1 绪论
1.1 建设背景
随着Internet用户的增多和影响力的增大,网络工程系开设网站为学生提供服务也成为一条必由之路。网络工程系网站是公布和发布网络工程系信息资源,展示和宣传网络工程系形象的阵地,是同学向系里反应情况的渠道,是网络工程系对外办理公共事务的窗口,是传承文化的载体。
国外学校网站建设情况(以美国为例):美国是Internet的发源地。美国大学不仅在建立和推动Internet的发展方面不遗余力,而且已经建立了大量的学校网站。根据美国Council of Excellence in University的调查报告,93%的被调查的院系拥有网站,所有大学已经全部上网,而且几乎所有的院系已经建立自己的站点。同时,各大学网站逐渐实现互联互通。
就我国而言,1999年1月22日,由中国电信和国家经贸委经济信息中心主办,联合四十多家部委(办、局)信息主管部门共同倡议发起了“大学上网工程”。目前各个大学申请https://www.doczj.com/doc/ac13687869.html,的域名已经达到2000多个,大学上网工程也进入了第二第三阶段。
通常情况下,一个大学的水平越高,往往意味着它越有可能成为新技术的率先采用者。因为一方面国家可以提供更多的财政支持,同时学生的各类需求也更为细化和迫切。因而,选取综合实力居前的十所大学的院系做为参考对象,不仅可以体现网络工程系网站建设的最新特点,而且具有代表河北水平最高的一类大学网站的典型意义。
据中国互联网信息中心的统计,截至1997年10月31日,在https://www.doczj.com/doc/ac13687869.html,下注册的域名达到323个,到1998年6月30日,这个数据达到561个,1999年5月,https://www.doczj.com/doc/ac13687869.html,下注册的学校域名增到1470个,2002年2月,全国各个大学https://www.doczj.com/doc/ac13687869.html,域名达到2400多个。
总结国内外学校网站的建设过程,可以说学生的互动式学校网站建设过程的主线。具体而言,学校网站的建设与有以下所述的规律:一是内容服务有静态信心公布想动态信息发布、信息查询方向发展。二是方便学生服务成为学校网站建设的焦点。三是网站由独立的系统向集成化的组成部分发展。四是一站式网站成为重点。
1.2 网站现状
网络工程系于2004年9月成立,并建立了自己的网站。网站主要以主机托管和信息更新维护为主,没有自己的机房和网络设备。网站以介绍类和系里新闻为主,信息发布量下、内容更新慢、技术支撑薄弱、网站功能匮乏。同时,由于其建立在技术含量较小的小型动态内容发布系统上,不能适应大量公开信息的管理、制作和发布的需求。随着时代的进步,这样的网站寂静根本不能适应同学对学校的需求。为此,要重新搭建适应时代发展的崭新的具有科大特色的网络工程系网站,通过网站展示网络工程系的整体形象,加强学校联系同学、服务同学的功能,逐步构建摄影信息化时代的“电子学校”。
1.3 课题研究的主要内容及论文组织
论文以网络工程系网站为例开展研究,分析了系统建设过程中的相关技术,对所涉及的软件平台、软件系统、安全系统的进行理论分析,对系统规划实施中的需求分析、系统结构设计、硬件集成、软件配置等各环节进行研究,并提出性能测试所需内容。
第一章通过对国内外校园网站见着发展情况和校园网站运行发展规律叙述,讲明了校园网站发展的背景,还通过对网络工程系网站的现状分析,得出网络工程系网站重建的必要性和重要性。
第二章从理论上研究了校园网站的运行平台和相关开发技术,主要涉及学校网站的硬件平台、软件系统、学校网站安全系统和网页设计技术,通过理论分析给出了硬件平台、软件系统、安全系统和网页设计技术的设计原则。
第三章以网络工程系网站为设计实例,通过对网络工程系网站进行需求分析和规模分析,根据系统设计原则,贵处了符合网络工程系实际情况的系统结构设计。
第四章根据规划的网站系统结构,对网络工程系网站的网络设备、服务器系统、安全系统和软件系统等展开叙述,并进行了选型。
第五章对建成的网络工程系网站进行了性能测设,对在网站建设中取得的成果进行了肯定。
2 运行平台和开发技术的研究
2.1 硬件平台
硬件平台是构造网络工程系网站的物理基础,在选择网站硬件平台时,首先要根据网站的功能、规模确定网站的运营方式以及整个网站的硬件体系结构。然后按照既定的方案挑选相关的设备,包括服务器、路由器、防火墙、网站工作站、网络打印机。在选型时,应从系统的先进性、成熟性、可用性、可靠性和可扩展性出发。
2.1.1服务器
一般情况下,一个中等规模提供单项互动功能的校园网站至少需要两种服务器:WEB 服务器和FTP服务器。提供信息查询、全程在线办公等复杂应用的校园网站还需要配备其他种类的服务器,例如数据库服务器、应用程序服务器、用户认证服务器、电子邮件服务器等。
在选择服务器时首先要考虑服务器的体积、功耗、发热量等物理参数,通常,机房都会设有严密的保安措施、良好的冷却系统、多重备份的供电系统,其机房的造价相当昂贵。如何在有限的空间内部署更为经济使用的服务器直接关系到服务的成本问题,因此,可选用机械尺寸符合19英寸工业标准的机架式服务器。机架式服务器也有多种规格,例如1U(4.45cm高)、2U、4U、6U、8U等。通常1U的机架式服务器最节省空间,但性能和可扩展性较差,适合一些业务相对固定的使用领域。4U以上的产品性能较高,可扩展性好,一般支持4个以上的高性能处理器和大量的标准热插拔部件。管理也十分方便,厂商通常提供人相应的管理和监控工具,适合大访问量的关键应用,但体积较大,空间利用率不高。
服务器运营方案有四种,分别是:
a)虚拟主机,自己并不购买专门的服务器,而是租用ISP的服务器磁盘空间,将网站内容放在其上,作为校园站点的专用服务器。容量大、内容维护任务复杂以及实时在线办公处理的网站不适宜采取这种运营方案。
b)主机托管,自己购置服务器,待系统开发测试完毕,将已配置好的服务器放在ISP
网络中心机房中,委托ISP代为管理。有较大信息量的校园网站可以采取主机托管方案。
c)独立运营,自己全权负责网站服务器的运营,包括购买并配置服务器、路由器、防火墙,然后向ISP申请接入加Internet等。这样做,投资较大,但方便内容维护,尤其便于实现与内部办公自动化系统的数据交换。
d)镜像设置,将位于ISP机房内的主机与校园内部服务器镜像设置,实现校园、ISP 机房双重备份。
在这里我们选择使用第一套方案,原因在于它节省了购买服务器的费用,初建的校园网站一般不会有太大的信息量。但为了以后网站的发展,下面以第三套方案的标准来设计。
2.1.2 接入Internet方式
校园网站要与Internet物理连接才能够为学生提供服务。独立运营的校园网站,需要根据用户访问量、网站信息量、网站日后发展趋势等出发选择将网站接入Internet 方式。一般来讲,独立运营的校园网站以专线连接为接入Internet的主要方式。
2.1.3 硬件体系架构
对于独立运营的校园网站,在选择购置校园网站的硬件设施之前,应首先确定校园网站的硬件体系结构,即确定网站各个组件以及相互连接关系。
2.2 软件系统
对于校园网站而言,软件系统的好坏会直接影响到整个系统功能的实现和性能的发挥。所以在校园网站的设计过程中应该特别注重软件系统的选型及配置,校园网站的软件系统主要涉及操作系统、网站数据库、WEB服务器平台等。
2.2.1 操作系统
几种常用操作系统简介
a)UNIX操作系统,UNIX在安全性和稳定性方面都有非常突出的表现。使用UNIX的服务器很少出现死机、系统瘫痪等现象,对文件和目录权限、用户权限及数据都有非常
严格的保护措施。同时,UNIX一开始就使用了TCP/IP作为主要的通信协议。但是UNIX 以系统自身非常庞大,版本众多,不同功能之间的关联性很强,对于没有网络安装和维护经验的一般用户来说,短时间内很难掌握。
b)Windows 2O03操作系统,Windows 2003于2003年推出,具有与Windows XP类似的用户界面,对于使用过Windows XP的用户来说,Windows 2003能够很快上手。Windows 2003很适合中小型局域网用户的使用,同时,安全性、稳定性和可靠性,也表现出优异的性能,目前,在一些网站的组建时大量使用了Windows 2003。
c)Linux操作系统,Linux己成为普通人的UNIX,从技术上看,Linux是UNIX的“克隆”,与UNIX一脉相承。目前,Linux的版本少说也有几百种,并且两大的不同版本之间互不相容。
在这里,我选用了Linux做为网络工程系网站的服务器系统,它不仅安全、易操作,而且还可以节省费用。
2.2.2 数据库
几种流行数据库系统简介
a)oracle
Oracle的特性。主要包括:
兼容性:Oracle采用标准SQL,并经过美国国家标准技术所测试,与IBM SQI/DS,INGRES,IDMS/R等兼容;
可移植性:Oracle可运行于很宽范围的硬件与操作系统平台上,可以安装在绝大多数的大、中、小型机上;可在VMS,DOS,UNIX,Windows等多种操作系统下工
作;
可联结性:能与多种通信网络相连,支持各种协;
高生产率:提供了多种开发工具,方便用户进一步开发;
开放性:具有良好的兼容性、可移植性、可连接性和高生产率使得Oracle具有良好的开放性。
Oracle开发工具,Oracle提供的开发工具丰富,包括
Developer/2000,design2000,discover2000,Oracle office等,它们涵盖了从建模、分析、设计到具体实现的各个环节。
b)DB2
DB2核心数据库特色。主要包括:
支持面向对象的编程,支持复杂的数据结构;
支持多媒体应用程序,支持大文本对象,允许在数据库中存取二进制大小对象和文本大对象:备份和恢复能力;
支持存储过程和触发器;支持SQL查询;支持异构分布式数据库访问;
支持数据复制侧。
DB2开发工具。IBM提供了许多开发工具,主要有Visualizer,
VisualAge,VisualGen等。
c)Sybase
Sybase数据库的特性:
主要包括:动态的性能调整;
增强的安全性;
支持Java、XML;
分布事务管理;
对标准Internet技术的支持。
Sybase开发工具。Sybase为用户提供的开发工具有PowerBuilder、Power Designer,Power J。
d)SQL Server
SQL server数据库脚钩的特点主要包括:
基于Windows家族,在Windows平台应用中具有天然的优势;
支持电子商务应用;
支持数据仓库。
e)MySQL
MySQL的主要特点包括:
许可费用:MySQL的Windows版本(XP和2003)在任何情况下都不免费,而任何UNIX变种(包括Linux)的MySQL,如果由用户或系统管理员而不由第三方安装则是免费的。
数据类型:MySQL支持字符、日期、数字等基本数据类型,并支持大文本字符
数据类型。与大多数其他数据库系统不同的是,它提供两个相对不常用的字段
类型:ENUM和SET。
SQL兼容性:MySQL支持标准的SQL语言,同时对标准的SQL进行了一些扩充。
存储过程和触发器:MySQL没有存储过程。同样,MySQ不支持触发器。因此,数据的一致性和完整性必须由用户程序来控制。
安全性:MySQ较大的特点是复杂而非标准。
备份和恢复、数据导入/导出:由于MySQL没有参考完整性,因此备份和恢复变得十分简单,仅仅靠数据导入/导出就可完成这一功能。
连接性:MySQL客户库是客户机/服务器结构的C语言库,它意味着一个客户能查询驻留在另一个机器的一个数据库。然而MySQL真正的强项在于该库中的语
言“包装器”(wrapper);Perl,Pathon和PHP只是一部分。
在上面我们选择了Linux做为网络工程系网站的服务器系统,鉴于MySQL在Linux 下免费的情况,所以我们选择MySQL做为网络工程系网站的数据库系统。
2.2.3 WEB服务器平台
a)几种常用的WEB服务器平台
1)Apache
Apache相对于其他WEB服务器来说,可以说是WEB服务器的标准。目前,几乎所有的Linux系统都包括Apache服务器;另外,Apache也支持Windows平台。
2)IIS
IIS必训仅在Windows平台运行。通过将Windows 2003与IIS相结合,可以创建各种各样的、利用原有技术的Internet和Intranet站点。
b)WEB服务器选择原则
l)对于小型校园网站,如果采用Linux作为操作系统,则Apache无疑是最好的选择.免费的Linux+免费的Apache,可以使得这种小型校园网站的开销降低到最低。
2)对于中型校园网站,如果选用Windows2003操作系统,则IIS无疑是最好的选择。
3)对于大型校园网站,如果采用UNIX操作系统,则Apache很好的选择。
2.3 系统安全设计
2.3.1 系统安全概述
系统安全是整个系统可靠运行和进行安全防范的基石,在统一设计原则下,在不同的安全层次,在预防、检测和恢复等各个阶段,确保系统的持续稳定运行,防止信息的损坏、泄露或被非法修改,保证、网上办事和网上商务平台的安全。一个完整的安全解决方案应涵盖网络系统中的所有层次和方面,并需要建立高效、可靠的安全管理策略。系统安全平台主要解决以下几个层次的安全问题:
a)物理安全,物理安全对计算机网络设备、设施及相关的数据存储介质提供的安全保护,是网站内部整体安全架构的基础。物理安全部分主要包括环境安全、设备安全、存储介质安全等内容。
b)网络安全,网络层次的安全包括子网间的安全防护,局域网安全防护、广域网安全防护以及主机系统的安全防护。涵盖的技术和产品有:防火墙、访问控制、安全扫描、入侵检测、安全域隔离、数据存储和传输中的安全防护等。
c)应用安全,应用安全主要对各种应用如网上办事、网上商务等应用提供安全保障。涵盖的技术包括用户身份认证、用户访问控制、授权管理、安全审计、数据加密与认证、网络备份、数据库安全增强、病毒防杀等。
d)内容安全,作为网络工程系的网站,内容上的安全有其特殊的重要性。媒体内容的特点决定了内容安全监管的模式,校园网站在内容安全的设计主要包括网页防篡改技术、BBS/聊天室内容过滤技术和邮件过滤技术等。
e)安全管理,安全管理是整体安全架构的核心部分,负责对安全架构的其它部分进行协调和监管以实现整体的安全防范职能。其主要内容包括安全管理体制的建立、安全管理平台的构建、安全策略与风险分析等。
校园网站系统安全的设计中主要在以下几个层次架构安全平台,系统安全层次架构如表2.1所示:
表2.1 系统安全层次架构
2.3.2 系统安全设计原则
系统安全设计主要应该遵循如下原则:
a)兼顾安全与效率,安全性的设计必须以满足系统运行的基本效率要求为前提,即系统安全的引入不能导致系统运行效率的急剧下降。否则,安全没有任何意义。
b)先进性与可靠性、可行性。要在系统方案设计过程中充分考虑到技术的先进性与可靠性之间的权衡。由于系统建设的周期短、要求高,在很大程度上要求必须采用相对较成熟的技术和产品,还必须充分论证技术的可靠性和可行性,以确保系统建设目标的实现。
c)开放性与可扩展性,在系统方案的设计过程中必须充分考虑到目标系统的开放性和可扩展性,为网站今后的业务拓展提供一个统一的安全操作平台框架,便于增值业务的接入。
d)易用性与可维护性,安全子系统仅仅提供了技术保障手段,而其功能的真正有效发挥则必须依赖于每个最终用户的正确操作。向用户提供简便易用的操作环境,向系统管理员提供集成的和方便的管理操作环境,使目标系统的安全功能得到充分发挥和利用。
2.4 网页设计技术
2.4.1 网页标记语言
a)HTML
超文本标记语言是所有浏览器都可以理解的标准语言。它通过标记和属性对一段文
本的语言进行描述及超文本链接(跳转)。HTML的平台无关性,使之成为WEB最通用的语言。它可以高效地从一个计算机环境传输到另一个计算机环境。
b)XML
扩展标记语言(XML)是SGML得子集,它使通用的SGML可以直接用于WEB。XML可看做SGML除去复杂且很少使用的特性后剩下的部分。微软IE5.O及其以上版本支持XML;Mozilla的浏览器Firefox,可读取XML何SGML。
2.4.2 动态网页制作技术
a)ASP
Active Server Pages(ASP,动态网页)是微软公司推出的一种用以取代CGI的技术。简单讲,ASP是位于服务器端的脚本运行环境,通过这种环境,用户可以创建和运行动态的交互式WEB服务器应用程序,如交互式的动态网页,包括使用HTML表单收集和处取信息、上传与下载等等,就像用户在使用自己的CGI程序一样,但是比CGI简单。更重要的是,ASP使用的ActiveX技术基于开放设计环境,用户可以自己定义和制作组件加入其中,使自己的动态网页几乎具有无限的扩充能力。这是传统的CGI等程序远远不及的地方。
b)JSP
JSP(JavaScript)由网景公司开发,它使WEB开发人员可在主页中添加交互功能。常用的客户方变量有点击数。JSP还可以实现CGI程序的功能。例如,WEB格式的错误检查,这与以往将数据发送回服务器来确认完整性及正确性不同。JSP可以在客户方实现上述操作以获得更高的性能。
c)PHP
PHP(Personal Home Page)是一种服务器端、跨平台的HTML嵌入式脚本描述语言。最初的PHP是运行在UNIX系统上的,后来由于适用于PC的Linux系统的崛起,PHP的发展更为迅速。现在,PHP已经可以在几乎所有的服务器上运行。PHP最大的优点是免费,任何人都可以访问PHP WEB站点,下载完整的源代码。
2.4.3 网页制作工具
a)FrontPage
FrontPage是微软公司开发的office中的一个组件,它具有强大的网页编辑能力和网站管理功能,是建立和管理专业网站的简易工具,也是目前使用最广的网页编辑制作工具之一FrontPage最大的优点是简便易用。
b)Dreamweaver
Dramweaver是Macromedia公司开发的一个专业化网站开发程序。它有着许多其他网站开发工具所不具备的优点,包括第一时间对新技术的支持、可扩展性和可定制性等。这使得它一问世,就迅速成为了众多网站设计人员最青睐的工具软件之一。可以说,Dreamweaver;是真正为WEB开发人员量身定制的工具。Dreamweaver加速了站点开发,同时使网站管理人员可以更加有效地对站点进行维护。
3 系统总体设计
3.1 需求分析
3.1.1 功能分析
要通过网络工程系网站体现网络工程系“兴业尽责”,展示网络工程系雪峰建设的整体形象、加强学校联系学生、服务学生的功能,实现系务公开、信息共享以及咨询、网上选课、网上查分、电子邮件等功能,逐步构建符合网络工程系实际情况的“电子学院”。主要功能分析概括如下:
a)建成有网络工程系特色的网站。充分体现网站的传播性,服务性和功能性,包括若干应用服务(如:网上查分,全文检索,网站地图等功能),要在各个层次方便同学的使用。
b)充分考虑信息安全与数据安全。网站是网络工程系的网站,必须保证24*29小时为同学服务,同时需要防止被黑客篡改网页,减少系统的宕机时间。因此必须要有先进的防病毒和防止黑客攻击的能力。配置相应的安全设备如防火墙,主页防篡改系统,入侵检测系统。同时实现数据备份,对网站的数据必须有定时的备份和自动整理。提供完整,合理的数据备份策略。
c)支持内容管理系统,方便网站的维护和制作,实现远程发布,分级管理,授权管理。同时允许多种接入方式发布信息,实现网络工程系信息发布系统平台。
d)搭建一个供同学和学校进行安全、可靠的信息交换电子平台,支持“网上办事”。主要实现以下功能:表格下载,网上选课,网上查分。“网上办事”的实现可以更好的服务同学,方便和简化了系里本身的工作流程。
e)建设电子邮件系统,为教师和同学提供邮箱。电子邮件系统需要满足实现多权限、多用户及分级域名管理,系统防垃圾邮件的过滤规则,防邮件病毒的系统设计。
网站拓扑图如图3.1所示:
图3.1 网络工程系网站拓扑图
3.1.2 规模分析
一个成功的信息网站的信息访问量一般在每天2000-5000次的范围内,因此,在对规模进行必要的分析后,按照日常访问量5000Pageview/天,峰值1万Pageview/天,并且可以支持2万用户访问的规模进行网络工程系网站的系统设计。
3.2 系统总体设计
3.2.1 设计原则
a)系统性原则,从系统论的观点出发,以实现系统总体功能为目的,来构建整个系统结构,以达到最优化经济结构;
b)实用性原则,整个系统架构必须具有良好的可实施性与可管理性,同时还要具有
较佳豹易维护性;
c)可靠与安全性原则,系统设计充分考虑冗余,避免了单点故障,同时充分考虑安全系统和防病毒系统,保证系统的安全可靠;
d)高性能价格比原则,在实现系统功能的原则基础上,尽量减少项目的经费投入;
e)技术先进性原则,系统设计的技术水平达到国内外同期同类的水平,并保证系统在一个相当时期不落后;
f)可扩展性原则,必须具有良好的可伸缩性。整个系统架构必须留有接口,关键设备应具有在线升级的能力,其他设备也应具有平滑升级的能力。以适应将来工程规模拓展的需要;
g)易维护和升级原则,系统易于维护,且有良好的售后技术支持和完善的服务体系。系统可以在线升级模块达到系统升级的目的;
h)保护投资。在保障安全性的前提下,必须充分考虑投资。通过认真规划安全性设计,认真选择性价比最好产品,保护用户投资。
3.2.2 网站系统组成
a)功能模块划分
根据需要,功能模块划如图3.2所示:
图3.2 网络工程系网站功能模块图
b)主要功能模块介绍
1)网络系统
网络系统主要分为机房网络建设和办公区网络建设。机房网络主要放置网络工程系网站的网络系统和服务器系统及安全系统,对外连接Internet,主要负责提供对外服务,对内连接办公区域,使制作的信息内容及时上传至相关服务器。办公区网络主要包括信息发布系统和信息发布系统的远程接入系统。
2)安全系统
防火墙系统。防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制(允
许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
安全审计和入侵检测系统。安全审计和入侵检测主要是监控来自网络内外部的用户活动,侦测系统中存在的现有和潜在的威胁,对与安全有关的活动的相关
信息进行识别,记录,存储和分析。重点进行主机审计、网络资源使用审计和
关键应用审计、数据库审计等,检测对主机和网络的入侵行为。
主页防篡改系统。主页防篡改系统能够自动检测黑客对站点的破坏,自动恢复站点被篡改的内容,发送E-mail提醒管理员注意,黑客在站点上任意添加文件
也会被删除。
病毒防范系统。通过在与外部进行信息交互的设备上安和在内部网各工作站和PC机上安装病毒防护系统达到病毒防范。
3)应用服务系统
DNS系统。DNS就是Domain Name System(域名系统),域名类似于互联网上的门牌号码,是用于识别和定位互联网上计算机的层次结构式字符标识,与该计
算机的互联网协议(IP)地址相对应。但相对于IP地址而言,更便于使用者理解
和记忆。域名属于互联网上的基础服务,基于域名可以提供WWW、E-mail、FTP
等应用服务。
BBS子系统。学校服务学生的一种功能,既可以使学生通过BBS的交流,又可以对学校的进行公开讨论,对学校的发展出谋划策等。
E-mail子系统。邮件系统主要为用户提供电子邮件服务。邮件系统要有强大的后台管理功能、方便易用的前台操作系统以及高度的扩展能力。
WEB子系统。网络工程系网站的WEB系统主要用于发布最新消息。
c)结构分析
1)机房区域,主要放置网络工程系网站的网络系统和服务器系统及安全系统,对外连接Internet,主要负责提供对外服务,对内连接办公区域,使制作的信息内容及时上传至相关服务器,机房区域按逻辑划分主要包括Internet接入层,负载均衡层,安全防护层,应用服务层,内网维护层,具体情况如下:
Internet接入层,机房与Internet接入的出口路由器选用Cisco3661路由器。
配置ATM光纤模块,申请10M带宽保证整个系统在Internet上提供相应的服务。
同时配置DDN模块并使用DDN作为备用线路。
负载均衡层,作为系统应用核心设备,设计为双冗余架构,有效解决了核心设备单点故障问题,当一台发生故障时,另一台将自动接替服务,无需人工干涉,保证系统不中断的提供服务,选用2台F5四层交换机。通过使用负载均衡技术,实现针对各种服务进行灵活的流量分配,实现应用服务的群集效果,有效的解决了应用的单点故障。灵活的配置方式,使群集具有良好的可收缩性和可扩展性,使系统在无须停止服务的情况,完成应用系统的调整。加上多样化的负载均衡策略,智能化的流量管理,使服务器群组达到最大的效率可达到最佳的负载均衡需求。同时自带的SSL加速功能提高了应用系统的安全授权认证如SSL 应用的性能。相比昂贵的HA Cluster软件,F5负载均衡设备既节省了费用,又实现系统的高可用性和灵活的扩展性。
安全防护层。作为系统安全核心设备,设计为双冗余架构,两台防火墙分别与两台四层交换机相连,此次方案防火墙选用Linktrust Cyberwall。先进的基于状态检测的防火墙技术,对系统内部的护地址进行有效的屏蔽,保护系统免于遭受外界攻击。并选用入侵检测系统(IDS)进行安全审计和安全防护。
采用2台Cisco2950-4汇接所有的服务器,包括各个应用系统的服务器,提供各种应用服务。遵循内外网分离的原则,外网提供服务,内网放置关键数据服务库器及进行监控,维护。
应用服务层,系统设计中避免了重要系统的单点故障,应用系统设计由2 台服务器同时提供服务,使用负载均衡技术实现应用系统高可用性,整个系统中一台服务器的故障将不影响服务的正常提供,应用系统包括网站主系统、邮件系统、DNS系统、BBS系统。各系统充分了体现网站的服务功能,能在各个层次方便学生的使用。
2)办公区域,此网络主要包括信息发布系统和信息发布系统的远程接入系统。
办公区域远程接入采用Cisco3661路由器,配置Modem模块,DDN模块,VPN 模块,实现多种接入方式如:PSTN 拨号接入,Internet VPN接入,DDN接入。 采用1台Cisco2950-24汇接信息发布系统,并与机房内网相连。
由于办公区域与机房区域距离较近,故使用网线直接连接,将办公区域网络和机房内网物理沟通,保证信息及时、有效、安全的上传至应用服务器发布。 使用防病毒网关过滤上传到服务器的文件,保证上传内容不受病毒感染。并分配不同的IP地址段,从逻辑上隔绝办公区域和机房区域内网的直接相连。
4 的具体实现
通过选择符合网络工程系实际情况和网络工程系网站系统需要网络设、系统服务器、安全系统和设计满足网站功能定位的应用软件系统对网络工程系网站进行的具体实现。
4.1 网络设备具体实现
4.1.1 实现原则
a)稳定性原则。网络设备的关键在于要为整个系统提供一个稳定可靠的网络环境,而Cisco设备的平均无故障时间是25年,所以选用Cisco的网络设备是非常稳定的。同样,Cisco公司的四层交换机也在业界同类产品中处于领先水平。
b)优越的性能原则。Cisco的网络设备使用的技术处于世界尖端水平,其设备使用的IOS软件提供高效的数据交换方式,使整个网络拥有了优越的网络交换能力。
c)安全可靠性原则。采用先进的安全管理机制,实时对网络状况进行监控,便于在故障前发现问题,有效的保障网络服务的正常运行。
d)技术先进性。采用先进的负载均衡技术,对系统的请求进行合理分配,使系统整体性能效率最大化。同时,四层交换机可以在不停止服务的情况下,增加或减少服务器,使应用系统处于最佳服务状态,具有更好的可扩展性。
e)高质服务。Cisco公司环球技术支持体系是在全球范围内建立了一个完整的技术支持系统。技术支持系统包括Cisco公司的四个主要技术支持中心对全球不同地区的用户提供全方位的技术支持。这些中心提供每周7天、每天24小时的技术服务。
4.1.2 选型情况
网络工程系网站系统设计网络设备选型情况如表4.1所示:
表4.1 网络设备选型情况
4.1.3 网络设备特性
Cisco 2950支持808Gbps交换结构和最大660万包/秒的传输速率,能够保证最大的吞吐量-即使对最高性能需求的应用而言也是如此。同时支持硬件IGMP侦听的超级组播管理能力,支持VMPS功能(计划将来使用)的动态VLAN,支持基于802.1pCoS值或网络管理员为每个端口制定缺省CoS值来对数据帧进行重新分类。Cisco2950快速上行链路技术保证快速的故障恢复(典型值小于3秒),使网络的综合性能更加稳定和可靠。
Cisco3661路由器高性能的RISC结构能够提供最高120Kpps的快速交换能力和最高12Kpps的处理交换能力,支持两个AIM插槽,可用于硬件加速和增加处理能力,以满足网络扩展后应用程序的要求。支持从ATM T1/E1 IMA到OC-3的接口,为链接提供了非常大的灵活性和很高的带宽,能够满足未来应用的需要。双列快闪存储器可以将Cisco IOS备份的快闪存储器上,减少了宕机时间。
F5 BIG-IP2000负载均衡设备提供线性IGB以上的交换能力,提供多种负载均衡算法,能够完全支持HTTP1.l协议,支持对HTTP请求的重定向能力,支持所有基于TCP/UDP的应用和NAT。拥有对网页内容检测的能力,支持对数据库、中间件、应用服务器的应用状态检测手段。能够提供抗DOS攻击能力。
4.2 系统服务器具体实现
4.2.1 选型情况
系统服务器选择情况如表4.2所示: