完整word版系统容错和安全机制.docx
《完整word版系统容错和安全机制.docx》由会员分享,可在线阅读,更多相关《完整word版系统容错和安全机制.docx(21页珍藏版)》请在冰点文库上搜索。
完整word版系统容错和安全机制
网络系统的容错和安全设计
第一章网络系统的容错设计
一.网络容错概述
采用用友网络财务软件NC(基金Web版)Web系统后,基金管理公司及托管行的所有数据都存放在数据库服务器中,服务器的宕机,会给企业带来巨大的损失;这就要求一旦生产用服务器产生任何形式的宕机或失效,网络上备用的服务器能够立即接管宕机的服务器使整个系统不至于崩溃,从而保证整个企业的业务连续运作。
保证系统高可用性,应从以下几方面着手设计:
1、数据镜像
数据镜像是一种有效、高性能的高可用性解决方案,它不需要昂贵的RAID磁盘子系统,也无需考虑SCSI接口对缆线长度的限制。
可扩展的磁盘镜像运行在两台相互独立又有备份逻辑的服务器之间。
通过不断检测主系统磁盘或文件(源)的状态,而实时地将改动的信息镜像到目标机器的相应磁盘上或文件中。
为了保证数据的完整性,扩展镜像限制了用户对目标磁盘或文件的写操作。
通过使用可扩展的磁盘镜像,源系统的任何数据更新将通过LANs和WANs镜像到用户指定的目标系统上,当源系统发生数据丢失或硬盘损坏时在目标系统上将保留一份镜像数据。
有些可扩展的磁盘镜像软件可以实现一对一、一对多、多对一及多对多的数据镜像而不需要任何附加的硬件设备。
2、故障切换
从系统确信不能收到来自主系统的”alive”心跳信号后,就开始启动从系统上的自动恢复功能,将主系统上的需要保护的资源自动转移到从系统上,并开始向客户提供服务。
一个比较好的机制在于如果从系统感觉不到主系统的心跳后,试图通过其他途径做进一步地检测(例如检测其他客户机是否不能获得主系统的服务)。
故障切换的时间是指从系统自确信主系统“死掉”后,到完全接管主系统并向客户提供服务止所经历的时间,时间越短,热备份程度越高。
当从服务器发生故障时,不应对主系统有任何影响。
3、失效切换
源要转移到从系统上去,这就不但要求系统中的核心数据能转移过来,还要求将其他资源转移过来。
与客户关系比较密切的资源主要是:
LAN局部网名,IP地址、应用程序、以及应用程序所依赖的数据。
4、自动恢复
要求在主服务器失效后,修复好后,IP地址、局部网名字、数据应用与服务应该方便地恢复到主服务器上
5、私有通信
纯软件实现的双机容错技术要求将主服务器的关键数据完全镜像到从服务器,大量的数据如果通过网络进行,必然会对网络性能造成影响,另外主从服务器的相互检测机制也会不同程度的影响网络性能。
因此纯软件实现的双机容错技术能够提供附加的网卡链路将会有很大的好处。
6、应用保护
双机容错系统应该提供非常可靠的应用程序保护机制,对于常用的数据库和群件系统应该能够进行无缝集成。
7、写盘延迟
这是一个比较重要的参数,是指数据写入主服务器与写入从服务器的时间差。
二.WindowsNT平台下的双机容错软件——LegatoOctopus
OctopusHA+forWindowsNT提供一个完全容错的软件解决方案,它提供数据、应用程序和通讯资源的高度可用性。
Octopus不需要任何自定义的容错硬件。
Octopus提供了WindowsNT网络平台的数据容错和实时数据保护,并且能够模拟从一台失效的源服务器切换到指定的目标服务器的全部手工作业过程,用来提供不间断的服务器的所有业务服务。
Fulltime公司研制开发的Octopus软件提供了WindowsNT网络平台的双机热备份功能。
它能够实现数据容错和实时数据保护,源系统的任何数据更新将通过LANs和WANs镜像到用户指定的目标系统上,当源系统发生数据丢失或硬盘损坏时在目标系统上能够得到一份镜像文件。
Octopus可以实现一对一、一对多、多对一及多对多的数据镜像而不需要任何附加的硬件设备。
它还能够模拟从一台失效的源服务器切换到指定的目标服务器的全部手工作业过程。
它通过设计一个"检测狗"判定源服务器的连续运做。
一旦"检测狗""闻"不到源服务器的"气息",目标服务器将自动接管源服务器的作业(包括主机名及IP地址)。
Octopus消除了CPU损坏,硬盘损坏等灾难的不良影响,使得用户业务可以连续正常运行。
OctopusHA+forWindowsNT为WindowsNT网络提供实时数据保护和服务器高可用性,通过LAN或WAN,产品捕捉在源系统上选定文件的更新,传递到使用者指定的目标系统的磁盘。
即使源系统发生数据丢失或硬件损坏,在目标系统上也能保留一份实时的数据。
用户将Octopus安装在要作为源和/或目标服务器的WindowsNT上。
安装和配置Octopus非常容易,只需几分钟。
Octopus可运行于任何WindowsNT支持的网络接口上,并且不需要指定特殊的网卡。
当然,用户也可以指定特殊的网卡以减少网络负担。
对源机器,用户指定要备份的驱动器,目录和/或文件,并指定用来保存数据的目标系统。
当源机器上指定文件发生改变,Octopus镜像进程把变化同步写入目标服务器的指定位置。
如果源和目标服务器的网络连接发生中断,Octopus保存源服务器上需镜像的数据变化的日志,网络连接恢复正常后,再把数据变化日志自动地传送到目标服务器,目标服务器执行相同的数据变化,以实现数据一致。
Octopus能实现一对一,一对多,多对一或多对多方式的数据镜像。
因此,除数据保护之外,它还能作为分布式数据系统的高效率的数据传送工具循环。
例如,对需要很多只读版本和一个读写版本的WEB节点,Octopus非常适用;另一方面,如果应用系统需要收集远端节点的数据并集中于中央节点,可以使用Octopus多对一方式的数据镜像。
除数据保护之外,Octopus也提供核心业务环境下所需的服务器高可用性和业务连续性。
SASO(SuperAutoSwitch-over)特性提供目标服务器自动担任一或多个源服务器的角色的功能。
在源服务器上用户设定一个"心跳"频率,"心跳"频率决定了源服务器向目标服务器发送"I'malive"消息的频率和目标服务器多长时间收不到源服务器的消息后就开始自动切换。
如果目标系统在限定的时间之内接收不到源系统"I'malive"报文,它检查WindowsNT注册表和服务数据库。
如果WindowsNT能在网络上找到源服务器,它就持续监视,如果找不到,就启动Switch-over进程。
在大的网络它可能花很长时间来搜索WindowsNT注册表和服务数据库。
因此Octopus提供一个最大等待时间参数,告诉Octopus不必等搜索完成,就启动切换进程。
这个特性使用户可以指定一个目标服务器寻找源服务器的最大时间,如果在这个时间内目标服务器收不到源服务器的信息,就假定源服务器失效并开始进行切换。
通过SASO,目标服务器添加源服务器的主机名,及用户指定的IP地址,用户还可以指定在切换前/后要停止/启动的服务或应用。
切换后,目标服务器自身的应用仍可使用,并且可加入多个失效服务器的角色。
网络中的用户可以继续工作而感觉不到服务器已经失效并已经被切换。
而通过ASO则是目标服务器完全切换成源服务器的主机名,代替源服务器的工作。
如果你有WindowsNT服务器,通过Octopus的实时数据保护和高可用性,可保护你的服务器和有价值的数据。
Octopus软件的特性:
a.没有延迟实时镜像数据;
b.镜像实际文件操作,不是全文件比较或拷贝;
c.镜像使用者指定的文件、目录、或磁盘,而不是整个磁盘、分区或卷集;
d.可对打开的文件进行操作;
e.对删除的保护;
f.每个服务器都可做为源或目标;
g.数据可以通过NT网络镜像到任何地方;
h.无须附加的硬件;
i.允许镜像至多个位置;
j.自动切换无须人工干涉;
k.SuperAutomaticSwitch-Over允许目标服务器可接管多台服务器的服务而不影响本身的应用;
l.在切换时可指定服务、应用;
m.远程管理或安装;
n.可以选用附加的网卡来减轻网络负担。
三.惠普双机双控容错系统方案
(1)惠普双机双控容错系统简介
近年来随着计算机技术的飞速发展,服务器的性能有了大幅度的提升,服务器作为处理关键性事物的业务主机已随处可见。
对于要求有高可用性和高安全性的系统,比如金融、邮电、交通、石油、电力、保险、证券等行业,用户提出了系统容错的要求。
惠普公司根据用户这一要求,推出了惠普双机双控容错系统方案。
用二台服务器共同工作,当一台服务器的系统出现故障时,另一台服务器可确保系统正常运行,从而将系统风险降低到最低限度,保障了系统的高可靠性、高安全性和高可用性。
惠普双机双控容错系统技术基础为近年来成熟起来的Cluster集群技术。
Cluster集群技术出发点是提供高可靠性、可扩充性和抗灾难性。
惠普双机双控容错系统解决方案重点在提供高可靠性和高安全性,Cluster集群技术为此提供了技术上的保证。
惠普公司为金融、邮电、交通、石油、电力、保险、证券等需要安全运行的系统度身定作了基于Cluster集群技术的双机双控容错系统方案。
Cluster集群技术
Cluster集群技术可如下定义:
一组相互独立的服务器在网络中表现为单一的系统,并以单一系统的模式加以管理。
此单一系统为客户工作站提供高可靠性的服务。
Cluster大多数模式下,集群中所有的计算机拥有一个共同的名称,集群内任一系统上运行的服务可被所有的网络客户所使用。
Cluster必须可以协调管理各分离的组件的错误和失败,并可透明地向Cluster中加入组件。
一个Cluster包含多台(至少二台)拥有共享数据储存空间的服务器。
任何一台服务器运行一个应用时,应用数据被存储在共享的数据空间内。
每台服务器的操作系统和应用程序文件存储在其各自的本地储存空间上。
Cluster内各节点服务器通过一内部局域网相互通讯。
当一台节点服务器发生故障时,这台服务器上所运行的应用程序将在另一节点服务器上被自动接管。
当一个应用服务发生故障时,应用服务将被重新启动或被另一台服务器接管。
当以上任一故障发生时,客户将能很快连接到新的应用服务上。
图1-1Cluster集群技术示意图
Cluster集群可由N台服务器构成,当我们取Cluster要求的最小值N=2时,就成为一个双机系统。
(2).HPNetServerClusters双机双控容错系统方案
惠普NetServer为双机双控容错系统提供了高品质和高可靠的硬件基础。
惠普把稳定的产品与先进的技术相互结合,为客户提供全套的解决方案。
惠普双机双控容错系统结合了惠普服务器产品的安全可靠性与Cluster技术的优点,相互配合二者的优势。
惠普NetServer服务器针对Cluster技术做了许多优化和改进,满足了Cluster所有硬件连接要求,针对Cluster需求专门设计了惠普独有的ClusterAdapter,以及特殊版本的NetRAID阵列卡。
惠普与第三方软件厂商一起充分分析了客户的需求,基于UNIX应用环境的实际情况,研制了双机双控软件ServerGuard;基于WindowsNT应用环境的实际情况,研制了双机双控软件DataWare。
与微软公司合作,提供了运行WolfPack的硬件平台。
惠普双机双控容错系统是惠普提供的全套解决方案,并由惠普提供技术保障。
图1-2惠普双机双控容错系统示意图
第二章网络的安全规划与设计
一.网络系统安全综合解决方案
由于大型网络系统内运行多种网络协议(TCP/IP,IPX/SPX,NETBEUA),而这些网络协议并非专为安全通讯而设计。
所以,网络系统可能存在的安全威胁来自以下方面:
1、操作系统的安全性。
目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。
2、防火墙的安全性。
防火墙产品自身是否安全,是否设置错误,需要经过检验。
3、来自内部网用户的安全威胁。
缺乏有效的手段监视、评估网络系统的安全性。
4、采用的TCP/IP协议族软件,本身缺乏安全性。
5、未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。
6、应用服务的安全。
许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。
二.局域网安全解决方案
由于局域网中采用广播方式,因此,若在某个广播域中可以侦听到所有的信息包,黑客就可以对信息包进行分析,那么本广播域的信息传递都会暴露在黑客面前。
1、网络分段
网络分段是保证安全的一项重措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
网络分段可分为物理分段和逻辑分段两种方式:
物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。
目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。
逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。
例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。
在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。
2、VLAN的实现
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。
交换技术将传统的基于广播的局域网技术发展为面向连接的技术。
因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
以太网从本质上基于广播机制,但应用了交换机和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
由以上运行机制带来的网络安全的好处是显而易见的:
信息只到达应该到达的地点。
因此,防止了大部分基于网络监听的入侵手段。
通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。
但是,虚拟网技术也带来了新的问题:
执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。
基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。
基于MAC的VLAN不能防止MAC欺骗攻击。
采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。
因此,VLAN的划分最好基于交换机端口。
但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
三.广域网安全解决方案
由于广域网采用公网传输数据,因而在广域网上进行传输时信息也可能会被不法分子截取。
如分支机构从异地发一个信息到总部时,这个信息包就可能被人截取和利用。
因此在广域网上发送和接收信息时要保证:
1、除了发送方和接收方外,其他人是不可知悉的(隐私性);
2、传送过程中不被篡改(真实性);
3、发送方能确信接收方不是假冒的(非伪装性);
4、发送方不能否认自己的发送行为(非否认)。
如果没有专门的软件对数据进行控制,所有的广域网通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取。
这种形式的“攻击”是相对比较容易成功的,只要使用现在可以很容易得到的“包检测”软件即可。
如果从一个联网的UNIX工作站上使用“跟踪路由”命令的话,就可以看见数据从客户机传送到服务器要经过多少种不同的节点和系统,所有这些都被认为是最容易受到黑客攻击的目标。
一般地,一个监听攻击只需通过在传输数据的末尾获取IP包的信息即可以完成。
这种办法并不需要特别的物理访问。
如果对网络用线具有直接的物理访问的话,还可以使用网络诊断软件来进行窃听。
对付这类攻击的办法就是对传输的信息进行加密,或者是至少要对包含敏感数据的部分信息进行加密。
(1)、加密技术
加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性,因而这一类安全保障技术的基石是使用放大数据加密技术及其在分布式系统中的应用。
数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。
对称型加密使用单个密钥对数据进行加密或解密,其特点是计算量小、加密效率高。
但是此类算法在分布式系统上使用较为困难,主要是密钥管理困难,从而使用成本较高,保安性能也不易保证。
这类算法的代表是在计算机专网系统中广泛使用的DES算法(DigitalEncryptionStandard)。
不对称型加密算法也称公用密钥算法,其特点是有二个密钥(即公用密钥和私有密钥),只有二者搭配使用才能完成加密和解密的全过程。
由于不对称算法拥有二个密钥,它特别适用于分布式系统中的数据加密,在Internet中得到广泛应用。
其中公用密钥在网上公布,为数据对数据加密使用,而用于解密的相应私有密钥则由数据的接收方妥善保管。
不对称加密的另一用法称为“数字签名”(digitalsignature),即数据源使用其私有密钥对数据的求校验和(checksum)或其它与数据内容有关的变量进行加密,而数据接收方则用相应的公用密钥解读“数字签名”,并将解读结果用于对数据完整性的检验。
在网络系统中得到应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA算法(DigitalSignatureAlgorithm)。
不对称加密法在分布式系统中应用需注意的问题是如何管理和确认公用密钥的合法性。
不可逆加密算法的特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。
不可逆加密算法不存在密钥保管和分发问题,适合于分布式网络系统上使用,但是其加密计算工作量相当可观,所以通常用于数据量有限的情形下的加密,例如计算机系统中的口令就是利用不可逆算法加密的。
近来随着计算机系统性能的不断改善,不可逆加密的应用逐渐增加。
在计算机网络中应用较多的有RSA公司发明的MD5算法和由美国国家标准局建议的可靠不可逆加密标准(SHS-SecureHashStandard)。
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。
前者通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。
在网络层上实现的加密技术对于网络应用层的用户通常是透明的。
此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。
SKIP协议即是近来IETF在这方面的努力之一。
面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,例如使用Kerberos服务的telnet、NFS、rlogion等,以及用作电子邮件加密的PEM(PrivacyEnhancedMail)和PGP(PrettyGoodPrivacy)。
这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
(2)、数字签名和认证技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证过程通常涉及到加密和密钥交换。
通常,加密可使用对称加密、不对称加密及两种加密方法的混合。
(3)、UserName/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、login等,但此种认证方式过程不加密,即password容易被监听和解密。
(4)、使用摘要算法的认证
Radius(拨号认证协议)、OSPF(路由协议)、SNMPSecurityProtocol等均使用共享的SecurityKey,加上摘要算法(MD5)进行认证,由于摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能技术出共享的securitykey,敏感信息不在网络上传输。
市场上主要采用的摘要算法有MD5和SHA-1。
(5)、基于PKI的认证
使用公开密钥体系进行认证和加密。
该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来。
这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。
该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
(6)、数字签名
数字签名作为验证发送者身份和消息完整性的根据。
公共密钥系统(如RSA)基于私有/公共密钥对,作为验证发送者身份和消息完整性的根据,CA使用私有密钥技术其数字签名,利用CA提供的公共密钥,任何人均可验证签名的真实性。
伪造数字签名从计算机能力上不可行的。
并且,如果消息随数字签名一同发送,对消息的任何修改在验证数字签名时都将会被发现。
通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥,并使用该密钥对消息加密。
Diffie-Hellman密钥由CA进行验证。
下表列出了加密模式使用的密钥技术
类型
技术
用途
基本会话密钥
DES
加密通讯
加密密钥
Deff-Hellman
生成会话密钥
认证密钥
RSA
验证加密密钥
基于此种加密模式,需要管理的密钥数目与通讯者的数量为线性关系。
而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。
(7)、VPN技术
网络系统总部和各分支机构之间采用公网网络进行连接,其最大的弱点在于缺乏足够的安全性。
企业网络接入到公网中,暴露出两个主要危险:
a、来自公网的XX的对企业内部网的存取。
b、当网络系统通过公网进行通讯时,信息可能受到窃听和非法修改。
完整的集成化的企业范围的VPN安全解决方案,提供在公网上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。
VPN技术的原理:
VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。
它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
其处理过程大体是这样:
a、要保护的主机发送明文信息到连接公共网络的VPN设备;
b、VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。
c、对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。
d、VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。
e、VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。
当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。
(8)、IPSec
IPSec作为在IPv4及IPv6上的加密通讯框架,已为大多数厂商所支持。
IPSec主要提供IP网络层上的加密通讯能力。
该标准为每个IP包增加了新的包头格式,AuthenticationHeader(AH)及encapsulatingsecuritypayload(ESP)。
IPSec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(SecurityAssociation)。
IPSec包含两个部分:
a、IPsecurityProtocolproper,定义IPSec报头格式。
b、ISAKMP/Oakley,负责加密通讯协商。
IPSec提供了两种加密通讯手段:
IPSecTunnel:
整个IP封装在Ipsec-gateway之间的通讯。
Ipsectransport:
对IP包内的数据进行加密,使用原来的源地址和目的地址。
IPsecTunnel不要求修改已配备好的设备和
升级会员 