大型网站网络优化应用研究.docVIP

大型网站网络优化应用研究大型网站尤其是门户网站经过近10年的发展，目前在运营上已经进入较为成熟稳定的阶段。从网站成立到现在，网站的网络结构和功能随着时间的推移变得复杂，因网络设备造成的网络稳定性、可靠性与网络性能下降等问题也逐渐显露出来。因此，需要在网络正常运行的情况下，对现有网络进行结构和功能上的调整和升级，从而达到减少网站在线故障率和故障影响时间等目的，提高网络利用率，实现链路和应用的负载均衡，为各种应用服务提供稳定、可靠和高效的网络环境 为了解决网站目前存在的网络环境的安全与稳定问题，需要通过对网络结构和应用系统的统一优化调整： 1．实现多条网络链路的负载均衡，提高网络链路的可靠性，减少网络故障对网站服务的影响； 2．通过升级网络安全设备，增加网络安全设备功能，提供对应用服务攻击的防护，阻止病毒、P2P应用对网络的破坏； 3．通过规划内部互联子网，提高网络设备效率，部署静态文件缓存，对静态文件集中存储、归档，根据动态程序进行分类，部署应用程序集群，部署数据库集群； 4．通过应用负载均衡器提升网站应用系统的服务能力，对关键应用服务数据进行统一备份和管理，保障网络数据更加安全可靠 通过以上种种策略的部署与实施，从而达到整个网站负载均衡，高效稳定的对外服务，降低运营风险的目标。具体实现措施为： 一、实现基于链路的网络负载均衡 为了解决大型网站与多家运营商连接，提高各个运营商最终用户访问网站的速度，尤其是解决中国电信和中国联通（前中国网通）的不同用户群访问网站的连接速度，需要增加链路负载均衡器实现如下功能： 1.能同时接入2条中国电信链路，定义其中一条链路为主链路，另一条为辅链路。两条链路能同时提供网络互联，链路上分配的IP地址能够一一对应进行静态映射（Static NAT），在任何一条链路出现故障中断的情况时，链路负载均衡器能够即时检测，并且动态转移故障链路连接到能正常连接的链路。两条链路同时正常工作时，链路上的使用带宽能够根据连接数和流量动态调整，实现网络流量的负载均衡 2．能接入中国联通、中国教育网链路，且链路上的IP地址能够与中国电信主链路进行一一对应的静态映射，通过配置中国联通和中国教育网IP段，根据来源来判断优先选择的链路为中国联通或中国教育网。在中国联通或中国教育网链路发生故障时，能够根据链路状态转移到中国电信链路 3．能通过私有IP地址连接长城宽带本地接入商，通过静态路由的方式与长城宽带互联，链路上的私有IP能与中国电信主链路进行对应的静态映射，判断来源IP为长城宽带用户时，优先选择长城宽带链路。因长城宽带连接IP为私有IP，在链路发生故障时，能通过更改配置转移长城宽带连接到中国电信链路 4．对中国联通、中国教育网和长城宽带私有地址以外的其他IP地址，通过链路负载均衡器对外部互联网周期性地进行路由路径检测，建立动态就近性路由表，能根据公网路由变动及时调整就动态近性表 5．从网站办公网段内访问外网时，能根据目的IP地址，通过动态NAT选择不同的链路，解决内部用户访问外网的连接互通 6．在使用内部DNS服务器进行域名解析时，链路负载均衡器能够根据DNS请求的源地址，匹配静态映射或就近性路由表中的对应IP地址，返回DNS请求数据，不同运营商得到的均为最佳链路上所对应的IP地址 二、升级网络安全设备，提升网络安全等级 从XX年开始，网络攻击的主要行为从以前的网络端口攻击和网络连接攻击变为根据不同网络应用服务而进行的应用级的入侵，如内容篡改、SQL注入和木马植入等，即网络攻击逐渐由OSI3-4层攻击转为OSI4-7层攻击。因此，原来的防火墙产品已经不能满足现在网络应用的需求，需要对防火墙升级，扩展其功能以防御应用级的入侵，通过以下方式来实现： 1．升级防火墙硬件，提高防火墙吞吐率，加大同时会话数，调整防火墙对网络连接攻击的参数以适应大流量的攻击，对防火墙策略进行整理，根据不同的应用服务和连接类型设置对应的防火墙端口策略 2．增加防火墙入侵防御（IPS）功能，对网络应用的连接行为和数据包根据策略库中的特征进行对比，阻止针对网络应用的入侵行为，如：SQL注入、Web应用服务溢出漏洞、Url溢出漏洞和木马植入等。防火墙入侵防御特征库能够每天升级，更新网络应用攻击特征以适应不断变化的网络应用攻击 3．增加防火墙防病毒功能，对经过防火墙的邮件内容进行检测，阻止含有病毒的邮件数据传输，对下载的压缩文件和可执行文件进行检查判断，阻止病毒传播到办公区，对Office文档进行扫描，防止宏病毒感染，提供ARP检查保护，避免内网用户因ARP病毒导致整个网络发生ARP劫持 4．增加网络应用监控和流量管理，对内部办公区P2P下载行为进行限制，防止P2