附錄 C：網(wǎng)絡(luò)安全的最佳方案
Steve Riley，Microsoft Communications Industry Solutions Group Consulting Practice

2000 年 8 月 7 日

這篇短文論述了網(wǎng)絡(luò)設(shè)計(jì)和安全的最佳方案。盡管網(wǎng)絡(luò)的設(shè)計(jì)和安全保護(hù)方法很多，但只有某些方法和步驟深受許多業(yè)內(nèi)人士的喜歡。

篩選路由器 — 第一道防線
應(yīng)當(dāng)使用篩選路由器來(lái)保護(hù)任何面向 Internet 的防火墻。這種路由器只有兩個(gè)接口：一個(gè)與 Internet 相連而另一個(gè)與外部防火墻（或必要時(shí)與負(fù)載平衡的防火墻群集）相連。所有攻擊中，將近 90% 涉及到 IP 地址失竊，或改變?cè)吹刂芬允箶?shù)據(jù)包看起來(lái)如同來(lái)自內(nèi)部網(wǎng)絡(luò)。傳入數(shù)據(jù)包沒(méi)有什么理由可以來(lái)自內(nèi)部網(wǎng)絡(luò)。另外，由于一個(gè)網(wǎng)絡(luò)的安全性通常取決于所連接網(wǎng)絡(luò)的安全性，因此最好能避免您的網(wǎng)絡(luò)被用作假數(shù)據(jù)包的來(lái)源。篩選路由器是實(shí)現(xiàn)這些目的的理想方法。

應(yīng)當(dāng)將篩選路由器配置為“allow all except that which is specifically denied”（允許通過(guò)特別拒絕以外的所有通信）狀態(tài)。這樣，ACL 就執(zhí)行下列操作：

定義一個(gè)進(jìn)入篩選器，它拒絕任何源地址為內(nèi)部網(wǎng)絡(luò)地址的傳入通信。
定義一個(gè)外出篩選器，它拒絕源地址非內(nèi)部網(wǎng)絡(luò)的傳出通信。
拒絕 RFC 1918 中所確定的任何專用地址范圍內(nèi)源地址或目標(biāo)地址的所有傳入或傳出通信。
允許所有其它的傳入和傳出通信。
這可阻止大多數(shù)攻擊，因?yàn)楦`取內(nèi)部地址幾乎是所有攻擊的基本條件。將篩選路由器后面的防火墻配置為“deny all except that which is specifically allowed”（拒絕除特別允許之外的所有通信）狀態(tài)。

（這部分信息的依據(jù)為 RFC 2267，“Network ingress filtering: Defeating denial of service attacks which employ IP source address spoofing”，1998 年 1 月。）

對(duì)可用性要求較高的環(huán)境，可使用兩個(gè)篩選路由器，并將二者連接到一對(duì)防火墻負(fù)載平衡設(shè)備上。

防火墻 — 分層保護(hù)
典型的非軍事區(qū) (DMZ) 有兩個(gè)防火墻。外部防火墻配置為只允許 Internet 和 DMZ 之間連接所需的通信。內(nèi)部防火墻的配置要能夠保護(hù)內(nèi)部網(wǎng)絡(luò)不受 DMZ 的影響 — DMZ 是非信任網(wǎng)絡(luò)，因此有必要對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)施保護(hù)。

什么是 DMZ？看看世界上僅有的政治方面的 DMZ：南北朝鮮之間的區(qū)域。DMZ 由其保護(hù)邊界確定 — 在這種情況下，兩個(gè)地理邊界，分別由單獨(dú)的保護(hù)實(shí)體進(jìn)行監(jiān)視和保護(hù)。網(wǎng)絡(luò)中的 DMZ 與此非常類似：某單獨(dú)的網(wǎng)絡(luò)部分經(jīng)過(guò)單獨(dú)的物理防火墻與（通常）兩個(gè)其它網(wǎng)絡(luò)相連。

DMZ 與屏蔽子網(wǎng)。常見(jiàn)的方法是使用具有多個(gè)接口的單一物理防火墻。一個(gè)接口連接 Internet，第二個(gè)接口連接到內(nèi)部網(wǎng)絡(luò)，第三個(gè)接口連接到通常稱為 DMZ 的區(qū)域。這種體系結(jié)構(gòu)不是真正的 DMZ，因?yàn)閱蝹€(gè)設(shè)備負(fù)責(zé)多個(gè)保護(hù)區(qū)域。這種方案的確切名稱是屏蔽子網(wǎng)。屏蔽子網(wǎng)具有嚴(yán)重缺陷 — 單個(gè)攻擊就可破壞整個(gè)網(wǎng)絡(luò)，因?yàn)樗芯W(wǎng)絡(luò)段都與該防火墻相連。

DMZ 的優(yōu)點(diǎn)。為什么部署 DMZ？網(wǎng)絡(luò)攻擊日趨增加 — 有些只是出于好玩、炫耀自己的惡作劇能力，還一些是嚴(yán)重的、有目的的公司間諜和破壞。有效的安全體系結(jié)構(gòu)是攻擊的一道屏障，同時(shí)該結(jié)構(gòu)具有可調(diào)整能力。真正的 DMZ 結(jié)構(gòu)具有下列優(yōu)點(diǎn)：

具有針對(duì)性的安全策略。每個(gè)防火墻實(shí)施與保護(hù)對(duì)象對(duì)應(yīng)的策略。
深入防御。在安全遭到破壞時(shí)，設(shè)備的多個(gè)物理構(gòu)件為安全管理員提供更多時(shí)間來(lái)做出反應(yīng)。這是為什么要部署真正的 DMZ 而不是屏蔽子網(wǎng)的唯一、也是最重要的原因。
改進(jìn)性能。兩設(shè)備間通信檢查的職責(zé)分開(kāi)，每個(gè)特定保護(hù)區(qū)配置一臺(tái)設(shè)備。
可擴(kuò)展性?？筛鶕?jù)需要擴(kuò)展防火墻 — 外部防火墻處理的負(fù)載通常必須比內(nèi)部防火墻高很多。像 RadWare's FireProof 這樣的技術(shù)可以跨防火墻農(nóng)場(chǎng)而平衡負(fù)載。
消除故障點(diǎn)。為了獲得高可用性，應(yīng)當(dāng)至少部署與一對(duì)防火墻完全適用的一對(duì)防火墻負(fù)載平衡器。這樣防火墻即可與 DMZ 核心交換機(jī)完全匹配。

防火墻類型
目前有三種防火墻：

基本數(shù)據(jù)包篩選器。
狀態(tài)檢測(cè)數(shù)據(jù)包篩選器。
應(yīng)用程序代理。
基本數(shù)據(jù)包篩選器。把簡(jiǎn)單的數(shù)據(jù)包篩選作為一種防火墻已不常見(jiàn)，因?yàn)閹缀跛械穆酚善鞫伎蓤?zhí)行此功能。數(shù)據(jù)包篩選只是簡(jiǎn)單地按照一組規(guī)則比較傳出和傳入數(shù)據(jù)包的端口、協(xié)議和地址。不符合規(guī)則的數(shù)據(jù)包被防火墻終止?；镜臄?shù)據(jù)包篩選提供很少的安全性，因?yàn)楹芏喾N攻擊可輕易地繞過(guò)它。

狀態(tài)檢測(cè)數(shù)據(jù)包篩選器。這些防火墻除檢查單獨(dú)的數(shù)據(jù)包外還對(duì)流程進(jìn)行檢查。狀態(tài)檢查引擎跟蹤每個(gè)連接的啟動(dòng)并確保啟動(dòng)與某個(gè)先前登錄的連接相應(yīng)的所有通信。符合防火墻規(guī)則但無(wú)法映射到任何連接的未經(jīng)請(qǐng)求數(shù)據(jù)包將被終止。狀態(tài)檢查比基本數(shù)據(jù)包篩選更為安全，但還是可能受到能夠通過(guò)防火墻可用協(xié)議（如 HTTP）的入侵的襲擊。兩類數(shù)據(jù)包篩選器都無(wú)法分析任何數(shù)據(jù)包的內(nèi)容。另外，兩類數(shù)據(jù)包篩選防火墻幾乎都無(wú)法在按照規(guī)則集進(jìn)行計(jì)算之前將碎片數(shù)據(jù)包重新組裝起來(lái)。于是，某些類型的攻擊得以用高超技巧制作的數(shù)據(jù)包碎片進(jìn)行成功傳遞。

應(yīng)用程序代理。應(yīng)用程序代理提供最高的安全級(jí)別。連接不通過(guò)代理，而傳入連接在代理處被中截，并由代理實(shí)現(xiàn)與目標(biāo)服務(wù)器的連接。應(yīng)用程序代理檢查有效載荷并可確定它是否符合協(xié)議。例如，正常的 HTTP 請(qǐng)求有確定的特征。通過(guò) HTTP 傳遞的攻擊將與這些特征有所出入（最顯著的是通過(guò) HTTP 請(qǐng)求傳遞的通信具有過(guò)多傳入信息量），并將被終止。應(yīng)用程序代理還不易受到碎片的攻擊。由于為應(yīng)用程序代理施加了負(fù)載，因此它在三類防火墻技術(shù)中速度最慢。

如此說(shuō)來(lái)，哪種技術(shù)最好呢？答案取決于您所需的安全級(jí)別。一些狀態(tài)檢查防火墻開(kāi)始加入應(yīng)用程序代理功能；Checkpoint 的 Firewall-1 就是這樣的實(shí)例。

基于主機(jī)的防火墻保護(hù)。徹底防御應(yīng)當(dāng)是任何安全方案的設(shè)計(jì)目標(biāo)。篩選路由器和傳統(tǒng)的 DMZ 提供三層保護(hù)，它們通常足以保護(hù)大多數(shù)網(wǎng)絡(luò)服務(wù)。對(duì)于高度安全的環(huán)境，基于主機(jī)的防火墻還可提供另一層的保護(hù)?；谥鳈C(jī)的防火墻允許安全管理員確定詳細(xì)周全的安全策略，以使服務(wù)器的 IP 棧只對(duì)該服務(wù)器上應(yīng)用程序所要求的端口和協(xié)議開(kāi)放。一些基于主機(jī)的防火墻還實(shí)施傳出保護(hù)，以幫助確保某臺(tái)遭到破壞的機(jī)器不會(huì)影響同一網(wǎng)絡(luò)上的其它機(jī)器。當(dāng)然，基于主機(jī)的防火墻確實(shí)增加了普通系統(tǒng)管理的負(fù)擔(dān)。應(yīng)考慮僅對(duì)那些包含至關(guān)重要數(shù)據(jù)的服務(wù)器增加基于主機(jī)的保護(hù)。

DMZ 體系結(jié)構(gòu) — 安全和性能
另一類常見(jiàn)的攻擊是從線路上窺探數(shù)據(jù)包。盡管有最近出現(xiàn)的防窺探工具（可能經(jīng)常不可靠），但用簡(jiǎn)單集線器構(gòu)建的網(wǎng)絡(luò)還是很容易受到這種攻擊。（并且反防窺探工具也可能使它成為一項(xiàng)重要議題。） 使用交換機(jī)替代集線器可消除此弱點(diǎn)。在共享介質(zhì)網(wǎng)絡(luò)（即用集線器構(gòu)建的網(wǎng)絡(luò)）中，所有的設(shè)備可看見(jiàn)所有的通信。通常網(wǎng)絡(luò)接口對(duì)非發(fā)給它的數(shù)據(jù)幀不進(jìn)行處理?；祀s模式的接口將把每一幀的內(nèi)容向上傳到計(jì)算機(jī)的協(xié)議棧。該信息對(duì)于有協(xié)議分析器的攻擊者可能非常有價(jià)值。

交換網(wǎng)絡(luò)可以實(shí)際杜絕這種情況的發(fā)生。交換網(wǎng)絡(luò)中任何機(jī)器的網(wǎng)絡(luò)接口將只能看到特別發(fā)給該接口的那些幀。在這里混雜模式?jīng)]有什么不同，因?yàn)?NIC 不識(shí)別其它任何網(wǎng)絡(luò)通信。攻擊者窺探交換網(wǎng)絡(luò)的唯一已知方法是：攻擊者破壞交換機(jī)本身并更改其操作，這樣交換機(jī)至少在一個(gè)端口充斥了所有通信。破壞交換機(jī)很難，并且很快會(huì)被網(wǎng)絡(luò)管理員發(fā)現(xiàn)。

交換網(wǎng)絡(luò)還免去了使用雙主機(jī) DMZ 服務(wù)器的必要。雙主機(jī)提供不了更多的附加保護(hù)；附加的 NIC 不能防止來(lái)自已破壞計(jì)算機(jī)的攻擊。但是在需要高可用性或高性能情況下，使用兩個(gè) NIC 可能更加適合。

消除故障點(diǎn)。在需要高可用性的環(huán)境中有必要使用兩個(gè) NIC。一種切實(shí)可行的設(shè)計(jì)方案是在核心部分包括兩臺(tái)交換機(jī)，并在每臺(tái)服務(wù)器中包括兩個(gè) NIC。一個(gè) NIC 連接到一臺(tái)交換機(jī)，另一個(gè) NIC 連接到另一臺(tái)交換機(jī)。

內(nèi)部網(wǎng)絡(luò)的情況如何？出于同樣的原因，內(nèi)部網(wǎng)絡(luò)也應(yīng)當(dāng)用交換機(jī)來(lái)構(gòu)建。如果需要高可用性，請(qǐng)遵照 DMZ 中同樣的原則。

群集互連。無(wú)論在 DMZ 還是在內(nèi)部網(wǎng)絡(luò)中，都使用集線器連接所有群集。Microsoft 不建議使用跨接電纜，因?yàn)樗鼈儾荒芴峁┐_保介質(zhì)敏感型操作正常工作所需的電子信號(hào)。

IPSec — 信任 DMZ 的一種更安全的選擇
如果所有的服務(wù)器都在運(yùn)行 Windows 2000，則應(yīng)當(dāng)使用 Internet 協(xié)議安全 (IPSec) 來(lái)保護(hù) DMZ 和內(nèi)部網(wǎng)絡(luò)之間所有通訊的安全。IPSec 提供下列功能：

身份驗(yàn)證。 可以確定這樣的策略，使得只有那些需要彼此通訊的計(jì)算機(jī)才可以互相通訊。
加密。 已經(jīng)侵入到 DMZ 的入侵者無(wú)法將通信解釋進(jìn)或解釋出內(nèi)部網(wǎng)絡(luò)。
保護(hù)。 IPSec 保護(hù)網(wǎng)絡(luò)避免重放攻擊、人為干預(yù)攻擊以及通過(guò)標(biāo)準(zhǔn)協(xié)議（如 ICMP 或 HTTP）進(jìn)行的攻擊（這些攻擊可通過(guò)基本防火墻和狀態(tài)檢查數(shù)據(jù)包篩選器防火墻）。
啟用 IPSec 后，內(nèi)部防火墻必須只允許 IPSec、IKE、Kerberos 以及 DNS 通信，這樣進(jìn)一步加強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全性。內(nèi)部防火墻中不會(huì)有其它漏洞。對(duì)于各種應(yīng)用程序有漏洞的標(biāo)準(zhǔn)防火墻規(guī)則，入侵者可以通過(guò) Firewalk 這樣的工具確定防火墻的策略；而將所有通信封裝在 IPSec 中并只許使用該協(xié)議，可隱藏對(duì)攻擊者可能有用的實(shí)施細(xì)節(jié)（但是還應(yīng)參見(jiàn)下面的“可能的安全含意”）。下表列出了應(yīng)當(dāng)在防火墻中開(kāi)啟的服務(wù)： 服務(wù)
位置
說(shuō)明

Domain

端口 53/tcp 和 53/udp

域名服務(wù)

kerberos

端口 88/tcp 和 88/udp

Kerberos v.5 身份驗(yàn)證

isakmp

端口 500/udp

Internet 密鑰交換

esp

協(xié)議 50

IPSec 封裝的安全有效載荷

ah

協(xié)議 51

IPSec 驗(yàn)證的標(biāo)頭

請(qǐng)注意不需要證書(shū)授權(quán)；IPSec 策略將用 Kerberos （本機(jī)的 Windows 2000 身份驗(yàn)證機(jī)制）作為建立 IKE 主模式安全關(guān)聯(lián)的基礎(chǔ)。

可能的安全含意。如前所述，對(duì) DMZ 和內(nèi)部網(wǎng)絡(luò)之間的通信加密后不可能再檢查內(nèi)部防火墻中的通信。并非所有的網(wǎng)絡(luò)或安全管理員都對(duì)此方法滿意。ESP 的加密提供了進(jìn)入內(nèi)部網(wǎng)絡(luò)的封裝路徑，一旦某臺(tái) DMZ 機(jī)器被破壞，它就可能被利用。使用 IPSec AH 替代 ESP 將使較為簡(jiǎn)單的防火墻配置顯示其優(yōu)勢(shì)，同時(shí)由于 AH 數(shù)據(jù)包有效載荷未經(jīng)加密，還可進(jìn)行通信檢查。

入侵檢測(cè) — 早期的警告系統(tǒng)
入侵檢測(cè)系統(tǒng)正在成為與 Internet 連接的任何網(wǎng)絡(luò)的必要組件。盡管它不能替代防火墻詳細(xì)不間斷的檢查和服務(wù)器日志，但是入侵檢測(cè)系統(tǒng)能夠提早識(shí)別潛在入侵，為您提供更多的時(shí)間以對(duì)事故采取相應(yīng)措施。請(qǐng)?jiān)?DMZ 中安裝入侵檢測(cè)系統(tǒng)。

入侵檢測(cè)系統(tǒng)和防病毒實(shí)用程序相似，它們都是在檢測(cè)到它們識(shí)別的東西時(shí)向管理員發(fā)出警報(bào)。入侵檢測(cè)系統(tǒng)包含一個(gè)攻擊特征數(shù)據(jù)庫(kù)，但是并非所有的入侵檢測(cè)系統(tǒng)都同樣可以識(shí)別不同類型的攻擊或保持最新?tīng)顟B(tài)（各個(gè) IDS 廠商都將他們的特征數(shù)據(jù)庫(kù)和更新機(jī)制當(dāng)作商業(yè)機(jī)密）。目前有兩種值得關(guān)注的檢測(cè)系統(tǒng)，它們是：RealSecure by Internet Security Systems (http://www.iss.net) 和 Network Flight Recorder ( http://www.nfr.net )。

基于主機(jī)的入侵檢測(cè)。大多數(shù)入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)級(jí)別工作，在網(wǎng)絡(luò)被破壞后向管理員發(fā)出警報(bào)。最近出現(xiàn)了一種新的入侵檢測(cè)系統(tǒng)類型：基于主機(jī)的入侵檢測(cè)系統(tǒng)。這些工具本身在服務(wù)器上運(yùn)行，并在特定計(jì)算機(jī)遭到破壞時(shí)向管理員發(fā)出警報(bào)。這種警報(bào)機(jī)制對(duì)于包含有重要操作數(shù)據(jù)的計(jì)算機(jī)（如后端數(shù)據(jù)庫(kù)服務(wù)器）尤為重要。

將基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)結(jié)合起來(lái)，并且讓訓(xùn)練有素的安全專家定期檢查系統(tǒng)日志是保護(hù)網(wǎng)絡(luò)、收集證據(jù)和處理安全事故的最有效方法。

DNS — 確?？蛻舻竭_(dá)正確的地方
常見(jiàn)的 DNS 實(shí)施（包括如圖所示的實(shí)施）稱為拆分 DNS 實(shí)施。外部服務(wù)器用來(lái)解決 Internet 對(duì) DMZ 中計(jì)算機(jī)的查詢，并解決 DMZ 計(jì)算機(jī)對(duì)其它 DMZ 計(jì)算機(jī)的查詢。內(nèi)部服務(wù)器用來(lái)解決內(nèi)部網(wǎng)絡(luò)對(duì)內(nèi)部計(jì)算機(jī)的查詢，對(duì) DMZ 中或 Internet 上計(jì)算機(jī)的查詢將被轉(zhuǎn)發(fā)到外部服務(wù)器。但是拆分 DNS 不能保護(hù) DNS 高速緩存免受攻擊。

在 DNS 高速緩存的侵害中，攻擊者會(huì)破壞另一網(wǎng)絡(luò)的 DNS 高速緩存。當(dāng)受害者試圖在破壞的網(wǎng)絡(luò)中確定地址時(shí)，該高速緩存返回攻擊者在高速緩存中放入的無(wú)效信息。通常攻擊者這樣做是為了把受害者重新定向到攻擊者的計(jì)算機(jī)。

最安全的 DNS 實(shí)施稱為 拆分 — 拆分 DNS 實(shí)施。在 DMZ 中有兩臺(tái) DNS 服務(wù)器。一臺(tái)服務(wù)器（例如 DMZDNS-IN）只接受對(duì) DMZ 中計(jì)算機(jī)的傳入查詢 — 并只接受 Internet 上計(jì)算機(jī)的查詢。另一臺(tái)服務(wù)器（如 DMZDNS-OUT）只允許解決對(duì) Internet 的傳出查詢，以及 DMZ 計(jì)算機(jī)對(duì)其它 DMZ 計(jì)算機(jī)的查詢。DMZDNS-IN 是 DMZ 的 DNS 區(qū)域的主 DNS 服務(wù)器，DMZDNS-OUT 是輔助 DNS 服務(wù)器，使用 IPSec 進(jìn)行區(qū)域傳輸。內(nèi)部網(wǎng)絡(luò)中的 DNS 服務(wù)器僅是內(nèi)部網(wǎng)絡(luò)的主 DNS 服務(wù)器，并且將對(duì) DMZ 或 Internet 的請(qǐng)求轉(zhuǎn)發(fā)到 DMZDNS-OUT。這消除了使網(wǎng)絡(luò)易于受到已被襲擊的 DNS 高速緩存攻擊的條件。

來(lái)自 Internet 的 DNS 查詢不可能通過(guò) DMZ 進(jìn)入內(nèi)部網(wǎng)絡(luò)來(lái)獲取答案。一些近期的攻擊使用 DNS 來(lái)傳遞其有效載荷。Internet 上的用戶沒(méi)有必要對(duì)內(nèi)部網(wǎng)絡(luò)上的服務(wù)器進(jìn)行查詢。

消除故障點(diǎn)。在高可用性環(huán)境中，只需簡(jiǎn)單倍增 DNS 服務(wù)器的數(shù)量即可。

硬件負(fù)載平衡 — 保持服務(wù)器的最佳性能
Windows 2000 Advanced Server 包括一種稱為“網(wǎng)絡(luò)負(fù)載平衡服務(wù)”或 NLBS 的功能。NLBS 為 Web 站點(diǎn)管理員提供了在相同配置的服務(wù)器農(nóng)場(chǎng)中進(jìn)行服務(wù)器負(fù)載分配的方法。NLBS 對(duì)不需要復(fù)雜狀態(tài)維護(hù)或性能監(jiān)視的應(yīng)用程序來(lái)說(shuō)非常適用。但對(duì)于需要這些工作的應(yīng)用程序來(lái)說(shuō)，則應(yīng)選擇硬件負(fù)載平衡。這些設(shè)備有時(shí)稱為第 7 層交換機(jī)。

像 F5 網(wǎng)絡(luò)的 BigIP Content Switch（非官方認(rèn)可，只是行業(yè)中認(rèn)同它是最好產(chǎn)品之一）這樣的設(shè)備在 OSI 模型的第 2 到第 7 層工作。BigIP Content Switch 檢測(cè)應(yīng)用程序的狀態(tài)和運(yùn)行情況，在 Web 服務(wù)器之間提供負(fù)載平衡和真實(shí)容錯(cuò)。若要消除任何單一的故障點(diǎn)，需使用兩個(gè)與所有 Web 服務(wù)器完全相符的負(fù)載平衡設(shè)備。F5 還提供了支持加密套接字協(xié)議層 (SSL) 的 BigIP Content Switch 版本。SSL 會(huì)話在 BigIP SSL Accelerator中終止，然后確定由哪臺(tái) Web 服務(wù)器執(zhí)行該工作。BigIP Accelerator 進(jìn)行下列操作：

卸載 Web 服務(wù)器的 SSL 處理，提高其性能。
集中管理證書(shū)。將證書(shū)安裝在 SSL 加速器上，而不是每一臺(tái) Web 服務(wù)器上。它還可使多個(gè) BigIP 控制器之間的證書(shū)同步。
啟用 HTTP 主機(jī)標(biāo)頭。
解決 AOL 客戶端 IP 地址共享問(wèn)題。
消除故障點(diǎn)。如果目標(biāo)僅僅是平衡服務(wù)器的負(fù)載，一臺(tái)負(fù)載平衡設(shè)備足矣。但是若要提供真實(shí)容錯(cuò)功能，則需多臺(tái)配置完全匹配的設(shè)備。

存儲(chǔ)區(qū)域網(wǎng)絡(luò) — 對(duì)內(nèi)部網(wǎng)絡(luò)的集中存儲(chǔ)
存儲(chǔ)區(qū)域網(wǎng)絡(luò)技術(shù)已非常成熟，只要是配備有大存儲(chǔ)容量的地方都可使用。SAN 將存儲(chǔ)功能從通用服務(wù)器移到為傳輸大量數(shù)據(jù)而特別設(shè)計(jì)的高速網(wǎng)絡(luò)上。這有助于：

通過(guò)將磁盤(pán)陣列移出機(jī)柜來(lái)優(yōu)化服務(wù)器機(jī)柜空間。
通過(guò)將數(shù)據(jù)存儲(chǔ)在單獨(dú)的、不易遭受目前所知類型攻擊的網(wǎng)絡(luò)中，增加數(shù)據(jù)的安全性。
通過(guò)在數(shù)據(jù)網(wǎng)絡(luò)之外保留通信備份，提供不受 LAN 約束的備份。
最初，使用光纖通道仲裁環(huán) (FC-AL) 來(lái)建立 SAN。較新的光纖通道交換機(jī)提供更高水平的吞吐量，并使管理員可以設(shè)計(jì)沒(méi)有單一故障點(diǎn)的 SAN。

交換光纖通道 SAN 至少包括：

兩臺(tái)位于核心相互連接的 FC 交換機(jī)。
幾臺(tái)位于外圍的交換機(jī) — 每個(gè) LAN 有一臺(tái)與 SAN 連接的交換機(jī)。每臺(tái)外圍交換機(jī)都與兩臺(tái)核心交換機(jī)連接。
每臺(tái)服務(wù)器中的 FC 接口與其本地的 SAN 交換機(jī)相連。
SAN 磁盤(pán)群集有一臺(tái)交換機(jī)與兩臺(tái)核心交換機(jī)連接。
SAN 備份設(shè)備的一臺(tái)交換機(jī)，與兩臺(tái)核心交換機(jī)連接。
消除故障點(diǎn)。倍增核心以外的所有設(shè)備：在每臺(tái)服務(wù)器中使用兩個(gè)光纖通道適配器、每個(gè) LAN 中使用兩臺(tái)外圍交換機(jī)、對(duì) SAN 磁盤(pán)群集使用兩臺(tái)外圍交換機(jī)，以及對(duì) SAN 備份設(shè)備使用兩臺(tái)外圍交換機(jī)。始終將兩臺(tái)外圍交換機(jī)與兩臺(tái)核心交換機(jī)相連。

網(wǎng)絡(luò)附加存儲(chǔ)的有關(guān)情況？Microsoft 不支持 NAS 存儲(chǔ) Exchange 文件。Exchange 要求所有的文件都保存本地設(shè)備上。Exchange 在光纖連接的 SAN 設(shè)備上運(yùn)行良好，這些設(shè)備對(duì) Windows 2000 表現(xiàn)為本地設(shè)備。

© 2000 Microsoft Corporation。版權(quán)所有。

本文檔所包含的信息代表了在發(fā)布之日，Microsoft Corporation 對(duì)所討論問(wèn)題的當(dāng)前看法。因?yàn)?Microsoft 必須順應(yīng)不斷變化的市場(chǎng)條件，故該文檔不應(yīng)理解為 Microsoft 一方的承諾，Microsoft 不保證所給信息在發(fā)布之日以后的準(zhǔn)確性。

本文檔僅供參考。在本文檔中，MICROSOFT 不做任何明示的或默示的保證。

Microsoft、BackOffice、MS-DOS、Outlook、PivotTable、PowerPoint、Microsoft Press、Visual Basic、Windows、Windows NT 和 Office 徽標(biāo)是 Microsoft 在美國(guó)和/或其它國(guó)家（或地區(qū)）的注冊(cè)商標(biāo)或商標(biāo)。