网站转发器的作用或角色往往比较多,既像是代理服务器(而且往往是反向代理服务器)又像是堡垒主机(具有很高的安全与控制能力)。熟悉DNS服务器的人都知道DNS服务器中的转发器,用于当DNS服务器本身没有用户要查询的内容时将查询请求转发给另一台DNS服务器(往往此服务器更加的权威),网站转发器也是如此。网站转发器往往和DNS服务器、堡垒主机或负载均衡等服务器一样,位于DMZ区域,通常拥有一个公网IP和内网IP。它既允许Internet上的主机(用户)访问它所“提供”(代理)的服务,又能与内网的服务器进行通信,并能最大程度上保护内网的服务器的安全。
网站转发器往往采用比较安全的UNIX/Linux或专门设计的操作系统来作为转发服务器的操作系统。这样的系统往往有如下的特性:
1. 管理性强,带有大量管理程序;
2. 安全性好,往往带有软件防火墙和特殊的安全模块,可以抵御恶意的攻击;
3. 占用资源小,稳定性高;
4. 带有日志系统,可供管理员审计和查阅系统日志;
5. 可扩展,便于对功能的增加、删除、变更等操作;
为人们所熟悉和广泛认同的Linux操作系统非常适合做这样的工作,上面所说的特性几乎完全满足。通常Linux在安全方面遇到的威胁要远远小于当前流行的任何Windows操作系统。假如不得不在Windows部署应用,则将Linux作为它们的前端服务器则无疑是最佳的做法。而且这种做法也是最经济、最节约成本但最有效的做法,它比任何一款硬件防火墙都要实惠又方便,而且所有的成本加起来都低的惊人。
典型的拓扑图如下所示:
典型的网站转发器部署实例:由于转发器的特殊地位和它本身要具有的作用,因此它需要认真的部署或配置,下面是一个简单的提纲:
1. 需求与功能确认以及准备部署清单(非常重要);
2. 选择合适的Linux发行版本并按照规范部署操作系统;
3. 对系统进行安全加固(最关键的步骤);
4. 部署网站服务器(需要选择网站服务器的架构以及可能需要结合DNS服务器进行配置);
5. 配置防火墙(iptables),允许例外;
6. 测试与实验,验证清单列出的功能,制作文档和操作记录;
7. 按照规范的流程和要求安装上线;
目前此方法已经在不少的中小型企业和教育单位的生产系统成功地担当了它的职能,而它的部分思路和部分方法在大型企业、银行和政府也有极大地参考价值。
本文转自 urey_pp 51CTO博客,原文链接:http://blog.51cto.com/dgd2010/1394078,如需转载请自行联系原作者
