內網訪問外網資源,內網不需要設置
2. 如何使用Apache作為前端負載均衡器
一、安裝並重新編譯Apache
1、linux下Apache的安裝
下載最新的Apache安裝包httpd-2.2.3.tar.gz文件
1) 解壓
gzip –d httpd-2.2.3.tar.gz
tar xvf httpd-2.2.3.tar
2) 解壓以後,cd httpd-2.2.3 進入解壓後的目錄,在終端執輸入以下命令:
./configure --prefix=/usr/local/httpd --enable-so --enable-proxy --enable-proxy-ajp --enable-proxy-http --enable-proxy-ftp --enable-proxy-connect --enable-proxy-balancer
默認情況下,Apache安裝是不會將這些文件編譯進內核,因此,需要人工載入,而通過上述操作,在編譯時會將這些DSO文件編譯到內核中。
3) 在終端輸入:make
4) 在終端輸入:make install
5) 進入Apache的bin目錄,在終端輸入apachectl –k start
6) 在瀏覽器中輸入http://myserver,默認是80埠,如果出現It works!,說明Apache已經正常啟動。
2、window下Apache的安裝
1) 下載apache_2.2.2-win32-x86-no_ssl.msi版本或其他版本的apache
2) 點擊該文件,就可以直接安裝
3) 要配置負載均衡,進入apache的安裝目錄下的conf目錄,打開httpd.conf文件,將文件中mod_proxy.so、 mod_proxy_ajp.so、mod_proxy_balancer.so、mod_proxy_connect.so、 mod_proxy_http.so 、mod_proxy_ftp.so所在行的注釋去掉,就可以進行負載均衡的配置。
4) 在瀏覽器中輸入http://myserver,默認是80埠,如果出現It works!,說明Apache已經正常啟動。
二、配置Apache作為LoadBalance
將Apache作為LoadBalance前置機分別有三種不同的部署方式,分別是:
1 )輪詢均衡策略的配置
進入Apache的conf目錄,打開httpd.conf文件,在文件的末尾加入:
ProxyPass / balancer://proxy/ #注意這里以"/"結尾
<Proxy balancer://proxy>
BalancerMember http://192.168.6.37:6888/
BalancerMember http://192.168.6.38:6888/
</Proxy>
我們來觀察上述的參數「ProxyPass / balancer://proxy/」,其中,「ProxyPass」是配置虛擬伺服器的命令,「/」代表發送Web請求的URL前綴,如:http://myserver/或者http://myserver/aaa,這些URL都將符合上述過濾條件;「balancer://proxy/」表示要配置負載均衡,proxy代表負載均衡名;BalancerMember 及其後面的URL表示要配置的後台伺服器,其中URL為後台伺服器請求時的URL。以上面的配置為例,實現負載均衡的原理如下:
假設Apache接收到http://localhost/aaa請求,由於該請求滿足ProxyPass條件(其URL前綴為「/」),該請求會被分發到後台某一個BalancerMember,譬如,該請求可能會轉發到 http://192.168.6.37:6888/aaa進行處理。當第二個滿足條件的URL請求過來時,該請求可能會被分發到另外一台BalancerMember,譬如,可能會轉發到http://192.168.6.38:6888/。如此循環反復,便實現了負載均衡的機制。
2) 按權重分配均衡策略的配置
ProxyPass / balancer://proxy/ #注意這里以"/"結尾
<Proxy balancer://proxy>
BalancerMember http://192.168.6.37:6888/ loadfactor=3
BalancerMember http://192.168.6.38:6888/ loadfactor=1
</Proxy>
參數」loadfactor」表示後台伺服器負載到由Apache發送請求的權值,該值默認為1,可以將該值設置為1到100之間的任何值。以上面的配置為例,介紹如何實現按權重分配的負載均衡,現假設Apache收到http://myserver/aaa 4次這樣的請求,該請求分別被負載到後台伺服器,則有3次連續的這樣請求被負載到BalancerMember為http://192.168.6.37:6888的伺服器,有1次這樣的請求被負載BalancerMember為http://192.168.6.38:6888後台伺服器。實現了按照權重連續分配的均衡策略。
3) 權重請求響應負載均衡策略的配置
ProxyPass / balancer://proxy/ lbmethod=bytraffic #注意這里以"/"結尾
<Proxy balancer://proxy>
BalancerMember http://192.168.6.37:6888/ loadfactor=3
BalancerMember http://192.168.6.38:6888/ loadfactor=1
</Proxy>
參數「lbmethod=bytraffic」表示後台伺服器負載請求和響應的位元組數,處理位元組數的多少是以權值的方式來表示的。「loadfactor」表示後台伺服器處理負載請求和響應位元組數的權值,該值默認為1,可以將該值設置在1到100的任何值。根據以上配置是這么進行均衡負載的,假設Apache接收到http://myserver/aaa請求,將請求轉發給後台伺服器,如果BalancerMember為http://192.168.6.37:6888後台伺服器負載到這個請求,那麼它處理請求和響應的位元組數是BalancerMember為http://192.168.6.38:6888 伺服器的3倍(回想(2)均衡配置,(2)是以請求數作為權重負載均衡的,(3)是以流量為權重負載均衡的,這是最大的區別)。
註:每次修改httpd.conf,用apachectl –k restart重新啟動Apache。
3. 內容分發網路的技術原理
CDN的全稱是Content Delivery Network,即內容分發網路。其目的是通過在現有的Internet中增加一層新的網路架構,將網站的內容發布到最接近用戶的網路"邊緣",使用戶可以就近取得所需的內容,解決Internet網路擁塞狀況,提高用戶訪問網站的響應速度。從技術上全面解決由於網路帶寬小、用戶訪問量大、網點分布不均等原因,解決用戶訪問網站的響應速度慢的根本原因。
狹義地講,內容分發布網路(CDN)是一種新型的網路構建方式,它是為能在傳統的IP網發布寬頻豐富媒體而特別優化的網路覆蓋層;而從廣義的角度,CDN代表了一種基於質量與秩序的網路服務模式。簡單地說,內容發布網路(CDN)是一個經策略性部署的整體系統,包括分布式存儲、負載均衡、網路請求的重定向和內容管理4個要件,而內容管理和全局的網路流量管理(Traffic Management)是CDN的核心所在。通過用戶就近性和伺服器負載的判斷,CDN確保內容以一種極為高效的方式為用戶的請求提供服務。總的來說,內容服務基於緩存伺服器,也稱作代理緩存(Surrogate),它位於網路的邊緣,距用戶僅有"一跳"(Single Hop)之遙。同時,代理緩存是內容提供商源伺服器(通常位於CDN服務提供商的數據中心)的一個透明鏡像。這樣的架構使得CDN服務提供商能夠代表他們客戶,即內容供應商,向最終用戶提供盡可能好的體驗,而這些用戶是不能容忍請求響應時間有任何延遲的。據統計,採用CDN技術,能處理整個網站頁面的70%~95%的內容訪問量,減輕伺服器的壓力,提升了網站的性能和可擴展性。
與目前現有的內容發布模式相比較,CDN強調了網路在內容發布中的重要性。通過引入主動的內容管理層的和全局負載均衡,CDN從根本上區別於傳統的內容發布模式。在傳統的內容發布模式中,內容的發布由ICP的應用伺服器完成,而網路只表現為一個透明的數據傳輸通道,這種透明性表現在網路的質量保證僅僅停留在數據包的層面,而不能根據內容對象的不同區分服務質量。此外,由於IP網的"盡力而為"的特性使得其質量保證是依靠在用戶和應用伺服器之間端到端地提供充分的、遠大於實際所需的帶寬通量來實現的。在這樣的內容發布模式下,不僅大量寶貴的骨幹帶寬被佔用,同時ICP的應用伺服器的負載也變得非常重,而且不可預計。當發生一些熱點事件和出現浪涌流量時,會產生局部熱點效應,從而使應用伺服器過載退出服務。這種基於中心的應用伺服器的內容發布模式的另外一個缺陷在於個性化服務的缺失和對寬頻服務價值鏈的扭曲,內容提供商承擔了他們不該干也干不好的內容發布服務。
4. ScoUnix 文件共享
scp http ftp get
5. 前置機上面的FTP打不開什麼原因
ftp不是網上鄰居,對於在線打開支持沒那麼好的,ftp就是讓你下載的,你不下載非得硬逼它當網上鄰居用,人家就只好死給你看了
6. 為什麼ping正常,ftp時斷時續
你好,ftp出現不能下載上傳或者連接不上的情況,多半跟本地網路或者使用不同的ftp軟體差異有關系,你可以嘗試以下幾種方法解決。1,更換ftp軟體的連接模式,一般有被動模式和主動模式,更換一下試試。2,更換一下軟體,建議用FlashFXP 這個軟體試一下。3,更換本地網路ip,或者重啟路由器再試。以上三種方法都解決不了你的問題,你可以去找你的供應商,看看是不是伺服器的問題。穩網互聯小周為你解答,跟多問題可以隨時咨詢。
7. 安全運維管理如何保障企業IT系統正常運轉
在這種極度復雜的情況下,需要的是一個單一的、集成的解決方案,使得企業能夠收集、關聯和管理來自異類源的大量安全事件,實時監控和做出響應,需要的是能夠輕松適應環境增長和變化的解決方案,需要的就是企業完整的安全管理平台解決方案。
但同時也存在另一方面的難題,僅依賴於某些安全產品,不可能有效地保護自己的整體網路安全,信息安全作為一個整體,需要把安全過程中的有關各方如各層次的安全產品、分支機構、運營網路、客戶等納入一個緊密的統一安全管理平台中,才能有效地保障企業的網路安全和保護信息投資,信息安全管理水平的高低不是單一的安全產品的比較,也不是應用安全產品的多少和時間的比較,而是組織的整體的安全管理平台效率間的比較。 完整的IT運維管理系統中必須要包含安全運維管理,通過建立網路安全運維管理系統,將網路安全日常運維管理各業務功能整合在一個統一的平台進行管理。 企業外網的安全運維管理 企業通過Internet網提供Web網站、郵件、FTP、視頻服務等應用,這是目前很多企業網路應用中都必須要解決安全方面的一個共同問題。 防火牆是長期以來保障網路安全最常用的工具,自然也是企業網路安全保護的一項重要措施。採用防火牆技術對於企業來說無疑是最佳的選擇,防火牆設置在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。它可通過監測、限制、更改跨越防火牆的數據流,盡可能地對外部屏蔽網路內部的信息、結構和運行狀況, 以此來實現網路的安全保護。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網路的安全。防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。 對於Web網站安全來說,首先是Web伺服器的安全,一般用來架構web網站的UNIX系統,Linux系統,Windows系統,總的來說UNIX系統的Web站點的安全性較好、其次是Linux系統、目前被黑客和病毒攻擊最多的是Windows,因此在企業經濟條件允許的條件下,架構在AIX、Solaris以及HP-UNIX等UNIX系統平台上web伺服器的安全性是首選。當然無論選擇何種操作系統,系統補丁都要及時安裝,只是Web網站最基本的條件。其次是採用web伺服器軟體的安全如IIS、Apache、Tomcat的安全配置,採用ASP/ASP.NET、PHP和JSP動態技術開發網站程序的安全,後台資料庫系統的安全也是保證網站安全的重要因素。 虛擬專用網(VPN)是通過一個公用網路(通常是網際網路)建立一個臨時的、安全的連接,是一條穿過混亂的公用網路的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接,並保證數據的安全傳輸。虛擬專用網可用於不斷增長的移動用戶的全球網際網路接入,以實現安全連接;可用於實現企業網站之間安全通信的虛擬專用線路,用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。 通過「安全郵件網關」有效地從網路層到應用層保護郵件伺服器不受各種形式的網路攻擊,同時為郵件用戶提供:屏蔽垃圾郵件、查殺電子郵件病毒(包括附件和壓縮文件)和實現郵件內容過濾(包括各種附件中的內容)等功能。採用基於內容過濾、實現查殺病毒和防範垃圾郵件的產品,大大提高了防範的准確率,垃圾郵件過濾率最高可達98%。 上面是企業外網安全運維管理所採用的安全產品與策略,以及一些安全措施。主要是保證網路和業務應用的正常、安全與穩定的運行,但從實際操作運行來看,特別是從目前的蠕蟲、病毒、木馬、僵屍網路、垃圾郵件等比較猖獗的情況下,通過安全產品和安全策略能抵擋一些,但還是顯得「力不從心」,得不到人們想像的「預期效果」。 企業內網的安全運維管理 這里的內網主要是指企業的內部區域網。隨著企業ERP、OA、CRM等生產和辦公系統的普及,單位的日程運轉對內部信息網路的依賴程度越來越高,內網信息網路已經成了各個單位的生命線,對內網穩定性、可靠性和可控性提出高度的要求。內部信息網路由大量的終端、伺服器和網路設備組成,形成了統一有機的整體,任何一個部分的安全漏洞或者問題,都可能引發整個網路的癱瘓,對內網各個具體部分尤其是數量巨大的終端可控性和可靠性提出前所未有的要求。 相對於內網安全概念,傳統意義上的網路安全更加為人所熟知和理解,事實上,從本質來說,傳統網路安全考慮的是防範外網對內網的攻擊,即可以說是外網安全,包括傳統的防火牆、入侵檢察系統和VPN都是基於這種思路設計和考慮的。外網安全的威脅模型假設內部網路都是安全可信的,威脅都來自於外部網路,其途徑主要通過內外網邊界出口。所以,在外網安全的威脅模型假設下,只要將網路邊界處的安全控制措施做好,就可以確保整個網路的安全。 而內網安全的威脅模型與外網安全模型相比,更加全面和細致,它即假設內網網路中的任何一個終端、用戶和網路都是不安全和不可信的,威脅既可能來自外網,也可能來自內網的任何一個節點上。所以,在內網安全的威脅模型下,需要對內部網路中所有組成節點和參與者的細致管理,實現一個可管理、可控制和可信任的內網。由此可見,相比於外網安全,內網安全具有:要求建立一種更加全面、客觀和嚴格的信任體系和安全體系;要求建立更加細粒度的安全控制措施,對計算機終端、伺服器、網路和使用者都進行更加具有針對性的管理等特點。 外網安全主要防範外部入侵或者外部非法流量訪問,技術上也以防火牆、入侵檢測等防禦角度出發的技術為主。內網在安全管理上比外網要細得多,同時技術上內網安全通常採用的是加固技術,比如設置訪問控制、身份管理等。當然造成內網不安全的因素很多,但歸結起來不外乎兩個方面:管理和技術。 由於內網的信息傳輸採用廣播技術,數據包在廣播域中很容易受到監聽和截獲,因此需要使用可管理的安全交換機,利用網路分段及VLAN的方法從物理上或邏輯上隔離網路資源,以加強內網的安全性。從終端用戶的程序到伺服器應用服務、以及網路安全的很多技術,都是運行在操作系統上的,因此,保證操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外,還需要建立一套對系統的監控系統,並建立和實施有效的用戶口令和訪問控制等制度。為了維護企業內網的安全,必須對重要資料進行備份,對數據的保護來說,選擇功能完善、使用靈活的備份軟體是必不可少的。目前應用中的備份軟體是比較多的,配合各種災難恢復軟體,可以較為全面地保護數據的安全。 在內網考慮防病毒時,防殺毒方式需要全面地與互聯網結合,不僅有傳統的手動查殺與文件監控,還必須對網路層、郵件客戶端進行實時監控,防止病毒入侵;防病毒軟體應有完善的在線升級服務,使用戶隨時擁有最新的防病毒能力;對病毒經常攻擊的應用程序提供重點保護。由於內部區域網一般都是通過防火牆實現與互聯網的邏輯隔離,因此通過對防火牆的NAT地址轉換,終端PC機的IP/MAC地址綁定以及安全策略的實現內網安全。區域網內的PC機操作系統、應用軟體以及防病毒、軟體的補丁與升級、正版軟體的使用等也是影響內網安全的重要方面。 採用上網行為管理系統軟體,實現網站訪問限制、網頁內容過濾、即時通工具過濾、IP地址綁定、IP訪問控制等功能,為內網的用戶實現了高度智能化的上網行為管理,全面保障企業關鍵應用的正常運行。應該以動態的方式積極主動應用來自內網安全的挑戰,建立健全的內網安全管理制度及措施是保障內網安全必不可少的措施。 因此,企業內網的安全運維管理需要一個整體一致的內網安全體系,包括身份認證、授權管理、數據保密和監控審計等方面,並且,這些方面應該是緊密結合、相互聯動的統一平台,才能達到構建可信、可控和可管理的安全內網的效果。企業用戶內網安全管理制度、整體一致的內網安全解決方案和體系建設將成為內網安全的主要發展趨勢。 企業網管系統中是否需要安全運維管理 隨著企業網路應用和規模的不斷增加,網路管理工作越來越繁重,網路故障也頻頻出現:不了解網路運行狀況,系統出現瓶頸;當系統出現故障後,不能及時發現、診斷;網路設備眾多,配置管理非常復雜;網路安全受到威脅,現在企業可能會考慮購買網管軟體來加強網路管理,以優化現有網路性能,網管軟體系統已經變成企業不可缺少的一項功能。 目前網管系統開發商針對不同的管理內容開發相應的管理軟體,形成了多個網路管理方面。目前主要的幾個發展方面有:網管系統(NMS)、應用性能管理(APM)、應用性能管理、桌面管理(DMI)、員工行為管理(EAM)、安全管理。當然傳統網路管理模型中的資產管理,故障管理仍然是熱門的管理課題。越來越多的業務將進入網路管理的監控范圍,對於業務的監控的細分化,都將成為今後的網路管理系統完善的重點。 安全運維管理在企業IT 系統中的應用 1、安全管理平台及其應用 企業的網路存在著各種風險,如何保證網路安全有序運行成為用戶最為關心的問題。當企業的網路工程師面對大量的網路數據時,他需要的明確的思路、清晰的條理、實際可操作的依據,征對以上這些困惑,Broada安全管理平台(簡稱Broada SOC)集中對安全威脅進行檢測和響應,使網路工程師能獲取最新的安全信息,通過強大的實時故障處理、安全威脅響功能,進而查看企業IT系統的安全狀況視圖,從而整理出切實有企業有用的數據信息,提高安全管理效率,降低總成本並提高投資回報率。 下圖是Broada S0C系統功能架構圖,通過對防火牆、IDS等設備數據信息採集,能實時收集信息,然後通過事件處理中心,運行其獨特的數據挖掘和關聯技術能力,迅速識別出關鍵事件,自動做出響應,最大化地減少攻擊對網路產生影響;同時強大的知識庫也可以集成各種故障處理事件,網路工程師依據知識庫所提供的幫助就能解決大部分的網路故障問題,有效減少了宕機時間,確保了運行效率,在此基礎上能提供企業安全趨勢分析,使網路工程帥能輕鬆了解各種風險並採取明知決策。 2、桌面安全管理及其應用 目前網路的另一大難題就是,企業網路規模的日益擴大,單純手工操作已無法滿足系統的需要,企業所需要的是能統一對內網所有PC機、伺服器進行操作管理的IT運維平台,於是桌面終端安全管理系統的誕生就顯得相當必要了,它主要實現兩大功能:省去網路工程師大部分手工操作的時間,提高IT服務部門的工作效率;對員工的行為操作做審計規范,從網路參與者方面保障了網路安全。 下圖是Broadaview廣通桌面安全管理軟體的功能示意圖,可以看到目前企業所亟需用到的網路管理功能都一應俱全。軟體分發、補丁管理、遠程維護等功能非常方便網路工程師對整個企業網進行更新維護,同時可以通過事件報警器及時發現故障,幫助員工解決軟硬體難題;桌面安全評估、非法外連監控、IT資產管理則能從安全性上保障企業網的良好運行,能有效防止企業機密外泄、IT資產流失、非法外連導致內網中病毒等情況的出現。 3、安全應用案例 杭州市民卡項目總投資1.2億,是「數字杭州」的重點工程之一;旨在建立高效、便捷的公共服務體系。該系統分為兩大部分:一是市民基礎信息交換平台和基礎信息資源的建設、管理與維護、市民卡的發行和日常管理、市民卡服務網點的管理等工作;二是市民卡的各種應用,如,以社會保障為代表的政府應用;以電子錢包為代表的電子支付應用;以城市交通為代表的公用事業應用等。 整個市民卡項目系統的主要由數據中心、交換平台和服務網路三部分組成。數據中心部分環境已有設備包括小型機、台式PC伺服器、磁帶庫等,此外還包括資料庫管理系統、中間件、備份管理系統等幾部分數據系統。交換平台部分環境主要由消息中間件、部門交換前置機和遍布全市的服務網點系統組成。交換網路鏈路為租用的網通VPN網路。 為了保障整個系統正常、高效和穩定地運行,杭州市信息化辦公室在充分調研了目前市場上可選的網管系統產品的基礎上,通過公開招投標方式嚴格甄選,從穩定性、易用性、靈活性等方面進行了細致的考察,並從研發能力、核心技術、技術支持等方面進行了評估,最終決定採用廣通信達公司的Broadview網路監控平台軟體產品作為「杭州市民卡系統及網路管理系統」的主要支撐系統。 Broadview軟體系統部署在一台PC伺服器上,為杭州市民卡項目提供了一站式全方位的IT管理解決方案。 Broadview網路監控平台可以實時監控網路狀況,掌控PC機伺服器的性能數據,並深入到應用層對資料庫、Web服務、Email服務監測,查看其運行健康度;強大的拓撲功能,能很快發現全網設備,讓網路工程師直觀明確全網的運行支撐資源,然後展現成網路拓撲圖,並能單獨提供每一設備的詳細資料及運行情況,方便監控重要設備的運轉;網路工程師還需要做的一件事情就是向信息中心領導匯報IT投資情況,在Broadview網路監控平台的幫助下,哪台設備出現故障,現用資金用於何種設備都能一一明確,可以說完全能給網路工程師提供IT投資依據,從而在硬體上保障整個杭州市民卡系統的良好運轉。 廣通信達Broadview平台採用面向運維服務的層次化系統架構,結構清晰,可擴展性強。系統具備全面的網路監測和健全的業務管理功能,內置多種監測器,支持主流操作系統的伺服器、多廠家的各種網路設備、存儲系統等。同時Broadview系統採用高度模塊化設計,提供開放的API介面和高效的二次開發服務,方便地滿足了市民卡各種個性化需求。 杭州市民卡網管工程運行以來,網路管理人員通過Broadview網路、業務拓撲圖就可以實時監測市民卡網路運行狀況、業務服務質量,並可通過Email、手機簡訊等多種方式及時接收報警,通過運維平台協同處理告警,大大縮短了發現和解決故障的時間,有效保障了網路的持續、穩定、高效運行,同時也大大降低了市民卡IT系統管理的運維成本。 三分技術,七分管理 總而言之,對於企業安全運維管理來說,三分技術,七分管理,在企業內部建立一套完善的安全管理規章制度,使管理機構依據相應的管理制度和管理流程對日常操作、運行維護、審計監督、文檔管理等進行統一管理,同時加強對工作人員的安全知識和安全操作培訓,建立統一的安全管理體系,幫助企業識別、管理和減少信息通常所面臨的各種威脅,架構企業的安全保障體系。
8. 熟悉/精通H3C設備的高手進!小弟急需在線等!
SecPath F100系列防火牆包括SecPath F100-A、SecPath F100-E、SecPath F100-S、SecPath F100-C,SecPath F100-A/E/S是華為3Com公司面向大中型企業用戶開發的新一代專業防火牆設備,SecPath F100-C是華為3Com公司面向SOHO、小企業或分支機構用戶開發的新一代專業防火牆設備。SecPath F100系列防火牆支持外部攻擊防範、內網安全、流量監控、郵件過濾、網頁過濾、應用層過濾等功能,能夠有效的保證網路的安全;採用ASPF(Application Specific Packet Filter)應用狀態檢測技術,可對連接狀態過程和異常命令進行檢測;提供多種智能分析和管理手段,支持郵件告警,支持多種日誌,提供網路管理監控,協助網路管理員完成網路的安全管理;支持多種VPN業務,如L2TP VPN、GRE VPN 、IPSec VPN、動態VPN等,可以構建多種形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持豐富的QoS特性,提供流量監管、流量整形及多種隊列調度策略。
SecPath F100-A防火牆充分考慮網路應用對高可靠性的要求,支持交、直流輸入電源模塊;支持雙機狀態熱備,支持Active/Active和Active/Passive兩種工作模式。
SecPath F100-E防火牆充分考慮網路應用對高可靠性的要求,採用互為冗餘備份的雙電源(1+1備份)模塊,支持交、直流輸入電源模塊;支持雙機狀態熱備,支持Active/Active和Active/Passive兩種工作模式。提供機箱內部環境溫度檢測功能,並支持網管。
產品特點
市場領先的安全防護功能
u 增強型狀態安全過濾:支持基礎、擴展和基於介面的狀態檢測包過濾技術,支持按照時間段進行過濾;支持H3C特有ASPF應用層報文過濾(Application Specific Packet Filter)協議,支持對每一個連接狀態信息的維護監測並動態地過濾數據包,支持對FTP、HTTP、SMTP、RTSP、H.323(包括 Q.931,H.245, RTP/RTCP等)應用層協議的狀態監控,支持TCP/UDP應用的狀態監控。
u 抗攻擊防範能力:包括多種DoS/DDoS 攻擊防範、ARP欺騙攻擊的防範、TCP報文標志位不合法攻擊防範、超大ICMP報文攻擊防範、地址/埠掃描的防範、ICMP 重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能;靜態和動態黑名單功能;MAC和IP綁定功能;支持智能防範蠕蟲病毒技術。
u 應用層內容過濾:可以有效的識別網路中的BT、 Edonkey、Emule等各種P2P模式的應用,並且對這些應用採取限流的控制措施,有效保護網路帶寬;支持郵件過濾,提供SMTP郵件地址、標題、附件和內容過濾;支持網頁過濾,提供HTTP URL和內容過濾;支持應用層過濾,提供Java/ActiveX Blocking和SQL注入攻擊防範。
u 多種安全認證服務:支持RADIUS 和HWTACACS協議及域認證;支持基於PKI /CA體系的數字證書(X.509格式)認證功能;在PPP線路上支持CHAP和PAP驗證協議;支持用戶身份管理,不同身份的用戶擁有不同的命令執行許可權;支持用戶視圖分級,不同級別的用戶賦予不同的管理配置許可權。
u 集中管理與審計:提供各種日誌功能、流量統計和分析功能、各種事件監控和統計功能、郵件告警功能。
u 全面NAT應用支持:提供多對一、多對多、靜態網段、雙向轉換、Easy IP和DNS映射等NAT應用方式;支持多種應用協議正確穿越NAT,提供DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等NAT ALG功能。
l 專業 靈活的VPN服務
u 支持L2TP VPN、GRE VPN、IPSec VPN、動態VPN等多種VPN業務模式。
u 利用動態VPN(DVPN)技術,簡化VPN配置,實現按需動態構建VPN網路。
l 智能網路集成及QoS保證
u 支持路由、透明及混合運行模式
u 支持靜態路由協議
u 支持RIP v1/2、OSPF、BGP動態路由協議
u 支持路由策略及策略路由
u 支持基於802.1q VLAN
u 支持PPPoE Client/Server
u DHCP Client/Server/Relay
u 支持流分類、流量監管、流量整形及介面限速
u 支持擁塞管理(FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ)
u 支持擁塞避免(WRED)
l 電信級設備高可靠性
u 支持雙機狀態熱備功能,支持Active/Active和Active/Passive兩種工作模式,實現負載分擔和業務備份(SecPath F100-M/A/E支持)
u 36年的平均無故障時間(MTBF)
u 遠端鏈路狀態監測(L3 monitor)
u 設備關鍵部件均採用冗餘設計(SecPath F100-M/A/E支持)
l 智能 圖形化的管理
u 通過Web方式進行遠程配置管理。
u 通過Quidview 網管軟體實現與網路設備的統一管理。
u 通過Quidview BIMS系統對數量眾多、位置分散的設備提供智能和高效管理。
u 通過Quidview VPN Manager系統對VPN進行動態和圖形化的業務管理和狀態監控。
H3C AR 28-13路由器是華為3Com公司面向企業用戶的模塊化接入路由器,在提供了固定的快速乙太網介面、AUX口、同非同步串口和E1埠的同時,還提供了豐富的可選配的智能介面卡SIC及多功能介面模塊MIM,可與H3C 系列路由器、乙太網交換機一起為行業用戶和SMB用戶提供全方位的端到端的網路解決方案。同時H3C AR 28-13路由器還提供直流供電主機,適合在電信管理網、計費網等電信網路環境中應用。
產品特點
◆ 路由和交換一體化
AR 28-13路由器支持8埠和16埠的乙太網交換模塊,可以替代傳統的路由器+交換機的組網應用,適合政府部門、企業等小型分支機構的綜合接入,以及金融系統的IP終端接入應用中。路由交換一體化產品的主要優勢有:
保留了路由器既有的豐富的路由、安全和QoS等路由器特性,能夠很好地滿足用戶豐富多樣的應用需求,同時又滿足了用戶利用該路由器組建區域網來滿足二層數據交換的需要;
減少用戶維護成本:將路由器和交換機集成在一個物理設備中,減少了設備的故障節點,提高了可靠性,同時減少了兩個設備佔用的物理空間;
將路由器和交換機設備集成為一個有機的統一整體,可實現統一的管理,包括SNMP網管和BIMS管理等方法,大大提高了可管理性和維護的方便性。
◆ 豐富的VPN接入能力及增強的VPN可靠性
支持L2TP VPN,GRE VPN,IPSec VPN,MPLS VPN (L2/L3),華為3Com DVPN(動態VPN),華為3Com HoPE(分層PE), IPSec多實例等功能。
在企業的VPN組網中,很多情況下是在中心位置配置兩台設備,採用VRRP實現設備間的相互備份。因此在建立IPSec VPN 隧 道時,只要能和其中一台設備連通,即可建立隧道。此時只需利用VRRP的虛地址來建立IPSec隧道即可,這樣隧道就可以隨著VRRP的主備切換而進行切換。同時可以配合IPSec DPD技術的使用,完成VRRP主備切換的快速檢測,從而使VPN隧道迅速恢復,大大提高了IPSec VPN的備份能力。
◆ 簡單便捷的網路檢測工具
HWPing是測量網路上運行的各種協議性能的一種工具,它是對ping功能的增強。它可以實現端到端的網路狀況監測,包括時延、抖動、丟包率等。不僅能使用ICMP協議來測試數據包在本端和指定的目的端之間的往返時間,從而判斷目的主機是否可達,還可以探測DLSw、DHCP、FTP、HTTP、SNMP伺服器是否打開,以及測試各種服務的響應時間等,提供對網路應用的質量檢測。
◆ 安全的終端接入
在典型的金融行業應用中,使用路由器作為終端接入伺服器,再通過廣域網連接到遠程的UNIX前置機,此時可以通過專門的軟體加密工具,在路由器和遠端的UNIX前置機之間進行數據的加密傳輸,從而保證終端傳至路由器的數據可以安全地被傳遞至UNIX前置機,減少數據傳輸過程中的「安全死角」,以有效保證銀行業務數據的安全。
◆ 虛擬路由器(VRF)功能
VRF可以把一台路由器在邏輯上劃分為多台虛擬的路由器,每台虛擬的路由器就象單獨的一台路由器一樣工作,有自己獨立的路由表和相應的參與數據轉發的介面,並且彼此業務隔離。這從根本上解決了多種業務並存於一台物理設備且又需要隔離的問題,能夠節省用戶在設備及通信資源方面的投資。
◆ 靈活的備份手段
在傳統撥號備份中心(DCC)功能的基礎上,又增加了動態路由備份(又稱為Dialer Watch)功能。它是基於對路由表中的不同的路由信息進行監控,動態激活撥號鏈路來實現撥號備份,是一種集成路由特性的撥號鏈路備份。動態路由備份是傳統DCC備份功能的增強,不再是局限於監控本地埠狀態,還可以檢查到其他可能導致路由丟失的網路故障,從而實現備份鏈路的切換,主備切換的控制更加靈活。
9. 政務信息系統整合 每個單位都要建共享目錄清單嗎
可以參考一下我們的系統: 系統概述 信息化越來越對人類社會發展產生巨大且深遠的影響,網路正逐步深入到社會生活的各個方面。隨著國家信息化工程建設的發展,政府以及各職能部門都建立了各自的內部網路環境,一些應用處理系統在這個內部網路環境中進行各自的數據消息傳遞,而這些應用系統是由不同的廠商在不同的平台上,使用不同的語言進行開發的,由於缺少統一規劃,統一標准,彼此之間很難實現信息共享,導致了在電子政務建設中形成了大量的信息孤島。因此,將分散建設的若干應用系統進行整合,通過構建統一的數據交換管理平台,來規范各應用系統的數據、信息傳輸及共享,最大范圍提高網路資源、信息資源的利用率成為進行信息化建設的基本目標。 為有效整合分散異構的信息資源,消除「信息孤島」現象,提高政府的信息化水平,基於WebCarrier iExchange 數據交換平台,可靈活實現不同系統間的信息交換、信息共享與業務協同,加強信息資源管理,開展數據和應用整合,進一步發揮信息資源和應用系統的效能,提升信息化建設對業務和管理的支撐作用。 WebCarrier iExchange 數據交換平台,遵循標準的、面向服務架構(SOA)的方式,基於先進的企業服務匯流排ESB技術,遵循XML技術標准和規范,為跨地域、跨部門、跨平台不同應用系統不同資料庫之間的互聯互通提供包含提取、轉換、傳輸和載入等操作的數據整合服務,實現擴展性良好的「松耦合」結構的應用和數據集成;利用iExchange數據交換平台,通過分布式部署和集中式管理架構,可以有效解決各節點之間數據的及時、高效地上傳下達,在安全、方便、快捷、順暢的進行信息交換的同時,精準的保證數據的一致性和准確性,實現數據的一次採集、多系統共享;基於iExchange數據交換節點伺服器適配器的可視化配置功能,可以有效解決數據交換平台的「最後一公里」問題,快速實現不同機構、不同應用系統、不同資料庫之間基於不同傳輸協議的數據交換與信息共享,為各種應用和決策支持提供良好的數據環境。 系統架構 系統特點 系統符合國家《電子政務系統總體架構》設計,以及國家有關《信息資源交換體系》的指導性文件。 支持WebServices標准,採用世界先進的面向服務(SOA)的架構、企業服務匯流排(ESB)技術、和數據挖掘(ETL)技術,具有平台軟體架構的先進性、靈活性和擴展性。 可配置的介面適配器,有效解決數據交換的「最後一公里」問題,實現各部門實時信息交換、數據共享的需求,並且具有數據比對、數據落地形成中心基礎信息庫,同時提供中心基礎信息庫數據服務,通過數據推送或者請求/響應服務模式,將各地市所需要的信息數據根據需求交換到各委辦局節點。 靈活的部署方式和集中式的管理架構, 支持各種跨部門信息共享交換應用,滿足資源中心(信息中心)對平台基礎設施的集中技術管理、業務主管部門對平台應用的管理、以及參與信息交換委辦局對節點交換服務(監控、配置)分布管理的要求,充分滿足參與信息共享交換不同部門的管理需求。 提供安全可靠的數據輸出,及全面的安全服務和管理。 支持多種共享交換方式和交換策略, 採用完全分布式的P2P面向服務的架構(SOA),支持各種共享交換模式,具有傳輸效率高、避免中心效率瓶頸和單點故障的特點。通過部署多個節點伺服器的負載均衡和備份機制,保障系統7x24小時的穩定性和可靠性,並且大大節省了硬體伺服器的投入成本。 支持多種傳送機制JMS、WebServices、HTTP、FTP、Sockets等,• 基於J2EE架構,跨平台支持 可擴展的適配器結構, 充分考慮到了各部門業務系統接入平台的橋接問題,針對實際情況,提出了業務系統數據到委辦局前置機的解決方案。
10. 伺服器設置於DMZ區,DMZ區是什麼意思
防火牆系統裡面的一個概念,DMZ的安全性介於外部網路和內部網路之間,用來部署對外提供服務的主機,如網站伺服器,郵件伺服器等。