負載均衡技術白皮書

《負載均衡技術白皮書》由會員分享，可在線閱讀，更多相關《負載均衡技術白皮書（49頁珍藏版）》請在裝配圖網上搜索。

1、天清應用交付平臺技術白皮書 應用交付產品技術白皮書  目錄 第一章 應用交付產品的概念及核心價值 4 1.1 ADN應用交付網絡的概念 4 1.2 應用交付產品的核心價值 5 第二章 天清ADC應用交付解決方案總體介紹 6 2.1 方案構成 6 服務器負載均衡 7 全局負載均衡 8 鏈路負載均衡 9 2.2 部署方式 11 串行部署三層接入 11 串行透明部署 11 旁路部署三層接入 12 旁路部署透明接入 12 旁路部署之三角傳輸 13 第三章 服務器負載分擔 13 3.1服務器負載分擔 13 3.1.1負載分擔算法 14 3.1.2健康檢查策

2、略 15 3.1.3會話保持策略 16 3.2七層內容交換 19 3.3HA高可靠性與設備集群 20 3.3.1 HA高可靠性 20 3.3.2 設備集群 22 第四章 應用優(yōu)化與加速 23 4.1 SSL硬件加速和卸載 24 4.2 本地RAM Cache 24 4.3 內容壓縮 25 4.4 TCP連接復用 25 4.5 TCP單邊加速 26 4.6 HTTP管線（Pipelining） 27 4.7 窄帶用戶應用加速 29 4.8 重寫Rewrite 29 第五章 鏈路負載分擔 30 5.1 出站流量負載均衡（Outbound方向） 30 負載分擔算法

3、30 鏈路健康檢查 32 出站流量會話保持和NAT 32 5.2 入站流量負載均衡(Inbound方向) 33 智能DNS解析流程 34 第六章 全局負載分擔 35 6.1 全局負載分擔策略 36 6.2 動態(tài)就近性 36 6.3 靜態(tài)就近性策略 39 6.4 IP Anycast技術 39 6.5 基于HTTP重定向的全局負載均衡 40 第七章 應用安全防護 41 7.1 應用安全防護 41 7.2 啟明星辰應用交付解決思路 42 7.3 主要安全功能 43  第一章 應用交付產品的概念及核心價值 1.1 ADN應用交付網絡的概念 Internet本

4、質上是一種端到端（end-to-end）的技術，任何一個復雜的應用，最終都會歸根于在Client和Server之間的數據交互，而其所經過Internet的環(huán)節(jié)卻紛繁復雜，對于應用的運營者來說，其中的任何一個環(huán)節(jié)處理不好，都會導致業(yè)務的無法正常提供或者效率低下。比如： 應用系統(tǒng)的性能瓶頸，穩(wěn)定性，可擴展性的問題； 跨運營商訪問時因路由瓶頸而導致的網絡延遲問題； 寬帶用戶和窄帶用戶（移動終端）并存時的合理分發(fā)和訪問效率問題； 應用系統(tǒng)所面臨的網絡攻擊等安全性等問題； 應用系統(tǒng)的整體運行效率和改善用戶體驗問題等等。 Application Delivery Networks

5、（ADN），正是面向于保障Client和Server之間穩(wěn)定且高效的數據交互而提出的一套技術體系，其主要是面向基于瀏覽器（Web-Based）并借助于Internet向用戶提供服務的業(yè)務模式。ADN產品按照國際著名資訊機構Gartner的闡述，主要是包含廣域網優(yōu)化WAN Optimization Controller（WOC）和應用交付控制器Application Delivery Controller（ADC）兩個領域。廣域網優(yōu)化產品，主要是用于在多個數據中心，或者總部和分支機構之間進行數據的壓縮以提升傳輸效率，節(jié)約帶寬成本。 ADC產品是從負載分擔（Load Balance）產品演進而來

6、，負載分擔產品通過對外提供唯一的訪問IP地址（虛擬服務VS），對內通過地址池（Pool）關聯多個提供相同服務的節(jié)點（Server），這樣就可以把進入的流量按照事先定義好的策略分發(fā)給這些服務器，同時監(jiān)控這些服務器的狀態(tài)，當某個節(jié)點失效時，可以把流量重新分配到其他正常的服務器上。運營者可以隨時增加或者減小這組服務器的數目，以滿足業(yè)務變化的需要。這樣就實現了WEB服務器側的可用性和彈性擴展。 ADC除了具備負載分擔的功能外，更關注的是整個應用交付的各個環(huán)節(jié)，包括Client側，Server側及數據交互經過網絡節(jié)點的整體效率。ADC可以根據用戶訪問的內容做更精細化的流量分擔，可以根據用戶自身的信息如

7、瀏覽器類型，Cookie等七層信息做內容交換。ADC能夠識別出應用，并且進行加速和優(yōu)化處理。同時，ADC設備可以對服務器的壓力進行卸載（Off-Load）--包括SSL協(xié)議，內容壓縮，Cache，TCP鏈接等，讓服務器資源重點服務自身的業(yè)務系統(tǒng)，從而提升整個系統(tǒng)的效率。 1 1.2 應用交付產品的核心價值 應用交付產品關注整個應用交付的環(huán)節(jié)，核心價值是為了保障應用的： 高性能---滿足業(yè)務發(fā)展的需要，并具備足夠的彈性擴展。 高效率---服務器壓力卸載，提升整個業(yè)務系統(tǒng)效率。 高可用---業(yè)務的備份和冗余。保障業(yè)務的不間斷穩(wěn)定運行，并提升用戶體驗。 安全性---保障業(yè)務安全，防止

8、入侵和數據泄漏。 第二章 天清ADC應用交付解決方案總體介紹 啟明星辰基于深厚的技術積累，不斷探索專業(yè)有效的ADC解決方案以保障用戶應用連續(xù)可靠運行的同時，節(jié)約用戶的投資效率，并帶來更好的用戶體驗。 2.1 方案構成 為了滿足IT應用有效、快速、安全交付的需求，啟明星辰推出天清ADC應用交付平臺的整體解決方案，包括：服務器負載均衡，應用優(yōu)化與加速，鏈路負載均衡，全局負載均衡，廣域網優(yōu)化，安全防護等全系列產品。 服務器負載均衡 服務器負載均衡主要是對訪問服務器和服務器返回的流量進行管理，天清ADC應用交付平臺通過多種靜態(tài)和動態(tài)負載分擔算法，把訪問服務器的流量智能的分發(fā)給最

9、佳的服務器。同時，天清ADC應用交付平臺利用自身的多核高性能硬件平臺和VBOS軟件系統(tǒng)的優(yōu)勢，對流量進行實時壓縮，緩存，硬件加解密等處理，把原本需要耗費服務器大量性能的計算接管過來，使服務器系統(tǒng)只進行業(yè)務相關的處理，以實現整個業(yè)務系統(tǒng)的加速和效率提升。 天清ADC服務器負載均衡方案包括：負載分擔，應用加速，服務器卸載等幾個部分。 與此同時，天清ADC應用交付平臺還提供專業(yè)的抗拒絕服務攻擊、狀態(tài)防火墻及Web應用防火墻功能，進一步提升應用的安全性和可靠性。 全局負載均衡 全局負載均衡-GSLB（Global Server Load Balance）是通過在全球部署多個數據中心來保護業(yè)

10、務站點不受訪問中斷的影響，并且提升整體業(yè)務系統(tǒng)響應能力的一種解決方案。通過部署天清ADC應用交付平臺，可以在多個數據中心之間進行流量分擔，并進行數據中心間的冗余和災備。同時天清ADC應用交付平臺可以根據智能算法，把某個用戶的訪問引導到距離他最近，延遲最小的數據中心，即實現了整個業(yè)務系統(tǒng)的可擴展性，也有效的提升了用戶體驗。 天清ADC應用交付平臺內置智能DNS系統(tǒng)和IP地理位置信息庫，企業(yè)可以把ADC設備作為域名授權發(fā)布服務器，配置多個數據中心的IP地址對應該域名DNS A記錄。當接收到某個用戶的DNS請求時，通過判斷該用戶所處地域，并結合動態(tài)探測算法或者靜態(tài)策略返回該域名對應的最佳數據中心地

11、址。 天清ADC應用交付平臺除了具備動態(tài)智能解析方式外，還提供靜態(tài)就近性策略，HTTP重定向和IP AnyCast技術等多種全局負載分擔解決方案?？梢詾槠髽I(yè)提供最靈活的選擇方式，并能夠和其他全局負載分擔產品實現網絡兼容。 鏈路負載均衡 根據中國的運營商接入現狀，企業(yè)往往選擇同時租用多條運營商線路以實現企業(yè)接入Internet時的鏈路備份和帶寬疊加。天清ADC應用交付平臺可以動態(tài)監(jiān)控鏈路的實時狀態(tài)，提供多種靜態(tài)和動態(tài)流量分擔方法，可以有效提升多鏈路接入的效率和整體性能。 當企業(yè)部署對外提供服務的應用服務器時，天清ADC應用交付平臺可以根據用戶所處的運營商網絡，或者地域的遠近，或者當前

12、鏈路的帶寬質量進行智能DNS解析，幫助用戶選擇最優(yōu)的鏈路進行訪問，有效避免跨運營商訪問時造成的帶寬瓶頸和延遲增大等問題，提供最佳的用戶體驗。 Outbound出站方向訪問 內網用戶向外發(fā)起連接請求時，天清ADC應用交付平臺產品提供多種靜態(tài)和動態(tài)鏈路分擔算法，選擇當前最合適的鏈路分配流量。靜態(tài)算法包括：輪詢，比率，加權等。動態(tài)算法包括：最小連接，最小流量，最小延遲等等。 天清ADC應用交付平臺支持運營商路由選擇，根據用戶請求地址所出運營商來選擇和其匹配的運營商鏈路出口，這樣就避免了跨運營商訪問的效率低下問題。 Inbound入站方向訪問 當企業(yè)內部提供對外的服務的業(yè)務系統(tǒng)時，如

13、ERP系統(tǒng)，郵件系統(tǒng)或者其他在線業(yè)務交易系統(tǒng)時，可以把天清ADC應用交付平臺作為授權域名發(fā)布服務器，把多個運營商鏈路接入IP地址綁定到同一個域名A記錄上。這樣，結合運營商IP位置信息庫和靜態(tài)配置策略，ADC能夠智能的處理外部用戶DNS請求，返回最佳的鏈路接入地址。 2.2 部署方式 天清ADC應用交付平臺支持串行接入，并行接入，三層接入，透明模式接入，DSR模式等多種接入方式，企業(yè)可以根據當前的網絡運行狀況和業(yè)務規(guī)劃選擇最合適的接入方式。 2.1 串行部署三層接入 這種模式下，天清ADC應用交付平臺串行接入到網絡中，所有流量都先經過ADC設備處理，通常情況下，ADC設備上的虛擬服務（

14、VS）配置為公網IP地址，內部的服務器則配置為私有IP地址。典型的串行網絡結構如下，天清ADC應用交付平臺采用HA方式，和上下層交換機采用雙鏈路交叉連接，網絡結構清晰，并且具備很強的冗余性和可靠性。 串行透明部署 這種部署模式可以不改變用戶的現有IP地址結構，ADC設備的虛擬服務地址（VS）和服務器處在一個網段，當ADC設備出現單點故障，或者性能無法滿足時，可以臨時采用Bypass策略繞過ADC設備。串行接入透明部署的工作原理類似于正常的串行接入。 旁路部署三層接入 旁路方式部署ADC產品，不需要對現有運行著網絡結構進行改變，可以方便快速的把ADC部署到網絡中，ADC的工作模式和串

15、行部署比較相近，ADC的虛擬服務配置為公有地址，內部服務器配置為私有IP地址。ADC設備和服務器分別屬于交換機不同的VLAN，ADC在分發(fā)數據給服務器時，進行源IP地址轉換，把發(fā)給服務器的報文源IP地址改為ADC設備自身的IP地址，以保證服務器返回的流量也經過天清ADC應用交付平臺。 旁路部署透明接入 原理類似旁路部署三層接入，不同是天清ADC和服務器劃分到一個VLAN里面，天清ADC的VS地址和服務器配置為同一個IP網段，這種情況下可以把服務器的網關地址指向ADC設備的IP地址，ADC設備使用真實的客戶端地址和服務器建立連接，而不需進行NAT源地址轉換。 旁路部署之三角傳輸 三角

16、傳輸,也叫Direct Server Return(DSR)模式，是旁路部署的一個特例，這種模式下只有入站方向流量進入到ADC設備，由ADC設備根據預先配置好的負載分擔策略進行流量分發(fā)，而服務器返回的流量不經過ADC設備。由于互聯網的流量具有典型的非對稱性，即請求方向上的流量比較小，絕大多數流量集中在服務器響應的方向上，所以如果讓ADC設備只處理請求方向的流量，服務器返回的流量直接返回給客戶端不經過ADC設備，就大大提升了ADC的處理能力。 三角傳輸模式無法支持一些需要修改服務器返回數據的功能，如基于Cookie的會話保持，響應重寫等七層功能。也無法實現緩存和內容壓縮等功能。 第三章

17、服務器負載分擔 3.1服務器負載分擔 ADC在設備上建立一個或多個虛擬服務VS（IP：Port），來映射內部的服務器組來對外提供的一種或者多種應用。內部服務器被加入到地址池中（Pool），當有外部流量訪問VS時，ADC通過預先配置好的負載分擔算法，從地址池中選擇一臺可用的服務器作為應用提供者。同時ADC實時對每個服務器節(jié)點進行健康檢查，當某一臺出現故障無法正常提供服務時，把該服務器從Pool中的可用列表移出，不再向其分發(fā)流量。 3.1.1負載分擔算法 天清ADC應用交付平臺支持豐富的負載分擔策略，即可以根據預先配置的靜態(tài)算法，也可以根據當前的運行狀態(tài)進行動態(tài)算法的負載分擔。 靜態(tài)

18、算法包括： 輪詢（Round Robin）-依次按照順序把流量分配給每臺服務器。 比率（Ratio）-根據服務器的性能為每個服務器指定一個權值，按照這個比率給服務器分配流量。 優(yōu)先級（Priority）-當使用多組服務器時，為每個服務器組指定一個優(yōu)先級，默認情況下優(yōu)先向高優(yōu)先級的服務器組分配流量，當該組服務器失效時選擇備份服務器組。 動態(tài)算法包括： 最小連接（Least Connection）-ADC優(yōu)先把流量分配給當前連接數最少的服務器。 最快模式（Fastest）-ADC通過比對服務器返回數據包的延遲情況，選擇一個當前響應最快的服務器來分配流量。 SNMP監(jiān)控-設

19、備上通過SNMP客戶端來讀取服務器的實時運行狀態(tài)，包括CPU，內存和I/O信息，為每種實時信息配置門限值，當超過這個門限值時不再向這臺服務器分配報文。 觀察模式（Observed）-結合最小連接和最快模式兩種結果，選擇最佳平衡為依據為新的請求選擇服務器。 服務器平滑接入和退出： 當有新的服務器接入或者服務器重新啟動時，ADC系統(tǒng)可以把流量逐步分配給新接入的服務器，避免服務器的某些進程還沒有加載完成而導致系統(tǒng)資源占用過高，或者應用響應緩慢的情況，實現服務器的平滑接入。管理員也可以手工方式操作把某臺服務器退出流量分擔機制，此時ADC系統(tǒng)不再分配新的流量給該服務器，該服務器的現有連接繼續(xù)保

20、持，直至連接結束。 3.1.2健康檢查策略 健康檢查是指對服務器的運行狀態(tài)定期進行實時檢測，一旦發(fā)現服務器故障，將把該服務器移出流量分擔的隊列。天清ADC應用交付平臺提供豐富的健康檢查策略，和負載分擔算法組合到一起，就可以實現非常靈活的負載分擔策略。 TCP SYN-向目標服務器發(fā)送TCP SYN報文，如果得到正確的回復表示服務器工作正常。 Ping-向目標服務器發(fā)送ICMP請求報文，如果得到正確回復表示服務器工作正常。 HTTP/HTTPS Get-向目標系統(tǒng)發(fā)送HTTP或HTTPS協(xié)議的Get報文，請求一個指定的URL，如果得到正確回復表示服務器工作正常。 3.1.3會話

21、保持策略 會話保持是指流量一旦按照負載分擔策略分配給某個服務器后，后續(xù)的相關請求報文同樣分配給同一臺服務器，以保障業(yè)務的連續(xù)性。比如，很多電子商務相關的應用系統(tǒng)或者需要用戶身份認證的系統(tǒng)，用戶和服務器間會進行多次的數據交互才能完成一筆交易或者身份認證過程，必須把這個過程的交互報文分配給同一個服務器。 天清ADC應用交付平臺支持6類共8種會話保持的方法，即可以根據源IP地址，ServerID等靜態(tài)信息來做會話保持，也可以通過Cookie插入和重寫來實現更高級的會話保持方法。每種會話保持的效率，粒度和應用場景有所不同，對應用服務器的配置要求也不一樣?；谠碔P的會話保持只需要處理數據包的四層

22、信息，所以效率最高，也不需要服務器做任何配置，但粒度比較粗。如果客戶端存在普遍的NAT轉換，或者某些IP段的業(yè)務請求量比較大，那么這些流量被保持發(fā)送給固定一臺服務器，就會造成流量負載的不均衡。 基于Cookie插入，Cookie重寫，ServerID等七層信息的會話保持方式，使保持策略和瀏覽器的信息相互關聯，可以做到細粒度和更均衡的流量分配，基于七層信息的會話保持方式，工作效率不如源IP會話保持。除Cookie插入方式以外，其他如serverid，sessionid, Cookie重寫等方式一般需要應用程序做相應的配置。 天清ADC支持的會話保持方式： 基于源地址-來自同一個源IP

23、地址的相關報文，分配給同一個服務器。 基于ServerID-記錄服務器返回的serverid信息，然后從請求報文的URL或Cookie信息中查找serverid，進行解碼得到后臺服務器的信息，保證帶有固定serverid信息的請求被分別到固定的服務器。Serverid需要在web服務器上進行人工配置。ADC不需要對數據包進行修改 基于SessionID-類似于ServerID的方式，記錄從服務器返回的SessionID信息，然后從請求報文的URL或Cookie信息中查找SessionID，進行解碼得到后臺服務器的信息，保證帶有固定SessionID信息的請求被分別到固定的服務器。Ses

24、sionID是服務器自動生成的，ADC產品不需要對數據包進行修改。 基于Cookie插入-這種方式通過修改服務器返回的報文，向其插入一個固定的Cookie信息返回給客戶的瀏覽器，客戶端后續(xù)的報文請求中都攜帶了這個Cookie信息，ADC根據這個信息發(fā)送給指定的服務器。這種保持方式修改了數據包的長度，但不需要應用服務器端做任何的配置改動就可以實現。 基于Cookie重寫-服務器端接收到HTTP請求后，響應報文中會增加一個空白的Cookie返回給ADC設備，ADC在這個空白的Cookie里面寫入會話保持的數值，返回給客戶端。后續(xù)的過程和Cookie插入類似，客戶端后續(xù)的請求報文會攜帶這

25、個重寫的Cookie，ADC根據這個信息來選擇指定的服務器。Cookie重寫和Cookie插入的區(qū)別是，Cookie重寫不需要修改報文的長度，效率會高一些。 基于自定義頭部-應用服務自身定義了一個URL Header信息，并希望ADC以此來做負載分擔。這種方式下ADC設備記錄服務器返回的Header信息，并在客戶端的后續(xù)請求中進行匹配，匹配成功則轉發(fā)給指定的服務器。這種方式允許應用服務程序定制自己的會話保持策略。 基于SSL SessionID-當第一次請求到來時，按負載均衡算法分配一臺后臺服務器。在服務器的響應中，按照SSL協(xié)議，取出SSL SessionID，并把SSL Ses

26、sionID分配的后臺服務器信息、所配置的超時時間存在一張表中。當后續(xù)請求到來，根據請求中的SSL SessionID在表中查找后臺服務器的信息，若找到并且時間在超時時間之內，則取出后臺服務器信息，并更新超時時間，把請求發(fā)往那臺服務器。 3.2七層內容交換 四層交換主要是依賴IP和TCP/UDP層的信息進行流量的分配，而隨著應用自身的復雜性和不斷改善用戶體驗的需求，有時候需要為不同的用戶類型返回不同的呈現內容，例如： 把移動用戶的手機/pad瀏覽器請求分發(fā)給專門經針對性過優(yōu)化的服務器。 把請求圖片，文檔，視頻等靜態(tài)內容分發(fā)給緩存服務器。 根據瀏覽器自身的語言設置，為不同語言區(qū)域

27、的用戶返回相應的頁面 可以根據HTTP請求的方法實現讀寫分離，HTTP讀（get）請求分配給緩存服務器，HTTP寫（post）請求分配給處理動態(tài)內容的服務器。 天清ADC應用交付平臺的七層內容交換可以識別用戶請求報文的內容，如URL信息，應用數據類型，Cookie信息，瀏覽器類型，HTTP方法等內容，將流量分配給相應的應用服務器。 天清ADC應用交付平臺通過http-class來標識一個業(yè)務分類，http-class根據主機地址，URI路徑，頭信息和Cookie來定義，每個http-class可以關聯一個服務器地址池，然后再虛擬服務（VS）的配置中，引用一個或者多個http-cl

28、ass。當客戶端請求訪問虛擬服務時，ADC設備進行http-class匹配，匹配成功的請求被分配給對應的地址池。 3.3HA高可靠性與設備集群 3.3.1 HA高可靠性 天清ADC支持雙機Active-Standby（主-備）和Active-Active（主-主）兩種工作模式，HA在運行過程中，通過專用“心跳線”來實時監(jiān)控對端設備的運行狀態(tài)，當心跳監(jiān)控失敗，或者發(fā)生其他觸發(fā)切換的條件時，工作異常設備上的流量將被接管，以保證應用的不間斷運行。天清ADC的HA模塊支持配置同步和連接信息同步。 主備模式：兩臺ADC設備中只有一臺處于Active狀態(tài)，另外一臺處于Standby狀態(tài)，所有流量

29、由處于Active狀態(tài)的設備進行流量轉發(fā)。處于Standby狀態(tài)的備用設備通過”心跳線“實時監(jiān)控主設備的運行狀態(tài)，當監(jiān)控不到正常的心跳報文時，備用設備切換為Active狀態(tài)，并通過免費ARP更新上下游設備的ARP緩存以實現流量接管。 除了備份設備發(fā)現主設備心跳異常時主動接管以外，當前處于Active狀態(tài)的主設備也可以根據一些觸發(fā)條件主動退出Active狀態(tài)。觸發(fā)條件包括：設備上啟用端口狀態(tài)監(jiān)控和預置的遠端IP地址是否可達。 主主模式：兩臺ADC設備同時都處于Active狀態(tài)并一起承擔流量的轉發(fā)工作，兩臺ADC設備上面運行不同的VS（虛擬服務），當某臺ADC設備出現故障時，該設備上運行

30、的所有虛擬服務流量被另外一臺設備接管。通常情況下，主主模式可以配合DNS負載分擔一起工作。 當用戶申請訪問時，首先發(fā)起DNS請求，DNS服務器上對應主機名為這條記錄配置兩個VS對應的IP地址，DNS會采用輪詢的方式返回這兩個IP中的一個以實現負載分擔。 3.3.2 設備集群 天清ADC最多可以實現32臺ADC設備進行集群部署，多臺ADC設備共同承擔流量處理并且互為備份。集群中的ADC設備可以是不同的型號，具備不同的處理能力，這樣對于更新換代的設備，也可以重新接入到集群中來。通過集群部署，企業(yè)可以實現最大化的業(yè)務彈性，并實現設備投資收益的最大化。 集群部署時可以采用全工作模式，即所有

31、設備都參加流量轉發(fā)，互為備份，當某臺出現故障時，流量切換到其他設備上；也可以采用N+1模式，即N臺設備承擔流量轉發(fā)，利用一臺設備同時作為N臺設備的備份，正常情況下不備份設備不承擔流量，當某一臺設備出現故障時，備份設備進行流量接管。N+1模式可以防止當某臺設備出現故障時，對另外的設備造成流量洪峰。 第四章 應用優(yōu)化與加速 天清ADC應用交付平臺可以把原本需要高消耗服務器計算能力的，重復計算的工作卸載到高性能的硬件平臺上，讓服務器的計算資源更多的關注自身的業(yè)務系統(tǒng)處理，以改善整個應用系統(tǒng)的效率。天清ADC同時對TCP和Http協(xié)議進行優(yōu)化和加速，最大限度的降低網絡擁塞和丟包，改善移動上

32、網等窄帶用戶的用戶體驗。 天清ADC應用交付平臺內置了企業(yè)最常用的應用模板，如BEA Weblogic，Microsoft IIS， Outlook Web Access，Radius，ERP軟件等，這些都是經過公司應用優(yōu)化專家通過反復的測試驗證而完成的一套解決方案，管理員不需要對應用進行細致的了解，就可以根據模板高效的完成這些應用系統(tǒng)的優(yōu)化和加速。 4.1 SSL硬件加速和卸載 天清ADC應用交付平臺通過內置的專業(yè)級高性能硬件加速芯片，完成對SSL協(xié)議的加速和卸載，而在數據中心內部，ADC和服務器之間通過明文進行傳輸，極大的提升服務器的業(yè)務處理能力。企業(yè)可以把應用全部應用實現SS

33、L協(xié)議，實現高安全性的同時，不會給業(yè)務帶來任何的性能瓶頸。 4.2 本地RAM Cache 本地高速緩存（Cache），通過在ADC設備上開辟一段專用的內存空間（RAM）來存儲服務器上的一些靜態(tài)文件，如圖片，文檔，視頻文件等，開啟本地Cache后，客戶端請求首先在本地Cache中查找，命中以后直接返回給客戶端。命中失敗才向服務器端發(fā)送請求，同時對服務器返回的內容進行本地Cache。天清ADC支持為不同的應用提供各自的Cache空間及參數設置，這樣可以把服務器從重復的處理中解脫出來，提升整體效能。 4.3 內容壓縮 通過壓縮HTTP響應的數據，可以有效提升帶寬利用率和縮短下載時間。天清A

34、DC應用交付平臺提供的高性能壓縮技術，最大可以使帶寬利用率增加80%，應用性能提升4倍以上。同時在客戶端瀏覽器和ADC設備間經過一定的算法進行壓縮，也起到一定安全傳輸的作用。 天清ADC把原本由服務器完成的壓縮過程搬到自身的高性能硬件平臺，避免了每臺服務器都執(zhí)行一次重復的壓縮過程，達到服務器卸載的效果。 天清ADC支持瀏覽器最常用的GZIP和DEFLATE兩種壓縮算法，提供基于七層的精細化壓縮控制策略，包括URI，Content Type等。管理員可以定義對“\.txt”,“\.doc”“\.htlm”等文檔類型和靜態(tài)頁面數據進行壓縮，也可以排除PDF，IMG等壓縮效果不明顯的不必要操作。

35、 4.4 TCP連接復用 TCP連接復用技術使多個客戶端共享一個到服務器的TCP連接，可以提升應用服務器的整體性能，使應用服務器從維護海量的TCP連接，并不斷的進行TCP建立和拆除維護中解脫出來，極大的提升單臺服務器的承載能力。 天清ADC設備在接到一個客戶端HTTP請求后，通過負載分擔算法會選擇一臺服務器建立連接。如果接收到正常的服務器響應，ADC設備會把這個連接放入到“連接復用池”里面，當另外一個新的客戶端發(fā)起HTTP連接請求時，ADC設備從現有的連接池里面選擇一個可用的連接來和服務器的進行數據交互，而不是重新創(chuàng)建一個到服務器的連接。通過這種優(yōu)化，可以把服務器負載降低到原來的1/10

36、-50。 4.5 TCP單邊加速 標準TCP協(xié)議在設計時很少的考慮到高帶寬和夸Internet傳輸的問題，現在隨著高速帶寬的普及，標準的TCP協(xié)議表現出很多的不足，在網絡擁塞控制和丟包重傳機制上，往往效率比較低下，而且基本不具備根據網絡環(huán)境實時進行調解的能力。天清ADC應用交付平臺提供智能單邊加速的功能，通過對標準TCP協(xié)議的慢啟動控制，擁塞避免，重傳和恢復幾個方面進行優(yōu)化，來達到整體網絡加速的效果。同時，天清ADC設備可以根據當前的網絡狀態(tài)，和承載的協(xié)議類型智能的選擇一種效率最高的算法。 天清ADC應用交付平臺的單邊加速對客戶端和服務器來說都是透明的，ADC和服務器之間仍然按照標準

37、TCP協(xié)議運行，ADC和客戶端之間進行單邊加速，客戶端不需要做任何修改。 4.6 HTTP管線（Pipelining） 傳統(tǒng)的HTTP協(xié)議是當一個請求發(fā)出，等接收到完整的響應數據后，才進行下一個請求，這在高延遲的網絡環(huán)境中會導致整個數據交互的效率比較低。HTTP管線技術（Pipelining）可以將多個HTTP請求同時提交，而不用等待順序的請求回應。 （不帶Pipelining的HTTP流程） 天清ADC應用交付平臺可以和支持Pipelining的客戶端瀏覽器智能協(xié)商開啟，ADC和服務器間還是正常的HTTP協(xié)議流程。 4.7 窄帶用戶應用加速 當客戶端通過窄帶線路比

38、如通過ADSL撥號或者智能手機，pad移動終端上網時，對于應用服務器的響應，可能會由于客戶端側帶寬不足，或者帶寬質量不好而導致報文的擁塞和丟包。這時客戶端就會發(fā)起重傳請求，如果大量的窄帶用戶同時訪問，就會出現應用服務器反復處理這些重傳請求的壓力增大而降低效率。 天清ADC應用交付平臺使用TCP數據緩存技術，自動檢測客戶端對服務器響應的處理能力，對于窄帶用戶，ADC會在自身平臺開辟出緩存空間來存儲服務器返回的數據，以客戶端能夠適應的速度完成數據交互，避免出現大量的重傳。服務器只要處理完成用戶的請求后，就可以釋放出來處理其他工作，不用再去處理丟包重傳的情況。 4.8 重寫Rewrite Ht

39、tp協(xié)議的請求階段和響應階段都可以對URI進行重寫，在請求http請求階段，可以把符合預置條件的所有http請求發(fā)送到一個指定的URL，比如是提示用戶進行登錄的頁面或者其他信息提示頁面。又或者是當服務器某些文件已經不存在或者目錄發(fā)生更改，而用戶通過其他網站或者搜索引擎的舊鏈接進行訪問時，可以把這類請求直接重定向到一個指定的錯誤信息提示頁面，減輕了服務器的負擔。 部署了天清ADC應用交付平臺以后，企業(yè)可以把原來基于http協(xié)議的應用，全部遷移到安全https協(xié)議。通過http請求重定向結合SSL卸載功能，可以實現企業(yè)服務器和客戶端都不需要任何更改的情況下完成http到https的無縫遷移。

40、在http響應階段，可以把服務器返回的404（客戶端語法錯誤）等重定向到一個指定的頁面。 第五章 鏈路負載分擔 天清ADC產品可以動態(tài)監(jiān)控鏈路的實時狀態(tài)，提供多種靜態(tài)和動態(tài)流量分擔方法，可以有效提升多鏈路接入的效率和整體性能。當企業(yè)部署對外提供服務的應用服務器時，天清ADC可以根據用戶所處的運營商網絡，或者地域的遠近，或者當前鏈路的帶寬質量進行智能DNS解析，幫助用戶選擇最優(yōu)的鏈路進行訪問，提供最佳的用戶體驗。 5.1 出站流量負載均衡（Outbound方向） 3 4 5 5.1 負載分擔算法 鏈路負載分擔算法是用來計算內網用戶訪問Internet時（出站流量），在多鏈路

41、間進行流量分配的方案。鏈路負載分擔的算法和服務器負載分擔的算法有一致的地方，也存在一些差異，鏈路負載分擔算法包括： 輪詢（Round Robin）-依次按照順序把流量均勻的分配給每條鏈路。 比率（Ratio）-根據每條鏈路的帶寬，指定一個權值，按照這個比率給多條鏈路分配流量。 優(yōu)先級（Priority）-為每條鏈路指定一個優(yōu)先級，默認情況下優(yōu)先向高優(yōu)先級的鏈路分配流量，當該鏈路失效時選擇備份鏈路。 加權最小連接（Weight Least Connection）-首先為每條鏈路指定帶寬的加權值，使連接數的分配符合權值的設定，對于新建的連接，選擇權值內最小的鏈路分配流量。 加權

42、最小流量（Weight Least Traffic）-首先為每條鏈路指定帶寬的加權值，使流量的分配符合權值的設定，對于新的流量，選擇權值內最小的鏈路分配流量。 運營商路由（ISP Route）-內置IP地址和運營商的對應表，根據內網用戶訪問的目的地址所屬運營商，選擇相應的鏈路，避免跨運營商的訪問。 最快模式（Fastest）-ADC通過比對服務器返回數據包的延遲，跳數等情況，選擇一個當前響應最快的鏈路來分配流量。 主備模式（Master-Slave）-默認情況下流量都發(fā)送給主鏈路，當主鏈路失效時啟用備份鏈路。 鏈路健康檢查 天清ADC鏈路負載實時對出口鏈路進行監(jiān)控和健康檢查

43、，可以及時發(fā)現端口down掉情況。除此之外，天清ADC支持包括ICMP，TCP SYN，UDP，HTTP Get 等多種協(xié)議對遠端地址進行監(jiān)控，即使是ISP內部網絡出現故障，也可以及時發(fā)現并把流量切換到其他可用鏈路。 出站流量會話保持和NAT 出接口流量會話保持是指當為某個數據流分配一個出接口鏈路以后，該種類型的后續(xù)相關流量都分配給同一條鏈路。天清ADC支持的會話保持主要是基于源地址的會話保持和基于hash的會話保持。 天清ADC支持豐富的NAT轉換策略，包括源IP地址轉換，靜態(tài)地址轉換，和基于策略的地址轉換。 會話保持和NAT地址轉換，可以很大程度的避免源主機和某目標服務器通信的過程中

44、，報文橫跨多個運營商的情況出現。 5.2 入站流量負載均衡(Inbound方向) 當企業(yè)租用多個運營商鏈路，以便內部的應用服務器向外部用戶提供服務時，天清ADC可以通過在內置的智能DNS服務器上，把企業(yè)的單一域名綁定到多運營商的各自的公網IP上，并作為企業(yè)域名的權威發(fā)布服務器。當某個客戶端訪問應用服務器時，首先會進行DNS解析，天清ADC可以根據客戶端所處的運營商網絡返回跟他匹配的IP地址，或者通過動態(tài)探測技術，選出到該用戶通信質量最好鏈路，并返回對應的IP地址。這樣可以保證每次客戶端都可以通過通信質量最好的鏈路來訪問內部的應用服務器，極大的改善用戶體驗，并提升整個系統(tǒng)的工作效率。 5.

45、2 智能DNS解析流程 假定企業(yè)通過租用聯通，電信兩條鏈路向外部網絡提供服務，企業(yè)的域名是, 則整個解析流程如下： 1. 客戶端向本地DNS（Local DNS） 服務器發(fā)送域名為 的DNS請求。 2. LDNS沒有該域名的A記錄，向最長匹配結果的服務器發(fā)送該請求，這里假設最長匹配只有根服務器。 3. 根服務器沒有“”的A記錄，但是存放了“”的NS域名服務器記錄——“ IN NS ”，將該NS記錄返回給LDNS。 4. LDNS服務器根據該NS記錄知道了去哪可以找到“ ”的A記錄，將請求發(fā)送到天清ADC內置的智能DNS服務器。 5. ADC設備判斷LDNS的IP地址隸屬

46、于哪個運營商，此示例中LDNS隸屬于于網通，所以根據預先配置的規(guī)則，天清ADC返回“”的A記錄為網通鏈路所分配的公網IP地址。 6. LDNS最終將剛收到的DNS響應發(fā)送回給客戶端。 7. 客戶端接下來訪問企業(yè)的網通鏈路公網地址，天清ADC上對應的虛擬服務（VS）接收數據，進入服務器負載分擔的流程。 第六章 全局負載分擔 為了保護您的業(yè)務不受站點訪問中斷影響并且提高應用的性能，部署多個數據中心是一個有效的做法。但要全面實現這些目標，您的企業(yè)需要以高效的方式來監(jiān)控基礎架構和應用的狀態(tài)，并且根據業(yè)務需求來控制這個分布式基礎架構。 通過全局負載均衡功能，您可為用戶的每一次DNS查詢提供更安

47、全、更智能的響應方式。天清ADC應用交付平臺根據用戶位置、業(yè)務策略、數據中心狀況、網絡狀況和應用性能來分配最終用戶的應用請求。這樣，用戶可以全面地控制廣域流量，以確保運行在分布于各地的多個數據中心之間的應用具有高可用性和最高性能。這樣，您將可以實現更高的應用性能，更短的停機時間以及更簡化的管理。 6.1 全局負載分擔策略 天清ADC支持多種動態(tài)和靜態(tài)全局負載均衡算法，為用戶提供豐富的選擇方式，包括： 6 6.1 6.2 動態(tài)就近性 動態(tài)就近性通過從各個全局站點向LDNS進行探測，得到的動態(tài)參數可以反映LDNS和個站點間的響應速度，根據參考的動態(tài)參數不同可分為以下幾種方式： 1

48、. RTT 該算法簡單來說動態(tài)的獲得LDNS與各數據中心間的響應時間，選擇其中RTT值最小的IP對應的A記錄返回給LDNS。RTT為Round Trip Time，記錄了從某站點發(fā)送探測包到收到探測包響應的時間，實際運行中從不同站點的VS探測到LDNS的RTT一定程度上反映了各個VS的響應速度。選擇RTT就近性算法后會動態(tài)生成一個LDNS就近分布表，根據該動態(tài)表，對每個客戶的訪問都會提供一個最快速的鏈路進行訪問。 可以選擇多種探測方法判斷對LDNS的RTT時間, 包括: ? DNS_Dot: 向local DNS發(fā)起一個包含”.”的測試, 也就是向目標請求root清單，該解析一般默認配

49、置的DNS服務器均提供支持。 DNS_REV: 向local DNS發(fā)起本機IP的PTR請求 ? UDP:發(fā)起一個UDP的包, 記錄響應時間 ? TCP:發(fā)起一個TCP的包，記錄響應時間 ? ICMP:發(fā)起一個ICMP 的ping 包, 記錄響應時間 2. Hops Hops指站點到LDNS的路由跳數，與RTT相似，探測各VS到LDNS的路由跳數，選擇路由跳數最小的VS。該方法通過traceroute來實現。 3. 全局可用性 全球可用性算法主要用于災難備份系統(tǒng)。通過健康檢查，可判斷各站點或線路的健康狀態(tài)。并在配置的時候，將同一域名所對應的IP地址進行排序，在系統(tǒng)正常的時候，僅

50、會有排名第一的服務器對外提供服務。只有在排名第一的服務器無法對外提供服務的時候，由排名第二的服務器接管服務。如果有多線路或者多站點則依次類推。 通常，我們采用全球可用性算法作為備選算法。在前兩面的方法沒有命中時，將所有的用戶定位到默認的線路上。 4. 返回備用IP 用戶會配置一個IP地址，當選擇該方法時，設備將會用該IP地址對應的A記錄對LDNS的請求進行響應。通常該種方法作為候選方法，將Fall Back IP設置為某個備災數據中心的IP，首選方法調度失敗時應用這種方法，使得LDNS最終得到一個響應。 5. 輪詢 將請求依次順序循環(huán)地返回每個VS IP。當其中某VS發(fā)生故障，就把其

51、從順序循環(huán)隊列中拿出，不參加下一次的輪詢，直到其恢復正常。 6. 加權輪詢 給每個VS分配一個加權值，根椐這個權值，把用戶的請求分配到每個VS。權值大的表示可以處理較多的請求，反之處理的請求相對較少。當其中某個VS發(fā)生故障，就把其從隊列中拿出，不參加下一次的用戶請求的分配, 直到其恢復正常。 7. 最小連接數 傳遞新的連接給那些進行最少連接處理的VS。當其中某個VS發(fā)生故障，就把其從隊列中拿出，不參加下一次的用戶請求的分配, 直到其恢復正常。為了避免VS因過載而崩潰，可為每個VS指定最大連接閾值來避免過載。 8. 加權最小連接數 該算法是最小連接算法的超集，各個VS用相應的權值表示

52、其處理性能。缺省權值為1，系統(tǒng)管理員可以動態(tài)地設置VS的權值。加權最小連接調度在調度新DNS請求時盡可能使VS的已建立連接數和其權值成比例。 9. 最小帶寬占用 選擇當前帶寬占用最小的VS。單位為kbytes/s。 10. 最小流量 選擇最近一段時間流量最小的VS。單位為pkts/s。 6.3 靜態(tài)就近性策略 當選擇靜態(tài)就近性作為全局負載均衡的調度方式時，相當于根據LDNS的ISP、地理位置等拓撲信息選擇VS的IP。不同的VS可能分布在不同地理位置的數據中心，又或者存在于同一數據中心但分處在不同ISP的鏈路接口上。 這時LDNS的ISP和地理位置和某VS的ISP、地理位置完全匹配

53、的情況極少，對于這種情況就需要用戶進行靜態(tài)就近性的策略配置。人為的劃定LDNS所在區(qū)域和各個數據中心間的距離關系。 例如：企業(yè)在北京和沈陽部署兩個數據中心，希望北京的數據中心覆蓋華北區(qū)域，而沈陽的數據中心覆蓋整個東北區(qū)域。然后結合IP地址-地域信息庫，人為的把隸屬于東北三省的LDNS請求指向沈陽數據中心，把隸屬于華北地區(qū)的DNS請求指向北京的數據中心。 從另外一個角度，拓撲信息庫只提供了IP和地域信息之間的映射關系，需要根據靜態(tài)就近性做負載均衡，就需要得到地域信息和地域信息之間的映射關系，這種關系就是靜態(tài)就近性策略。 6.4 IP Anycast技術 結合動態(tài)路由協(xié)議BGP或者OSPF

54、，天清ADC提供了一種有別于常規(guī)思路的全局負載分擔策略—IP Anycast。這種技術允許部署在各個數據中心的VS使用同一個IP地址，在天清ADC應用交付平臺上運行BGP動態(tài)路由協(xié)議，每臺ADC設備上通過路由協(xié)議來選擇距離最近的數據中心。 IP Anycast技術也可以作為一種抵御DDOS攻擊的有效手段，任何一點發(fā)起攻擊時，只能影響到距離攻擊點“最近”的一個數據中心，而其他數據中心則不受任何影響可以繼續(xù)為用戶提供服務。 6.5 基于HTTP重定向的全局負載均衡 當用戶通過HTTP協(xié)議訪問應用系統(tǒng)的虛擬服務（VS）地址時，如果本地ADC出現調度失敗的情況：如無法從地址池中選中當前可用的

55、Server節(jié)點，或者本地應用系統(tǒng)壓力已經過載等，此時本地的ADC可以利用HTTP協(xié)議的重定向功能，再次在全局范圍內重新選擇一個可用的數據中心實現請求的二次調度。 基于HTTP重定向的全局負載分擔技術，不依賴于DNS系統(tǒng)，也不需要對現有DNS系統(tǒng)進行任何修改，更有利于實現快速部署和有效管理。 第七章 應用安全防護 7.1 應用安全防護 隨著互聯網技術的飛速發(fā)展，網絡應用已經在全球經濟中扎根發(fā)芽，對各個行業(yè)的發(fā)展起著舉足輕重的作用。隨著時間的推移，應用安全的問題也日益嚴重。 越來越多的企業(yè)內部和外部的業(yè)務應用采用基于Web和數據庫結合的B/S架構。Web系統(tǒng)發(fā)揮著越來越重要的作用。

56、與此同時，越來越多的Web系統(tǒng)也因為存在安全隱患而頻繁遭受到各種攻擊，導致Web系統(tǒng)敏感數據、頁面被篡改、甚至成為傳播木馬的傀儡，最終會給更多訪問者造成傷害，帶來嚴重損失。 企業(yè)針對安全威脅通常采用防火墻、入侵防御等網絡安全設備，然而傳統(tǒng)的網絡安全產品主要工作在網絡層之下，通過對協(xié)議、地址和服務端口的識別和控制達到防范入侵的目的，可以有效的防范基于業(yè)務端口的攻擊。然而經證實，面對安全威脅的發(fā)展趨勢，防火墻已經顯得無能為力，它無法檢測出封裝在有效數據內的惡意威脅與攻擊。入侵防御產品主要通過特征比對實現對網絡入侵的防御，但隨著Web應用技術的深入普及，Web應用程序漏洞發(fā)掘和攻擊速度越來越快，

57、基于Web漏洞的攻擊更容易被利用，已經成為黑客首選。對應用層的SQL注入、XSS攻擊這種基于應用層構建的攻擊，由于這類攻擊特征不唯一性，導致傳統(tǒng)的入侵防御產品無法發(fā)現此類攻擊。 7.2 啟明星辰應用交付解決思路 傳統(tǒng)的負載產品里，基本不具備安全功能，或者只能具備基本的網絡訪問控制功能。啟明星辰的依托自身的安全因子，除了具備基礎的網絡層訪問控制外，還具備標準的防火墻的防掃描、防攻擊功能?？梢酝耆娣阑饓\行。作為一款應用交付產品，啟明星辰的天清應用交付平臺，在做應用的分發(fā)同時，還支持對應用層的安全檢測及訪問控制功能。 天清應用交付平臺應用了一套HTTP會話規(guī)則集，這些規(guī)則涵蓋諸如SQL注

58、入、以及XSS等常見的Web攻擊。同時可通過自定義規(guī)則，識別并阻止更多攻擊。解決諸如防火墻、IPS等傳統(tǒng)設備束手無策的Web系統(tǒng)安全問題。 天清應用交付始終致力于提供Web安全與應用交付融合的解決方案，確保Web或網絡協(xié)議應用的可用性、性能和安全性： ? Web安全：依托多年安全檢測積累、持續(xù)的安全研究投入，針對WEB安全最主要的SQL/XSS攻擊，提供快速全面的Web安全檢測方案。 ? 應用交付：依托最新intel SandyBridge平臺、專為VBOS優(yōu)化的TCP/IP協(xié)議棧，以高速、高可用為目標，優(yōu)化業(yè)務資源，改善訪問體驗。 7.3 主要安全功能 7.3.1. 網絡層防護控制

59、與攻擊防護 啟明星辰具備標準防火墻功能，能夠基于源、目的IP、協(xié)議、端口、時間、接口等信息做訪問控制。此外，通過分析網絡層報文的行為特征判斷報文是否具有攻擊性，并且對攻擊行為采取措施以保護網絡主機或者網絡設備。 目前，Internet上常見的網絡安全威脅分為以下三類： DoS攻擊 DoS攻擊是使用大量的數據包攻擊目標系統(tǒng)，使目標系統(tǒng)無法接受正常用戶的請求，或者使目標主機掛起不能正常工作。主要的DoS攻擊有SYN Flood、Fraggle等。DoS攻擊和其它類型的攻擊不同之處在于，攻擊者并不是去尋找進入目標網絡的入口，而是通過擾亂目標網絡的正常工作來阻止合法用戶訪問網絡資源。 掃描窺

60、探攻擊 掃描窺探攻擊利用ping掃描（包括ICMP和TCP）標識網絡上存在的活動主機，從而可以準確地定位潛在目標的位置；利用TCP和UDP端口掃描檢測出目標操作系統(tǒng)和啟用的服務類型。攻擊者通過掃描窺探就能大致了解目標系統(tǒng)提供的服務種類和潛在的安全漏洞，為進一步侵入目標系統(tǒng)做好準備。 畸形報文攻擊 畸形報文攻擊是通過向目標系統(tǒng)發(fā)送有缺陷的IP報文，如分片重疊的IP報文、TCP標志位非法的報文，使得目標系統(tǒng)在處理這樣的IP報文時崩潰，給目標系統(tǒng)帶來損失。主要的畸形報文攻擊有Ping of Death、Teardrop等。 啟明星辰通過包檢測、包速率、連接數限制功能可有效抵御常見網絡攻擊報文

61、,如:SynFlood/Jolt2/Land-base/ping of death/Tear drop/winnuke/smurf/TCP flag/ARP攻擊/TCP掃描/UDP掃描/ping掃描。 7.3.2. 應用層DDoS防護功能 應用層DoS攻擊是一種與高層服務相結合的攻擊方法，目前最常見就是HTTP Flood攻擊（如：CC攻擊）。與傳統(tǒng)的基于網絡層的DoS攻擊相比，應用層DoS具有更加顯著的攻擊效果，而且更加難以檢測。HTTP Flood是指從一個或者多個客戶端，頻繁向Web服務器請求資源，導致Web服務器拒絕服務的攻擊。通常Web服務器有些頁面是比較耗資源的，例如一些資源要

62、查詢數據庫或者做復雜計算，對這種資源頻繁請求時，會導致服務器繁忙從而實現拒絕服務目的。 針對HTTP Flood攻擊，啟明星辰能夠有效識別出攻擊行為和正常請求，在Web服務器受到HTTP Flood攻擊時，過濾攻擊行為，抑制異常用戶對Web服務器的資源消耗，同時響應正常請求，確保Web業(yè)務的可用性及連續(xù)性。啟用抗 CC 攻擊后，天清ADC 應用交付平臺會在服務器返回的 Http 響應中動態(tài)插入一段專用的 Cookie，正常的瀏覽器訪問時，該 Cookie 會被攜帶回來，而“攻擊者”的代理服務器則無法識別該 Cookie，并不會在下次請求中攜帶，這樣 應用交付就可以區(qū)分出正常流量和攻擊流量，并

63、把攻擊流量直接丟棄。 http請求 響應植入特定 Cookie 攜帶植入的Cookie 正常響應數據 http請求 植入Cookie http請求未攜帶Cookie 7.3.3. 應用層訪問控制 標準防火墻主要通過源、目的IP地址、協(xié)議、接口的識別和控制達到防范入侵的方法。這種工作模式下，并不能精確解析應用層數據，更無法結合WEB系統(tǒng)對請求進行深入分析，針對WEB端口的攻擊可以輕松的通過合法端口突破防火墻的防護。 基于應用層的訪問控制恰好彌補了網絡防火墻的不足，與傳統(tǒng)防火墻相比，基于應用的訪問控制體現在： 完整解析HTT

64、P協(xié)議，包含HTTP頭、URI、Cookie，提供HTTP協(xié)議合法性檢查，避免非法攻擊報文混入； 提供應用層控制規(guī)則，僅允許合法用戶的輸入通過。啟明星辰可實現基于HTTP head、Cookie、請求速率、VS地址、URI的訪問控制。防止WEB的非授權訪問。 實現對URI的限制，只允許用戶訪問設定的URI，防止服務器資源泄露； 實現對特定URL的流量控制，根據Web服務器的處理性能對Web頁面訪問頻率進行控制，確保一些性能消耗比較大的Web頁面能在Web服務器承受的性能范圍之內被訪問； 訪問者 ? IP 地址 ? IP 范圍/子網 ? Cookie 值 ? Http

65、header 目標對象 ? VS 地址 ? URL/URI ? Http header 時間計劃 速率限制 ? 請求速率/s ? 發(fā)包數/s ? 帶寬占用 ? 策略執(zhí)行時間表 ? 丟棄 ? 重置 ? 重定向 ? 日志 ? 告警 策略動作 7.3.4. SQL、XSS攻擊防護 SQL注入攻擊利用Web應用程序不對輸入數據進行檢查過濾的缺陷，將惡意的SQL命令注入到后臺數據庫引擎執(zhí)行，達到偷取數據甚至控制數據庫服務器目的。XSS攻擊，指惡意攻擊者往Web頁面里插入惡意HTML代碼，當受害者瀏覽該Web頁面時，嵌入其中的HTML代碼會被受害者Web客戶端執(zhí)行，

66、達到惡意目的。 正是由于SQL注入和XSS這類攻擊所利用的并不是通用漏洞，而是每個頁面自己的缺陷，所以變種和變形攻擊數量非常多，如果還是以常用方法進行檢測，漏報和誤報率將會極高。啟明星辰采用VXID專利技術，采用攻擊手法分析而非攻擊代碼特征分析的方法，可以準確而全面的檢測和防御此類Web攻擊行為。 VXID算法分為兩個階段：第一階段是行為提取階段，分析和提取Web攻擊的行為特征而非數據特征，建立Web攻擊行為特征庫；第二階段是實時分析網絡數據，在啟明星辰應用交付內部構建“輕型虛擬機”，模擬攻擊行為以觀察其行為特征，正確判斷攻擊行為的發(fā)生。這種基于原理的檢測方式避免了對固化特征的匹配造成的高漏報率，也避免了由于檢測規(guī)則過于嚴苛造成的誤報。 攻擊 正常 數據庫 應用服