数据中心基础网络设计.ppt

* * * * * * * * * * * * * * * * * * * * 这介绍两种internet server farm的设计方案。 先看第一中方案，这个方案实际上是一个银行的网银方案，从逻辑上看，这个internet srf分了成了三个安全层次。 最外层的互联网接入层，提供互联网的接入、实现链路分担，还要在这个地方做防DDOS监控和清洗。链路分担的另一个用处是做NAT。 再往下来是DMZ区，DMZ区是夹在内网边界FW与外网边界FW之间的一个网络层，其实这种布局与传统的DMZ区旁挂在一组FW上是一个意思。这里用的外网边界FW负责部署互联网到DMZ服务器的访问策略，内网边界FW负责部署DMZ和业务托管区到内网区的访问策略。内网FW、外网FW通常要求采用不同厂商的设备，这就是经常提到的“FW双层异构”组网。DMZ需要部署DNS服务器，如果LLB可以实现智能DNS解析，DMZ的DNS就不需要了。对网银DMZ来说，IPS是必选项，工行就是在这个位置部署了我们的几台IPS。 对互联网提供服务的业务系统通常会按照WEB、APP、DB进行部署。在这种方案下，WEB可放在DMZ区。而APP、DB需要放在从DMZ中划分出的另一个区域，即业务托管区，业务托管区同DMZ区之间通过托管区边界FW进行隔离。其实业务托管区也是DMZ的一部分，只是为了保证APP、DB的安全，又隔离了一道FW。APP