Web伺服器的部署地點

在公司裡部署Web伺服器

網路包從網際網路到達伺服器的過程，根據伺服器部署地點的不同而不同。最簡單的是圖5.1（a）中的這種情況，伺服器直接部署在公司網路上，並且可以從網際網路直接訪問。這種情況下，網路包透過最近的POP中的路由器、接入網以及伺服器端路由器之後，就直接到達了伺服器。其中，路由器的包轉發操作，以及接入網和區域網中包的傳輸過程都和我們之前講過的內容沒有區別。

以前這樣的伺服器部署方式很常見，但現在已經不是主流方式了。這裡有幾個原因。

第一個原因是IP地址不足。

這樣的方式需要為公司網路中的所有裝置，包括伺服器和客戶端計算機，都分配各自的公有地址。然而現在公有地址已經不夠用了，因此採用這種方式已經不現實了。

另一個原因是安全問題。

這種方式中，從網際網路傳來的網路包會無節制地進入伺服器，這意味著伺服器在攻擊者看來處於“裸奔”狀態。當然，我們可以強化伺服器本身的防禦來抵擋攻擊，這樣可以一定程度上降低風險。但是，任何設定失誤都會產生安全漏洞，而裸奔狀態的伺服器，其安全漏洞也都會暴露出來。人工方式總會出錯，安全漏洞很難完全消除，因此讓伺服器裸奔並不是一個穩妥的辦法。

因此，現在我們一般採用圖5.1（b）中的方式，即部署防火牆。

防火牆的作用類似於海關，它只允許發往指定伺服器的指定應用程式的網路包透過，從而遮蔽其他不允許透過的包。這樣一來，即便應用程式存在安全漏洞，也可以降低相應的風險。

因為防火牆遮蔽了不允許從外部訪問的應用程式，所以即便這些程式存在安全漏洞，用於攻擊的網路包也進不來。當然，即便如此風險也不會降到零，因為如果允許外部訪問的應用程式中有安全漏洞，還是有可能遭到攻擊的，但怎麼說也遠比完全暴露安全漏洞的風險要低得多。這就是防火牆的作用。

將Web伺服器部署在資料中心

圖5.1（a）和圖5.1（b）都是將Web伺服器部署在公司裡，但Web伺服器不僅可以部署在公司裡，也可以像圖5.1（c）這樣把伺服器放在網路運營商等管理的資料中心裡，或者直接租用運營商提供的伺服器。

資料中心是與運營商核心部分NOC直接連線的，或者是與運營商之間的樞紐IX直接連線的。換句話說，資料中心透過高速線路直接連線到網際網路的核心部分，因此將伺服器部署在這裡可以獲得很高的訪問速度，當伺服器訪問量很大時這是非常有效的。此外，資料中心一般位於具有抗震結構的大樓內，還具有自主發電裝置，並實行24小時門禁管理，可以說比放在公司裡具有更高的安全性。此外，資料中心不但提供安放伺服器的場地，還提供各種附加服務，如伺服器工作狀態監控、防火牆的配置和運營、非法入侵監控等，從這一點來看，其安全性也更高。

chibohandong