Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Межсетевой экран и распределитель нагрузки — союз безупречен?

Грегори Йеркса

Недавно на конференции, посвященной вопросам безопасности сети Интернет, я принял участие в дискуссии группы специалистов о достоинствах систем распределения нагрузки и проблемах безопасности, связанных с их применением. Шквал вопросов со стороны присутствующих и изобилие приводимых примеров сетевой конфигурации показали очевидность того, что простое решение задач масштабирования распределения нагрузки стало основным требованием при создании Web-узлов с высоким коэффициентом готовности. В связи с этим возникает крайняя необходимость в наличии новых функциональных возможностей и механизмов обеспечения безопасности, таких, как SSH, SSL и SecureSNMP.

Неудивительно, что многие присутствующие стремились узнать мнение специалистов относительно интеграции межсетевых экранов с распределителями нагрузки. Их ответ был однозначным: интеграция межсетевого экрана с распределителем нагрузки больше создает проблемы, чем решает их. Комбинировать специализированные функции обоих продуктов (не говоря уж о том, чтобы попытаться создать единую точку отказа) достаточно трудно. Разделение процессов межсетевого экранирования и балансирования нагрузки позволяет решить многие проблемы, связанные с сетевой конфигурацией, и обеспечивает дополнительную точную настройку параметров производительности Web-узла. Всецело завися от степени готовности и производительности своих Web-узлов, предприятиям электронной коммерции (ЭК) лучше всего в этом случае иметь два отдельных объекта управления.

Ниже мы рассмотрим базовые сценарии конфигурирования распределенного Web-узла и выясним, как межсетевой экран влияет на общий дизайн и конфигурацию сети в целом. Этими сценариями предусматриваются различные варианты размещения межсетевого экрана относительно местоположения распределителей нагрузки и физических серверов, которые являются конечными серверами, обслуживающими запросы Web-страниц.

Формальная сторона дела

Под созданием Web-узла с высоким коэффициентом готовности подразумевается нечто большее, чем использование нескольких дополнительных Web-серверов. Главная цель создания такого узла — обеспечение молниеносной реакции на отказ и переадресация трафика другим функционирующим системам для поддержки постоянного доступа к Web-узлу растущей клиентуры компании. Вторичные цели включают контроль состояния сеансов TCP и HTTP и пользовательских данных для повышения продуктивности Web-сеансов. Достичь этих целей Web-администраторам помогают распределители нагрузки и усовершенствованная архитектура решений. Загвоздка лишь в том, что в большинстве своем эти решения “фирменные”, и при определенном повороте событий их использование чревато осложнениями.

До сих пор не существует общепризнанного стандартного протокола обмена информацией о состоянии распределителей нагрузки. Некоторые их производители не стали дожидаться и начали применять другие коммуникационные протоколы, такие, как протокол управления элементами сети (Network Element Control Protocol — NECP). NECP расширяем, поэтому его можно использовать в распределенной среде и в работе с межсетевыми экранами. Пользуясь поддержкой фирм Alteon WebSystems, F5 Networks, Network Appliance, Novell и RadWare, протокол NECP мог бы де-факто превратиться в стандартный протокол связи для всех реализаций технологии распределения нагрузки (см.: “Протокол управления элементами сети”). NECP предоставляет интересную возможность для организации сетевого взаимодействия между различными видами сетевых продуктов. Если межсетевые экраны, кэширующие серверы, распределители нагрузки и физические Web-серверы станут взаимодействовать достаточно активно, сбоев можно будет избежать или преодолевать их быстрее.

***

Полную версию данной статьи смотрите в 5-м номере журнала за 2000 год.





  
5 '2000
СОДЕРЖАНИЕ

колонка редактора

• Время собирать данные

локальные сети

• Кабельные системы становятся быстрее

• Управление СКС в реальном масштабе времени: выигрывают все

• Успешный запуск оптической сети

• Что мешает распространению беспроводных ЛВС?

• Адаптеры CardBus

• Новые средства для разделки оптического кабеля и полировки наконечников оптических разъемов

услуги сетей связи

• Телекоммуникационные сети: вечная динамика. Часть I

• Современные технологии каналообразования в спутниковых сетях связи

• IPv6: время пришло!

новые продукты

• Шестипроцессорные серверы компании Hewlett-Packard, Беспроводная магистраль от Digital Microwave, Powerware - это не просто название, Axxium Pro - динамичная надежность, Маршрутизатор AXI 540 для IP-сетей общего пользования, Новый автозагрузчик DLT компании Hewlett-Packard


• КАЛЕЙДОСКОП

корпоративные сети

• Системы дистанционного управления: ноги могут отдохнуть

• Коммутаторы Gigabit Ethernet не подведут

бизнес

• Планируйте перемены

электронная коммерция

• Комплексные PoPs-решения. Руководство для покупателя

• Центры электронной торговли: не может быть легких решений

системы учрежденческой связи

• Российские тарификаторы: испытания в редакции

защита данных

• Active Directory требует пересмотра политики безопасности

• Межсетевой экран и распределитель нагрузки: союз безупречен?



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх