设为首页加入收藏
欢迎光临广西创正信息!
服务器负载均衡解决方案
    发布时间: 2021-08-09 10:03    

随着XX市政府信息化、工业化、城市化的融合,XX市政府已经形成了OA、电子签章、门户网站等信息化平台的建设。随着政务公开工作不断展开,政府门户网站的访问人数不断上升,复杂程度越来越高,信息化规模越来越大,用户对信息平台访问也越来越多,信息系统的性能、稳定性的问题逐渐暴露过来。

服务器负载均衡解决方案

一、概述


  随着XX市政府信息化、工业化、城市化的融合,XX市政府已经形成了OA、电子签章、门户网站等信息化平台的建设。随着政务公开工作不断展开,政府门户网站的访问人数不断上升,复杂程度越来越高,信息化规模越来越大,用户对信息平台访问也越来越多,信息系统的性能、稳定性的问题逐渐暴露过来。

  随着访问用户数量的增加,給服务器带来越来越大的压力,实现访问流量在各个服务器上均衡分配,充分利用各服务器的资源,提高服务器处理性能和高可靠性,是网络升级和改造的目标。


二、用户需求


2.1 总体目标

          1、高性能-----系统可以采用多样、灵活,适应性强的负载均衡算法实现服务器负载均衡,使流量可以均衡分配到各个服务器处理,提高系统的整体处理性能。

          2、高可用性-----系统运行稳定,单一服务器出现故障不会影响系统的整体运行,服务依然能正常提供访问。

          3、高安全性-----系统具备良好的攻击防御能力,实现对服务器的安全防护。

          4、高可管理性-----系统具备安全、简便和灵活的管理特点。

          5、高可扩展性-----系统具备扩展简便的特点,在不影响现有整体系统运行的情况下,可以根据需要增加和调整服务器。


2.2 系统功能需求


          为了适应系统扩展性的需要,新的系统需要满足以上功能:

1、  服务器的负载均衡

 系统中有多台Web服务器需要实现负载均衡,保证用户访问流量能在各个服务器上均衡分配,提高服务器资源的利用率。当某台服务器出现故障时能被及时检测到,并且故障服务器将会被自动隔离,不再給其分配流量,知道其恢复正常后自动加入服务器负载均衡组中,实现透明的容错和备份,保证服务器整体性能得到大幅提升。

    2Web服务器的安全防护

为了保证web服务器正常提供服务,优化后的系统必须满足对其安全防护的能力。当大数据流DOS/DDOS攻击进入的时候,能保证服务器正常稳定运行,且能继续提供服务。

    3、提高服务器性能,提升业务响应能力

 当大量用户同时访问业务系统时,系统承载能力不足,导致用户访问系统缓慢。通过优化业务系统,减轻服务器压力,承载更多的用户业务请求。


2.3 系统性能需求


          为了保证系统正常稳定的运行,必须满足以下性能需求:

    1、  在一定的访问压力下仍然能提供正常服务。

        2、系统稳定好,系统响应时间要短(当一台服务器发生故障时,负载均衡设备能及时探测到并将用户访问流量导向其他服务器)。


 2.4 系统安全性需求


       为了保证系统有效运行,系统需具备安全访问措施:

   1、  负载均衡产品本身具有良好的系统安全性,不存在安全漏洞。

   2、  产品提供安全的访问管理环境。


2.5 系统可管理性需求


 为了便于新系统的日常维护和管理,系统在可管理性方面的要求如下:

   1、  可以采用SSL加密方式安全的通过web界面来进行管理,能够支持中文管理界面。

   2、  可以通过SSH客户端进行管理。

   3、  可以通过本地串口进行命令行管理。


三、需求分析


3.1  Web服务器负载均衡及冗余


负载均衡设备利用多种静态和动态算法实现系统中10web服务器的负载均衡,使用户访问流量能够均衡分配,提高服务器整体服务能力和性能。当有服务器发生故障时,负载均衡设备利用其健康检查等精确的探测能力及时发现并隔离故障服务器,直到其恢复正常工作,实现服务器的高可靠性。


3.2   服务器安全防护


 当大数据流DOS/DDOS攻击进入的时候,服务器可能由于在瞬间接受超过服务器吞吐量的数据流而直接导致系统崩溃,甚至导致数据丢失或客户资料遗失等。而采用太一星晨的服务器负载均衡器保护服务器,通过丰富健康检查方法可精确探测服务器的运行状态,从而在服务器处理能力饱和之前自动屏蔽新建连接。超过服务器吞吐能力的连接将在负载均衡器上处于waiting状态,直至有服务器空闲或TCP time out

 同时,对于所有对外提供应用的服务器,由于有服务器负载均衡器提供负载均衡,用户无法直接与服务器联系,必须先与服务器负载均衡器的虚拟服务器建立连接,所以黑客无法获得服务器的真实地址,增加黑客攻击的难度。并且由于虚拟服务器对外只提供应用服务端口,其余端口服务器负载均衡器均不响应且直接丢弃数据包,从而有效的屏蔽了黑客攻击的第一步------端口扫描。甚至服务器负载器还可以将虚拟服务器的ping响应功能关闭,从而使黑客无法ping通虚拟服务器。


3.3 提高服务器性能,提升业务响应能力


 链路负载均衡器产品支持服务器应用加速,通过开启WEB缓存功能,外部用户访问内部服务器中静态页面、图片等内容通过应用交付产品缓存下来,不需要访问服务器。开启TCP连接复用功能,外网用户访问内部服务器不需要建立额外的TCP连接,有效减轻服务器负担,提升服务器业务性能。开启压缩功能,将文本等数据压缩后,缩小尺寸传输,可以大大缩短页面在网络上的传输时间。

 通过缓存、压缩、TCP连接复用等功能,可以有效减轻服务器压力,缩短业务响应时间,使用户得到更好的业务体验。

四、设计方案


4.1 网络拓扑图


    改造后新的网络拓扑结构如下:

                                                              负载均衡部分网络拓扑图


4.2 设计描述


4.2.1 设计总体描述


       本设计采用两台服务器负载均衡器,实现系统中多种服务器的负载均衡和会话保持,其中web服务器有X台,mail服务器有X台,FTP服务器有X台,OA服务器有X台。

    上图是网络中负载均衡的部分网络拓扑图,两台ADC实现双机冗余,下连二层接入层交换机,服务器连接到二层交换机上,实现服务器的负载均衡及冗余。

    Web服务器,Mail服务器,FTP服务器,OA服务器的负载均衡及冗余相同,对OA服务器,ADC利用其专有的会话保持技术保证用户的正常访问。


4.2.2  Web服务器负载均衡技术及冗余


   服务器负载均衡器采用多种静态和动态的负载均衡算法实现Web服务器的负载均衡,并采用精确的健康检查方法实时检查服务器的健康状态,隔离故障服务器,直到其运行正常再将流量分配給其处理。对于需要固定到一台服务器上访问的用户,可用采用服务器负载上特有的会话保持技术,将用户的访问会话保持在同一台服务器上,保证访问的连续性和完整性。

   服务器负载均衡器通过采用如下技术来实现可靠、快速和安全的负载均衡:

健康检查

 健康检查是指对服务器的运行状态定期进行实时检测,一旦发现服务器故障,将把该服务器移出流量分担的队列,当检测到服务器恢复正常运行后,再将服务器添加流量分担的队列。T-FORCE应用交付平台提供丰富的健康检查策略,和负载分担算法组合到一起,就可以实现非常灵活的负载分担策略。

会话保持

 会话保持是指流量一旦按照负载分担策略分配给某个服务器后,后续的相关请求报文同样分配给同一台服务器,以保障业务的连续性。服务器负载应用交付平台支持6类共8种会话保持的方法,即可以根据源IP地址,ServerID等静态信息来做会话保持,也可以通过Cookie插入和重写来实现更高级的会话保持方法。每种会话保持的效率,粒度和应用场景有所不同,对应用服务器的配置要求也不一样。基于源IP的会话保持只需要处理数据包的四层信息,所以效率最高,也不需要服务器做任何配置,但粒度比较粗。如果客户端存在普遍的NAT转换,或者某些IP段的业务请求量比较大,那么这些流量被保持发送给固定一台服务器,就会造成流量负载的不均衡。

七层内容交换

 服务器负载应用交付平台的七层内容交换可以识别用户请求报文的内容,如URL信息,应用数据类型,Cookie信息,浏览器类型,HTTP方法等内容,将流量分配给相应的应用服务器,实现了基于七层内容的负载均衡。

SSL卸载和加密

  服务器负载应用交付平台通过内置的专业级高性能硬件加速芯片,完成对SSL协议的加速和卸载,而在数据中心内部,服务器负载和服务器之间通过明文进行传输,极大的提升服务器的业务处理能力。企业可以把应用全部应用实现SSL协议,实现高安全性的同时,不会给业务带来任何的性能瓶颈。

TCP连接复用

 TCP连接复用技术使多个客户端共享一个到服务器的TCP连接,可以提升应用服务器的整体性能,使应用服务器从维护海量的TCP连接,并不断的进行TCP建立和拆除维护中解脱出来,极大的提升单台服务器的承载能力。

 服务器负载均衡设备在接到一个客户端HTTP请求后,通过负载分担算法会选择一台服务器建立连接。如果接收到正常的服务器响应,ADC设备会把这个连接放入到“连接复用池”里面,当另外一个新的客户端发起HTTP连接请求时,ADC设备从现有的连接池里面选择一个可用的连接来和服务器的进行数据交互,而不是重新创建一个到服务器的连接。通过这种优化,可以把服务器负载降低到原来的1/10-50。

本地高速缓存

 本地高速缓存(Cache),通过在ADC设备上开辟一段专用的内存空间(RAM)来存储服务器上的一些静态文件,如图片,文档,视频文件等,开启本地Cache后,客户端请求首先在本地Cache中查找,命中以后直接返回给客户端。命中失败才向服务器端发送请求,同时对服务器返回的内容进行本地Cache。服务器负载均衡器支持为不同的应用提供各自的Cache空间及参数设置,这样可以把服务器从重复的处理中解脱出来,提升整体效能。

内容压缩

 通过压缩HTTP响应的数据,可以有效提升带宽利用率和缩短下载时间。T-FORCE应用交付平台提供的高性能压缩技术,最大可以使带宽利用率增加80%,应用性能提升4倍以上。同时在客户端浏览器和服务器负载设备间经过一定的算法进行压缩,也起到一定安全传输的作用。

 服务器负载均衡器把原本由服务器完成的压缩过程搬到自身的高性能硬件平台,避免了每台服务器都执行一次重复的压缩过程,达到服务器卸载的效果。

 服务器负载均衡器支持浏览器最常用的GZIP和DEFLATE两种压缩算法,提供基于七层的精细化压缩控制策略,包括URI,Content Type等。管理员可以定义对“.txt”,“.doc”“.htlm”等文档类型和静态页面数据进行压缩,也可以排除PDF,IMG等压缩效果不明显的不必要操作。


4.2.3  服务器安全防护


  服务器负载应用交付平台还有特殊的机制对服务器进行安全防护。

    1、  抗四层攻击

 服务器负载应用交付平台通过智能算法,支持防御大多数DDOS攻击,包括TCP SYN Flood 攻击,TCP混合攻击,UDP混合攻击,ICMP攻击等。通过智能算法,有效的识别攻击流量和正常流量,保障业务的正常运行。

    2、  HTTP-DDOS攻击

 相比四层DDOS攻击,基于Http协议的七层攻击更加难于防范,传统的技术很难区分出正常的流量还是攻击流量。其中一种被称为CC的攻击技术,主要是利用代理服务器产生大量的Http请求而快速消耗掉web应用服务器资源,是其中的典型代表。

 启用抗CC攻击后,服务器负载应用交付平台会在服务器返回的Http响应中动态插入一段专用的Cookie,正常的浏览器访问时,该Cookie会被携带回来,而被当作“肉鸡”的代理服务器则无法识别该Cookie,并不会在下次请求中携带,这样设备就可以区分出正常流量和攻击流量,并把攻击流量直接丢弃。

    3、  状态防火墙和流量管理

 服务器负载应用交付平台提供专业安全级别的防火墙功能,可以灵活的针对每一个虚拟服务(VS)配置允许或者禁止的访问策略。不同于交换机或者路由器的ACL,服务器负载系统是基于状态的包过滤防火墙,可以有效保障每个应用服务的访问安全。

 服务器负载应用交付平台的防火墙还具备流量管理的功能,针对某一类访问VS的数据流,可以限制其最大带宽和最小带宽。当系统中有多个应用系统同时运行时,通过这种方式,可以有效实现对每个应用系统进行带宽限制和带宽预留。

    4、  服务器连接数管理

 服务器负载应用交付平台可以为每种应用指定一个的最大并发连接数门限,一方面保护应用服务器的资源,同时也防止某种应用过多的占用系统资源,而导致其他应用无法得到正常的服务。

    5、  信息防泄漏

  HTTP头部信息隐藏:服务器负载应用交付平台可以在服务器响应报文中,擦除响应头的中指定信息,比如web服务器名称,版本号等。也可以修改服务器的真实链接目录,达到隐藏服务器关键信息的目的。也可以通过定义在Response中允许的header,而把其他所有不满足的header信息从报文中删除。

        Cookie加密:把服务器响应报文的中的明文Cookie信息进行加密,然后再发送给客户端,防止某些利用Cookie存储的关键信息如用户账号,网银数据等在传输过程中被截获。在客户端回应过程中,把Cookie信息解密发送给应用服务器,即方便应用系统的统一管理,也降低了应用系统的压力。

    6、  虚拟服务

 对外提供服务的Web服务器,由服务器负载均衡器实现负载均衡,用户无法与服务器直接联系,必须与服务器负载均衡器上的虚拟服务建立联系,同时虚拟服务只开放了提供服务的端口,对其他端口的访问,服务器负载均衡器不予以回应,只做丢包处理,这样防止了黑客的端口扫描攻击。


4.2.4 易于管理性


       服务器负载均衡器不仅提供http的中文Web界面管理、基于串口的管理和telnet的管理等,还支持SSH安全命令行的管理和https安全的web界面的管理。


五、关键技术介绍


5.1 服务器负载均衡算法


  服务器负载应用交付平台支持13种灵活的负载均衡算法,可将数据流快速、可靠的转到它所连接的服务器群,用户此时只需记住一台服务器,即虚拟服务。但他们的数据流却被服务器负载均衡器灵活的均衡到所有参与负载均衡调度的服务器中。

13种负载均衡算法包括:

    1、  静态负载均衡算法

 轮询(Round Robin):将请求顺序循环的连接到每个参与负载均衡的真实服务器上。

当其中某个服务器发生第二到第七层的故障时,服务器负载均衡器就把其从负载均衡列表中移出去,不参与下次的轮询,直到其恢复正常。

 比率(Ratio):給每个服务器分配一个加权值为比例,根据这个比例,把用户的请求分配到每个服务器。当其中某个服务器发生第二到第七层的故障时,服务器负载均衡器就把其从负载均衡列表中移出去,不参与下次的请求的分配,直到其恢复正常。

 优先级(Priority):給所有服务器分组,給每组服务器组定义优先级,服务器负载均衡器将用户的请求分配給优先级最高的服务器组(在同一组内,采用轮询或比率算法,分配用户的请求),当最高优先组内的服务器出现故障时,服务器负载均衡器才将请求分配給次优先的服务器组。这种方式还为用户提供了一种热备的可靠方式。

    2、  动态负载均衡算法

 最小连接(Least Connection):服务器负载均衡器优先把流量分配给当前连接数最少的服务器。当其中某个服务器发生第二到第七层的故障时,服务器负载均衡器就把其从负载均衡列表中移出去,不参与下一次的请求分配,直到其恢复正常。

 最快模式(Fastest):服务器负载均衡器通过比对服务器返回数据包的延迟情况,选择一个当前响应最快的服务器来分配流量。当其中某个服务器发生第二到第七层的故障时,服务器负载均衡器就把其从负载均衡列表中移出去,不参与下一次的请求分配,直到其恢复正常。

 SNMP监控:服务器负载均衡器通过SNMP客户端来读取服务器的实时运行状态,包括CPU,内存和I/O信息,为每种实时信息配置门限值,当超过设置的阈值时不再向这台服务器分配报文。

 观察模式(Observed):结合最小连接和最快模式两种结果,选择最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第七层的故障时,服务器负载均衡器就把其从负载均衡列表中移出去,不参与下一次的请求分配,直到其恢复正常。

        3、服务器平滑接入和退出:

 当有新的服务器接入或者服务器重新启动时,服务器负载系统可以把流量逐步分配给新接入的服务器,避免服务器的某些进程还没有加载完成而导致系统资源占用过高,或者应用响应缓慢的情况,实现服务器的平滑接入。管理员也可以手工方式操作把某台服务器退出流量分担机制,此时ADC系统不再分配新的流量给该服务器,该服务器的现有连接继续保持,直至连接结束。


5.2 本地服务器/防火墙健康检查机制


 健康检查是指对服务器的运行状态定期进行实时检测,一旦发现服务器故障,将把该服务器移出流量分担的队列。服务器负载应用交付平台提供丰富的健康检查策略,和负载分担算法组合到一起,就可以实现非常灵活的负载分担策略。

        Layer3健康检查:服务器负载均衡器向真实服务器发送ICMP请求报文,“ping”命令是常见的用来确定目标IP地址是否在网络中存在,或者用来确定目标服务器是否正常工作。如果得到正确回复表示服务器工作正常。

        Layer4健康检查:服务器负载均衡器向真实服务器连接其一个特定的UDP或者TCP端口。例如,服务器对外发布了80端口的服务,则服务器负载均衡器可建立一条与服务器80端口的连接,来确定服务器80端口的可用性。服务器负载均衡器发送一个TCP SYN请求到服务器的80端口,并检查是否收到服务器返回的TCP SYN ACK报文,如果检测到某台服务器没有回应此报文,服务器负载均衡器就可以断定此服务器没有正常提供服务,服务器负载均衡器单独向每台服务器进行端口的健康检查并单独做关于其服务器的诊断结果是非常重要的。如果服务器的80端口服务停止工作了,而端口21还能正常工作,那么服务器负载均衡器可以继续利用服务器的21端口提供FTP的服务,同时也确定了此服务器的web应用已经停止了服务,这样一来就提供了一个高效率的负载均衡解决方案,细分了健康检查的做法并有效的提高了服务器的处理能力。

   Layer7健康检查:服务器负载均衡器可向目标服务器发送应用层协议的报文,请求一个指定的内容,如果得到正确回复表示服务器工作正常。

   还可通过确认服务器应用程序是否对请求返回对应的数据。如果一个应用程序对该服务器健康检查作出响应并返回对应的数据,则服务器负载均衡器认为该服务器应用程序工作良好。如果服务器不能返回对应的数据,则服务器负载均衡器认为该服务器应用程序出现故障,接下来的请求将不再分配給此服务器。当服务器应用程序恢复故障,服务器负载均衡器会自动查证应用程序已能对用户请求作出正确的响应并恢复向该服务器分配流量。


5.3 会话保持技术


 会话保持是指流量一旦按照负载分担策略分配给某个服务器后,后续的相关请求报文同样分配给同一台服务器,以保障业务的连续性。比如,很多电子商务相关的应用系统或者需要用户身份认证的系统,用户和服务器间会进行多次的数据交互才能完成一笔交易或者身份认证过程,必须把这个过程的交互报文分配给同一个服务器。

 服务器负载应用交付平台支持6类共8种会话保持的方法,即可以根据源IP地址,ServerID等静态信息来做会话保持,也可以通过Cookie插入和重写来实现更高级的会话保持方法。每种会话保持的效率,粒度和应用场景有所不同,对应用服务器的配置要求也不一样。基于源IP的会话保持只需要处理数据包的四层信息,所以效率最高,也不需要服务器做任何配置,但粒度比较粗。如果客户端存在普遍的NAT转换,或者某些IP段的业务请求量比较大,那么这些流量被保持发送给固定一台服务器,就会造成流量负载的不均衡。

 基于Cookie插入,Cookie重写,ServerID等七层信息的会话保持方式,使保持策略和浏览器的信息相互关联,可以做到细粒度和更均衡的流量分配,基于七层信息的会话保持方式,工作效率不如源IP会话保持。除Cookie插入方式以外,其他如serverid,sessionid, Cookie重写等方式一般需要应用程序做相应的配置。

        服务器负载均衡器支持的会话保持方式:

    1、基于源地址:来自同一个源IP地址的相关报文,分配给同一个服务器。

    2、基于ServerID记录服务器返回的serverid信息,然后从请求报文的URLCookie信息中查找serverid,进行解码得到后台服务器的信息,保证带有固定serverid信息的请求被分别到固定的服务器。Serverid需要在web服务器上进行人工配置。服务器负载不需要对数据包进行修改

    3、基于SessionID-类似于ServerID的方式,记录从服务器返回的SessionID信息,然后从请求报文的URLCookie信息中查找SessionID,进行解码得到后台服务器的信息,保证带有固定SessionID信息的请求被分别到固定的服务器。SessionID是服务器自动生成的,服务器负载产品不需要对数据包进行修改。

    4、基于Cookie插入:这种方式通过修改服务器返回的报文,向其插入一个固定的Cookie信息返回给客户的浏览器,客户端后续的报文请求中都携带了这个Cookie信息,服务器负载根据这个信息发送给指定的服务器。这种保持方式修改了数据包的长度,但不需要应用服务器端做任何的配置改动就可以实现。




    5、基于Cookie重写:服务器端接收到HTTP请求后,响应报文中会增加一个空白的Cookie返回给服务器负载设备,服务器负载在这个空白的Cookie里面写入会话保持的数值,返回给客户端。后续的过程和Cookie插入类似,客户端后续的请求报文会携带这个重写的Cookie,ADC根据这个信息来选择指定的服务器。Cookie重写和Cookie插入的区别是,Cookie重写不需要修改报文的长度,效率会高一些。


    


    6、基于自定义头部:应用服务自身定义了一个URL Header信息,并希望服务器负载以此来做负载分担。这种方式下服务器负载设备记录服务器返回的Header信息,并在客户端的后续请求中进行匹配,匹配成功则转发给指定的服务器。这种方式允许应用服务程序定制自己的会话保持策略。

    7、基于SSL SessionID当第一次请求到来时,按负载均衡算法分配一台后台服务器。在服务器的响应中,按照SSL协议,取出SSL SessionID,并把SSL SessionID分配的后台服务器信息、所配置的超时时间存在一张表中。当后续请求到来,根据请求中的SSL SessionID在表中查找后台服务器的信息,若找到并且时间在超时时间之内,则取出后台服务器信息,并更新超时时间,把请求发往那台服务器。


5.4 七层内容交换


 四层交换主要是依赖IPTCP/UDP层的信息进行流量的分配,而随着应用自身的复杂性和不断改善用户体验的需求,有时候需要为不同的用户类型返回不同的呈现内容,例如:

把移动用户的手机/pad浏览器请求分发给专门经针对性过优化的服务器。

 把请求图片,文档,视频等静态内容分发给缓存服务器。

 根据浏览器自身的语言设置,为不同语言区域的用户返回相应的页面。

 可以根据HTTP请求的方法实现读写分离,HTTP读(get)请求分配给缓存服务器,HTTP写(post)请求分配给处理动态内容的服务器。

 服务器负载应用交付平台的七层内容交换可以识别用户请求报文的内容,如URL信息,应用数据类型,Cookie信息,浏览器类型,HTTP方法等内容,将流量分配给相应的应用服务器。 

 服务器负载应用交付平台通过http-class来标识一个业务分类,http-class根据主机地址,URI路径,头信息和Cookie来定义,每个http-class可以关联一个服务器地址池,然后再虚拟服务(VS)的配置中,引用一个或者多个http-class。当客户端请求访问虚拟服务时,服务器负载设备进行http-class匹配,匹配成功的请求被分配给对应的地址池。



5.5 应用优化与加速


   服务器负载应用交付平台可以把原本需要高消耗服务器计算能力的,重复计算的工作卸载到高性能的硬件平台上,让服务器的计算资源更多的关注自身的业务系统处理,以改善整个应用系统的效率。 服务器负载均衡同时对TCPHttp协议进行优化和加速,最大限度的降低网络拥塞和丢包,改善移动上网等窄带用户的用户体验。

        服务器负载应用交付平台内置了企业最常用的应用模板,如BEA WeblogicMicrosoft IIS Outlook Web AccessRadiusERP软件等,这些都是经过公司应用优化专家通过反复的测试验证而完成的一套解决方案,管理员不需要对应用进行细致的了解,就可以根据模板高效的完成这些应用系统的优化和加速。


5.5.1 SSL硬件加速和卸载


   服务器负载应用交付平台通过内置的专业级高性能硬件加速芯片,完成对SSL协议的加速和卸载,而在数据中心内部,ADC和服务器之间通过明文进行传输,极大的提升服务器的业务处理能力。企业可以把应用全部应用实现SSL协议,实现高安全性的同时,不会给业务带来任何的性能瓶颈。


5.5.2 本地RAM Cache


 本地高速缓存(Cache),通过在服务器负载设备上开辟一段专用的内存空间(RAM)来存储服务器上的一些静态文件,如图片,文档,视频文件等,开启本地Cache后,客户端请求首先在本地Cache中查找,命中以后直接返回给客户端。命中失败才向服务器端发送请求,同时对服务器返回的内容进行本地Cache。服务器负载均衡器支持为不同的应用提供各自的Cache空间及参数设置,这样可以把服务器从重复的处理中解脱出来,提升整体效能。


5.5.3 内容压缩


 通过压缩HTTP响应的数据,可以有效提升带宽利用率和缩短下载时间。服务器负载应用交付平台提供的高性能压缩技术,最大可以使带宽利用率增加80%,应用性能提升4倍以上。同时在客户端浏览器和服务器负载设备间经过一定的算法进行压缩,也起到一定安全传输的作用。

    服务器负载均衡器把原本由服务器完成的压缩过程搬到自身的高性能硬件平台,避免了每台服务器都执行一次重复的压缩过程,达到服务器卸载的效果。

        服务器负载均衡器支持浏览器最常用的GZIPDEFLATE两种压缩算法,提供基于七层的精细化压缩控制策略,包括URIContent Type等。管理员可以定义对“.txt”,.doc”.htlm”等文档类型和静态页面数据进行压缩,也可以排除PDFIMG等压缩效果不明显的不必要操作。


5.5.4 TCP连接复用


  TCP连接复用技术使多个客户端共享一个到服务器的TCP连接,可以提升应用服务器的整体性能,使应用服务器从维护海量的TCP连接,并不断的进行TCP建立和拆除维护中解脱出来,极大的提升单台服务器的承载能力。

  服务器负载设备在接到一个客户端HTTP请求后,通过负载分担算法会选择一台服务器建立连接。如果接收到正常的服务器响应,服务器负载设备会把这个连接放入到“连接复用池”里面,当另外一个新的客户端发起HTTP连接请求时,服务器负载设备从现有的连接池里面选择一个可用的连接来和服务器的进行数据交互,而不是重新创建一个到服务器的连接。通过这种优化,可以把服务器负载降低到原来的1/10-50


5.5.5 单边加速


 标准TCP协议在设计时很少的考虑到高带宽和夸Internet传输的问题,现在随着高速带宽的普及,标准的TCP协议表现出很多的不足,在网络拥塞控制和丢包重传机制上,往往效率比较低下,而且基本不具备根据网络环境实时进行调解的能力。服务器负载应用交付平台提供智能单边加速的功能,通过对标准TCP协议的慢启动控制,拥塞避免,重传和恢复几个方面进行优化,来达到整体网络加速的效果。同时,服务器负载设备可以根据当前的网络状态,和承载的协议类型智能的选择一种效率最高的算法。

 服务器负载应用交付平台的单边加速对客户端和服务器来说都是透明的,ADC和服务器之间仍然按照标准TCP协议运行,服务器负载均衡器和客户端之间进行单边加速,客户端不需要做任何修改。


5.5.6 HTTP管线(Pipelining


 传统的HTTP协议是当一个请求发出,等接收到完整的响应数据后,才进行下一个请求,这在高延迟的网络环境中会导致整个数据交互的效率比较低。HTTP管线技术(Pipelining)可以将多个HTTP请求同时提交,而不用等待顺序的请求回应。

(不带Pipelining的HTTP流程)

服务器负载应用交付平台可以和支持Pipelining的客户端浏览器智能协商开启,服务器负载均衡设备和服务器间还是正常的HTTP协议流程。


5.5.7 窄带用户应用加速


 当客户端通过窄带线路比如通过ADSL拨号或者智能手机,pad移动终端上网时,对于应用服务器的响应,可能会由于客户端侧带宽不足,或者带宽质量不好而导致报文的拥塞和丢包。这时客户端就会发起重传请求,如果大量的窄带用户同时访问,就会出现应用服务器反复处理这些重传请求的压力增大而降低效率。

   服务器负载应用交付平台使用TCP数据缓存技术,自动检测客户端对服务器响应的处理能力,对于窄带用户,服务器负载设备会在自身平台开辟出缓存空间来存储服务器返回的数据,以客户端能够适应的速度完成数据交互,避免出现大量的重传。服务器只要处理完成用户的请求后,就可以释放出来处理其他工作,不用再去处理丢包重传的情况。


5.5.8 重写Rewrite


   Http协议的请求阶段和响应阶段都可以对URI进行重写,在请求http请求阶段,可以把符合预置条件的所有http请求发送到一个指定的URL,比如是提示用户进行登录的页面或者其他信息提示页面。又或者是当服务器某些文件已经不存在或者目录发生更改,而用户通过其他网站或者搜索引擎的旧链接进行访问时,可以把这类请求直接重定向到一个指定的错误信息提示页面,减轻了服务器的负担。

 部署了服务器负载应用交付平台以后,企业可以把原来基于http协议的应用,全部迁移到安全https协议。通过http请求重定向结合SSL卸载功能,可以实现企业服务器和客户端都不需要任何更改的情况下完成httphttps的无缝迁移。

 在http响应阶段,可以把服务器返回的404(客户端语法错误)等重定向到一个指定的页面。


5.6 系统安全性


   互联网的快速发展,引起人们资源的传播速度越来越便捷,黑客攻击工具可以非常容易的获得,导致针对互联网上的应用服务的攻击与日俱增。同时,各种各样的黑客攻击手段层出不穷,攻击手段也越来越隐蔽,破坏能力越来越大,危害也日益严重。而拒绝服务攻击一直是安全界迟迟没有解决的怡达问题,有的专家认为是网络协议本身的安全缺陷造成的,同时基本上所有的防火漆在解决拒绝服务攻击上都能力有限,而且很多防火墙或者入侵检测系统反而自己成了拒绝服务攻击的目标。DOS/DDOS攻击即攻击者想办法让目标机器停止提供服务或者使其被停止访问,这些资源包括磁盘空间、内存、进程甚至网络带宽等,从而组织正常用户的访问。从大家认可这个对拒绝服务攻击的定义,我们可以看出,其实对网络带宽进行的消耗性攻击只是拒绝服务的一个小部分,只要能够对目标造成麻烦,使某些应用程序无法正常提供服务甚至机器宕机,都是拒绝服务。因此对于安全系统而言,必须在以下几个方面进行加强:

  1.加强可靠性。监狱安全系统产品所处的位置,如果出现因故障而宕机的现象,会影响整个网络的运行,因此它应该具有双机热备、集群部署以及能自身抗攻击能力,这对高可用环境尤为重要。

  2.进一步提高处理性能。当前对攻击进行的攻击特征模块检查均是基于软件的,为提高系统处理性能,必须采用硬件架构借助芯片能力的提升来实现。

  3.与其他多种安全产品实现高可靠性结成。服务器负载应用交付平台在不断完善对各类服务器应用系统负载均衡的同时,也能实现与其他安全产品的高性能集成负载。



  通过这种集群的部署方式,可以解决大多数安全产品的性能瓶颈问题,比如WAF提供了专业和深层次的攻击防护解决方案,但其性能一直是网络系统的瓶颈点。通过这种集群的部署方式,WAF可以无需使用主备/主主方式部署,也能可以使WAF能够全速运行和可靠运行。


5.6.1 提高服务器的高可用性


   在任何网络环境下,服务器负载应用交付平台都能通过其功能强大的健康检查机制,对服务器进行精确的检测,自动屏蔽故障服务器,以便准确、安全和经济高效地创建和提供所有基于IP的应用或Web服务。

 当大数据留DOS/DDOS攻击进入的时候,服务器可能由于在瞬间接收超过服务器吞吐能力的数据流而直接导致系统崩溃,设置导致数据丢失或客户资料遗失。采用服务器负载均衡器保护服务器,可防护大多数的攻击类型,服务器负载应用交付平台通过智能算法,支持防御大多数DDOS攻击,包括TCP SYN Flood 攻击,TCP混合攻击,UDP混合攻击,ICMP攻击等。通过智能算法,有效的识别攻击流量和正常流量,保障业务的正常运行。

 另外服务器负载均衡器提供了精确的健康检查机制探测服务器的处理状态,从而在服务器处理性能在饱和前自动屏蔽新建连接。超过服务器吞吐能力的连接将在服务器负载均衡器上处理等待状态,直到服务器负载均衡器检测到有服务器空闲。


5.6.2 提高自身的高可用性


  如上所述,DOS/DDOS攻击主要是利用现有系统对外提供的正常业务服务,通过发送大量的非常数据来达到组织业务服务的目的。为了低于DOS/DDOS攻击,首先需要搭理提升系统自身的吞吐能力,至少必须大于可能的DOS/DDOS能力,否则尽管系统能够抵御攻击,但性能无法满足,同样无法在攻击下保证正常业务,从而使黑客简介达到攻击目的。为此,通过推出了最新的系统体系架构,大大提升网络数据包的吞吐能力。


5.6.3 应用安全性


 相比四层DDOS攻击,基于Http协议的七层攻击更加难于防范,传统的技术很难区分出正常的流量还是攻击流量。其中一种被称为CC的攻击技术,主要是利用代理服务器产生大量的Http请求而快速消耗掉web应用服务器资源,是其中的典型代表。

 服务器负载均衡器提供了基于应用层数据的防护。开启服务器负载均衡器的抗CC攻击功能后,服务器负载应用交付平台会在服务器返回的Http响应中动态插入一段专用的Cookie,正常的浏览器访问时,该Cookie会被携带回来,而被当作“肉鸡”的代理服务器则无法识别该Cookie,并不会在下次请求中携带,这样设备就可以区分出正常流量和攻击流量,并把攻击流量直接丢弃。


5.6.4  服务器连接数管理


  服务器负载应用交付平台可以为每种应用指定一个的最大并发连接数门限,一方面保护应用服务器的资源,同时也防止某种应用过多的占用系统资源,而导致其他应用无法得到正常的服务。


5.6.5 信息防泄漏


 HTTP头部信息隐藏:服务器负载应用交付平台可以在服务器响应报文中,擦除响应头的中指定信息,比如web服务器名称,版本号等。也可以修改服务器的真实链接目录,达到隐藏服务器关键信息的目的。也可以通过定义在Response中允许的header,而把其他所有不满足的header信息从报文中删除。

   Cookie加密:把服务器响应报文的中的明文Cookie信息进行加密,然后再发送给客户端,防止某些利用Cookie存储的关键信息如用户账号,网银数据等在传输过程中被截获。在客户端回应过程中,把Cookie信息解密发送给应用服务器,即方便应用系统的统一管理,也降低了应用系统的压力。