摘 要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展，單服務(wù)器網(wǎng)站逐漸被多服務(wù)器網(wǎng)站代替，網(wǎng)站安全問題隨之而來。本文說明了多服務(wù)器網(wǎng)站的基本原理并論述了多服務(wù)器網(wǎng)站的安全問題。

關(guān)鍵詞：?jiǎn)畏?wù)器網(wǎng)站；多服務(wù)器網(wǎng)站；網(wǎng)站安全；用戶管理負(fù)載平衡

[中圖分類號(hào)]：TN711 [文獻(xiàn)標(biāo)識(shí)碼]：A

[文章編號(hào)]：1002-2139（2013）-23--01

最典型的網(wǎng)站只有一個(gè)響應(yīng)HTTP請(qǐng)求的網(wǎng)絡(luò)服務(wù)器，這個(gè)服務(wù)器既可以使用ASP產(chǎn)生動(dòng)態(tài)網(wǎng)頁(yè)，也可以只提供靜態(tài)內(nèi)容。這個(gè)服務(wù)器還可能連接到本地或遠(yuǎn)程的數(shù)據(jù)庫(kù)上。這樣的網(wǎng)站系統(tǒng)結(jié)構(gòu)簡(jiǎn)單，維護(hù)方便。但網(wǎng)站也存在著問題。首先，隨著用戶數(shù)量的增加，其性能開始下降。另外，網(wǎng)站需要升級(jí)和維護(hù)時(shí)，網(wǎng)站必須停下來，導(dǎo)致網(wǎng)站不能被訪問。此時(shí)我們可以考慮使用多網(wǎng)絡(luò)服務(wù)器分散或平衡負(fù)載。多服務(wù)器網(wǎng)站的配置是：

Internet——幾種網(wǎng)絡(luò)服務(wù)——數(shù)據(jù)庫(kù)服務(wù)器

一、多服務(wù)器網(wǎng)站系統(tǒng)

在多服務(wù)器網(wǎng)站系統(tǒng)中，包含有兩臺(tái)以上的網(wǎng)絡(luò)服務(wù)器，最少一臺(tái)數(shù)據(jù)庫(kù)服務(wù)器，但必須保證網(wǎng)絡(luò)服務(wù)器多于數(shù)據(jù)庫(kù)服務(wù)器。用戶的請(qǐng)求進(jìn)入到幾個(gè)網(wǎng)絡(luò)服務(wù)器中的一個(gè)，這個(gè)服務(wù)器在處理請(qǐng)求的過程中從數(shù)據(jù)庫(kù)服務(wù)器中讀取數(shù)據(jù)，或者向其中寫入數(shù)據(jù)。如果一臺(tái)網(wǎng)絡(luò)服務(wù)器出了故障，其他的網(wǎng)絡(luò)服務(wù)器將會(huì)處理這些附加的請(qǐng)求。這種配置提供了負(fù)載平衡，負(fù)載將被分配或平衡到多個(gè)網(wǎng)絡(luò)服務(wù)器上。這種配置也提供容錯(cuò)，任何一部分出現(xiàn)故障將不影響網(wǎng)站的可用性。此外，一個(gè)數(shù)據(jù)庫(kù)服務(wù)器能夠處理由多個(gè)網(wǎng)絡(luò)服務(wù)器產(chǎn)生的負(fù)載，這樣可以不必平衡數(shù)據(jù)庫(kù)服務(wù)器負(fù)載。但是仍然需要防止任何單臺(tái)機(jī)器的故障導(dǎo)致整個(gè)網(wǎng)站癱瘓，出于這一目的，要給數(shù)據(jù)庫(kù)服務(wù)器一個(gè)冗余的后備配置。總而言之，使用Web陣有許多優(yōu)點(diǎn)， 例如，增強(qiáng)了事務(wù)性的吞吐量：允許大量的用戶同時(shí)工作：增加了容錯(cuò)能力；增強(qiáng)了可用性，在例行維護(hù)時(shí)不用停機(jī)。

二、多服務(wù)器網(wǎng)站系統(tǒng)的安全

對(duì)于向Internet開放的多服務(wù)器網(wǎng)站，安全管理是一個(gè)永遠(yuǎn)不能忽視的內(nèi)容。我們將從用戶管理的方式和平衡負(fù)載兩方面來討論。

1、用戶管理如果網(wǎng)站允許用戶在任何地點(diǎn)登錄，必然會(huì)威脅到多服務(wù)器網(wǎng)站的安全。跟蹤和控制用戶訪問的最簡(jiǎn)單的方式是通過本地的用戶注冊(cè)表。但是本地的用戶注冊(cè)表對(duì)于多服務(wù)器網(wǎng)站來說是不夠的。對(duì)于一個(gè)多服務(wù)器網(wǎng)站，有兩個(gè)地方可存儲(chǔ)用戶的證書：針對(duì)特定域的Windows用戶注冊(cè)表：譯成密碼存儲(chǔ)在一個(gè)中心數(shù)據(jù)存儲(chǔ)中。

（1） Windows用戶注冊(cè)表表面上看， NT域的用戶注冊(cè)表好像是理想的存儲(chǔ)用戶帳號(hào)信息的地方。驗(yàn)證簡(jiǎn)單，用戶的口令可以自動(dòng)管理和存儲(chǔ)，不必?fù)?dān)心加密問題。但是，用戶注冊(cè)表也用于允許和禁止對(duì)系統(tǒng)上所有資源的訪問。也就是說，系統(tǒng)內(nèi)的每一個(gè)用戶都有訪問域內(nèi)的所有機(jī)器的帳號(hào)，所以設(shè)定帳號(hào)權(quán)限時(shí)應(yīng)十分注意。

此外，在Web陣中的所有機(jī)器都必需是一個(gè)域內(nèi)的成員?？梢詮倪@個(gè)域內(nèi)的一臺(tái)機(jī)器上對(duì)所有服務(wù)器資源進(jìn)行訪問。我們的安全目標(biāo)是，任何機(jī)器在安全性受損害時(shí)都應(yīng)該不影響這個(gè)站點(diǎn)內(nèi)的其他機(jī)器。

（2）中心數(shù)據(jù)存儲(chǔ)另一種存儲(chǔ)域內(nèi)用戶信息的方式就是將用戶的信息存儲(chǔ)在數(shù)據(jù)庫(kù)中。在ASP頁(yè)面 或者ISAP過濾器中檢查用戶信息非常簡(jiǎn)單，依據(jù)數(shù)據(jù)庫(kù)進(jìn)行驗(yàn)證也很容易。這不需要依靠各種各樣網(wǎng)絡(luò)服務(wù)器之間的連接。在數(shù)據(jù)庫(kù)中存儲(chǔ)口令信息的問題是，任何能對(duì)數(shù)據(jù)庫(kù)進(jìn)行讀查詢?cè)L問的人都能夠檢索出用戶的口令。對(duì)于這個(gè)問題，管理員可以利用一種商業(yè)加密技術(shù)保證口令以不可用的形式存儲(chǔ)。對(duì)于用戶管理和驗(yàn)證可以采用Commerce Server 。 Commerce Server提供用戶管理功能，并允許將網(wǎng)站的驗(yàn)證綁定到Commerce Server的用戶數(shù)據(jù)庫(kù)。Commerce Server 安裝量巨大，并且依賴于LDAP訪問用戶的數(shù)據(jù)。這比直接的數(shù)據(jù)庫(kù)訪問要慢的多。但是，它正好為這個(gè)問題提供了一種方便的解決方案。

2、負(fù)載平衡 NLB （Network Load Balancing）服務(wù)通過在集群服務(wù)器中進(jìn)行持續(xù)通信來管理負(fù)載平衡。 這意味著某臺(tái)機(jī)器的安全性受損害時(shí)，可能對(duì)整個(gè) Web陣的安全產(chǎn)生不利影響。然而，在任何時(shí)間都有很多機(jī)器在它們之間傳遞信息并使用這些信息調(diào)節(jié)系統(tǒng)的行為與操作，這不會(huì)給系統(tǒng)帶來太大的風(fēng)險(xiǎn)。

建立一個(gè)穩(wěn)固的可擴(kuò)展的網(wǎng)站是一個(gè)深?yuàn)W的課題。建立一個(gè)多服務(wù)器的網(wǎng)站增加了開發(fā)和測(cè)試的復(fù)雜性和難度。必須及時(shí)解決網(wǎng)絡(luò)的狀態(tài)與安全問題。如果需要處理太量的用戶或者需要提供高的可用性， 那么從一開始建立系統(tǒng)時(shí)就要考慮系統(tǒng)的容量，這樣會(huì)使問題變得更加簡(jiǎn)單。

參考文獻(xiàn)：

[1]戴有煒. Windows 2網(wǎng)絡(luò)專業(yè)指南 。清華大學(xué)出版社

[2]宣小平、但正剛、張文毅. ASP數(shù)據(jù)庫(kù)系統(tǒng)開發(fā)實(shí)例 導(dǎo)航 人民郵電出版社

[3]蔣川群.一種新型的信息獲取增值服務(wù)平臺(tái).計(jì)算機(jī)工程，

[4][美] Douglas. Comer.計(jì)算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng)：電子工業(yè)出版社