Linux网站架构之服务器与安全规划

　　XXX网是一个极具创意的人才搜索引擎网站，目前由两台服务器构成，使用流行的Linux+Apache+Mysql架构，日访问量在几十万PV。该网站处于刚刚起步阶段，目前面临很好的发展机遇，需及时扩容以更好地满足用户访问需求。

　　2.预期目标

　　公司管理层希望通过本次网站扩容，使其达到日访问量1千万PV 的大型人才搜索网站;

　　3.用户需求分析

　　3.1 总体目标

　　1.高性能—系统可以采用多样，灵活，适应性好的负载均衡算法实现服务器负载均衡，使流量可以合理分配，提高系统整体的性能。

　　2.高可用性—系统运行稳定，单一服务器故障不会影响系统有效运行。

　　3.高安全性—系统具备良好的攻击防御能力，实现对服务器的安

　　全防护。

　　4.高可扩展性—系统具备扩展简便的特点，在不影响现有系统整场运行的情况下，可以根据需要增加服务器。

　　3.2 功能需求

　　为了适应系统扩展的需要，新的系统需要满足以下功能：

　　1.服务器的负载均衡

　　系统中有多台WEB服务器需要实现负载均衡，保证用户访问流量能在各服务器上均衡分配，提高服务器资源的利用率。并且当某台服务器发生故障时能被及时检测到，并且故障服务器将会被自动隔离，直到其恢复正常后自动加入服务器群，实现透明的容错，保证服务器整体性能得到大幅提升。

　　2. 服务器的安全防护

　　为了保证WEB服务器正常提供服务，优化后代的系统必须满足对其安全防护的能力。当大数据流DOS/DDOS攻击进入的时候，能保证服务器继续正常稳定运行，并且能防止恶意访问。

　　3.丰富的日志记录

　　为了便于系统日常的维护工作，以及在排除故障时有据可依，处于网络核心位置的负载均衡设备必须具备多种详尽的日志记录方式。

　　3.3 系统性能需求

　　为了保证系统正常稳定的运行，必须满足以下性能需求：

　　1. 在一定的访问压力下仍然能提供正常服务。

　　2. 系统稳定性好，系统响应时间要短(当一台服务器发生故障时，负载均衡设备能及时探测到并将用户访问导向其它服务器)。

　　3.4 系统安全性需求

　　为了保证系统有效运行，系统需具备安全防范措施：

　　1.负载均衡产品本身具有良好的系统安全性，不存在安全漏洞。

　　2.产品提供安全的访问管理环境。

　　3.具有一定的安全防护能力，协助防火墙和其他IDS设备构建动态防御体系，防御网络常见攻击和针对WEB应用的恶意访问，提高系统整体的安全防护能力。

　　3.5 系统可扩展性需求

　　在网络优化前，需要考虑系统扩展性需求，使系统具备灵活的适应性。

　　1. 增加后端服务器在不影响现有系统正常提供服务的前提下，增加服务器，扩展系统容量。

　　2. 其它服务器在不影响系统正常运行的情况下，实现除WEB服务器之外其它服务器的负载均衡。

　　4.网络架构设计

　　4.1 防火墙

　　总所周知，F5负载均衡器具有一定的防火墙功能，但是，作为面向大量各类用户的大型网站，我们推荐使用专业的防火墙设备，提高我们网站的防黑反黑能力，更好地保护我们的网站，而且，还可以在防火墙上配置VPN，更好地控制对我们网站服务器的远程访问端口(比如SSH,远程桌面等)的访问行为，从而提高我们网站的安全性。

　　本方案推荐使用 Juniper防火墙。作为专业的网络安全设备供应商，Juniper防火墙在性能和功能方面都是业界最优秀，最值得信赖的。我们用两台 JuniperNestscreen防火墙做成双机热备，他们之间实时同步网络连接状态信息，当其中任何一台防火墙出故障了，网络流量会自动被切换到正常工作的防火墙上，不会对用户的访问造成影响，从而提高了我们网站的可用性。

　　4.2 F5

　　作为将来的大型人才网站，用户多，访问量大，如何充分地挖掘服务器的处理能力，实现网络流量的负载均衡就成为了网站正常运作的重中之重，因其关系到网站的运营成本，服务成功率，用户体验，等等等等。

　　我们推荐使用 F5 的LTM(本地流量管理器)作为网站的服务器负载均衡设备。F5的负载均衡产品，是最优秀的负载均衡产品，在功能，性能，可靠性，安全性，可管理性等方面占有绝对优势，是大型网站，比如sina，tencent的首选负载均衡设备。

　　本方案使用两台 F5 LTM 1500，做成双机热备。

　　功能优势：

　　1500 丰富的负载均衡算法可以让我们充分而又适当地利用后端服务器的处理能力，从而减少后端服务器数量，降低成本;

　　多样化的健康检查机制，能够更好地监控后端服务器及应用的运行状况;

　　多种会话保持技术更便于我们对会话的管理;

　　连接优化技术可以减少后端服务器需要处理的用户请求，让后端服务器能够处理更多的用户请求;

　　HTTP 流量压缩，可以降低网络带宽使用，降低后端服务器负载，简化WEB 服务器维护工作;

　　性能优势：

　　1500最大网络吞吐量高达500M,能够处理4百万并发连接，每秒能处理新建连接数3万，完全可以满足我们网站的要求。

　　高可用优势：

　　两台设备之间实时同步网络连接状态，从而在其中一台F5设备故障时，自动切换网络流量到正常工作的F5，保持用户访问的连续性。

　　安全性优势：

　　厂家自己开发的操作系统，其安全性更好;

　　内核实现了放 DDOS 攻击能力;

　　可以通过配置访问策略，实现防止恶意访问，病毒附着等功能;

　　可以防止后端服务器直接暴露到公网的危险面前;

　　端口镜像功能方便其他安全设备部署，和跟其它安全设备的联动;

　　可管理性优势：

　　实时的性能监控页面，方便我们对网站运行状况的把握;

　　丰富的日志记录功能，方便我们的维护工作和排错;

　　4.3 交换机