| 4楼 |
 Re: 服务器学堂: 代理服务器一般的使用原理与选购细则 |
| |
Web服务器群集有如下特点:
高性能 :一个Web服务器群集系统由多台Web服务器组成,对外部而言,整个群集就如同一台高性能Web服务器,系统只有一个对外的网络地址(主机名或IP地址),所有的HTTP请求都发到这个地址上。系统中有专门的机制能够将这些请求按照一定原则分发到群集中的各台服务器上,让它们各自分担一部分工作。
可扩展性 它是采用同样的方法或技术高效率地支持较大规模系统的能力。Web服务器群集系统的组成结构和工作原理决定了它能够比较容易地达到较好的可扩展性,因为扩大系统规模非常容易,只要在网络中增加新的Web服务器计算机即可。
高可用性 Web服务器群集系统将会在各种商业应用领域中占有举足轻重的地位。商用系统最重视系统的可靠性和容错性,二者合在一起称为系统的可用性。常用的系统可用性指标有系统平均无故障时间、期望不间断工作时间及年平均故障率等。由于Web服务器群集系统中各台Web服务器之间相对独立,采用一些不太复杂的技术就能使Web服务器群集系统达到很高的可用性。一些商用产品中已经部分实现了这种技术。
此外,Web服务器群集系统还具有价格便宜、能够保护原有投资等特点。
目前比较成熟的产品主要有Cisco的LocalDirector、IBM的Network Dispatcher、HydraWEB的HydraWEB Dispatcher和RND的Web Server Director等等。这些产品的应用非常广泛,如Yahoo、Net Center和MSN都是用几百到几千台计算机组成Web 服务器群集来对外提供服务,它们使用了上述产品。
以下是对2个Web服务器群集产品的分析:
Scalable Web Server Cluster UIUC的NCSA Scalable Web Server Cluster是世界上第一个Web服务器群集系统。1994年,NCSA为了缓解其Web站点面临的大量用户访问的压力,把4台Sun工作站用FDDI连接起来组成一个群集,代替原有单台Sun工作站的Web服务器,对外提供Web服务。NCSA把这个系统称为Scalable Web Server Cluster,它几乎具备了现代Web服务器群集系统所具有的一切特征:用高速局域网连接多台Web服务器,通过并行处理提高系统的吞吐能力;整个系统只有一个网络地址; 通过一台动态DNS服务器实现请求分配,该DNS服务器对DNS请求采用轮循算法依次返回群集中各台Web服务器的IP地址,引导Client将HTTP请求发送到群集中不同的Web服务器上,以实现群集的负载均衡; 采用AFS(UNIX支持的分布式文件系统)将多台服务器上的文件系统组合成一个逻辑上单一的分布式文件系统,用来存储站点内容,使请求不论被分配到哪台Web服务器上都能得到完全相同的应答服务;系统在其中一台Web服务器发生故障时仍能正常工作,并支持在线增加或减少Web服务器的数量等(其结构如下图所示)。
Scalable Web Server Cluster是一个实验性的Web服务器群集系统,现代Web服务器群集系统和产品的大部分概念和方法均来源于它。
LocalDirector Cisco的LocalDirector是一种用来实现请求分配的设备,通过它可以组成Web服务器群集系统。LocalDirector有2个网络接口,一个用于连接Internet,另一个用于连接局域网中的Web服务器群集,如下图所示。
LocalDirector采用IP NAT(Network Address Transfer)技术,整个系统对外只有一个IP地址,通过IP地址变换将HTTP请求分配到群集中不同的Web服务器。群集中的各台Web服务器上存储的页面信息要求完全一致。LocalDirector在请求分配时实现了2种不同的负载均衡算法:最小连接数和快速响应优先,用户在配置LocalDirector时可以选择使用其中一种。此外,LocalDirector还支持动态改变群集规模的大小,即在不停机的情况下增加或减少服务器。
LocalDirector具有很强的吞吐能力,自身延迟也小,因而能够支持较大规模的系统,并且可以通过级联进一步扩大系统的规模(如下图所示)。像IBM的Network Dispatcher、HydraWEB的HydraWEB Dispatcher和RND的Web Server Director等在结构和功能上与LocalDirector类似。值得一提的是,这些产品的价格基本上与一台普通的工作站相当,比大多数高性能计算机要低许多。
总 结:
负载均衡群集的应用提高了Web服务器、FTP服务器,邮件服务器和其它关键应用服务器的可用性和可伸缩性。单一计算机只能提供有限级别的服务器可靠性和可伸缩性。但是,通过将两个或两个以上高级服务器的主机连成群集,网络负载均衡就能够提供关键任务服务器所需的高可靠性和高性能。
|
| |
作者:betty 2008-4-23 22:58:00 |
| |
|
| |
| 3楼 |
 Re: 服务器学堂: 代理服务器一般的使用原理与选购细则 |
| |
网络安全术语解释
一、协议:
网络是一个信息交换的场所,所有接入网络的计算机都可以通过彼此之间的物理连设备行信息交换,这种物理设备包括最常见的电缆、光缆、无线WAP和微波等,但是单纯拥有这些物理设备并不能实现信息的交换,这就好像人类的身体不能缺少大脑的支配一样,信息交换还要具备软件环境,这种“软件环境”是人类实现规定好的一些规则,被称作“协议”,有了协议,不同的电脑可以遵照相同的协议使用物理设备,并且不会造成相互之间的“不理解”。
这种协议很类似于“摩尔斯电码”,简单的一点一横,经过排列可以有万般变化,但是假如没有“对照表”,谁也无法理解一分杂乱无章的电码所表述的内容是什么。电脑也是一样,它们通过各种预先规定的协议完成不同的使命,例如RFC1459协议可以实现IRC服务器与客户端电脑的通信。因此无论是黑客还是网络管理员,都必须通过学习协议达到了解网络运作机理的目的。
每一个协议都是经过多年修改延续使用至今的,新产生的协议也大多是在基层协议基础上建立的,因而协议相对来说具有较高的安全机制,黑客很难发现协议中存在的安全问题直接入手进行网络攻击。但是对于某些新型协议,因为出现时间短、考虑欠周到,也可能会因安全问题而被黑客利用。
对于网络协议的讨论,更多人则认为:现今使用的基层协议在设计之初就存在安全隐患,因而无论网络进行什么样的改动,只要现今这种网络体系不进行根本变革,从根本上就无法杜绝网络黑客的出现。但是这种黑客机能已经超出了本书的范围,因而不在这里详细介绍。
二、服务器与客户端:
最简单的网络服务形式是:若干台电脑做为客户端,使用一台电脑当作服务器,每一个客户端都具有向服务器提出请求的能力,而后由服务器应答并完成请求的动作,最后服务器会将执行结果返回给客户端电脑。这样的协议很多。例如我们平时接触的电子邮件服务器、网站服务器、聊天室服务器等都属于这种类型。另外还有一种连接方式,它不需要服务器的支持,而是直接将两个客户端电脑进行连接,也就是说每一台电脑都既是服务器、又是客户端,它们之间具有相同的功能,对等的完成连接和信息交换工作。例如DCC传输协议即属于此种类型。
从此看出,客户端和服务器分别是各种协议中规定的请求申请电脑和应答电脑。作为一般的上网用户,都是操作着自己的电脑(客户端),别且向网络服务器发出常规请求完成诸如浏览网页、收发电子邮件等动作的,而对于黑客来说则是通过自己的电脑(客户端)对其他电脑(有可能是客户端,也有可能是服务器)进行攻击,以达到入侵、破坏、窃取信息的目的。
三、系统与系统环境:
电脑要运作必须安装操作系统,如今流行的操作系统主要由UNIX、Linux、Mac、BSD、Windows2000、Windows95/98/Me、Windows NT等,这些操作系统各自独立运行,它们有自己的文件管理、内存管理、进程管理等机制,在网络上,这些不同的操作系统既可以作为服务器、也可以作为客户端被使用者操作,它们之间通过“协议”来完成信息的交换工作。
不同的操作系统配合不同的应用程序就构成了系统环境,例如Linux系统配合Apache软件可以将电脑构设成一台网站服务器,其他使用客户端的电脑可以使用浏览器来获得网站服务器上供浏览者阅读的文本信息;再如Windows2000配合Ftpd软件可以将电脑构设成一台文件服务器,通过远程ftp登陆可以获得系统上的各种文件资源等。
四、IP地址和端口:
我们上网,可能会同时浏览网页、收发电子邮件、进行语音聊天……如此多的网络服务项目,都是通过不同的协议完成的,然而网络如此之大,我们的电脑怎么能够找到服务项目所需要的电脑?如何在一台电脑上同时完成如此多的工作的呢?这里就要介绍到IP地址了。
每一台上网的电脑都具有独一无二的IP地址,这个地址类似于生活中人们的家庭地址,通过网络路由器等多种物理设备(无需初级学习者理解),网络可以完成从一个电脑到另一个电脑之间的信息交换工作,因为他们的IP地址不同,所以不会出现找不到目标的混乱局面。但是黑客可以通过特殊的方法伪造自己电脑的IP地址,这样当服务器接受到黑客电脑(伪IP地址)的请求后,服务器会将应答信息传送到伪IP地址上,从而造成网络的混乱。当然,黑客也可以根据IP地址轻易的找到任何上网者或服务器,进而对他们进行攻击(想想现实中的入室抢劫),因而如今我们会看到很多关于《如何隐藏自己IP地址》的文章。
接下来我解释一下上面提到的第二个问题:一台电脑上为什么能同时使用多种网络服务。这好像北京城有八个城门一样,不同的协议体现在不同的网络服务上,而不同的网络服务则会在客户端电脑上开辟不同的端口(城门)来完成它的信息传送工作。当然,如果一台网络服务器同时开放了多种网络服务,那么它也要开放多个不同的端口(城门)来接纳不同的客户端请求。
网络上经常听到的“后门”就是这个意思,黑客通过特殊机能在服务器上开辟了一个网络服务,这个服务可以用来专门完成黑客的目的,那么服务器上就会被打开一个新的端口来完成这种服务,因为这个端口是供黑客使用的,因而轻易不会被一般上网用户和网络管理员发现,即“隐藏的端口”,故“后门”。
每一台电脑都可以打开65535个端口,因而理论上我们可以开发出至少65535种不同的网络服务,然而实际上这个数字非常大,网络经常用到的服务协议不过几十个,例如浏览网页客户端和服务端都使用的是80号端口,进行IRC聊天则在服务端使用6667端口、客户端使用1026端口等。
五、漏洞:
漏洞就是程序中没有考虑到的情况,例如最简单的“弱口令”漏洞是指系统管理员忘记屏蔽某些网络应用程序中的账号;Perl程序漏洞则可能是由于程序员在设计程序的时候考虑情况不完善出现的“让程序执行起来不知所措”的代码段,“溢出”漏洞则属于当初设计系统或者程序的时候,没有预先保留出足够的资源,而在日后使用程序是造成的资源不足;特殊IP包***实际上是程序在分析某些特殊数据的时候出现错误等……
总而言之,漏洞就是程序设计上的人为疏忽,这在任何程序中都无法绝对避免,黑客也正是利用种种漏洞对网络进行攻击的,本章开始的字眼儿“网络安全”实际就是“漏洞”的意思。黑客利用漏洞完成各种攻击是最终的结果,其实真正对黑客的定义就是“寻找漏洞的人”,他们并不是以网络攻击为乐趣,而是天天沉迷在阅读他人的程序并力图找到其中的漏洞。应该说,从某种程度上讲,黑客都是“好人”,他们为了追求完善、建立安全的互联网才投身此行的,只不过因为有的黑客或者干脆是伪黑客经常利用具有攻击性的漏洞,近些年人们才对黑客有了畏惧和敌视的心理。
六、加密与解密:
在“协议”的讲解中,我提到了“由于网络设计的基层存在问题……”,简单的说这一问题是允许所有上网者参与信息共享,因而对某些商业、个人隐私在网络上的传送,就会暴露在众目睽睽之下,我们的信用卡、个人电子邮件等都可以通过监听或者截获的方式被他人的到,如何才能让这些信息安全呢?读者也许想到了“二战中”的间谍战:参战国家在使用电报的时候,都对代码进行了加密处理,只有知道了“密码薄”的接收者,才可以进行译码工作。正是这种古老的加密方式,在现代化的网络上也依然存在它旺盛的生命力,通过加密处理的信息在网络上传送,无论谁拿到了这份文件,只要没有“密码薄”仍然是白费力气的。
网络上最长使用的是设置个人密码、使用DES加密锁,这两种加密方式分别可以完成用户登陆系统、网站、电子邮件信箱和保护信息包的工作,而黑客所要进行的工作,就是通过漏洞、暴力猜测、加密算法反向应用等方式获得加密档案的明文,有人把“魔高一尺、道高一仗”用在这里,的确是在恰当不过了!网络上的加密方法和需要验证密码的系统层出不穷,黑客也在寻找破解这些系统的种种办法。
可以说,“漏洞”和“解密”是两个完全不同的黑客领域,对于不同的学习者对他们的偏好,将会直接影响到今后将会成为的黑客类型,因而在二者之间的选择,应根据个人喜好进行,本书将会侧重学习“漏洞”方面的知识。
七、特洛伊木马:
特洛伊木马是一个程序,这个程序可以做程序设计者有意设计的未出现过的事情。但是对于特洛伊木马所做的操作,不论是否用户了解,都是不被赞同的。根据某些人的认识,病毒是特洛伊木马的一个特例,即:能够传播到其他的程序当中(也就是将这些程序也变成特洛伊木马)。根据另外的人的理解,不是有意造成任何损坏的病毒不是特洛伊木马。
|
| |
作者:天河拓业 2008-4-23 22:38:00 |
| |
|
| |
| 2楼 |
 Re: 服务器学堂: 代理服务器一般的使用原理与选购细则 |
| |
FTP使用中PASV模式的操作方法
注:此方法只有在无法登录和下载的情况下才可使用!!! 取消 pasv 模式的方法 有许多朋友的 FTP 服务器是不支持 PASV 模式的,登入時要取消 PASV 模式才行。现将几种 FTP 下载工具的取消方法公布如下: 1.把 flashget 的 pasv 模式关掉的方法点菜单上的“工具” “选项”“代理服务器”“直接连接”编辑把“ pasv 模式”前的勾勾去掉,一路确定回来。2.把 Cutftp 的 pasv 模式关掉的方法点菜单上的“文件”“站点管理”在“站点管理器”窗口“新建站点”填上“域名”“编辑”“常规”把“使用 pasv 模式”前的勾勾去掉。3.把 FlashFXP 的 pasv 模式关掉的方法点菜单上的“站点”“站点管理器”站点管理器窗口“新建站点”填上“域名”“选项”把“使用被动模式”前的勾勾去掉“应用” 即可。4.把 NetAnts 的 pasv 模式关掉的方法点菜单上的"选项""参数设置""代理"“直接连接”编辑把“ pasv 模式”前的勾勾去掉,一路确定回来。相信大家都知道FTP是什么啦,但我相还有很多人不知道什么是PASV和PORT,或者你知道但不知道他们到底是什么。下面介绍一下这两种模式吧:PORT其实是Standard模式的另一个名字,又称为Active模式。中文意思是“主动模式。 PASV也就是Passive的简写。中文就是“被动模式。 两者之间有什么不同:不同之处是由于PORT这个方式需要在接上TCP 21端口后,服务器通过自己的TCP 20来发出数据。并且需要建立一个新的连接来传送档案。而PORT的命令包含一些客户端没用的资料,所以有了PASv的出现。 而PASV模式就当然拥有PORT模式的优点及去掉一些PORT的缺点。PASV运行方式就是当服务器接收到PASV命令时,就会自动从端口1024到5000中随机选择,而且还会使用同一个端口来传送数据,不用建立新的连接PASV方式设置
第三步、Serv-U的其他设置
匿名登录:
打开Serv-U,进入Domains -> user.dns0755.net -> Users,点击鼠标右键,新建一个用户,取名为“anonymous”,并配置好该用户的目录,即可匿名登录Serv-U。
流量限制:
打开Serv-U,进入Domains -> user.dns0755.net -> Users -> 用户名,
Allow only ( ) login(s) from same IP address: 允许同一个IP多少个连接(只有公网用户和内网TrueHost用户才能使用)
Max. upload speed 最大上传速度(KBytes/s)
Max. download speed 最大下载速度(KBytes/s)
Max. no. of users 最大用户数
PASV方式设置:
所有FTP服务器软件都支持PORT方式。大部分FTP服务器软件PORT方式和PASV方式都支持。Serv-U默认配置下两种方式都支持。如果要关闭PASV方式,请打开Serv-U,进入 Domains -> user.dns0755.net -> Settings -> Advanced -> 把“Allow passive mode data transfers”前面的钩去掉。
使用内网标准版的用户,不能取消PASV方式。
PASV方式与防火墙的问题:
公网和内网TrueHost用户,如果安装了防火墙,需要在防火墙上打开一些端口给FTP的PASV模式使用,否则使用PASV模式无法登录。在 Serv-U的Local Server -> Settings -> Advanced -> PASV port range里,填入给PASV模式使用的本地端口范围,如60000-60020。如果使用Win 9x/Me,请把端口范围限制在5个以内,如果使用Win NT/2000/XP/2003,请把端口范围限制在20个以内。之后,再在防火墙里打开这个范围的端口就可以了。
使用内网标准版的用户不需要设置此选项。
防火墙的设置方法
注:Win XP自带的防火墙会自动为FTP打开PASV端口,如果使用Win XP防火墙就不需要设置。
公网+端口映射的注意事项:
通过ADSL共享器/路由器或其他网关上网,采用网关端口映射而使用公网动态域名的用户,建立FTP服务器,用PORT方式访问是没问题的,要用PASV方式访问,需要做如下设置:
1、在Domains -> user.dns0755.net里选择“Enable dynamic DNS”。之后,右边会多出一个选项“Dynamic DNS”。点击“Dynamic DNS”,在“IP name”里输入域名“user.dns0755.net”,“IP address”留空不设。按“F5”即可得到IP地址。点击“Apply”保存设置。
2、参考上面的“PASV方式与防火墙的问题”中的说明,设置PASV端口范围,例如 60000 - 60020。
3、在网关(ADSL共享器/路由器)上为PASV端口设置映射。例如把网关的 60000 - 60020 端口映射到本机的 60000 - 60020 端口。
UL/DL Ratios(上传/下载比例)限制:
UL/DL Ratios是上传/下载比例限制。设置了这个功能,需要上传一定数量的文件后,才能下载文件。建议不要启用这个功能。如果您的FTP网站不能下载文件,出现这个错误:
550 Sorry, insufficient credit for download - upload first
请在Serv-U里取消UL/DL Ratios限制。设置方法:进入Domains -> user.dns0755.net -> Users -> username -> UL/DL Ratios,取消“Enable upload/download ratios”。默认设置下,这个功能是关闭的。
|
| |
作者:大虾 2008-4-23 22:17:00 |
| |
|
| |