网络可靠性安全性设计和容错.docVIP

网络可靠性安全性设计和容错 　　摘要：由于连入Internet，为用户提供各种信息服务。资源共享和开放是Internet特点，因而Internet的安全机制很松散，而用户对网络信息系统要求有较高的安全性，其内部的许多数据和文件严禁未经授权的访问。因此，设计与开发保证内部各种信息的安全机制是实现该网络顺利运行的关键。 　　关键词：网络；安全；设计；容错 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)23-905-03 　　Network Reliability and Safety of the Design Fault-tolerant 　　SHEN Wen-yao, ZHOU Song-bo 　　(Shaoyang Medical College of Computer Centre, Shaoyang 422000, China) 　　Abstract: Linking to Internet, users can obtain all kinds of information. Internet is open and information resources sharing, so its security system is rather slack. On the contrary, users demand higher safety, any unauthorized interview accessing the information of internal data and files is forbidden. So, design and develop security system to protect internal information safety is the key points to achieve smoothly process of the internal network. 　　Key words: network, safe, design, fault tolerance 　　 　　1 网络安全和防火墙 　　 　　除了关注全球互联网对用户单位业务的积极影响之外，同时也要充分考虑到将因特网作为用户单位内部计算机网络延伸后的安全问题，若没有合适的防火墙解决方案，系统就会成为网络黑客们的众矢之的，所以恶意闯入来自四面八方，并进行某些恶意行为，例如：信息偷窃，甚至故意破坏。除了日趋严重的外部威胁以外，单位内部对系统安全构成危害的行为也在不断增加，许多系统侵入者都非常隐蔽，给网络系统安全造成潜在的很大损害，而当其所造成的危害被发现时往往已为时过晚。 　　网络安全的主要技术是防火墙技术（Firewall），防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环境。目前其实现方式有两种，即基于包过滤（Packet Filter）的防火墙和基于代理（Proxy）的防火墙。包过滤型防火墙处在网络层，根据IP包的包头信息来对信息的访问进行控制，而IP包的包头主要包括以下信息：IP包的源地址、目的地址、包类型、端口号，因此包过滤型防火墙主要完成基于地址和端口的过滤功能。基于代理的防火墙，也叫应用层防火墙，处于应用层，可对IP地址和发生在该IP地址上的具体应用进行控制，由于它能识别应用协议，因此可对应用的整个过程进行控制，比如在应用建立时的密码验证、在FIP应用中允许某站点get而不允许put等等。这两种防火墙各有优缺点，包过滤型防火墙由于基于网络层，因此对用户来说比较透明，但它一般采用“没被禁止的就是允许的”这一策略，在它失效时，网络是畅通的，这时内部网络将失去安全的屏障，而应用层防火墙采用“没被允许的就是禁止的”这一策略，在它失效时，内部网络与外部网络是隔离的，因此应用层防火墙要比包过滤型防火墙安全。 　　大多数路由器均支持包过滤功能，比如在Cisco路由器上可以通过设置称为access-list的过滤规则来实现包过滤功能：禁止外部网络对内部网络的某些重要机器的访问，禁止内部网络主机对Internet上部分站点的访问；并可利用端口号来选择控制的应用协议，比如TELNET的端口号为23、FTP的端口号为21、WWW的端口号为80等，这样就可以设置一些较复杂的规则，比如可以允许某台机器对Internet具有Email访问功能，却不能利用WWW和FIP等。 　　 　　2 网络容错 　　 　　计算机网络系统是整个业务运行的平台，服务器是整个网络运行的心脏，它能否可靠运行直接影响到日常业务的运作。 　　在主服务器发生故障的情况下，备用机能自动启动为主服务器，全面代替主服务器响应全部的网络服务请求，直至主服务器被恢