第十章 应用平台组网设计 移动互联网开发课件.ppt

LOGO 第十章 应用平台组网设计 10.1 宽带接入设计 带宽：用来表示网络链路的传送二进制码元的能力，单位通常采用b/s。 带宽=平均在线客户数*每个客户平均流量*冗余系数 流量：表示某一段时间内网络链路实际传送数据的总量，单位通常采用byte或者bit。 流速：即流量传输的速率，表示单位时间的流量，单位通常采用b/s。PS.流速不可能超过带宽限制。 带宽计算 带宽的大小取决于所有客户端对服务器访问的频繁程度和所请求内容的大小。 估算平台带宽的大小公式： 带宽=平均在线客户数*每个客户平均流量*冗余系数 考虑到网络流量具有突发性，带宽在平均流量的基础上必须有所冗余。 冗余系数 平均流量越小，突发性越强，峰值流量超过平均流量的幅度就越大，冗余系数就必须越大。 冗余系数越大，网络访问就越流畅，但是所要支付的成本就越大。 所以，冗余系数并不是越大越好。根据经验，当冗余系数取1.43时，平均带宽占用率接近70%。在实际应用中，冗余系数一般在1.43~10之间取值。 服务器托管 大型的移动互联网应用多选用IDC(数据中心)托管方式，其应用系统设备的维护可为两个层面： 网络接入设备和服务器硬件，完全由IDC机构负责维护； 系统应用软件、数据库的日常维护和升级等，则由应用系统提供者进行现场或者远程维护。 小的应用系统多采用租赁服务器空间的方式，即多个应用系统共用服务器资源，享受IDC机房和网络接入服务。这种方式的好处是成本低，缺点是应用系统运行的性能受限，安全性较低。 10.2 网络安全设计 应用平台的网络安全风险主要包括非法入侵、病毒感染、木马植入等。 提高应用平台网络安全的措施可以从操作管理规范、应用系统的分区和分层三个维度进行考虑，主要技术手段包括部署网络防火墙、病毒防护和对入侵进行检测。 网络防火墙部署 网络防火墙指在内部网和外部网之间、专用网与共网之间所部署的网络安全设备。 网络防火墙允许符合安全规则的人和数据进入内部网络，将不符合安全规则的人和数据拒之墙外，最大限度地阻止网络中的黑客访问内部网络。 防火墙的基本类型 包过滤防火墙：根据数据包的源地址、目标地址以及包所使用的端口确定是否允许该类数据包通过。 代理服务器：客户端与服务器所在的网络隔离开，客户端通过代理服务器来访问真正的服务器。 状态监视器：当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或者加密等决定。 软件防火墙：在PC或者服务器上安装防火墙软件，其作用和包过滤防火墙的作用相同。 计算机病毒 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 网络病毒是指利用网络进行传播和发挥作用的计算机病毒，具有感染速度快、扩散面广、破坏性大的特点。 目前流行的网络病毒主要有木马病毒和蠕虫病毒。 计算机病毒的特征 传染性 非授权性 隐蔽性 潜伏性 破坏性 不可预测性 病毒产生的原因 故意编制出的特殊的计算机程序 产生于个别人的报复心理 来源于软件加密 产生于游戏 用于研究或实验而设计的“有用”程序 由于政治、经济和军事等特殊目的 病毒的传播 计算机病毒的传播是通过拷贝文件、传送文件、运行程序等方式进行，主要的传播途径有： U盘 光盘 硬盘 网络 病毒的预防 一是做好被病毒感染后的病毒检测和系统恢复准备举措。 二是针对计算机病毒的传播途径，从源头上堵住病毒的入口。 三是安装有效的病毒防火墙。 四是经常检查系统配置，扫描和修补系统漏洞。 入侵检测 入侵检测是指通过对行为、安全日志、审计数据或网络上可以获得的信息进行处理，检测到对系统的入侵或入侵的企图。 入侵检测系统(IDS)是对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。 入侵防御 入侵防御是一种能监控电脑中程序的运行。 入侵防御程序运行时，针对其他文件的运用及对注册表的修改向计算机用户发出允许请求，由计算机用户进行判断程序的请求。 由于病毒时时刻刻都在更新，杀毒软件可能跟不上病毒的脚步，而入侵防御从技术上能解决这个问题。 入侵检测与防御系统部署 在线部署方式：把入侵检测与防御系统部署在关键路径上，对流经的数据进行多层深度检测，实时防御外部和内部的攻击。 旁路部署方式：入侵检测与防御系统在关键路径的旁路上，对网络流量进行监测与分析，记录攻击事件并警告。 Internet 路由器 交换机 在线部署模式 内部网络 Internet 路由器 交换机 旁路部署模式 内部网络 镜像 10.3 数据安全设计 磁盘冗余备份 RAID(Redundant Arrays of Inexpensive