《公司机密RadwareAPSolute教育行业解决方案高教.doc》由会员分享,可在线阅读,更多相关《公司机密RadwareAPSolute教育行业解决方案高教.doc(17页珍藏版)》请在金锄头文库上搜索。
1、公司机密Radware APSolute教育行业解决方案(高教)1 高教行业IT应用现状与需求分析一个典型的高校校园网络拓扑结构图如下图所示:网络连接部分还可以分为Internet连接部分和专网连接部分。Internet连接部分是指校园网络数据中心通过ISP运营商的链路连接到Internet,用于校园对外的网上公共信息发布、为Internet用户提供校园网上应用,同时校园内部用户也可以访问Internet上的资源;网连接部分用于校园网络连接各地分校。分校的内部用户通过专网连接访问数据中心的应用服务器,例如:WEB服务器,EMail服务器等,同时也可以通过数据中心的Internet链路访问Int
2、ernet上的资源。网络安全部分通常由防火墙、入侵检测系统(IDS)和防病毒网关设备构成,用于制定内部信息资源的不同访问策略,保护数据中心的应用免受来自Internet的网络攻击。网络应用由校园对外WWW信息发布系统,业务应用系统和后台数据库系统组成。目前在国内由于多家ISP的竞争,Internet 接入链路的成本大幅降低,多链路Internet的接入已成为许多用户在的选择网络连接方面的需求。因此在主园区Internet网络连接方面 校园网络将存在如下要求:l 提高Internet网络链路的可用性:当校园网络中心具有多条Internet链路后,应提高Internet网络链路可用性的智能检查,防
3、止出现由于某一条Internet链路的失效造成整体网络的不可访问。l 提高Internet链路的网络吞吐量:提高网络中心的Internet网络链路的吞吐量,申请多条Internet链路。l 提高Internet网络链路的抗网络攻击的能力:Internet上的各种各样的网络攻击首先影响的将会是Internet网络链路,因此应加强在Internet链路上的攻击防护。目前各分校到主园区之间通常采用Frame Relay或DDN等昂贵的专线广域网链路,而目前国内运营商可以提供相对高速同时价格便宜的Internet 接入链路,例如: ADSL,因此校园网络存在入下要求:l 提高分校到主园区的广域网链路的
4、可用性:如果各地分校与主园区之间存在多条链路,应注意提高分校到主园区的广域网链路可用性的智能检查,防止出现由于某一条链路的失效造成整个分校无法访问到主园区。l 增加分校到主园区的链路,增加带宽,同时降低分校与主园区之间广域网链路的成本:利用运营商提供的低价、高速链路,在各地分校与主园区之间增加链路带宽,设法降低减轻各地分校与主园区之间专线的流量压力,降低广域网链路的成本l 提高各个分校的网络安全防护能力:在各个分校的广域网出口和Internet出口的位置增加网络安全防护的能力,以保证各分校的网络安全,同时可以保证一旦某个分校内部的用户受到网络攻击的侵袭,那么该网络攻击不会扩散到主园区,以及其它
5、分校。为了保证校园的网络在网络安全防护方面的高可用性、高性能和安全性,校园在网络安全方面的需求可以分为以下几部分:l 提高网络安全设备的可用性:网络中应具备安全设备的的可用性检查,避免单一的网络安全设备的单点失效性。l 提高网络安全设备性能:在网络中采用多台网络安全设备,避免网络安全设备带来的瓶颈,提高网络传输速度。l 完善网络安全体系架构:现今,各种各样的网络攻击层出不穷,导致防火墙的负荷在不断提高,再相对于网络物理带宽的大幅度提高,防火墙逐渐成为了网络的瓶颈,本案希望使用一组(2个以上)防火墙采用负载均衡技术提供安全服务,以提升性能。为了保证校园的网络应用的高可用性、高性能和安全性,校园的
6、网络应用存在下列需求:l 提高网络应用的可靠性:自动的网络应用可用性检查,保证网络应用的7x24 小时的持续性服务。l 提高网络应用的性能:如果网络中仅有单台服务器提供网络应用的服务,很难保证网络应用的性能,可以考虑增加相应的服务器数量,配合负载均衡技术来提高网络应用的性能。l 网络应用的安全性较差:制定针对具体的、特定的网络应用的特点而专门制定的基于网络7层防护的安全性防护机制; 2 Radware APSolute 解决方案2.1 方案简述根据以上对高校校园网建设现状的需求分析,Radware提出了以下解决方案:如以上拓扑所示,Radware提供全系列的智能内容管理产品来进行应用优化、网络
7、优化以及网络安全防护。Radware AppDirector为网络中心的服务器提供高度智能的流量调度功能,从而实现应用的高有效性、高可用性。Radware SecureFlow为网络中心的内容/安全产品如内容缓存、防火墙、防病毒网关、入侵检测等提供基于内容的异构环境下的流量分发、智能调度,从而最大程度地保护现有硬件投资、消除网络瓶颈、提升网络效率。Radware DefensePro为网络中心提供基于内容的智能安全防御,确保在存在大量入侵、攻击的互联网环境中的高效率的信息化教学。Radware LinkProof为网络中心提供多链路环境下的智能流量管理,既可以充分利用现有的多种互联网接入,又可
8、以加速互联网访问速度,并可以最大程度地降低网管的日常管理工作量。最后,Radware还提供APSolute Insite管理平台,实现Radware智能内容管理产品的集中式管理与维护。2.2 功能说明2.2.1 Radware AppDirector基于内容的智能服务器流量管理Radware AppDirector是业界领先的智能应用分发产品,可以为应用服务器提供最佳的可靠性与有效性,同时最大程度地提升应用系统的性能。Radware AppDirector为了确保系统应用的可靠性与有效性,主要采用以下几种手段:l 健康检查Radware AppDirector可靠的健康状况检查可以保证用户获得
9、最佳的服务。APPDIRECTOR 可以监视服务器在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。如果发现故障,用户即被透明地复位向到正常工作的服务器上。这可以保证用户始终能够获得他们所期望的信息。Radware AppDirector 健康检查可以分为5大类:IP/TCP 层监视应用层监视内容监视Scripting 工具 先进的全程监视1IP/TCP 层(3 层到 4 层)监视TCP/IP 监视可以提供基本的状态监视,以检验设备或应用是可访问的。IP 检查是通过 Ping 和 ARP,而 TCP 检查是通过向用户定制的 TCP 端口发送 TCP Syn 请求,并接收到表明此应用正
10、在运行的消息。2应用层(7 层)监视应用层监视对所有预定义的应用和协议提供全面的检查,并检验这些应用和协议是否在正常工作。这些检查所使用的信息是基于先进的状态监视模块所包含的每个协议/应用的错误和状态消息信息。根据这些信息模块能够确定应用的状态。3内容监视与上述的应用监视检查相比,内容状态监视会对应用响应消息进行进一步的分析。在应用监视中,对应用程序是否正常运行的检验是通过检查其响应消息中的错误代码,而在内容监视中是检查实际的内容。内容监视是通过检查返回文本中是否有用户定义的字符串来实现的。这是非常有用的,例如对于一些应用如 FTP、HTTP、NNTP 和 DNS,管理员现在可以检验服务器是否
11、包含特定的内容。这能够保证用户获得完美的体验。如果检测到无效的内容,则认为整个应用路径被禁用,于是将用户定向到有效的数据源。4Scripting 工具除全面的预定义状态检查外,这种先进的状态监视模块还允许完全定制 script,在其中可以定义发送和接收数据包的内容。当包含预定字符串的数据包被返回给状态监视模块时,就认为“通过”了检查,并认为应用运行正常。5先进的全程监视这种先进的状态监视模块提供了一种功能强大的工具,通过它可以在不同网络部件的状态检查之间创建从属关系。这样,就可以将一组状态检查合并,然后将它们定义为代表全程状态监视的一个逻辑实体。这种先进的状态监视模块能够监视所有网络和服务器资
12、源,例如路由器、防火墙、web 服务器、应用服务器和包含此路径的数据库。一旦在这些资源中检测到故障,先进的状态监视会自动透明地将流量复位向到一个正常运行的路径,从而为用户提供确定的服务。为了确保服务正常运行,APPDIRECTOR 监控从 Web 服务器、中间件服务器到后端数据库服务器的整个路径上工作状态,确保整个数据路径上的服务器都处于正常状态。如果存在一个故障服务器,APPDIRECTOR 则不会将用户分配到这个发生故障路径的服务器,从而保证为用户提供透明的数据完整性保障。l AppDirector设备的冗余在消除了服务器的单点故障的同时,Radware AppDirector 的配置提供
13、设备间的完全容错,以确保网络最大的可用性。两个设备通过网络相互检查各自的工作状态,为其所管理的应用保障完全的网络可用性。它们可工作于“主用-备用”模式或“主用-主用”模式,在“主用-主用”模式下,因为两个设备都处于工作状态,从而最大限度地保护了投资。并且所有的信息都可在设备间进行镜像,从而提供透明的冗余和完全的容错,确保在任何时候用户都可以获得从点击到内容的最佳服务。l 服务器的平滑停机当需要进行服务器升级或系统维护时,APPDIRECTOR 保证稳定的服务器退出服务以避免服务中断。当选定某台服务器要从服务器退出服务后,APPDIRECTOR 将不会将任何新的用户分配到该服务器。但是,它可以要
14、退出服务的服务器上完成对当前用户的服务。从而保证了无中断的优质服务,以及服务器组的简易管理能力。l 服务器的逐渐开机将重新启动的服务器应用到服务中时,避免新服务器因突然出现的流量冲击导致系统故障是非常重要的。所以,在将新服务器引入服务器组时,APPDIRECTOR将逐渐地增加分配到该服务器的流量,直至达到其完全的处理能力。从而不仅保证用户在服务器退出服务时,同时还保证服务器在启动期间以及应用程序开始时,均能获得不间断服务。Radware AppDirector为了确保系统应用的高性能,主要采用了以下手段:l 本地服务器的负载均衡Radware AppDirector 通过负载均衡,在多个本地和
15、远程服务器间动态分配负载。这些算法包括循环、最少用户数、最小流量、Native Windows NT 以及定制代理支持。除了这些算法,APPDIRECTOR 还可以为每个服务器分配一个可以配置的性能加权,从而提高服务器组的性能。Radware AppDirector 根据 IP 地址、应用类型和内容类决定流量分配。这样,管理员就可以为不同类型的应用程序分配不同的服务器资源。应用交换支持不同协议上的各种应用,包括 TCP、UDP、IP、Telnet、Rshell、TFTP、流、被动 FTP、HTTP、e-mail、DNS、VOIP 等等。Radware 还为运行于动态端口并要求同步的应用设计了特
16、殊支持功能。l 基于URL的负载均衡Radware AppDirector 完全支持 URL 交换,根据 URL 和 HTTP 信息分配流量。每个 URL 都可以复位向到某服务器,或在多个服务器之间进行负载均衡,从而提供优化的 Web 交换性能。根据 URL 文本中包含的信息,APPDIRECTOR 可以保持客户持续性,从而保证内容的个性化。l 基于内容的负载均衡Radware AppDirector 支持内容交换,内容交换使管理员可以根据交易的内容来分配服务器资源。例如,CGI 脚本可以位于一个单独的服务器组,当发生对该内容的请求时,会话就被复位向到其中某个服务器。APPDIRECTOR 的内容交换能
