1. 概述
为解决单条链路性能及冗余问题,用户网络出口往往选择多条链路。太一星晨推出T-Force LLC链路负载产品专注解决出口链路问题,为政府、企业、学校等提供高性能、高可靠性的链路解决方案。T-Force专业链路负载产品通过DNS代理技术及链路保护功能,可以更好的提高多链路情况下的使用效率,避免链路使用不均以及单条链路负载过高的问题。此外,T-Force链路负载产品支持智能DNS功能,有效避免跨运营商访问。
2. 出站流量负载均衡(Outbound方向)
与传统防火墙、路由器的静态路径选择不同,T-Force链路负载产品支持动态的路径选择,可自动的选择最佳访问路径。通过ICMP、TCP、HTTP等多重健康检查方式,可有效的定义多重链路切换条件。极大的降低管理和维护成本,保持业务连续性,提高工作效率。
2.1 负载分担算法
链路负载分担算法是用来计算内网用户访问Internet时(出站流量),在多链路间进行流量分配的方案。链路负载分担的算法和服务器负载分担的算法有一致的地方,也存在一些差异,链路负载分担算法包括:
轮询(Round Robin)-依次按照顺序把流量均匀的分配给每条链路。
比率(Ratio)-根据每条链路的带宽,指定一个权值,按照这个比率给多条链路分配流量。
优先级(Priority)-为每条链路指定一个优先级,默认情况下优先向高优先级的链路分配流量,当该链路失效时选择备份链路。
加权最小连接(Weight Least Connection)-首先为每条链路指定带宽的加权值,使连接数的分配符合权值的设定,对于新建的连接,选择权值内最小的链路分配流量。
加权最小流量(Weight Least Traffic)-首先为每条链路指定带宽的加权值,使流量的分配符合权值的设定,对于新的流量,选择权值内最小的链路分配流量。
运营商路由(ISP Route)-内置IP地址和运营商的对应表,根据内网用户访问的目的地址所属运营商,选择相应的链路,避免跨运营商的访问。
最快模式(Fastest)-ADC通过比对服务器返回数据包的延迟,跳数等情况,选择一个当前响应最快的链路来分配流量。
主备模式(Master-Slave)-默认情况下流量都发送给主链路,当主链路失效时启用备份链路。
2.2 链路健康检查
T-FORCE ADC链路负载实时对出口链路进行监控和健康检查,可以及时发现端口down掉情况。除此之外,T-FORCE ADC支持包括ICMP,TCP SYN,UDP,HTTP Get 等多种协议对远端地址进行监控,即使是ISP内部网络出现故障,也可以及时发现并把流量切换到其他可用链路。
2.3 出站流量会话保持和NAT
出接口流量会话保持是指当为某个数据流分配一个出接口链路以后,该种类型的后续相关流量都分配给同一条链路。T-FORCE ADC支持的会话保持主要是基于源地址的会话保持和基于hash的会话保持。
T-FORCE ADC支持丰富的NAT转换策略,包括源IP地址转换,静态地址转换,和基于策略的地址转换。会话保持和NAT地址转换,可以很大程度的避免源主机和某目标服务器通信的过程中,报文横跨多个运营商的情况出现。
3. 入站流量负载均衡(Inbound方向)
当企业租用多个运营商链路,以便内部的应用服务器向外部用户提供服务时,T-FORCE ADC可以通过在内置的智能DNS服务器上,把企业的单一域名绑定到多运营商的各自的公网IP上,并作为企业域名的权威发布服务器。当某个客户端访问应用服务器时,首先会进行DNS解析,T-FORCE ADC可以根据客户端所处的运营商网络返回跟他匹配的IP地址,或者通过动态探测技术,选出到该用户通信质量最好链路,并返回对应的IP地址。这样可以保证每次客户端都可以通过通信质量最好的链路来访问内部的应用服务器,极大的改善用户体验,并提升整个系统的工作效率。
3.1 智能DNS解析流程
假定企业通过租用联通,电信两条链路向外部网络提供服务,企业的域名是www.abc.com, 则整个解析流程如下:
1. 客户端向本地DNS(Local DNS) 服务器发送域名为www.abc.com 的DNS请求。
2. LDNS没有该域名的A记录,向最长匹配结果的服务器发送该请求,这里假设最长匹配只有根服务器。
3. 根服务器没有“www.abc.com”的A记录,但是存放了“www.abc.com”的NS域名服务器记录——“www.abc.com IN NS master.abc.com”,将该NS记录返回给LDNS。
4. LDNS服务器根据该NS记录知道了去哪可以找到“www.abc.com ”的A记录,将请求发送到设备T-FORCE ADC内置的智能DNS服务器。
5. ADC设备判断LDNS的IP地址隶属于哪个运营商,此示例中LDNS隶属于于网通,所以根据预先配置的规则,T-FORCE ADC返回“www.abc.com”的A记录为网通链路所分配的公网IP地址。
6. LDNS最终将刚收到的DNS响应发送回给客户端。
7. 客户端接下来访问企业的网通链路公网地址,T-FORCE ADC上对应的虚拟服务(VS)接收数据,进入服务器负载分担的流程。
4. 应用安全防护
4.1 解决方案
传统的负载产品里,基本不具备安全功能,或者只能具备基本的网络访问控制功能。太一星晨依托自身的安全因子,除了具备基础的网络层访问控制外,还具备标准的防火墙的防扫描、防攻击功能。可以完全代替防火墙运行。作为一款应用交付产品,太一星晨T-Force应用交付平台,在做应用的分发同时,还支持对应用层的安全检测及访问控制功能。
T-Force应用交付平台应用了一套HTTP会话规则集,这些规则涵盖诸如SQL注入、以及XSS等常见的Web攻击。同时可通过自定义规则,识别并阻止更多攻击。解决诸如防火墙、IPS等传统设备束手无策的Web系统安全问题。
T-Force应用交付始终致力于提供Web安全与应用交付融合的解决方案,确保Web或网络协议应用的可用性、性能和安全性:
• Web安全:依托多年安全检测积累、持续的安全研究投入,针对WEB安全最主要的SQL/XSS攻击,提供快速全面的Web安全检测方案。
• 应用交付:依托最新intel SandyBridge平台、专为TBOS优化的TCP/IP协议栈,以高速、高可用为目标,优化业务资源,改善访问体验。
4.2 主要安全功能
4.2.1 网络层防护控制与攻击防护
太一星晨具备标准防火墙功能,能够基于源、目的IP、协议、端口、时间、接口等信息做访问控制。此外,通过分析网络层报文的行为特征判断报文是否具有攻击性,并且对攻击行为采取措施以保护网络主机或者网络设备。
目前,Internet上常见的网络安全威胁分为以下三类:
◆DoS攻击
DoS攻击是使用大量的数据包攻击目标系统,使目标系统无法接受正常用户的请求,或者使目标主机挂起不能正常工作。主要的DoS攻击有SYN Flood、Fraggle等。DoS攻击和其它类型的攻击不同之处在于,攻击者并不是去寻找进入目标网络的入口,而是通过扰乱目标网络的正常工作来阻止合法用户访问网络资源。
◆扫描窥探攻击
扫描窥探攻击利用ping扫描(包括ICMP和TCP)标识网络上存在的活动主机,从而可以准确地定位潜在目标的位置;利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入目标系统做好准备。
◆畸形报文攻击
畸形报文攻击是通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时崩溃,给目标系统带来损失。主要的畸形报文攻击有Ping of Death、Teardrop等。
太一星晨通过包检测、包速率、连接数限制功能可有效抵御常见网络攻击报文,如:SynFlood/Jolt2/Land-base/ping of death/Tear drop/winnuke/smurf/TCP flag/ARP攻击/TCP扫描/UDP扫描/ping扫描。
4.2.2 应用层DDoS防护功能
应用层DoS攻击是一种与高层服务相结合的攻击方法,目前最常见就是HTTP Flood攻击(如:CC攻击)。与传统的基于网络层的DoS攻击相比,应用层DoS具有更加显著的攻击效果,而且更加难以检测。HTTP Flood是指从一个或者多个客户端,频繁向Web服务器请求资源,导致Web服务器拒绝服务的攻击。通常Web服务器有些页面是比较耗资源的,例如一些资源要查询数据库或者做复杂计算,对这种资源频繁请求时,会导致服务器繁忙从而实现拒绝服务目的。
针对HTTP Flood攻击,太一星晨能够有效识别出攻击行为和正常请求,在Web服务器受到HTTP Flood攻击时,过滤攻击行为,抑制异常用户对Web服务器的资源消耗,同时响应正常请求,确保Web业务的可用性及连续性。启用抗 CC 攻击后,T-Force ADC 应用交付平台会在服务器返回的 Http 响应中动态插入一段专用的 Cookie,正常的浏览器访问时,该 Cookie 会被携带回来,而“攻击者”的代理服务器则无法识别该 Cookie(HTTP Flood是由程序模拟HTTP请求,一般来说不会解析服务端返回数据,更不会解析JS之类代码。),并不会在下次请求中携带,这样 应用交付就可以区分出正常流量和攻击流量,并把攻击流量直接丢弃。
4.2.3 应用层访问控制.
标准防火墙主要通过源、目的IP地址、协议、接口的识别和控制达到防范入侵的方法。这种工作模式下,并不能精确解析应用层数据,更无法结合WEB系统对请求进行深入分析,针对WEB端口的攻击可以轻松的通过合法端口突破防火墙的防护。
基于应用层的访问控制恰好弥补了网络防火墙的不足,与传统防火墙相比,基于应用的访问控制体现在:
² 完整解析HTTP协议,包含HTTP头、URI、Cookie,提供HTTP协议合法性检查,避免非法攻击报文混入;
² 提供应用层控制规则,仅允许合法用户的输入通过。太一星晨可实现基于HTTP head、Cookie、请求速率、VS地址、URI的访问控制。防止WEB的非授权访问。
² 实现对URI的限制,只允许用户访问设定的URI,防止服务器资源泄露;
² 实现对特定URL的流量控制,根据Web服务器的处理性能对Web页面访问频率进行控制,确保一些性能消耗比较大的Web页面能在Web服务器承受的性能范围之内被访问;
4.2.4 SQL、XSS攻击防护
SQL注入攻击利用Web应用程序不对输入数据进行检查过滤的缺陷,将恶意的SQL命令注入到后台数据库引擎执行,达到偷取数据甚至控制数据库服务器目的。XSS攻击,指恶意攻击者往Web页面里插入恶意HTML代码,当受害者浏览该Web页面时,嵌入其中的HTML代码会被受害者Web客户端执行,达到恶意目的。
正是由于SQL注入和XSS这类攻击所利用的并不是通用漏洞,而是每个页面自己的缺陷,所以变种和变形攻击数量非常多,如果还是以常用方法进行检测,漏报和误报率将会极高。太一星晨采用VXID专利技术,采用攻击手法分析而非攻击代码特征分析的方法,可以准确而全面的检测和防御此类Web攻击行为。
VXID算法分为两个阶段:第一阶段是行为提取阶段,分析和提取Web攻击的行为特征而非数据特征,建立Web攻击行为特征库;第二阶段是实时分析网络数据,在太一星晨应用交付内部构建“轻型虚拟机”,模拟攻击行为以观察其行为特征,正确判断攻击行为的发生。这种基于原理的检测方式避免了对固化特征的匹配造成的高漏报率,也避免了由于检测规则过于严苛造成的误报。
太一星晨的应用交付平台,为用户应用,安全快速的交付业务提供了完整解决方案。在最大限度地降低带宽的同时,还保证了数据安全,并通过合理的调度算法确保将流量转发给性能最优的应用服务器,与多个产品组合部署的解决方案不同,单一部署方案可在单个设备上提供最佳的性能和完善的特性,最大限度的的保护用户投资,为用户关键业务实现快速、稳定、可靠的安全体验。
4.2.5 服务器连接数管理
T-Force应用交付平台可以为每种应用指定一个的最大并发连接数门限,一方面保护应用服务器的资源,同时也防止某种应用过多的占用系统资源,而导致其他应用无法得到正常的服务。
4.2.6 信息防泄漏
HTTP头部信息隐藏:T-Force应用交付平台可以在服务器响应报文中,擦除响应头的中指定信息,比如web服务器名称,版本号等。也可以修改服务器的真实链接目录,达到隐藏服务器关键信息的目的。也可以通过定义在Response中允许的header,而把其他所有不满足的header信息从报文中删除。
Cookie加密:把服务器响应报文的中的明文Cookie信息进行加密,然后再发送给客户端,防止某些利用Cookie存储的关键信息如用户账号,网银数据等在传输过程中被截获。在客户端回应过程中,把Cookie信息解密发送给应用服务器,即方便应用系统的统一管理,也降低了应用系统的压力。
T-Force LLC链路负载产品集成标准防火墙访问控制、防扫描、攻击功能,可替代专业防火墙使用,满足用户边界安全防御接入要求。
