的服务器居然没有反应。再轮番用ISS、SAINT扫描、模拟攻击,依然没有发现漏洞。防火墙的状态监测可以清楚的看到每一次攻击的行为,使在一旁做模拟攻击的哥们很泄气。
做性能测试没有成功,也几乎不可能成功。当6台服务器都处于满负荷工作状态时,DS2000-Biz防火墙显然还游刃有余,丢包率为0%。将来投入实际使用时,网络瓶颈只会是数据专线。
“工欲善其事,必先利其器”,借助高阳信安的DS2000-Biz防火墙,企业门户网站的安全与效率二者得兼,网管员完全放心了,今后只需要集中精力考虑网站的自身发展了。
·IT产品报价大全 |
|
|
|
|
|
|
 相关文章 |
|
|
|
|
 |
|
 |
|
|
