应用安全和网络安全

您当前的位置:首页 > 解决方案 > 应用安全和网络安全

多链路及服务器负载均衡

作者:admin发布时间:2013-10-22
一、应用交付网络综述
      传统的数据网络关注的是网络的互联互通,各种新兴繁杂的应用网络应用,关注的则是业务逻辑和功能。如何将二者无缝整合在一起是任何企业都需要考虑的问题。目前在业界中,最为流行,也是最为关注网络和应用的新兴概念就是应用交付网络的理念。
      对于很多企业而言,当千辛万苦完成数据大集中后,另一个两难境地随之而来—应用系统不断增多,分支机构不断增加,需要维护的客户端也呈几何级数攀升,IT架构变得分外复杂。于是,一方面急需快速高效部署各种新的应用系统,以保持业务优势;一方面又要确保IT架构的易管理性,以及降低IT投资的总体拥有成本。
►安全:
      目前业界已经达成共识,网络安全对于网络应用的保障是至关重要的环节。而在应用交付网络中强调的是应用的安全,无论身居何处,应用交付网络可以预先提供全面的防护措施,以避免那些不正当的恶意访问和攻击。
      随着业务的拓展和应用的普及,越来越多的企业关键业务如ERP,电子商务,网上银行等在Internet上进行方步,在得到了应用的方便性和7*24小时的高可用性之外,同时带来的就是安全的隐患也逐步增大。大量的黑客技术手段,正在从一些不安全的对外发布站点上获取关键信息,获取用户的登录信息等,造成了资金的被窃,网站呗恶意篡改等恶性事件。
      SSL作为目前在业界中最为普遍的传输加密手段,正在大规模的普及过程中,但是SSL自身虽然为一个非常安全的数据传输加密手段,但管理不善的SSL应用,同样会遭受到各式各样的黑客攻击,造成安全事件。
      因此在一个完善的应用交付网络设计中,除对SSL协议本身的完善支持外,还需要通过其他的很多手段,来实现SSL协议的中传输的内容进行安全检查,隔离。
►快速及优化:
      应用交付网络可以优化用户的网络应用,使网络达到更快的速度并能减少资源消耗。无论是在全球的某个角落或者公司总部使用笔记本进行连接,应用交付网络都可以确保应用程序的告诉运行。
      企业规模的扩大和用户群体的全球化,都导致了关键业务访问远程化,窄带化。和最初的应用发布不同,越来越多的应用访问是通过上千公里的广域网访问而非最初的局域网访问。。企业应用的大集中趋势,在带来管理,维护和总体拥有成本降低的优势的同时,也造成了远程访问所带来的速度降低。应用内容的丰富性也进一步加剧了在广域网上的带宽消耗和资源占用。
      因此,在一个完善的应用交付网络设计中,应当关注的一个重点就是如何提高广域网用户的访问速度,用用就近访问,更小的带宽占用和应用访问速度的提升。
►高可用性
      应用交付网络所提供的解决方案保证网络应用的持久性与可靠性,在基于安全,正常运行,高可靠基础上允许用户强有力并灵活的来设定各种应用的优先权,从而保证了各种网络应用的高可用性。
      全球化经济正在逐步加强,用户的使用习惯和时区所带来的访问差异性,必然加大了应用系统的高可用性需求。大量的企业应用从最初的5*8的服务模式,已经提高到了7*24小时不间断业务模式。仅仅靠人员的增加已经完全不能满足应用的高可用性需求。
      因此,在一个完善的应用交付网络设计中,应该充分考虑到应用的高可用性需求,通过自动,完善的切换手段,保证业务的不间断性和持续性。

二、链路高可用解决方案
2.1方案总体拓扑
              

      未来数据中心会扩展成双链路对外提供服务,两台F5 LTM+GTM实现链路的负载均衡及其内网服务器的负载均衡。两台设备主备模式运行,两台F5对外分别双上联接入互联网链路。
2.2 LTM设备Combo GTM Module的部署说明
      方案建议在应用系统入口处部署F5 LTM(集成GTM模块)应用交付设备。
      两台LTM采用Active/Standby接入方式,避免单点故障。两台LTM共享Floating IP,保证在进行毫秒级故障切换时不会影响正常的业务流量。将Server服务器的网关指向LTM设备的Floating IP,保证进出的流量经过LTM。
      1.1 实现inbound 入向的双线路智能访问,解决入向服务的单点故障问题。
      1.2 实现出向的outbound双线访问,解决跨运营商访问延迟过大的问题,并消除出向单点故障。
      1.3 实现内网服务器的负载均衡
►服务器负载均衡及其优化
      BIG/IP利用定义在其上面的虚拟IP地址来为用户的一个或多个应用服务器提供服务。因此,它能够为大量的基于TCP/IP的网络应用提供服务器应用交付服务。BIG/IP连续地对目标服务器进行L4到L7合理性检查,当用户通过VIP请求目标服务器服务时,BIG/IP根椐目标服务器之间性能和网络健康情况,选择性能最佳的服务器响应用户的请求。
      下图描述了一个负载平衡发生的流程:

                                      
      1. 客户发出服务请求到VIP
      2. BIGIP接收到请求,将数据包中目的IP地址改为选中的后台服务器IP地址,然后将数据包发出到后台选定的服务器
      3. 后台服务器收到后,将应答包按照其路由发回到BIGIP
      4. BIGIP收到应答包后将其中的源地址改回成VIP的地址,发回客户端,由此就完成了一个标准的服务器负载平衡的流程。
      对于所有应用服务器,可以在BIG-IP上配置Virtual Server实现应用交付,同时BIG-IP可持续检查服务器的健康状态,一旦发现故障服务器,则将其从应用交付组中摘除。
►上联链路负载均衡
      与互联网络相关的关键业务都需要安排和配置多条ISP接入链路以保证网络服务的质量,消除单点故障,减少停机时间。多条ISP接入的方案并不是简单的多条不同的广域网络的路由问题,因为不同的ISP有不同自治域,所以必须考虑到两种情况下如何实现多条链路的负载均衡:
 a) 内部的应用系统和网络工作站在访问互联网络的服务和网站时如何能够在多条不同的链路中动态分配和负载均衡,这也被称为OUTBOUND流量的负载均衡。
 b) 互联网络的外部用户如何在外部访问内部的网站和应用系统时也能够动态的在多条链路上平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统,这也被称作为INBOUND流量的负载均衡。
F5 的LTM设备+GTM 模块可以智能的解决以上两个问题:
      对于OUTBOUND流量,F5 LTM+GTM接收到流量以后,可以智能的将OUTBOUND流量分配到不同的INTERNET接口,并做源地址的NAT,可以指定某一合法IP地址进行源地址的NAT,也可以用LTM+GTM的接口地址自动映射,保证数据包返回时能够正确接收。
      对于INBOUND流量,LTM+GTM分别绑定两个ISP 服务商的公网地址,解析来自两个ISP服务商的DNS解析请求。LTM+GTM不仅可以根据服务器的健康状况和响应速度回应LDNS相应的IP地址,还可以通过两条链路分别与LDNS建立连接,根据RTT时间判断链路的好坏,并且综合以上两个参数回应LDNS相应的IP地址。
►Inbound链路负载均衡功能描述
      由于多链路接入,所以内网服务器地址会在GTM上映射为两个公网地址,一个是电信的,一个是网通的,公网用户在通过域名方式访问资源时,该域名的解析不在由用户现有DNS供应商的DNS服务器解析,而是由GTM完成(需要在DNS供应商的DNS服务器上进行一些改动),通过GTM的智能动态判断,从而将用户DNS请求解析成对应的电信或者网通其中一个地址,用户最后通过这个地址从相应的运行商链路访问到内网资源。
图例解析

      
      当Internet User访问用户网络中的主机www.example.com时,首先进行的是DNS域名解析查询。该查询由Internet User的Local DNS服务器发起,到达用户网络中的DNS服务器(该服务器负责掌管所有后缀为xample.com的域名解析权)后,DNS服务器会根据解析记录,向Internet User指示:域名www.example.com的最终解析权归GTM所有。
      随后,Internet User的Local DNS服务器的解析查询最终到达GTM,GTM则根据三条Internet链路的通断、拥塞状况为该请求选择一条最优链路,即为该DNS请求回应对应某一条链路的IP地址。在这里我们假设GTM选择的是ISP 电信链路,则GTM将www.example.com所对应的IP地址解析为202.2.115.16,并将该解析结果经由Local DNS服务器返回给Internet User。
      Internet User拿到GTM给出的DNS解析结果后,会按照解析结果从ISP电信链路对202.2.115.16发起HTTP HEAD、HTTP GET、HTTP POST等指令,整个访问的流量被导向了ISP电信链路。
      与此类似,当另外的Internet User访问www.example.com时,GTM同样会根据三条Internet链路的通断、拥塞状况为该请求选择一条最优链路,我们假设这次LC选择的是ISP网通链路,请看下图:

       
      如图所示,整个过程与上述例子极其相似,不同之处仅在于这次GTM给回Internet User的关于www.example.com的DNS解析结果为211.54.246.106。在这种情况下,Internet User随后对www.example.com发起的HTTP请求全部从ISP网通链路进行,流量被导向了ISP 网通链路。
      综上所述,GTM通过对外界用户访问的DNS查询进行动态地解析,实现了Inbound流量的链路负载均衡。也就是说,所有基于DNS的应用都可以通过GTM实现链路负载均衡。
      为了保证用户可以在24*7并且提高用户的访问速度,GTM可以通过智能DNS解析功能,动态选择最佳链路,将外部用户导向驻留在站点中的资源。
      GTM中的DNS功能模块将分别绑定两个ISP 服务商的公网地址,解析来自互联网用户的地址解析请求。后台服务器则由GTM+LTM做成集群和虚拟化成针对电信的虚拟服务器Virtual Server 1 和网通的虚拟服务器Virtual Server 2 。这样对于每个用户到来的请求, GTM都会分别检测后台服务器的状态并选择最佳的链路提供服务,达到用户的就近性访问及服务器的负载均衡。GTM在回应客户的DNS解析请求时, 可以采用15种动态或者静态的决策方法中的任何一种方法并检测链路的实际状态将复合客户要求的最佳状态的链路的服务器公网地址返回给客户端, 从而达到多链路动态负载均衡的效果
 • 域名解析方式
在现有DNS上进行如下改造
将原有的www.example.com的A记录删除
www.example.com.   IN CNAME   www.f5.example.com
f5.example.com.  IN NS         gtm1. example.com.
              IN NS         gtm 2. example.com.
gtm. example.com. IN A            100.1.1.2   (F5设备地址)
gtm. example.com. IN A            200.1.1.2   (F5设备地址)
在Inbound负载均衡中,普遍使用的一种域名解析方法。
 • Outbound链路负载均衡
      F5 多链路负载均衡设备主要采用以下几种技术来处理Outbound流出流量。
      a) Default Gateway Pool
      在Default Gateway Pool中,定义相应的ISP对端路由器地址,作为负载均衡的对象,并且可以捆绑健康检查,负载均衡算法以及会话保持等属性。
      Default Gateway Pool中的Nodes定义为多个F5多链路负载均衡设备的缺省路由。
      b) Wildcart Virtual Server
      Wildcart Virtual Server-0.0.0.0:0/internal,Wildcart Virtual Server是指0.0.0.0这个特殊的虚拟服务器,一般用于捆绑Default Gateway Pool。意思是指当内部用户访问Internet上的任何地址时,全部由LTM+GTM在Default Gateway Pool中的网关地址(两条链路)进行负载均衡处理。
      c) SNAT/SNAT Automap
      对于Outbound流量的地址翻译,F5多链路负载均衡设备使用了称为SNAT的方法。当选定一个路由器(某一个ISP)传送Outbound流量时,多链路负载均衡设备将选择该ISP提供的地址。在上图中,如果多链路负载均衡设备选择ISP1作为Outbound流量的路径,则它将把内部的主机地址192.168.1.A翻译为ISP1的公网地址,并作为Outbound数据包的源地址。同样,如果多链路负载均衡设备选择ISP2作为Outbound流量的路径,则它将把内部的主机地址192.168.1.A翻译为ISP2的公网地址,并作为Outbound数据包的源地址。
Outbound流量的系统切换时间
      LTM+GTM在进行Ountbuond流量负载均衡时,可以实时检测两条链路的健康状态,因此,当某条线路出现故障时,LTM+GTM将在系统定义的检查间隔(该时间可自行定义)内检查到线路的故障,并及时地将用户的请求导向另一条链路上。
2.3方案优势
      F5是唯一一个厂商可以在同一个硬件设备上实现链路负载均衡及其服务器负载均功能。
      通过使用F5私有的iquery协议,GTM可以从LTM上实时了解应用是否正常,以便GTM合理的做出DNS解析响应。
2.4收费模块与免费模块
LTM+GTM具备功能(免费):

 ►Ram cache缓存功能
 ►HTTP 压缩(免费赠送50MB,购买相应license可以实现更多)
 ►SSL证书卸载(免费赠送500TPS,购买相应license可以实现更多)
 ►iRules流量编程
 ►One Connect功能
 ►iControl API接口
 ►Quova精确地址库
 ►SSL VPN(免费赠送10人并发VPN连接,如需更多需要购买APM模块license)
收费模块(通过购买license在现有的LTM上激活)
 ►WBA Module: Web加速管理功能
 ►ASM Module:七层应用安全防火墙
 ►APM Module:SSL VPN安全远程接入功能模块
 ►WOM Module:广域网加速模块

三、后期扩展方案
     项目后期,如果需要对应用系统及服务器群组实现负载均衡和应用交付功能,可以在服务器前端再部署一对F5 LTM设备,以实现对内网应用系统的负载均衡及安全应用交付。并且,还可以在F5 LTM设备上激活Web加速功能和ASM七层应用安全功能,以实现针对客户端访问Web及应用系统的加速功能和针对Web层面攻击和应用系统的七层安全防护功能。
具体拓补结构及详细功能介绍如下:
                          
3.1 Web访问加速功能

      企业依赖于Web应用来支持关键任务的业务运作,并带来竞争优势。尽管在数据中心附近的用户几乎可以即时访问应用,但对移动和远程用户来说,访问应用时需要浪费时间等待页面加载,甚至他们可能会发现应用根本就无法访问。随着用户对应用的性能失去信心,而且大量支持电话使本已疲于应付的网络管理员的任务更为加重,这造成了工作效率的显著下降。
      后期随着业务的不断增长,用户访问量的增加,可以在现有的LTM3900上激活F5 Web Accelerator模块实现整个Internet用户访问加速。
      BIG-IP® WebAccelerator™使您的用户能够即时改进Web应用性能,并帮助您降低成本。通过减轻网络和服务器的负载,BIG-IP WebAccelerator可帮助您降低购买额外带宽和新硬件的费用。用户可以快速接入应用,而且您可以更好地将IT资源用于能够推动企业实现业务目标的项目中。
      BIG-IP WebAccelerator通过确保最有效的带宽使用,避免向用户提交重复或复制数据,解决了Web内容交付问题,从而提高了对门户网站、CRM、远程学习以及电子商务网站的首次访问和重复访问速度。因此,用户可以大大地缩短下载时间,减少带宽使用,并降低远程办事处和移动部署使用企业Web应用的成本。

     
      为了实现这一目标,BIG-IP WebAccelerator采用两种重要功能: 动态内容控制和动态数据卸载。
      动态内容控制
      动态内容控制(DCC)是一组能够对用户浏览器行为进行控制的功能,它能够保证对带宽的高效使用,并避免对重复或复制数据进行下载。通过减少条件请求数量以及浏览器和Web应用之间传输的数据量,动态内容控制可以降低WAN时延和错误的影响。与差值压缩方法的常见做法不同,动态内容控制不需要安装Java程序或者对浏览器进行更改。
动态内容控制包括三大主要功能:
 ►智能浏览器参照™—通过杜绝对重复数据的下载,并防止浏览器向那些被误认为是动态数据的静态数据发出条件请求,可确保浏览器仅下载真正动态而唯一的内容。
 ►多连接—能够让浏览器在浏览器与Web应用之间建立更多的并发连接,增强并行数据传输能力。多连接功能对于卫星网络和移动网络等高时延/高带宽网络来说是一项极其有效的功能。
 ►动态线性化—能够让用户即时显示PDF页面或者跳转至特定页面,无需等待整个文件下载完毕便可以进行浏览。
3.2 ASM应用安全防火墙
      随着更多的应用流量通过网络上传输,敏感数据面临着被盗、安全漏洞和攻击的威胁,尤其是在应用层。F5的BIG-IP®应用安全管理器™ (ASM)是一个先进的Web应用防火墙,可显著减少和控制数据、知识产权和Web应用丢失或损坏的风险。BIG-IP ASM通过一个将应用交付与网络和应用加速及优化结合在一起的平台,提供了无与匹敌的应用和网站防护、完整的攻击专家系统,并且可以满足关键的法规要求。BIG-IP ASM是业内最全面的Web应用安全与应用完整性解决方案。对于对业务至关重要的应用,屡获殊荣的BIG-IP ASM能够使其保持安全性、可用性和高性能,从而保护了您企业的安全,并维护了企业的声誉。
ASM技术特点
►DDOS攻击防护

      DoS(Denial of Service,拒绝服务),是一种利用合理的服务请求占用过多的服务资源,从而使合法用户无法得到服务响应的网络攻击行为。由于典型的DoS攻击就是资源耗尽和资源过载,因此当一个对资源的合理请求大大超过资源的支付能力时,合法的访问者将无法享用合理的服务。目前,比较常见的DoS攻击主要有SYN Flood、Smurf、Trinoo、Tfn、Land-Based、Ping of Death、TearDrop、PingSweep 和PingFlood等。
      DDoS(分布式拒绝服务),它的英文全称为Distributed Denial of Service,它是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,象商业公司,搜索引擎和政府部门的站点。从图1我们可以看出DoS攻击只要一台单机和一个modem就可实现,与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。
Synflood:
      该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
F5 的策略:
     
F5 采用特有的SYN proxy功能,所有与虚拟服务器建立HTTP SYN的请求均由F5代替服务器响应,F5并不将SYN请求发送到服务器。只有当用于响应了F5的ACK,并真正发送HTTP GET请求时,F5才与服务器建立链接并发送HTTP GET请求。所以普通的Synflood只会和F5通讯,无法攻击到服务器。而F5 能够轻松支持高达2,000,000个会话的吞吐能力,能够应付绝大多数攻击。而如果攻击数量超过F5的能力,F5 的Reaper功能将自动启动保护系统自身

               
Ping of Death 
      根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。
F5 的策略:
      如前所述,在F5上可以将虚拟服务器的ARP屏蔽,ICMP包系统根本不响应。其次,虚拟服务器的ICMP响应是由F5的管理进程提供响应,当管理进程繁忙时,系统会自动降低虚拟服务器的ICMP响应的优先级甚至不响应,而管理进程与服务器负载均衡是两个完全不同的进程,在F5上其内存和CPU使用时间是严格分离的,所以Ping of Death丝毫不会影响服务器负载均衡,也就是不会影响真正对外的服务响应端口。
IP欺骗DoS攻击
      这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。 攻击时,伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务。
F5 的策略:
      如前1所述,F5特有的SYN proxy功能,将TCP的SYN/ACK/SYN ACK三段握手作为判断合法用户的依据,同时所有的SYN/ACK/SYN ACK均不通服务器链接,只有当用户发送HTTP GET请求时再与选定的服务器建立链接,所以RST只是拆除与F5建立额链接,并不影响合法用户访问服务器。
满足安全标准的要求
      先进的内置安全防护和远程审计功能可帮助您的企业以经济高效的方式满足行业安全标准的要求,包括PCI DSS、HIPAA、Basel II和SOX,您既不需要购置多个设备,也不需要对应用进行更改或重写。BIG-IP ASM提供了针对新型威胁的高级报告能力,例如第7层服务拒绝攻击(DoS)、暴力攻击和SQL注入攻击等。通过PCI报告功能,BIG-IP ASM列出了PCIDSS 1.2所要求的安全措施,并确定是否满足了要求,若未满足要求则详细说明为满足要求所需采取的措施。此外,BIG-IP ASM与WhiteHat、Splunk和Secerno集成,可支持漏洞评估、审计和实时数据库报告功能,从而实现安全违规检查、攻击防护和法规遵从。

         
保证应用安全与可用性
      许多网站和应用都遭受过安全威胁,这些安全威胁会导致业务中断,并损害企业的品牌。BIG-IP ASM可以报告以前未知的威胁,例如第7层DoS和SQL注入攻击,并且可减轻Web应用威胁,从而保护企业免遭数据侵害。BIG-IP ASM有助于预防棘手而且代价高昂的应用侵害,这些侵害可导致企业遭受数百万美元的损失,包括监管机构处罚、收入下降和品牌价值受损等。
高级执行能力
      BIG-IP ASM可保护任何参数免遭客户端的篡改,并且通过验证登录参数和应用流来防御强制浏览和逻辑缺陷攻击。BIG-IP ASM还可以防护OWASP十大Web应用安全漏洞以及零日Web应用攻击。
现成的保护能力
      BIG-IP ASM配备了一套预置应用安全策略,可为Microsoft Outlook Web Access、LotusDomino邮件服务器、Oracle E-Business Financials和Microsoft Office SharePoint等常用的应用提供现成的保护能力。此外,BIG-IP ASM包含快速部署策略,可立即为任何客户应用提供安全保障。这套经过验证的策略无需要花费任何时间进行配置,并且可以根据启发式学习和特定的客户应用安全需求,用作创建更先进的策略的起点。

       
►全面的应用安全与加速
       BIG-IP ASM与BIG-IP® WebAccelerator™可同时在BIG-IP®本地流量管理器™设备上运行,因此您可以确保应用的安全,同时提高应用性能。这个高效的多解决方案平台在不降低性能的情况下增加安全性。您可以立即过滤攻击,并对Web应用进行加速,从而改善用户体验。由于不需要向网络中增添新的设备,您可以获得一体化的解决方案,从而实现最高的成本效益。
►Web scraping防护
      BIG-IP ASM可保护您的网站免遭Web Scraping攻击(复制并重复利用宝贵的知识产权和信息),从而保护您的品牌。通过辨别使用浏览器的是人还是僵尸程序,BIG-IP ASM可防止通过自动请求获得数据。Web应用策略可以识别请求量的增加,并通知BIG-IP ASM检查这些是否为需要的请求。以前曾发生过Web Scraping攻击的已知IP地址可以列入黑名单,以便对其进行检测和阻止。
►优异的报告能力
      所有报告都基于GUI,并提供了通过简单的鼠标点击便可使用的向下钻取选项。地理位置报告可让您了解威胁发起的国家,另外还包括攻击类型、违反的标准、URL、IP地址、严重程度等。您还可以预定时间将报告自动发送到指定的电子邮件地址,以提供最新的报告。

 
►攻击签名的实时更新
      为了保证最新的防护能力,新攻击的新签名需要经常更新。BIG-IP ASM每天查询F5签名服务,并自动下载和应用新的签名。
      最终,通过在内网部署ASM设备或是在LTM设备上激活ASM模块,可以实现整个业务系统完善的七层应用安全防护。


关于融致 | 产品中心 | 解决方案 | 成功案例 | 服务与支持 | 新闻资讯 | 联系我们
展开

QQ在线客服

  • 在线咨询
  • 点击咨询

QQ在线客服

  • 010-62669531
  • 010-62669315
  • 15110041839