知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 戶 反向代理 和 術(shù) 方案建議書 2007 年 7 月 17 日 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 目 錄 1 前言 . 4 2 用戶需求分析 . 5 3 方案設(shè)計原則 . 6 4 技術(shù)方案建議 . 7 向代理網(wǎng)絡(luò)的總體設(shè)計 . 7 同一數(shù)據(jù) 中心部署反向代理節(jié)點 . 7 地部署反向代理節(jié)點 . 9 務(wù)（動態(tài)和靜態(tài)網(wǎng)頁同時加速業(yè)務(wù)） . 10 計概述 . 10 態(tài)網(wǎng)頁加速流程 . 11 備選型 . 13 密動態(tài)網(wǎng) 頁加速業(yè)務(wù) . 14 P(用戶 址傳送 ) . 17 留用戶原有域名 . 17 務(wù)特點 . 18 服務(wù)器卸載 . 19 縮 . 19 線程下載 . 20 型 略設(shè)置 . 20 絡(luò)安全設(shè)計 . 20 擊和 . 20 作系統(tǒng) . 21 議檢測 . 22 止反向代理服務(wù)器成為 . 22 理員訪問限制和安全 . 23 戶行為分析和統(tǒng)計及錯誤定位用戶的追蹤 . 23 局網(wǎng)絡(luò)管理 . 24 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 來擴展 . 25 5 存技術(shù)特點 . 27 速的內(nèi)容抓取 . 27 適應(yīng)的刷新：快速、新鮮的內(nèi)容 . 28 適應(yīng)的刷新：對帶寬消耗的影響 . 30 鮮度測量和報告 . 31 儲子系統(tǒng) . 32 略控制引擎 . 33 視化策略管理器 . 34 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 1 前言 本文是 戶 向代理 工程的技術(shù)方案建議。 我們期待著和 戶 進行進一步的深入交流。 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 2 用戶需求分析 戶 目前的網(wǎng)站站點設(shè)計有 務(wù)器， 主要服務(wù)的內(nèi)容是大量新聞和圖片及一些 頻類的節(jié)目。 采用 務(wù)器帶來的主要 挑戰(zhàn) 有 三 方面，一方面 系統(tǒng)運行在通用操作系統(tǒng)上，網(wǎng)站安全性存在風險。 另一方面 務(wù)器的性能受限，通常一臺服務(wù)器只能處理 3000并發(fā) 戶連接。性能上存在瓶頸。 最后還有在后臺存儲 戶使用基于 磁盤陣列。當為了提升網(wǎng)站性能而增加前面的 務(wù)器時，后臺存儲的共享也成為了一個復(fù)雜的技術(shù)問題。 為了解決上述的一些實際問題。 戶需要在 端增加硬件反向代理服務(wù)器，利用其安全和高性能的特性來降低 務(wù)器的負載 和被黑客攻擊的風險 。 同時由于主要的負載都被反向代理服務(wù)器所承擔，源服務(wù)器只需要 保持一個基本的 務(wù)器就可以，也無需涉及復(fù)雜的 享問題。 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 3 方案設(shè)計原則 考慮 戶 的實際情況，在方案設(shè)計時需要遵循如下原則： 1 標準性 現(xiàn)在構(gòu)建的 向代理 網(wǎng)絡(luò)應(yīng)當符合網(wǎng)絡(luò)業(yè)界的主流標準，保證系統(tǒng)和已有的 兼容性 。 2 合理的性能價格比 在滿足當前的業(yè)務(wù)需求的同時，還考慮到今后業(yè)務(wù)發(fā)展的需求，確保在未來擴容時能夠擴展到更多的 性能和 容量支持。同時 盡量選擇經(jīng)濟的設(shè)備，做到最優(yōu)的性價比。 3高可靠性 在確保系統(tǒng)可靠工作和數(shù)據(jù)的可靠性的原 則基礎(chǔ)上，盡可能的 做到高起點，選用先進的技術(shù)和設(shè)備，使構(gòu)建的 反向代理 系統(tǒng)有較高的 可靠性 ，以適應(yīng)今后的發(fā)展。 4可管理性和可維護性 反向代理 設(shè)備可以通過多種技術(shù)和方式實現(xiàn)了高可靠性，同時也增加了系統(tǒng)的復(fù)雜性，從而容易導(dǎo)致維護和管理的復(fù)雜性。因此在方案設(shè)計中在提供高可靠性的同時，也要注重提供 反向代理 系統(tǒng)的可管理性和可維護性。 整個系統(tǒng)應(yīng)該能夠采用基于 界面對存儲設(shè)備進行配置管理。系統(tǒng)配置工作應(yīng)該簡單明了，流程清晰。系統(tǒng)應(yīng)該能夠提供遠程告警。 5. 高性能 整個 反向代理 系統(tǒng)應(yīng)該提供較高的 能， 能夠滿足 大量用戶同時使用時的性能要求 。 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 4 技術(shù)方案建議 向代理 網(wǎng)絡(luò) 的總體設(shè)計 使用 G 設(shè)備作為反向代理的 方式對源服務(wù)器進行加速，利用備的安全性和強大的性能來實現(xiàn)對源服務(wù)器的卸載和安全防護。 同時可以部署多臺 G 設(shè)備在前端，實現(xiàn)高速性能負載均衡和系統(tǒng)高可用性。并且會 降低后臺源服務(wù)器的部署數(shù)量，解決存儲共享的問題。 同一數(shù)據(jù)中心部署反向代理節(jié)點 在同一數(shù)據(jù)中心的條件下，部署反向代理的結(jié)構(gòu)如下圖所示： 四層交換機 G 網(wǎng) 服務(wù)器 用戶 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 際部署在源服務(wù)器的前端，緩存用戶訪問的內(nèi)容，因此大部分的服務(wù)壓力都會被 承擔，而不需要源服務(wù)器具有高性能的處理能力。同時由于 部私網(wǎng)地址的連接，這樣保證了內(nèi)部的源服務(wù)器是絕對安全的，因為沒有黑客能夠從公網(wǎng)上訪問到源服務(wù)器。 后臺的源服務(wù)器還可以使用多臺 實現(xiàn)冗余和可靠性。 在方案中，后臺的源服務(wù)器組并不需要使用四 /七層交換機來實施負載均衡，因為 備本身可以具有負載均衡能力。在從 源服務(wù)器請求未命中的內(nèi)容時 會根據(jù)幾種不同的算法進 行負責均衡，包括： 最少連接，用戶源地址關(guān)聯(lián)，根據(jù)用戶被加速設(shè)備設(shè)置的 聯(lián)等。 G 設(shè)備還可以對后臺的源服務(wù)器實施健康檢查，檢查的方法包括四層協(xié)議和 議等。如果發(fā)現(xiàn)某一臺源服務(wù)器出現(xiàn)故障， 會自動將流量切換到別的服務(wù)器上。 G 也提供了性能上的顯著提升，通常的 有二方面的性能瓶頸： 發(fā)連接數(shù)， 吐量。盡管可以給這些服務(wù)器配置較大的內(nèi)存和更新的 是其性能依然無法令人滿意。而作為對比， 以支持 12000 個客戶端的并發(fā) 接，并且在典型環(huán)境下支持 150 200反向 理吞吐量。 因此同樣的性能要求條件下，會使用數(shù)量很少的 備就可以滿足用戶的性能要求，并由此節(jié)省了大量的機房空間，電源消耗和空調(diào)消耗等相關(guān)資源。從維護成本的角度上來考慮，是更為節(jié)省的一個方案。 在反向代理的方案中，對于靜態(tài)網(wǎng)頁的性能提升效果是非常明顯的。因為大部分的靜態(tài)網(wǎng)頁會緩存在本地。而對于動態(tài)網(wǎng)頁而言，由于不能緩存在代理服務(wù)器內(nèi)部，所以必須代理回源服務(wù)器 ， 此時對源服務(wù)器的服務(wù)并沒有性能卸載的能力。對于這種動態(tài)網(wǎng)頁的加速，可以參考后續(xù)章節(jié)的 方案， 供了一種獨到的 速方案來對動態(tài)網(wǎng)頁進行加速。這一方案的范圍已經(jīng)超出了反向代理的概念，而是和 方案融合在一起。 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 地部署反向代理節(jié)點 整個 反向代理 網(wǎng)絡(luò)組件包括： 備， 存設(shè)備， 服務(wù)器等 。 這種部署實際上已經(jīng)成為了 部署。 下圖表示了整體的網(wǎng)絡(luò)架構(gòu)： 在新建 反向代理 節(jié)點中部署 4 臺 存設(shè)備，其 中 2 臺主要用于加速流媒體業(yè)務(wù)， 1 臺主要用于加速靜態(tài)網(wǎng)頁 和 頻 的業(yè)務(wù)， 1 臺主要用于加速動態(tài)網(wǎng)頁的業(yè)務(wù)。考慮到業(yè)務(wù)安全的需要， 2 臺加速 頁的 存設(shè)備可以通過 備進行負載均衡。 2 臺加速流媒體業(yè)務(wù)的 存設(shè)備通過 備進行負載均衡。 這里假定緩存設(shè)備中已經(jīng)存有用戶需要訪問的內(nèi)容（用戶訪問命中的情況），其中第 1 步是 析，用戶解析過一次后就可以把 錄緩存在本機據(jù)中心 加速動態(tài)網(wǎng)頁 G 加速動態(tài)網(wǎng)頁 速靜態(tài)網(wǎng)頁 速流媒體 速流媒體 鏡像服務(wù)器 內(nèi)容分發(fā) 字節(jié)緩存比較 源服務(wù)器 數(shù)據(jù)中心 新建 動態(tài)網(wǎng)頁源服務(wù)器 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 上，下次可以不用再去 備進行解析。如果用戶訪問的內(nèi)容未命中，則會由 源服務(wù)器抓取。 對于較簡單 的單個節(jié)點異地反向代理方案，可以不使用 備，只使用析到反向代理服務(wù)器即可。 務(wù)（動態(tài)和靜態(tài)網(wǎng)頁同時加速業(yè)務(wù)） 計概述 在中心和邊緣節(jié)點部署的 存設(shè)備和網(wǎng)絡(luò)的總體架構(gòu)如下圖所示： 考慮到冗余的設(shè)計要求。在中心節(jié)點放置二臺 速設(shè)備，這二臺加速設(shè)備并不需要一定連接在 備之后來實施負載均衡。因為 備 靜態(tài)對象（ 源服務(wù)器 中心節(jié)點 (全國和北京 ) 邊緣 動態(tài)網(wǎng)頁源服務(wù)器 速動態(tài) /靜態(tài)網(wǎng)頁 速動態(tài) /靜態(tài)網(wǎng)頁 據(jù)中心 加速動態(tài)網(wǎng)頁 內(nèi)容分發(fā) 字 節(jié)緩存比較 內(nèi)容分發(fā) 據(jù)中心 加速動態(tài)網(wǎng)頁 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 速方案里提供了不需要 中心點負載均衡。因此只需要給這二臺設(shè)備各一個公網(wǎng) 址就可以。二臺中心點的設(shè)備會設(shè)置 由表，自動把源服務(wù)器的網(wǎng)段地址廣播給所有的邊緣的 備。 在邊緣節(jié)點，如果有多臺 備的話，則可以放置在 載均衡設(shè)備后面，使用私網(wǎng)地址，然后在 映射為公網(wǎng)的 時 載均衡設(shè)備的算法建議使用基于用戶源地址 ，來保證每個用戶的連接都達到同一臺 樣加速效果更好。邊緣節(jié)點的 備和中心節(jié)點的 備之間會形成 系，并建立 道進行加速。二者的字節(jié)緩存是完全同步的。邊緣節(jié)點的 根據(jù)目的地網(wǎng)段的 由進行數(shù)據(jù)包轉(zhuǎn)發(fā)選擇。如果發(fā)現(xiàn)去往目的地的網(wǎng)段有多臺 可以通達，則會根據(jù)自己的設(shè)備 用方式自動選擇一個 為下一跳。由于邊緣節(jié)點有眾多 備，因此最終會使得流量較為平均的轉(zhuǎn)到中心節(jié)點的 2 臺 備上。如果中心節(jié)點有一臺 備故障，則邊緣節(jié)點的 備會自動切換到另外一臺中心節(jié)點 。 發(fā)設(shè)備需要一個獨立的公網(wǎng) 址來管理所有的 備。為了管理的目的，每個邊緣節(jié)點的 用 議管 理 備。 備也可以被配置為冗余的來保證可靠性。 態(tài)網(wǎng)頁加速流程 下圖表示了用戶訪問動態(tài)網(wǎng)頁時的數(shù)據(jù)包流程： 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 這些流程可以分步驟解釋如下： 1） 用戶請求內(nèi)容 ，用戶的 析請求會達到 備。 2） 備作出就近性判斷把用戶的請求重定向到離用戶最近的 點 (邊緣節(jié)點 )的 備上 3） 邊緣節(jié)點 用戶請求 。 4） 備根據(jù)自己的加速策略判斷需要進行 速，把用戶的請求通過 G 設(shè)備（中心節(jié)點）。這一請求過程本身也會被加速，因為通常一個 據(jù)包在幾百個字節(jié)，如果加速后，則可能只傳送12 個字節(jié)，因此大大縮短了在廣域網(wǎng)上的傳送 延時。 5） 心節(jié)點收到數(shù)據(jù)包后，向動態(tài)網(wǎng)頁的源服務(wù)器發(fā)起請求 6） 動態(tài)網(wǎng)頁的源服務(wù)器響應(yīng)給 心節(jié)點真正的用戶數(shù)據(jù)，如數(shù)據(jù)庫表單查詢或網(wǎng)上購物明細等頁面。 國數(shù)據(jù)中心 加速動態(tài)網(wǎng)頁 G 加速動態(tài) /靜態(tài)網(wǎng)頁 內(nèi)容分發(fā) 字節(jié)緩存比較 源服務(wù)器 邊緣 動態(tài)網(wǎng)頁源服務(wù)器 1 2 3 4 5 6 7 8 速動態(tài) /靜態(tài)網(wǎng)頁 中心節(jié)點 (全國和北京 ) 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 7） 心節(jié)點收到響應(yīng)后和自己的字節(jié)緩存數(shù)據(jù)庫進行比對，將差量數(shù)據(jù)傳送到對端的邊緣節(jié)點 一傳送過程的速度會較未加速前大大加快。 8） 緣節(jié)點收到響應(yīng)后，根據(jù)自己的字節(jié)緩存，把源服務(wù)器的響應(yīng)還原并發(fā)送給用戶。 上述流程就是一個完整的用戶請求動態(tài)網(wǎng)頁加速的流程。如果用戶請求的一個域名下的內(nèi)容是既有動態(tài)網(wǎng)頁，又有靜態(tài)網(wǎng)頁。則 速的流程如下： 1） 斷是否是可緩存的頁面，如果是，則檢查 a) 是否已經(jīng)在本地的 象緩存中且未過期，如果是則直接給用戶服務(wù) b) 如果已經(jīng)在本地的 象緩存中但對象已經(jīng)過期，則向源服務(wù)器發(fā)送求要求最新的對象。這一請求過程同樣會經(jīng)過 速。 c) 如果不在本地的 象緩存中，則向源服務(wù)器發(fā)送內(nèi)容請求。這一請求過程同樣會經(jīng)過 速。 2） 斷此網(wǎng)頁為不可緩存，則會直接把請求發(fā)給源服務(wù)器并且這一請求過程會經(jīng)過 速。 備選型 這里給出了不同設(shè)備型號之間的硬件參數(shù)對比： 盤 65K 4存 4絡(luò)接口 2個 擴展到 6個 個 配，可擴展到 6 個 個 配，可擴展到 6 個 個 配，可擴展到 6 個識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 密 動態(tài)網(wǎng)頁加速業(yè)務(wù) 在實際的網(wǎng)站類型的客戶中，很多網(wǎng)站是使用 行加密的業(yè)務(wù)處理。而且這些 頁面往往是個性化的動態(tài)的頁面。這就要求 務(wù)能夠提供針 對 動態(tài)網(wǎng)頁加速能力。而傳統(tǒng)的 速方案是無法直接加速業(yè)務(wù)的。這一問題的原因在于 字典壓縮算法對于加密的數(shù)據(jù)流是沒有顯著效果的。 決方案提供了一個完整的解決方案可以對 型的動態(tài)網(wǎng)頁進行加速。從而擴展 速的適應(yīng) 范圍。它的工作原理是利用 截取 流量并對未加密的頁面進行字典壓縮，然后再把壓縮后的流量進行 密傳送到 端設(shè)備。這里也分為二種情況： 1） 源服務(wù)器使用了 密，用戶也 使用 議請求內(nèi)容。 2） 用戶使用 議請求內(nèi)容，但是源服務(wù)器只使用普通的未加密 緣節(jié)點到源服務(wù)器之間使用加密的數(shù)據(jù)傳送。 第一種情況的工作原理如下圖所示： 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 邊緣節(jié)點的 直接向 服務(wù)器發(fā)送請求，并得到源服務(wù)器頒發(fā)的證書。邊緣節(jié)點的 中心節(jié)點的 間會形成一個聯(lián)合工作的 之為 緣節(jié)點的 把證書傳遞給中心節(jié)點，由中心節(jié)點作為客戶端 和 服務(wù)器進行直接通訊，并形成一個完整的接。中心節(jié)點的 得到 容后可以解密，從而得到了解密后的容，能夠直接對這些不加密的內(nèi)容實施高效的字典壓縮。而在邊緣節(jié)點和中心節(jié)點之間，二者使用自己預(yù)裝的有效證書進行認證和傳輸加密。這保證了數(shù)據(jù)傳輸?shù)陌踩浴Ｔ谶吘壒?jié)點的 自動根據(jù)源服務(wù)器頒發(fā)證書的信息仿真一個新的證書頒發(fā)給客戶端。 對于 戶 來說，這樣的技術(shù)方案帶來的優(yōu)勢是，由于在 戶 個源服務(wù)器頒發(fā)的證書都是不同知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 的。而 采用了證書仿真和 術(shù)后，整個 絡(luò)的管理會變得異常簡單。 G 設(shè)備會自動為每個源服務(wù)器創(chuàng)建一個新的用于用戶端的證書。這種技術(shù)可以大大節(jié)省 戶 的維護成本。 第二種情況的工作原理如下圖所示： 在這個部署方式下，邊緣節(jié)點的 裝了已經(jīng)簽過的數(shù)字證書。當用戶訪問 容時，邊緣節(jié)點的 把預(yù)裝的數(shù)字證書發(fā)給用戶。然后邊緣節(jié)點以把用戶的解密內(nèi)容進行字典壓縮，并通過加密 道傳送給對端的中心節(jié)點設(shè)備。中心節(jié)點設(shè)備會以 方式和源服務(wù)器進行通信。這種方式源服務(wù)器不需要支持 以節(jié)省大量源服務(wù)器的計算資源。這種方式實際上是對源服務(wù)器的 載。 上面的二種部署方案可以共存在邊緣節(jié)點 ， 備可以根據(jù)用戶的訪問條件，如域名， 徑， 多種信息來定義，定義部分用戶請求需要是全程使用 密，部分是需要做 載的。 服務(wù)器 動態(tài)網(wǎng)頁 建立 求 在 求 字典壓縮，并且可以使用 頒發(fā)證書（預(yù)裝） 請求 返回 在 字典壓縮， 并且可以使用 返回 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 P(用戶 址傳送 ) 如果有網(wǎng)站客戶需要統(tǒng)計用戶的源 址， 或者有特別的認證需求是基于源 址的。此時需要把用戶的源地址發(fā)送給源服務(wù)器。 心節(jié)點的備此時需要打開 P 選項，并使用用戶真正的源地址連接到源服務(wù)器來請求內(nèi)容。 但這里需要注意的是，需要增加四層交換機或設(shè)置路由器上的 量把源服務(wù)器送回的流量重定向到中心節(jié)點的 。否則會無法建立完整的 接。 留用戶原有域名 在實際的 營中，會有客戶提出這樣的需求，他們的原有網(wǎng)站已經(jīng)申請了域名，不想放棄，同時又想通過 方案部署新的服務(wù)，并使 用全新的域名。此時 時用戶原有網(wǎng)站的域名和內(nèi)容都不需要更改。這里舉例如下： 用戶原有的域名和網(wǎng)站 ： , 希望通過 戶 的 署為 , 實際客戶訪問到，然后再作反向代理，其源服務(wù)器是 。這樣 戶 給其用戶的網(wǎng)站提供了 務(wù)。而用戶原有的 ，用于 測試或繼續(xù)服務(wù)的目的。 這里面需要注意的一個技術(shù)問題是在原有的 ，都是基于 名的鏈接。如果對這樣的網(wǎng)頁實施 速，用戶點擊其中 速頁面的鏈接時會直接訪問 樣會繞過 絡(luò)而直接訪問源服務(wù)器。為了避免這個問題，通常是需要源網(wǎng)站改寫其中的頁面，這樣的工作量是相當大的。 識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 存設(shè)備提供了一個功能叫做 RL 以解決這個問題，它可以自動改寫網(wǎng)頁內(nèi)部嵌入的鏈接，如果源網(wǎng)站中頁面嵌入的鏈接為, 則 備在接受到源服務(wù)器響應(yīng)后，把頁面中的這個鏈接自動的改寫為：。是一個提高用戶滿意度的非常好的功能。 這里面需要注意的是 G 的 RL 能目前不能對網(wǎng)頁中的 件中的鏈 接進行改寫。如果用戶的網(wǎng)站大量使用了件則此功能目前還無法實施。 務(wù)特點 存是 整個 反向代理 的基礎(chǔ)業(yè)務(wù)。 供了非常豐富的 務(wù)服務(wù)功能，包括： 非常靈活的 略設(shè)置 支持認證，授權(quán)， 靈活的對象刷新機制 支持 縮 支持多線程下載 速 和緩存 帶寬管理 內(nèi)容安全的保證 對用戶上傳內(nèi)容進行病毒掃描 這里需要指出的是， 縮功能也是免費提供的。下 面就其中的一些具體業(yè)務(wù)進行詳細描述： 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 服務(wù)器卸載 使用 G 設(shè)備作為反向代理的方式對源服務(wù)器進行加速，可利用備的安全性和強大的性能來實現(xiàn)對源服務(wù)器的卸載和安全防護。如果直接在源服務(wù)器上部署 業(yè)務(wù)，則會給源服務(wù)器帶來很大的壓力和資源開銷。如果一個基于軟件的 務(wù)器上實施 務(wù)，其性能通常只有4 吐量，并且能夠處理的每秒請求數(shù)量也是非常有限的。 而如果在 服務(wù)器前端部署 G 設(shè)備，則可以利用 件加速卡實現(xiàn)對 服務(wù)器的 速功能，從而使得源服務(wù)器專注于 務(wù)，而將 密的任務(wù)交給 備來處理。 在 G 設(shè)備上，可以通過二種方式裝入數(shù)字證書用于頒發(fā)給用戶的訪問。一種是在 備上自己簽發(fā)的證書，這種證書不需要去互聯(lián)網(wǎng)上的證書發(fā)放機構(gòu)進行簽署，但是用戶的瀏覽器可能沒有直接設(shè)置為信任發(fā)的證書并彈出一個提升窗口讓用戶確認是否信任這個證書。另一種方式是裝入經(jīng)過互聯(lián) 網(wǎng)上證書發(fā)放機構(gòu)發(fā)放的標準數(shù)字證書，如 公司簽發(fā)的數(shù)字證書，這些證書通常是被用戶客戶端所信任的。 縮 G 設(shè)備支持標準的 縮，可以支持的 縮算法是 于 G 來說，如果源服務(wù)器沒有使用 縮，而 請求壓縮對象，則可以把未壓縮的 象壓縮后緩存在本地，對于后續(xù)的 問則直接提供壓縮后的 對象進行服務(wù)，不需要再去源服務(wù)器拿去內(nèi)容和重新壓縮。 縮功能是可以根據(jù)策略設(shè)定來啟用的，例如，可以根據(jù)用戶訪問 不同 來確定是否啟用 縮。另外如果用戶請求的是非壓縮的對象，則 缺省給用戶非壓縮的對象。 對于一些不能壓縮的對象，知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 如 像文件和 像文件，此時盡管 略設(shè)定壓縮這些對象，但是備也會自動忽略這些請求而給用戶服務(wù)非壓縮的對象。 線程下載 G 設(shè)備支持標準的 頭，可以被多線程下載程序如 于多線程下載。 因此利用 備可以支持常見的多線程下載程序。但是目前 備還不能限制 單個用戶同時使用的 多線程下載的 線程 個數(shù) 。 型 略設(shè)置 略引擎提供了非常豐富的 略控制功能，常見的應(yīng)用案例包括： 1） 去除用戶請求的 保證源服務(wù)器的安全。 2） 根據(jù)用戶的 判斷用戶的瀏覽器版本和類型來判斷用戶是否能夠得到理想的頁面效果 3） 進行 定向來實現(xiàn)用戶訪問轉(zhuǎn)向 4） 強制緩存指定的內(nèi)容 5） 對 服務(wù)器的錯誤代碼 響應(yīng)提供定制的出錯提示頁面 6） 拒絕某些指定用戶對內(nèi)容的訪問 絡(luò)安全設(shè)計 擊 和 供了完整的抗 擊能力，包括如下的技術(shù)特性： 以限制單個客戶地址的 接數(shù)量，并且對超過了連接數(shù)量限制的客戶連接請求進行拒絕和復(fù)位。對于被限制訪問的客戶，可以設(shè)定限制 訪問知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 的 時間 間隔， 時間到期后恢復(fù)這些客戶的訪問權(quán)限。 這一防護能力是針對 對于常見的 底層 擊 如 以 進行安全防護 并且不會因此而消耗系統(tǒng)資源。 對于 設(shè)備可以實施限速，保證不會因為大量的 應(yīng)而導(dǎo)致系統(tǒng)資源過載。對于 以對不完整的 接不分配資源，從而不會導(dǎo)致系統(tǒng)資源過載。 對于端口掃描的攻擊，缺省 備不會 打開任何端口。只有提供 0 端口和 理端口。對于這些提供服務(wù)的端口還可以實施訪問控制，只有信任的客戶才可以訪問這些端口。 作系統(tǒng) 作 系統(tǒng) 通過了國際著名的安全認證： 全認證。表示這個操作系統(tǒng)是一個非常安全和沒有后門的操作系統(tǒng)。 黑客 不會知道真正的源服務(wù)器地址，也 無法通過 反向代理設(shè)備而去篡改源網(wǎng)站的內(nèi)容 和攻擊源服務(wù)器 。 而作為對比，一個運行在通用操作系統(tǒng)上的 序，它的安全性是受限于操作系統(tǒng)的安全性的。在 站上，可以搜索到成千上萬的關(guān)于 作系統(tǒng)的安全漏洞。運行在這樣的操作系統(tǒng)之上的網(wǎng)站是非常不安全的。如果把這個 務(wù)器直接暴露在 實際是一個很危險的部署方式。 在對象存儲方面， 用的是按照對象 生高速索引的存儲機制，在硬盤上沒有文件系統(tǒng)。即使黑客獲取了 理服務(wù)器的硬盤，由知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 于其不了解 專有存儲格式， 也無法讀出其中存儲的數(shù)據(jù)內(nèi)容，更不用說篡改其中的內(nèi)容。 美國軍方的很多網(wǎng)站都采用 設(shè)備作為反向代理作為安全設(shè)備部署在網(wǎng)站的前面，避免其網(wǎng)站遭到黑客的攻擊和篡改。 議檢測 G 可以檢測到 80 或 443 端口訪問的流量是否為真正的 量 。 只有真正的 量才會被 行處理，轉(zhuǎn)發(fā)回源服務(wù)器或在本地命中。 這種技術(shù)可以防止黑客利用 80 和 443 端口對反向代理設(shè)備或源服務(wù)器進行攻擊。 對于 標準 議來說，客戶機會使用 連接服務(wù)器，通過對這些方法的檢測， G 設(shè)備可以清楚地感知是否是真正的戶端在使用 443 端口還是偽裝的 量。 止反向代理服務(wù)器成為 向代理設(shè)備可以被同時用作正向代理設(shè)備 ，因此當 部署在公網(wǎng)上的時候，需要增加相應(yīng)的安全策略保證 備不會被作為一個公用的代理服務(wù)器來被其他非法用戶用于訪問 的內(nèi)容。 典型的配置包括： 1） 在反向代理服務(wù)器上不要配置 務(wù)器。這樣非法設(shè)定 代理服務(wù)器的客戶將無法訪問 的內(nèi)容。 2） 在反向代理服務(wù)器上配置 制策 略。檢查用戶請求的 否匹配正在加速的域名，匹配的進行處理，不匹配的則拒絕其訪問。 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 通過上述的二個反向代理上的配置可以保證沒有用戶或黑客使用代理服務(wù)器訪問 的內(nèi)容。 理員訪問限制和安全 為了防止在公網(wǎng)上的黑客掃描 管理端口和進行破壞，在 備上可以設(shè)置管理員訪問控制列表，限制只能有特定的工作站才能訪問 G 的管理端口。 同時為了保證設(shè)備管理的安全， G 設(shè)備使用的是 行管理。并且可以定義使用一個 專用的 口而非標準的 443 端口。 戶行為分析和統(tǒng)計及錯誤定位用戶的追蹤 供了多種方式的系統(tǒng)訪問日志信息，包括： 。 系統(tǒng)訪問日志可以被集中的送往 務(wù)器進行存儲，也可以以實時的方式輸出到一個獨立的 務(wù)器上進行實時監(jiān)控。為了確保 志的安全性， 可以把日志信息進行數(shù)字簽名，確保 日志不會被黑客 攻擊。典型的式為 標準格式。 同時 具可以位于一個數(shù)據(jù)中心，集中地分析 反向代理 網(wǎng)絡(luò)中所有的 息，也可以在每個省網(wǎng)部署一個 具。 對于 戶 來說， 由于 實際運營商網(wǎng)絡(luò)條件 的限制，如果由于錯誤配置或設(shè)備故障引起的 電信 用戶跨網(wǎng)訪問 戶 地址 內(nèi)容的情況出現(xiàn)，則會給 用戶的訪問效果 來很大的影響，甚至影響 后續(xù) 業(yè)務(wù)的 發(fā)展 。為了避免這個情況的出現(xiàn)，知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 需要 反向代理 的管理員能夠具有追蹤和定位能力，把錯誤定 位用戶 的 址迅速定位。 避免 這種跨運營商訪問的情況出現(xiàn) 。 供了基于策略的 力?？梢援a(chǎn)生一個獨立的 件，把符合條件的錯誤定位的用戶記錄在這個 ，供 反向代理 系統(tǒng)管理員來進行追蹤和分析。例如：假定 電信 的 用戶 址為 6 網(wǎng)段， 戶 的用戶 址為 6 網(wǎng)段， 為電信用戶提供服務(wù)的 為 戶 用戶提供服務(wù) 的 址是 如果 電信 的用戶錯誤定位到了 為 戶 用戶服務(wù)的 址 ，則 則會產(chǎn)生出用戶訪問記錄， 記錄 務(wù) 址。 這樣對于 反向代理 管理員來說，只需要察看這個 文件就能追查到任何錯誤定位的用戶訪問。 局網(wǎng)絡(luò)管理 供了 備 用于 用設(shè)備的功能強大的集中配置管理、更新管理、策略管理平臺。 一個專用的硬件可以支持集中管理和內(nèi)容分發(fā)。 中管理設(shè)備實現(xiàn)對 列專用設(shè)備的可伸展的更新管理、配置管理和策略管理。 產(chǎn)品的設(shè)計基于可擴充的管理專用設(shè)備， 少了管理成本和復(fù)雜性。它為管理員提供了強大的平臺，來對分布的、遠程的 列專用設(shè)備進行中心化的集中管理。配置信息和安全策略都可通過任何一臺 工作站上，通過瀏覽器在一個易于使用的界面來生成和管理。 現(xiàn)在，企業(yè)能夠采用管理成百上千的設(shè)備所必須的工具，在他們的整個網(wǎng)絡(luò)的全球分支機構(gòu)內(nèi)部署 用設(shè)備，對地理位置分布的遠程 系統(tǒng)進行安裝配置和策略更新和耗時且成本很高的工作。 中管理設(shè)備使這個改變過程自動化，通過為企業(yè)提供快速地實施配置、資源和策略修改所必須的實質(zhì)性的工具來有效地管理 G 系列專用設(shè)備。 中管理設(shè)備使企業(yè)能夠： o 中心化的、全企業(yè)范圍內(nèi)的、基于策略的管理 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 o 軟件升級自動化 o 備份配置，并在災(zāi)難時恢復(fù) o 強大的自動化任務(wù)定時安排 o 管理專用設(shè)備，簡化安裝和日常維護的難度 o 通過安全的 行遠程管理 o 中心化管理策略，進行全局 策略分發(fā) o 可從任何帶有 覽器的 工作站上啟動管理 下圖表述了 理的方式： 來擴展 目前 戶 的一期工程只考慮了二個節(jié)點，未來可以考慮 隨著業(yè)務(wù)的發(fā)展擴展為更大規(guī)模的 反向代理 和 具體的擴展方式非常 簡單。在每個地方 的新建 ，然后增加 備，再根據(jù)用戶的業(yè)務(wù)量增加緩存設(shè)備和廣域網(wǎng)加速設(shè)備。 知識水壩（豆丁網(wǎng) 您傾心整理（下載后雙擊刪除） 百度一下 知識水壩 廣域網(wǎng)加速設(shè)備在擴展時，通常只需要擴展 點設(shè)備就可以了，因為廣域網(wǎng)加速設(shè)備中心節(jié)點設(shè)備可以和