网络五.服务器端的局域网

网络五.服务器端的局域网

5.1 Web 服务器的部署地点

5.1.1　在公司里部署 Web 服务器

早期：服务器直接部署在公司网络上，并且可以从互联网直接访问，公司每个电脑都需要共有IP地址，然而现有IP资源不足，这种方法不可行； 另一个原因是安全问题。这种方式中，从互联网传来的网络包会无节制地进入服务器，这样安全漏洞也都会暴露出来；因此，现在我们一般采用部署防火墙 。防火墙的作用类似于海关，它只允许发往指定服务器的指定应用程序的网络包通过，从而屏蔽其他不允许通过的包；因为如果允许外部访问的应用程序中有安全漏洞，还是有可能遭到攻击的，防火墙只是减低风险

5.1.2　将 Web 服务器部署在数据中心

如果 Web 服务器部署在数据中心里，那么网络包会从互联网核心部分直接进入数据中心，然后到达服务器。如果数据中心有防火墙，则网络包会先接受防火墙的检查，放行之后再到达服务器；服务器工作状态监控、防火墙的配置和运营、非法入侵监控等，从这一点来看，其安全性也更高

5.2 防火墙的结构和原理

5.2.1　主流的包过滤方式

分为包过滤、应用层网关、电路层网关等几种方式

5.2.2　如何设置包过滤的规则

网络包的头部字段信息来设置过滤规则 ， 常用的头部信息在网络二中有讲解

示例：禁止 Web 服务器访问互联网，互联网访问 Web 服务器

5.2.3　通过端口号限定应用程序

5.2.4　通过控制位判断连接方向

5.2.5　从公司内网访问公开区域的规则

5.2.6　从外部无法访问公司内网

5.2.7　通过防火墙

包过滤方式的防火墙可根据接收方 IP 地址、发送方 IP 地址、接收方端口号、发送方端口号、控制位等信息来判断是否允许某个包通过

5.2.8　防火墙无法抵御的攻击

数据包内部有漏洞：只有检查包的内容才能识别这种风险，因此防火墙对这种情况无能为力要应对这种情况有两种方法：开发者修复web 服务BUG另一种方法就是在防火墙之外部署用来检查包的内容并阻止有害包的设备或软件;方法也不是完美无缺的，因为包的内容是否有风险，是由 Web 服务器有没有 Bug 决定的

5.3 服务器平衡负载

5.3.1　性能不足时需要负载均衡

有些情况，无论服务器的性能再好，仅靠一台服务器还是难以胜任的，这种情况下，使用多台服务器来分担负载的方法更有效。这种架构统称为分布式架构，轮训访问，但是也是具有局限性的

5.3.2　使用负载均衡器分配访问

5.4 使用缓存服务器分担负载

5.4.1　如何使用缓存服务器

5.4.2　缓存服务器通过更新时间管理内容

5.4.3　最原始的代理——正向代理

缓存服务器使用的代理机制最早就是放在客户端一侧的，这才是代理的原型，称为正向代理

5.4.4　正向代理的改良版——反向代理

正向代理需要在浏览器中进行设置；但是，设置浏览器非常麻烦，如果设置错误还可能导致浏览器无法正常工作；

反向代理隐藏了真实的服务端

5.4.5　透明代理

5.5 内容分发服务

5.5.1　利用内容分发服务分担负载

5.5.2　如何找到最近的缓存服务器

互联网中有很多缓存服务器，如何才能从这些服务器中找到离客户端最近的一个，并让客户端去访问那台服务器呢

如果按照 DNS 服务器的一般工作方式来看，它只能以轮询方式按顺序返回 IP 地址，完全不考虑客户端与缓存服务器的远近，因此可能会返回离客户端较远的缓存服务器 IP 地址。如果要让用户访问最近的缓存服务器，则不应采用轮询方式，而是应该判断客户端与缓存服务器的距离，并返回距离客户端最近的缓存服务器IP 地址。