安全性不是事后后悔-谈应用程序安全设计

　　Norris解释说：“这个门户站点上没有任何信息能在互联网上不受阻碍地传送。由于这种加密/解密工作负载，我们决定在我们的负载均衡器集群中使用SSL终端，同时还可以在其中管理我们的SSL证书。”

　　数据流相当简单。负载均衡器上有接收HTTPS数据包的软件代理程序。代理程序与虚拟IP地址的不同之处在于，代理程序必须进行某些协议转换。在此文中，代理程序与SSL终端硬件协作，通过剥除数据包外围的加密和封装，将协议从HTTPS转换到HTTP。随后负载均衡器将HTTP请求发送到Web服务器；在此文中，将请求发送到运行Oracle应用服务器的中间层服务器。

　　Norris补充说，所获得的性能增益很难量化，但他指出，使用软件在服务器端执行SSL加密/解密操作与在专用硬件中执行该操作对比，其成本较为昂贵。

　　Norris说：“典型的数量是，使用软件时一台典型的主机可能每秒钟能够处理20到30个SSL连接。使用SSL加速硬件时，负载均衡器集群可以每秒钟处理完大约1000或更多的连接。因此它是效果显著的性能增强器。”

　　Norris还喜欢管理的便利性。“从长远来看，无论您扩展到多少个实际的中间层服务器，您都可以在单个位置管理您的所有SSL证书。”

　　Norris继续解释他的详细安全方法直至后端。在应用服务器集群的后面是另一对防火墙，它们从每个应用服务器节点接收SQL*Net通信，并允许这些通信传送到适当的数据库节点。

　　这第二层防火墙在门户信息库和数据库的前面建立起虚拟的“非军事化区”。这样，即使出现了应用程序层被破坏这样不太可能出现的情况，由于第二层防火墙的缘故，对实际数据的破坏也会受到限制。Norris 说：“使用防火墙放置DMZ确保了最后一级防护，保证攻击者无法到达数据库层。”

　　最后，使用实际应用程序集群(RAC)在共享磁盘环境中存放实际的门户信息库和必要的客户数据，后端本身可以保持高度可用和可伸缩。

　　Norris补充说：“不可否认后端上的RAC服务器略有些小，但是它可以向我们的RAC环境中动态添加其他节点，这使得我们最终不必过多担心满足可伸缩性的问题。”

　　对安全性设计师的建议

　　在考虑安全性问题时，顾问们需要了解他们的客户可以得到的不同选择。良好的安全性从设计的第一天开始，并贯彻到良好的管理和系统监管中。

　　Norris说：“要在安全性设计方面工作出色，您必须以没有危险的方式转移与安全性相关的风险。作为设计师，我们定期与客户讨论有关高可用性和可伸缩性的问题，并且必须以同样方式解释很多安全性问题--因为必须在设计和构建过程中做出决定。如果您试图在项目即将结束时解决安全性问题，当最后期限迫近而一片混乱时，项目很可能满是漏洞。在开始工作时要切记安全性问题，并帮助您的客户了解他们的选择。”

　　注：Dan Norris(norris@Celeritas.com) 是美国堪萨斯城的Celeritas Technologies,LLC的一位高级顾问。在他6年多的顾问经历中，他已帮助许多公司设计基础架构，使其高度可用并更加安全。他曾担任过很多职务，包括系统设计师、Unix系统管理员、Oracle数据库管理员、应用服务器管理员和安全性设计师。