上一篇 我们简述了企业级GIS系统架构的GIS 服务器篇,也大体了解了在企业级架构中GIS 服务器的高效配置
那么,新的问题就来了
1:我在客户端与Web Adaptor负载的连接怎么高效的处理呢
2:我的防火墙该如何设置更加安全呢
3:我的端口号是否可以不暴露给用户呢
4:怎么管理我的企业级GIS系统会更加的安全有效呢?
这些问题也是客户非常关心的问题。
通常我们的防火墙设置有如下几种:
通常我们的部署方式是
1:在客户端与Web Adaptor直接建立一个防火墙,开放80端口,这种是一种简单、安全性较低的部署方法
2:另外我们也可以使用反向代理和Web Adaptor的多防火墙模式,客户端与反向代理使用80端口连接,那么Web Adaptor与GIS服务器使用6080端口连接,这样使用两层防火墙可以加大安全系数。不过不管是否使用Web Adaptor,可能都需要暴露6080端口。
3:最优的方法就是,将Web Adaptor和GIS服务器以及数据库服务器都归为一个内部网络,那么如下图所示,从客户端到数据库经过我们的三层逻辑网络。
外部网络就是Internet或者是局域网,我们通过这个网络输入相关的网址即可访问
客户端通过80端口连接到反向代理服务器,这个反向代理服务器可以起到对Web请求负载均衡的作用
那么通过反向代理后,我们对整个内部网络进行访问,这个我们可以访问没有6080端口的服务地址,这是通过Web Adpator进行设置以及又一次将Web的请求负载均衡到所注册到该机器的GIS Server上。
关于反向代理,经常使用的是Nginx,相关的参考:
为ArcGIS Server配置反向代理
http://blog.csdn.net/warrenwyf/article/details/5703098
利用Nginx做反向代理搭建ArcGIS 10.1 for Server集群环境
http://www.cnblogs.com/esrichina/archive/2012/08/21/2648997.html
当然,如果经济条件允许的话,还是购买硬件F5来的最为歇斯底里,但是价格可能让用户望而却步!
关于DNS服务器
对DNS来说,最简单的理解就是,我在访问用户的网址一般都是www.test.com,那么我在部署自己的Web服务时,怎么也以这样的方式暴露给用户,就需要使用DNS服务器,当然,如果是内部网络,可以搭建DNS服务器,Windows自带就有,大家可以关注一下,不过我个人感觉不好的是,还需要配置网络连接的DNS,感觉比较麻烦,如果你的业务是面向互联网用户的话,可能这块就直接在申请域名的时候,有统一的管理了,这块我们可以把它当成可选,毕竟我们的主题是企业级GIS系统。
--------------------------------------------------------------------------------------------
版权所有,文章允许转载,但必须以链接方式注明源地址,否则追究法律责任!
Blog: http://blog.csdn.net/linghe301
Weibo: http://www.weibo.com/linghe301
--------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------
上面我们关注的都是在架构上,或者说是在硬件层次上的架构安全性。
那在ArcGIS Server层次上也有一些关于安全性的设置
1:限制文件权限
建议设置文件权限,以便仅授予对 ArcGIS Server 安装目录、配置存储和服务器目录的必需访问权限。访问 ArcGIS Server 软件需要具备的唯一帐户是 ArcGIS Server 帐户。此帐户用于运行软件。您的组织可能需要为更多帐户授予访问权限。请记住,ArcGIS Server 帐户必须具有对安装目录、配置存储和服务器目录的完全访问权限,站点才能正常工作。
2:禁用主站点管理员帐户
建议禁用主站点管理员帐户。这样,可确保除了在标识存储中指定的组和角色之外,无法采用其他任何方式管理 ArcGIS Server。
http://resources.arcgis.com/zh-cn/help/main/10.2/index.html#/na/0154000005w1000000/
3:定义用于生成 ArcGIS 令牌的共享密钥
ArcGIS 令牌是加密信息字符串。共享密钥是用于生成此加密字符串的密钥。共享密钥越复杂,恶意用户越难解密和破译共享密钥。如果用户能够破译共享密钥,复制 ArcGIS Server 的加密算法,并获取授权用户的列表,该用户将能够生成令牌,并使用此特殊 ArcGIS Server 中的任何受保护资源。
http://resources.arcgis.com/zh-cn/help/main/10.2/index.html#/na/0154000005r6000000/
4:在 ArcGIS Server 上启用 SSL
为了防止拦截和错误使用令牌,建议使用采用 HTTPS(安全套接字层或 SSL)的安全连接。使用 HTTPS/SSL 可确保恶意用户无法拦截客户端发送的用户名和密码和 ArcGIS Server 返回的令牌
http://resources.arcgis.com/zh-cn/help/main/10.2/index.html#/na/0154000005q0000000/
5:禁用服务目录
可通过禁用服务目录来减少从 Web 搜索中找到、浏览或者通过 HTML 表单查询到您的服务的可能性。禁用服务目录还可以加强对跨站点脚本 (XSS) 攻击的防护。
http://resources.arcgis.com/zh-cn/help/main/10.2/index.html#/na/0154000005vv000000/
-----------------------------------------------------------------------------
如果说把上面的安全,是对整个企业级GIS系统从硬件或者软件层次上的安全的外部安全来说,那么我们什么ArcGIS Server用户访问什么样的服务,或者说访问某个服务的指定图层,甚至说某个图层的某个记录,我们就可以关注如下的安全性设置。
如果说用户想指定某个用户可以访问指定服务的指定图层,可以关注:
ArcGIS Server 安全性与 Oracle 数据库相集成
http://blog.csdn.net/linghe301/article/details/8501195
如果需要更加细粒度的安全设置,需要多某个图层的某些数据进行安全设置,可以关注:
ArcGIS权限分析-怎么对同一要素类对不同要素设置权限(Oracle)
http://blog.csdn.net/linghe301/article/details/8751879
-------------------------------------------------------------------------------------------
企业级GIS系统架构介绍——总览
http://blog.csdn.net/linghe301/article/details/12994611
企业级GIS系统架构介绍——数据库篇
http://blog.csdn.net/linghe301/article/details/12997803
企业级GIS系统架构介绍——GIS服务器篇
http://blog.csdn.net/linghe301/article/details/13001035
企业级GIS系统架构介绍——安全篇
http://blog.csdn.net/linghe301/article/details/13291855
2650
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
