可以使用上面提到的各种技术来提升Apache服务器的性能,同时也可以使用增加硬件性能的方法来提高Web 服务器的性能。但是单台服务器的性能总是有限的,尤其是服务器上需要运行大量的CGI程序时,不可能仅靠上面的调整服务器设置的方法来建立一个面向整个Internet,如同Yahoo等站点一样的高负载Web站点。
为了建立一个高负载的Web站点,必须使用多服务器的分布式结构。上面提到的使用代理服务器和Web服务器相结合,或者两个Web服务器相互协作的方式也属于多服务器的结构,但在这些多服务器的结构中,每个服务器所起到的作用是不同的,属于非对称的体系结构。非对称的服务器结构中每个服务器起到的作用是不同的,例如一个服务器用于提供静态网页,而另一个用于提供动态网页等等,这样就使得网页设计时就需要考虑不同服务器之间的关系,一旦要改变服务器之间的关系,就会使得某些网页出现连接错误,不利于维护,可扩展性也差。
另外一种多服务器的设计结构为对称结构,在对称结构中每台服务器都具备等价的地位,都可以单独对外提供服务而无须其他服务器的辅助。然后,可以通过某种技术,将外部发送来的请求均匀分配到对称结构中的每台服务器上,接收到连接请求的服务器都独立回应客户的请求。在这种结构中,将外部请求均匀分配到服务器上的技术称为负载均衡技术,由于建立内容完全一致的Web服务器并不困难,因此负载均衡技术就成为建立一个高负载Web站点的关键性技术。
为了建立一个高负载的Web站点,必须使用多服务器的分布式结构。上面提到的使用代理服务器和Web服务器相结合,或者两个Web服务器相互协作的方式也属于多服务器的结构,但在这些多服务器的结构中,每个服务器所起到的作用是不同的,属于非对称的体系结构。非对称的服务器结构中每个服务器起到的作用是不同的,例如一个服务器用于提供静态网页,而另一个用于提供动态网页等等,这样就使得网页设计时就需要考虑不同服务器之间的关系,一旦要改变服务器之间的关系,就会使得某些网页出现连接错误,不利于维护,可扩展性也差。
另外一种多服务器的设计结构为对称结构,在对称结构中每台服务器都具备等价的地位,都可以单独对外提供服务而无须其他服务器的辅助。然后,可以通过某种技术,将外部发送来的请求均匀分配到对称结构中的每台服务器上,接收到连接请求的服务器都独立回应客户的请求。在这种结构中,将外部请求均匀分配到服务器上的技术称为负载均衡技术,由于建立内容完全一致的Web服务器并不困难,因此负载均衡技术就成为建立一个高负载Web站点的关键性技术。
翻译:Delphij
前几天我整理了过去的一些笔记,以及近几年收集的一些安全建议。我认为这可能对您有帮助,所以本周我就暂停文档系列的文章,写一点关于使你的FreeBSD系统更安全的内容。
很明显,在这个领域我不可能用一篇文章全面地介绍所有的事情。另外,也不可能给出一个防止四海皆准的,保证任何系统都安全的方案。
在我整理笔记的过程中,我注意到很多都是关于如何让FreeBSD服务器(如,Web服务器,邮件服务器,等等)更安全的方法。如果你用FreeBSD做为个人系统,并希望完全的桌面功能的话,这就不太够用了。你肯定不愿意因为某些强化安全的设置,造成某些功能无法使用,并在此后的一周内孤立无援地与计算机进行搏斗,直到找到问题的所在。
前几天我整理了过去的一些笔记,以及近几年收集的一些安全建议。我认为这可能对您有帮助,所以本周我就暂停文档系列的文章,写一点关于使你的FreeBSD系统更安全的内容。
很明显,在这个领域我不可能用一篇文章全面地介绍所有的事情。另外,也不可能给出一个防止四海皆准的,保证任何系统都安全的方案。
在我整理笔记的过程中,我注意到很多都是关于如何让FreeBSD服务器(如,Web服务器,邮件服务器,等等)更安全的方法。如果你用FreeBSD做为个人系统,并希望完全的桌面功能的话,这就不太够用了。你肯定不愿意因为某些强化安全的设置,造成某些功能无法使用,并在此后的一周内孤立无援地与计算机进行搏斗,直到找到问题的所在。
1.Snort简介
Snort 是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP 网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。更重要的它是免费的,在中小企业中很好的适应网络环境,不需要太多的资源和资金就能建立起一个优秀的IDS系统。
2.系统平台
安装平台选择FreeBSD 4.9 ,本身足够安全,坚固;特性喜欢PORTS安装起来少了不少麻烦。
Hawk# uname -a
FreeBSD hawk.the9 4.9-RELEASE FreeBSD 4.9-RELEASE
3.需要软件
Mysql-server-3.23.58 http://mysql.secsup.org
Snort 是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP 网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。更重要的它是免费的,在中小企业中很好的适应网络环境,不需要太多的资源和资金就能建立起一个优秀的IDS系统。
2.系统平台
安装平台选择FreeBSD 4.9 ,本身足够安全,坚固;特性喜欢PORTS安装起来少了不少麻烦。
Hawk# uname -a
FreeBSD hawk.the9 4.9-RELEASE FreeBSD 4.9-RELEASE
3.需要软件
Mysql-server-3.23.58 http://mysql.secsup.org
目录
1. 入门
2. 防火墙的概念
3. 防火墙软件包
4. OpenBSD Packet Filter (PF) 和 ALTQ
5. IPFILTER (IPF) 防火墙
6. IPFW
1. 入门
2. 防火墙的概念
3. 防火墙软件包
4. OpenBSD Packet Filter (PF) 和 ALTQ
5. IPFILTER (IPF) 防火墙
6. IPFW
欢迎转载﹐本文遵循GNU协议规则﹗
前言
升级源码树
安装cvsup
升级系统源码树及ports
重新编译内核
优化编译环境
升级操作系统
升级配置文件
重新编译内核
重新启动服务器
优化FREEBSD
检查升级情况
打开防火墙
优化内核参数
安装防火墙
前言
升级源码树
安装cvsup
升级系统源码树及ports
重新编译内核
优化编译环境
升级操作系统
升级配置文件
重新编译内核
重新启动服务器
优化FREEBSD
检查升级情况
打开防火墙
优化内核参数
安装防火墙
笔者公司共有10台Web服务器,使用Redhat Linux 9作为操作系统,分布在全国各大城市,主要为用户提供HTTP服务。曾经有一段时间不少用户反映有的服务器访问速度缓慢,甚至不能访问,检查后发现是受到了DDoS攻击(分布式拒绝服务攻击)。由于服务器分布太散,不能采用硬件_blank">防火墙的方案,虽然IPtables功能很强大,足以应付大部分的攻击,但Linux系统自身对DDoS攻击的防御力本来就弱,只好另想办法了。
一、Freebsd的魅力
发现Freebsd的好处是在一次偶然的测试中,在LAN里虚拟了一个Internet,用一台Windows客户端分别向一台Windows Server、Linux Server和一台Freebsd在无任何防范措施的情况下发送Syn Flood数据包(常见的DDoS攻击主要靠向服务器发送Syn Flood数据完成)。Windows在达到10个包的时候就完全停止响应了,Linux在达到10个数据包的时候开始连接不正常,而Freebsd却能承受达100个以上的Syn Flood数据包。笔者决定将公司所有的Web服务器全换为Freebsd平台。
一、Freebsd的魅力
发现Freebsd的好处是在一次偶然的测试中,在LAN里虚拟了一个Internet,用一台Windows客户端分别向一台Windows Server、Linux Server和一台Freebsd在无任何防范措施的情况下发送Syn Flood数据包(常见的DDoS攻击主要靠向服务器发送Syn Flood数据完成)。Windows在达到10个包的时候就完全停止响应了,Linux在达到10个数据包的时候开始连接不正常,而Freebsd却能承受达100个以上的Syn Flood数据包。笔者决定将公司所有的Web服务器全换为Freebsd平台。
