版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、信安世紀(jì)應(yīng)用平安網(wǎng)關(guān)鏈路負(fù)載均衡系列產(chǎn)品( nsae-lt )技術(shù)白皮書(shū)信 安 世 紀(jì) 科 技 有 限 公 司infosec technologies co.ltd二零零九年學(xué)問(wèn)產(chǎn)權(quán)聲明本白皮書(shū)中的內(nèi)容是信安世紀(jì)nsae-lt產(chǎn)品技術(shù)說(shuō)明書(shū)。本材料的相關(guān)權(quán)利歸信安世紀(jì)公司全部。白皮書(shū)中的任何部分未經(jīng)本公司許可,不得轉(zhuǎn)印、影印或復(fù)印及傳播。© 2007 信安世紀(jì)科技有限公司all rights reserved.nsae-lt鏈路負(fù)載均衡產(chǎn)品技術(shù)白皮書(shū)信安世紀(jì)科技有限公司北京市西城區(qū)南禮士路二條甲1號(hào)月壇抱負(fù)大廈6層電話(huà):(86-10) 6802 5518傳真:(86-10) 6802
2、 5519郵編:100045網(wǎng)址:電子信箱:support信安世紀(jì)科技有限公司目 錄前言1第 1 章 產(chǎn)品概述31.1 產(chǎn)品背景31.2 產(chǎn)品簡(jiǎn)介41.3 產(chǎn)品型號(hào)錯(cuò)誤!未定義書(shū)簽。1.4 nsae-lt 產(chǎn)品應(yīng)用4第 2 章 產(chǎn)品功能52.1 功能特性52.1.1 基本功能:鏈路負(fù)載均衡(llb)62.1.2 其他功能82.2 部署方式132.3 產(chǎn)品優(yōu)勢(shì)14第 3 章 技術(shù)特性163.1 產(chǎn)品特性163.2 性能特性錯(cuò)誤!未定義書(shū)簽。第 4 章 總結(jié)17信安世紀(jì)科技有限公司前 言當(dāng)前,無(wú)論在政府網(wǎng)、金融網(wǎng)、企業(yè)網(wǎng)、校內(nèi)網(wǎng)還是在廣域網(wǎng)如 internet 上, 業(yè)務(wù)量的進(jìn)展都超出了過(guò)去最樂(lè)觀(guān)
3、的估量,用戶(hù)大量的信息懇求,不斷更新的應(yīng)用需求以及對(duì)業(yè)務(wù)不間斷的持續(xù)訪(fǎng)問(wèn),成為應(yīng)用服務(wù)商解決互聯(lián)網(wǎng)服務(wù),獲得用戶(hù)認(rèn)可的關(guān)鍵因素,即使依據(jù)當(dāng)時(shí)最優(yōu)條件配置建設(shè)的網(wǎng)絡(luò),面對(duì)不間斷、快速的用戶(hù)增長(zhǎng),服務(wù)器也會(huì)無(wú)法擔(dān)當(dāng)。原有鏈路也會(huì)由于用戶(hù)量的不斷增大導(dǎo)致用戶(hù)訪(fǎng)問(wèn)速度過(guò)慢,鏈路擁塞,網(wǎng)絡(luò)故障頻繁,尤其是各個(gè)網(wǎng)絡(luò)的核心部分,其數(shù)據(jù)流量和計(jì)算強(qiáng)度之大,使得單一設(shè)備根本無(wú)法擔(dān)當(dāng),而如何在完成同樣功能的多個(gè)鏈路及網(wǎng)絡(luò)設(shè)備之間實(shí)現(xiàn)合理的業(yè)務(wù)量安排,使之不至于消滅一臺(tái)設(shè)備過(guò) 忙、而別的設(shè)備卻未充分發(fā)揮處理力量的狀況,成為信息供應(yīng)商及應(yīng)用服務(wù)商必需克服的問(wèn)題,負(fù)載均衡機(jī)制也因此應(yīng)運(yùn)而生。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之
4、上,它供應(yīng)了一種廉價(jià)有效的方法擴(kuò)展服務(wù)器帶寬和增加吞吐量,加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理力量,提高網(wǎng)絡(luò)的機(jī)敏性和可用性。它主要完成以下任務(wù):解決網(wǎng)絡(luò)擁塞問(wèn)題,服務(wù)就近供應(yīng),實(shí)現(xiàn)地理位置無(wú)關(guān)性; 多條鏈路接入,依據(jù)鏈路響應(yīng)速度,供應(yīng)最快的訪(fǎng)問(wèn)方式,針對(duì)故障鏈路進(jìn)行智能自動(dòng)切換,保證客戶(hù)不間斷訪(fǎng)問(wèn);為用戶(hù)供應(yīng)更好的訪(fǎng)問(wèn)質(zhì)量;提高服務(wù)器響應(yīng)速度;提高服務(wù)器及其他資源的利用效率;避開(kāi)了網(wǎng)絡(luò)關(guān)鍵部位消滅單點(diǎn)失故障導(dǎo)致全部服務(wù)停止。針對(duì)負(fù)載均衡的運(yùn)行機(jī)制及應(yīng)用策略方面,依據(jù)負(fù)載均衡的工作原理可以分為鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡、廣域網(wǎng)負(fù)載均衡三種負(fù)載均衡方式。三種負(fù)載均衡機(jī)制,依據(jù)用戶(hù)針對(duì)不同環(huán)境及應(yīng)用的負(fù)載均衡要求進(jìn)
5、行服務(wù),滿(mǎn)足用戶(hù)對(duì)各個(gè)應(yīng)用層面及網(wǎng)絡(luò)層次的負(fù)載均衡需求。總之,負(fù)載均衡是一種策略,它能讓多條鏈路或多臺(tái)服務(wù)器共同擔(dān)當(dāng)一些繁重的計(jì)算或 i/o 任務(wù),從而以較低成本消退網(wǎng)絡(luò)瓶頸,提高網(wǎng)絡(luò)的機(jī)敏性和可用性。針對(duì)當(dāng)前形勢(shì),信安世紀(jì)公司分析各行業(yè)多種應(yīng)用的懇求,自主研發(fā)了適用于廣域網(wǎng)、內(nèi)部網(wǎng)、獨(dú)立子網(wǎng)的鏈路負(fù)載均衡設(shè)備 nsae-lt。解決客戶(hù)針對(duì)鏈1路負(fù)載均衡、服務(wù)器負(fù)載均衡的各種需求。信安世紀(jì)科技有限公司信安世紀(jì)推出的 nsae-lt 系列產(chǎn)品,實(shí)行了all in one 的設(shè)計(jì)策略,把服務(wù)器負(fù)載均衡、鏈路負(fù)載均衡、廣域網(wǎng)負(fù)載均衡三種產(chǎn)品集成在一個(gè)設(shè)備中。真正實(shí)現(xiàn)了鏈路、服務(wù)器、廣域網(wǎng)負(fù)載均衡三種
6、服務(wù)的無(wú)縫接入。在最低成本的把握下滿(mǎn)足了客戶(hù)多方面的應(yīng)用需求。并且在無(wú)需轉(zhuǎn)變現(xiàn)有網(wǎng)絡(luò)的狀況下,即可進(jìn)行負(fù)載均衡設(shè)備的部署及升級(jí),在應(yīng)用及網(wǎng)絡(luò)層次增加了客戶(hù)系統(tǒng)的平安性及穩(wěn)定性。2信安世紀(jì)科技有限公司第1章 產(chǎn)品概述1.1 產(chǎn)品背景隨著網(wǎng)絡(luò)通信的進(jìn)展,網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,以及數(shù)字接入專(zhuān)線(xiàn)價(jià)格的不斷下調(diào),客戶(hù)對(duì)業(yè)務(wù)的需求也隨著網(wǎng)絡(luò)通信的不斷進(jìn)展變得更加多樣化,對(duì)運(yùn)營(yíng)服務(wù)的要求也越來(lái)越嚴(yán)格,如何充分利用服務(wù)資源,平衡鏈路利用率,提高客戶(hù)訪(fǎng)問(wèn)速度,確保客戶(hù)的不間斷訪(fǎng)問(wèn)以及鏈路服務(wù)的正常運(yùn)轉(zhuǎn)和切換,已經(jīng)成為運(yùn)營(yíng)服務(wù)商提高服務(wù),爭(zhēng)取更多用戶(hù)認(rèn)可的首要難題。目前用戶(hù)普遍接受電信、網(wǎng)通、訓(xùn)練等多鏈路接入,實(shí)現(xiàn)
7、鏈路自動(dòng)切換, 為外網(wǎng)及內(nèi)網(wǎng)用戶(hù)供應(yīng) 7*24 小時(shí)的不間斷訪(fǎng)問(wèn),當(dāng)其中一條鏈路消滅問(wèn)題后, 系統(tǒng)自動(dòng)切換到正常的鏈路上工作,保證服務(wù)的不間斷運(yùn)行。由于多鏈路解決方案能夠供應(yīng)更好的可用性和帶寬性能,它正在被越來(lái)越多的企業(yè)所接受。可用性的提高來(lái)自于多條鏈路的使用,而性能提高則是由于同時(shí)使用多條鏈路增加了帶寬擴(kuò)充了流量。多鏈路方案能夠提高企業(yè)業(yè)務(wù)的可用性和性能,但這種方案也面臨著特別的問(wèn)題和挑戰(zhàn):l 在多鏈路環(huán)境的實(shí)際應(yīng)用中,鏈路沒(méi)有更好的進(jìn)行負(fù)載分擔(dān);l 多鏈路網(wǎng)絡(luò)解決方案僅僅是“共享”式,而不是真正的負(fù)載均衡;l 由于各個(gè)運(yùn)營(yíng)商之間存在互聯(lián)互通的問(wèn)題,沒(méi)有實(shí)現(xiàn)依據(jù)網(wǎng)絡(luò)就近性的路徑推斷;l 對(duì)流
8、入的流量沒(méi)有很好的解決依據(jù)網(wǎng)絡(luò)的就近性來(lái)導(dǎo)向用戶(hù)的訪(fǎng)問(wèn)懇求,使外部的用戶(hù)能最快的訪(fǎng)問(wèn)對(duì)外服務(wù);l 對(duì)流出的流量無(wú)法解決自動(dòng)選擇最快鏈路,達(dá)要目標(biāo)資源的訪(fǎng)問(wèn)策略;l 對(duì)于鏈路的健康狀況也不能實(shí)時(shí)監(jiān)測(cè),也解決不了鏈路容災(zāi),也就是當(dāng)某一條鏈路消滅故障后,將其流量導(dǎo)向另外鏈路的策略?;谝陨系膯?wèn)題,鏈路負(fù)載均衡的解決方案成為眾多服務(wù)商、以及多鏈路接入客戶(hù)必需解決的問(wèn)題。31.2 產(chǎn)品簡(jiǎn)介信安世紀(jì)科技有限公司信安世紀(jì)應(yīng)用平安網(wǎng)關(guān)系列產(chǎn)品(后簡(jiǎn)稱(chēng) nsae)是一款集成了鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡等多種功能于一體的新型應(yīng)用前端加速負(fù)載均衡設(shè)備, 具有 ssl 加速、鏈路負(fù)載均衡、廣域網(wǎng)負(fù)載均衡、集群、應(yīng)用
9、平安防火墻、高速緩存、http 壓縮等多種功能可以自由選擇。nsae-lt 是 nsae 產(chǎn)品系列中專(zhuān)用的鏈路負(fù)載均衡設(shè)備,充分考慮了用戶(hù)的實(shí)際需求,可以極大的改善企業(yè)應(yīng)用的牢靠性、性能和平安性,同時(shí)降低了整體成本和數(shù)據(jù)中心的簡(jiǎn)單度,提高了應(yīng)用的處理力量,為用戶(hù)供應(yīng)了全新的易用、高效、穩(wěn)定的保障信息平安的屏障。1.3 nsae-lt 產(chǎn)品應(yīng)用產(chǎn)品應(yīng)用同類(lèi)產(chǎn)品往往由多個(gè)單一功能設(shè)備組成,數(shù)據(jù)傳輸延遲大、治理維護(hù)困難, 用戶(hù)往往為了實(shí)現(xiàn)一個(gè)簡(jiǎn)潔的需求需要轉(zhuǎn)變整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)或需要購(gòu)買(mǎi)其它的網(wǎng)絡(luò)硬件產(chǎn)品。而 nsae-lt 則集多功能于一體,具備高性能、高牢靠性,為客戶(hù)節(jié)約大量的硬件、維護(hù)、設(shè)置、和人力
10、方面的投入。通過(guò)部署 nsae-lt 設(shè)備,不僅對(duì)用戶(hù)上行流量支持鏈路的負(fù)載均衡,還可以通過(guò)配置實(shí)現(xiàn)對(duì)內(nèi)部防火墻或后臺(tái)服務(wù)器的負(fù)載均衡。通過(guò) nsae-lt 產(chǎn)品的部署削減了網(wǎng)絡(luò)的簡(jiǎn)單性和用戶(hù)成本的把握。4第2章 產(chǎn)品功能2.1 功能特性nsae-lt 產(chǎn)品系列除供應(yīng)專(zhuān)業(yè)的鏈路負(fù)載均衡功能( llb)外,還是一個(gè)真正的將眾多重要的網(wǎng)絡(luò)功能合為一體的集成化應(yīng)用系統(tǒng),這些網(wǎng)絡(luò)功能包括服務(wù)器負(fù)載均衡(slb)、全局服務(wù)器負(fù)載均衡( gslb)、ssl 加速、 webwall平安、 http 壓縮等。通過(guò) nsae-lt 鏈路負(fù)載均衡設(shè)備部署,可以有效整合用戶(hù)現(xiàn)有鏈路,保障用戶(hù)接入服務(wù)的不間斷性及穩(wěn)定
11、性,保障內(nèi)網(wǎng)用戶(hù)訪(fǎng)問(wèn)外部資源的速度,鏈路負(fù)載均衡無(wú)論針對(duì)內(nèi)網(wǎng)用戶(hù)和外網(wǎng)用戶(hù),都起到了良好的效果。具體表現(xiàn)在:內(nèi)網(wǎng)用戶(hù)訪(fǎng)問(wèn)因特網(wǎng)流量的負(fù)載均衡:當(dāng)內(nèi)網(wǎng)用戶(hù)訪(fǎng)問(wèn)因特網(wǎng)上的其他服務(wù)器時(shí),鏈路負(fù)載均衡設(shè)備能夠自動(dòng)掛念用戶(hù)選擇、推斷多條接入鏈路中狀態(tài)最好的一條,加快了用戶(hù)訪(fǎng)問(wèn)速度、及服務(wù)響應(yīng)時(shí)間,屏蔽了由于南北電信互訪(fǎng)、網(wǎng)絡(luò)響應(yīng)速度過(guò)慢、帶寬資源無(wú)法充分利用帶來(lái)的一系列問(wèn)題;并且一旦其中任何一條鏈路發(fā)生問(wèn)題時(shí),另外一條健康的鏈路將承載全部網(wǎng)絡(luò)訪(fǎng)問(wèn),而當(dāng)發(fā)生問(wèn)題的鏈路恢復(fù)正常后,網(wǎng)絡(luò)服務(wù)自動(dòng)恢復(fù)負(fù)載均衡狀態(tài)。外網(wǎng)用戶(hù)訪(fǎng)問(wèn)網(wǎng)內(nèi)服務(wù)器的負(fù)載均衡:當(dāng)外網(wǎng)用戶(hù)訪(fǎng)問(wèn)內(nèi)部服務(wù)器時(shí),鏈路負(fù)載均衡設(shè)備除了能掛念實(shí)現(xiàn)上述效
12、果的同時(shí),還可以通過(guò)對(duì)鏈路狀態(tài)的檢測(cè)動(dòng)態(tài)推斷用戶(hù)懇求dns ip 地址,這樣眾多的外網(wǎng)用戶(hù)在訪(fǎng)問(wèn)同一服務(wù)器域名時(shí)nsae-lt 設(shè)備將依據(jù)用戶(hù)訪(fǎng)問(wèn)懇求推斷用戶(hù)所屬區(qū)域,依據(jù)定義的服務(wù)策略(輪詢(xún)、加權(quán)輪詢(xún)、最快響應(yīng)時(shí)間、源地址路由)等,返回依據(jù)策略定義的鏈路服務(wù)地址。通過(guò)多鏈路接入,不僅保證了用戶(hù)訪(fǎng)問(wèn)速度、服務(wù)響應(yīng)時(shí)間還保證了服務(wù)商業(yè)務(wù)的不間斷及穩(wěn)定性。2.1.1 基本功能:鏈路負(fù)載均衡(llb)nsae-lt 鏈路負(fù)載均衡可以解決多鏈路下流量分擔(dān)的問(wèn)題,為用戶(hù)的多鏈路的網(wǎng)絡(luò)應(yīng)用供應(yīng)了最好的解決方案。通過(guò) nsae-lt 的鏈路負(fù)載分擔(dān)功能,能夠?qū)τ脩?hù)的多鏈路的網(wǎng)絡(luò)應(yīng)用供應(yīng)基于inbound 和
13、outbound 的鏈路負(fù)載分擔(dān)功能,解決多鏈路下流量分擔(dān)的問(wèn)題。通過(guò) nsae-lt 產(chǎn)品的部署很好的解決了南北電信互聯(lián)互通、鏈路冗余、鏈路智能切換、鏈路負(fù)載、加速流量處理速度、提高服務(wù)響應(yīng)速度等問(wèn)題。 inboundinbound:通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)擁有多條鏈路接入的 nsae-lt 內(nèi)網(wǎng)應(yīng)用服務(wù)。當(dāng)有 internet用戶(hù)訪(fǎng)問(wèn)用戶(hù)應(yīng)用網(wǎng)絡(luò)時(shí),dns服務(wù)器回應(yīng)給用戶(hù)由nsae-lt完成的最終地址解析,nsae-lt 依據(jù)具體設(shè)置來(lái)選定適當(dāng)?shù)膇sp 線(xiàn)路,假如選擇 isp1,則將地址解析為 isp1 的路由地址。同樣,假如選擇 isp2,則將地址解析為 2 的路由地址,從而完成流入
14、流量的負(fù)載均衡。接受 smartdns(智能dns)時(shí),llb 支持的負(fù)載均衡算法包括:² round robin(輪詢(xún))nsae-lt 挨次的將多個(gè)isp 的 ip 地址作為每次用戶(hù)解析懇求的返回值。² weighting round robbing(權(quán)重輪詢(xún))nsae-lt 為每個(gè) isp 的 ip 地址設(shè)定一個(gè)加權(quán)值,并依據(jù)加權(quán)值挨次的選擇多個(gè) isp 的 ip 地址作為每次用戶(hù)解析懇求的返回值,權(quán)值大的 isp 的 ip 地址被選擇的次數(shù)多。通過(guò)此算法,企業(yè)可以在多條帶寬不同的鏈路間合理安排流量,帶寬高的鏈路權(quán)值大,因此承載的流量就高。² shortest
15、 response time(最快響應(yīng)時(shí)間)對(duì)于流入的流量,nsae-lt 使用與流出流量相同的最短響應(yīng)時(shí)間推斷機(jī)制,選擇最佳的流入流量傳輸路徑,進(jìn)行最終的解析地址。² source ip-based routing(源 ip 路由選擇)依據(jù)企業(yè)網(wǎng)絡(luò)的特點(diǎn),nsae-lt 還供應(yīng)基于每個(gè)數(shù)據(jù)流的源ip 地址的路由選擇算法。nsae-lt 會(huì)檢查每個(gè)用戶(hù)解析懇求的源ip 地址是否屬于預(yù)先設(shè)定的一個(gè)地址范圍,若是,則選擇某一個(gè) isp 的 ip 地址作為該次用戶(hù)解析懇求的返回值。通過(guò)此算法,企業(yè)可以設(shè)定源 ip 地址屬于訓(xùn)練網(wǎng)范圍的,通過(guò)訓(xùn)練網(wǎng)的鏈路流入,其他流量則通過(guò)另一條鏈路流入。2
16、.1.1.2 outboundoutbound:從內(nèi)部網(wǎng)訪(fǎng)問(wèn)互聯(lián)網(wǎng)通過(guò)多條鏈路接入的nsae-lt。對(duì)于流出流量的智能地址治理,nsae-lt 使用了稱(chēng)為 smartnat 的算法。當(dāng)選定一個(gè)路由器(某一個(gè) isp)傳送流出流量時(shí),nsae-lt 將選擇該 isp 供應(yīng)的地址。假如 nsae-lt 選擇 isp1 作為流出流量的路徑,則它將把內(nèi)部的主機(jī)地址 192.168.1.a/24 翻譯為 0/24,并作為流出數(shù)據(jù)包的源地址。同樣,假如 nsae-lt 選擇 isp2 作為流出流量的路徑,則它將把內(nèi)部的主機(jī)地址 192.168.1.a/24 翻譯為
17、0/24,并作為流出數(shù)據(jù)包的源地址。接受 smartnat 時(shí),nsae-lt 支持的負(fù)載均衡算法包括:² round robin(輪詢(xún))nsae-lt 挨次的選擇多個(gè)出口鏈路作為每個(gè)數(shù)據(jù)流的流出路徑。² weighting round robbing(權(quán)重輪詢(xún))nsae-lt 為每個(gè)出口鏈路設(shè)定一個(gè)加權(quán)值,并依據(jù)加權(quán)值挨次的選擇多個(gè)出口鏈路作為每個(gè)數(shù)據(jù)流的流出路徑,權(quán)值大的鏈路被選擇的次數(shù)多。通過(guò)此算法,企業(yè)可以在多條帶寬不同的鏈路間合理安排流量,帶寬高的鏈路權(quán)值大,因此承載的流量就高。² shortest response time(最快響應(yīng)時(shí)間)為了優(yōu)化流出
18、的流量,nsae-lt 還為流出的流量實(shí)施最快響應(yīng)時(shí)間運(yùn)算。假如內(nèi)部主機(jī)要訪(fǎng)問(wèn)某一 internet 站點(diǎn),可能通過(guò)一個(gè) isp 的路徑比通過(guò)其他 isp 的路徑有效。因此,nsae-lt 可以供應(yīng)最短響應(yīng)時(shí)間算法,為流出到某一個(gè)站點(diǎn)的流量選擇最佳的 isp 路徑,保證所需內(nèi)容最快到達(dá)目的地,提高服務(wù)的品質(zhì)。² destination ip-based routing(源 ip 路由選擇)依據(jù)企業(yè)網(wǎng)絡(luò)的特點(diǎn),nsae-lt 還供應(yīng)基于每個(gè)數(shù)據(jù)流的目標(biāo)ip 地址的路由選擇算法。nsae-lt 會(huì)檢查每個(gè)流的目標(biāo) ip 地址是否屬于預(yù)先設(shè)定的一個(gè)地址范圍,若是,則選擇某一條特定鏈路作為該
19、數(shù)據(jù)流的流出路徑。通過(guò)此算法, 企業(yè)可以設(shè)定目標(biāo) ip 地址屬于訓(xùn)練網(wǎng)范圍的,通過(guò)訓(xùn)練網(wǎng)的鏈路流出,其他流量則通過(guò)另一條鏈路流出。nsae-lt 通過(guò)端口 mnet 或 vlan 功能的配置,能夠同時(shí)支持 128 條鏈路實(shí)現(xiàn)鏈路負(fù)載分擔(dān)功能。支持各種速率的鏈路,比如 dsl, cable modem, t1/e1; 支持多宿主的結(jié)構(gòu);負(fù)載均衡算法: rr、wrr、srt、pbr;可以和 nat 一起工作。同時(shí)通過(guò)策略路由(eroute)功能,能夠更好的滿(mǎn)足用戶(hù)對(duì)路由功能的要求。2.1.2 其他功能 內(nèi)置防火墻(webwall)內(nèi)建基于狀態(tài)檢測(cè)的防火墻webwall,對(duì)比其他基于a
20、cl 的防火墻產(chǎn)品,nsae-lt 的webwall 具有獨(dú)特的加速算法,使得 acl 條目的增加不會(huì)影響整個(gè)系統(tǒng)的性能?;?nsae-lt 強(qiáng)大的處理性能(每秒可支持 1,000,000 并發(fā)連接), webwall 可抵擋 dos、sync flood、buffer overflow attacks、parser evasion attacks、directory traversal attacks 等惡意攻擊。來(lái)自client 端的任何連接懇求都不會(huì)直接發(fā)到后臺(tái)服務(wù)器,從而保證了整個(gè)系統(tǒng)的高平安性。webwall 可從以下幾方面有效愛(ài)護(hù)您的服務(wù)器:n 支持應(yīng)用層 url 的過(guò)濾;n 基
21、于包狀態(tài)檢測(cè)的防火墻;n 支持 nat 的功能,使內(nèi)部用戶(hù)能訪(fǎng)問(wèn)internet 的資源;n 端口的 forward 功能,使用戶(hù)能遠(yuǎn)端對(duì)服務(wù)器進(jìn)行治理,能把常用的端口映射到服務(wù)器的任意端口(端口映射)。常用的端口,比如 80,443,20,21 能映射到服務(wù)器任何端口,以此供應(yīng)更高的平安性,讓闖入者很難知道哪些服務(wù)運(yùn)轉(zhuǎn)在哪個(gè)端口;n webwall 功能啟動(dòng)后,它將關(guān)閉全部的訪(fǎng)問(wèn);n nsae-lt 支持多達(dá) 1000 個(gè)訪(fǎng)問(wèn)把握列表;n 通過(guò) https 或 ssl 遠(yuǎn)端治理,使用 ssh 命令行或以 https 來(lái)做掃瞄器界面治理;n 支持 ssl 的平安訪(fǎng)問(wèn)。 集群(cl
22、uster)傳統(tǒng)的四層設(shè)備,僅支持二臺(tái)設(shè)備工作在 ha 方式下,支持 active/active、active/standby 工作方式,因此四層設(shè)備牢靠性,可擴(kuò)展性,網(wǎng)絡(luò)吞吐量都受到限制。但四層設(shè)備是關(guān)鍵設(shè)備,很多四層設(shè)備廠(chǎng)家都沒(méi)有很好解決這些問(wèn)題。nsae-lt 供應(yīng) 11 和n1 的冗余配置模式,可以工作在 active/standby方式。在 active/standby 工作方式中,一個(gè) cluster 中 nsae-lt 設(shè)備中只有一臺(tái)設(shè)備為 master,其它的設(shè)備全部為 backup 狀態(tài)。當(dāng)主設(shè)備故障時(shí),備份設(shè)備轉(zhuǎn)換為主設(shè)備成為 master 狀態(tài)。只有在主設(shè)備恢復(fù)時(shí),備份設(shè)
23、備退出 master 狀態(tài)轉(zhuǎn)變狀態(tài)為 backup。如圖所示:圖中,infosec1 為主設(shè)備,處理 slb 流量,infosec2 為備份設(shè)備,監(jiān)聽(tīng) infosec1的廣播,當(dāng) infosec1 發(fā)生故障時(shí),infosec2 就會(huì)接管 infosec1 上的全部流量。n clustering 工作原理² 利用 ip multicast 進(jìn)行廣播,默認(rèn)值:每 3 秒一次;² 具有最高優(yōu)先級(jí)的成為 master, 若一個(gè)備份的 nsae-lt 具有最高優(yōu)先級(jí),它就成為 master,;² 一個(gè)備份 nsae-lt 在 3 秒內(nèi),沒(méi)在聽(tīng)到 master 的廣播,它宣布
24、成為master;² 每個(gè)設(shè)備獨(dú)立的進(jìn)行流量的處理,同時(shí)又監(jiān)視本 cluster 中其它設(shè)備的工作狀態(tài);² 利用 vrrp 的技術(shù)實(shí)現(xiàn) ( vrrp虛擬路由冗余協(xié)議, rfc 2338)。 快速緩存(cache)cache 技術(shù)-解決訪(fǎng)問(wèn)速度緩慢問(wèn)題infosec nsae-lt接受基于內(nèi)存的反向代理 cache 功能。通過(guò)cache 功能的應(yīng)用, nsae-lt 產(chǎn)品能夠在內(nèi)存中以數(shù)據(jù)包的形式對(duì)網(wǎng)頁(yè)及指定內(nèi)容進(jìn)行cache(內(nèi)容緩存)。當(dāng)用戶(hù)訪(fǎng)問(wèn)懇求發(fā)送到 nsae-lt 時(shí),假如 cache 中的內(nèi)容能夠匹配用戶(hù)的訪(fǎng)問(wèn)懇求則直接由 nsae-lt 來(lái)響應(yīng)用
25、戶(hù)的訪(fǎng)問(wèn),從而避開(kāi)了對(duì)后臺(tái)服務(wù)器的負(fù)載壓力,在減小了后臺(tái)服務(wù)器負(fù)載的同時(shí),提高了對(duì)用戶(hù)的響應(yīng)速度和整體網(wǎng)站的處理力量。n reverse proxy cache² 兼容 http 1.0 和 http 1.1;² cache(內(nèi)容緩存)以 “frame” 格式存貯,而不是以文件存貯,從而快速存取,僅僅數(shù)據(jù)以“ frame”格式保存(不包含 etherent,ip&tcp 的報(bào)頭);² 內(nèi)容保存于 ram,具有更快的存取速度;² cache 內(nèi)容可以手動(dòng)刪除,自動(dòng)、手動(dòng)清除或刷新;² 緩存內(nèi)容預(yù)先裝入 (recursive pre-loa
26、d);² 利用“get if modified(緩存驗(yàn)證模式):” 懇求,在后臺(tái)對(duì)內(nèi)容進(jìn)行有效性驗(yàn)證;² 僅 http get 懇求由cache engine 處理,其它懇求forward 到 slb處理;² 懇求含有 cookies 由 slb 處理。響應(yīng)含有 cookies 的依據(jù)報(bào)頭的cache 把握信息處理;² http 無(wú) cache 把握?qǐng)?bào)頭,自動(dòng)cache,通過(guò)人工刪除cache 的內(nèi)容;² 支持 log squid 格式 (日志懇求)。cache 功能可以在加速用戶(hù)訪(fǎng)問(wèn)的同時(shí),減輕服務(wù)器的負(fù)擔(dān)。 壓縮(http壓縮
27、)窄帶訪(fǎng)問(wèn)應(yīng)用的訪(fǎng)問(wèn)速度和服務(wù)質(zhì)量的保證始終是網(wǎng)站推廣和擴(kuò)大用戶(hù)訪(fǎng)問(wèn)所亟待解決的問(wèn)題。通過(guò)nsae-lt 產(chǎn)品中http 壓縮功能的應(yīng)用,能夠提高網(wǎng)站訪(fǎng)問(wèn)的通信質(zhì)量,在向窄帶用戶(hù)供應(yīng)很高的通信質(zhì)量的同時(shí),還能夠極大的節(jié)約網(wǎng)站互聯(lián)網(wǎng)接入帶寬消耗。接受 http 壓縮的優(yōu)勢(shì):n 節(jié)約帶寬;n 縮短用戶(hù)下載內(nèi)容的時(shí)間;n 在web server 上不需要壓縮功能,減輕了web server 的負(fù)擔(dān)。下圖是接受 http 壓縮前后的帶寬利用率比較:由圖可以看出,在 15.1mbps 帶寬下:² 沒(méi)有接受 http 壓縮時(shí),每秒可以處理 2000 個(gè) http 懇求;² 接受 htt
28、p 壓縮時(shí),每秒可以處理 20000 個(gè)http 懇求。 連接復(fù)用連接復(fù)用的主要作用是為了改善現(xiàn)有系統(tǒng)的總體性能,其技術(shù)原理是自動(dòng)實(shí)現(xiàn) http 1.0 到 http 1.1 的轉(zhuǎn)換;tcp/ip 協(xié)議棧在處理長(zhǎng)連接時(shí)具有更好的性能;將web 流量的多個(gè)短連接合并為一個(gè)長(zhǎng)連接,改善了服務(wù)器的性能。n 為了提高 nsae-lt 和服務(wù)器的性能,在 nsae-lt 與服務(wù)器之間建立持續(xù)的tcp 連接,從而 nsae-lt 不用為每個(gè)需要與 web 服務(wù)器連接的懇求,建立新的連接;n nsae 與 web 服務(wù)器之間,預(yù)先建立 20 個(gè) tcp 連接,用于轉(zhuǎn)發(fā)用戶(hù)的請(qǐng)求到web 服務(wù)器
29、,一個(gè)連接能轉(zhuǎn)發(fā) 95 個(gè)用戶(hù)懇求。2.2 部署方式nsae-lt 產(chǎn)品部署方式機(jī)敏可以實(shí)行雙臂部署方式??梢詸C(jī)敏的依據(jù)客戶(hù)現(xiàn)有網(wǎng)絡(luò)架構(gòu)進(jìn)行部署,盡量削減了客戶(hù)現(xiàn)有網(wǎng)絡(luò)的變動(dòng),保證了整個(gè)網(wǎng)絡(luò)的平安性及穩(wěn)定性。雙臂方式部署如圖單臂方式部署如圖2.3 產(chǎn)品優(yōu)勢(shì)n 優(yōu)化的操作系統(tǒng)不同于其他平安代理網(wǎng)關(guān)設(shè)備, nsae-lt 具有信安世紀(jì)優(yōu)化、定制的infosec os 操作系統(tǒng),實(shí)現(xiàn)內(nèi)核級(jí)的應(yīng)用處理,從根本上解決了潛在的應(yīng)用性能障礙,最大程度發(fā)揮其最高的性能,使整個(gè)架構(gòu)的延遲得以降低,從而提升整個(gè)系統(tǒng)的性能。n 平安性?xún)?nèi)建的應(yīng)用平安防火墻確保網(wǎng)絡(luò)真正的平安,高性能的訪(fǎng)問(wèn)把握列表(acl),網(wǎng)絡(luò)地址翻
30、譯(nat)以及基于狀態(tài)的數(shù)據(jù)包檢測(cè),使來(lái)自客戶(hù)端的任何連接懇求都不會(huì)直接發(fā)到后臺(tái)服務(wù)器,不僅抵擋了非法訪(fǎng)問(wèn)和 dos 攻擊, 而且可以阻擋某些解決方案無(wú)法發(fā)覺(jué)的應(yīng)用層攻擊,從而保證了整個(gè)系統(tǒng)的高平安性。原始數(shù)據(jù)均進(jìn)行了加密處理,關(guān)鍵信息無(wú)法被第三方竊取或篡改,有效地愛(ài)護(hù)服務(wù)器和應(yīng)用的平安,同時(shí)還支持 1024 位的非對(duì)稱(chēng)加密算法和 128 位的對(duì)稱(chēng)加密算法,應(yīng)用數(shù)據(jù)傳輸更加平安牢靠。n 功能豐富,滿(mǎn)足不同用戶(hù)的多種應(yīng)用需求nsae-lt 是集多種功能于一體的新型應(yīng)用設(shè)備,不同于以往單純的鏈路負(fù)載均衡設(shè)備,nsae-lt 還有負(fù)載均衡、集群、應(yīng)用平安防火墻、高速緩存等多種功能,用戶(hù)可以依據(jù)需要
31、機(jī)敏定制,以獲得最佳的解決方案,來(lái)最大程度滿(mǎn)足多種應(yīng)用的需要,改善、優(yōu)化企業(yè)應(yīng)用服務(wù),從而保證其牢靠性和平安性。n 降低成本和簡(jiǎn)單性nsae-lt 可以做到一個(gè)產(chǎn)品供應(yīng)用戶(hù)所需的諸多功能,通過(guò)集成化的服務(wù)系統(tǒng),削減了用戶(hù)的投入,節(jié)約了日后擴(kuò)展功能所需的各項(xiàng)投資;不必為多個(gè)產(chǎn)品帶來(lái)的簡(jiǎn)單配置,增加客戶(hù)的治理成本,并能夠避開(kāi)多產(chǎn)品引發(fā)的兼容性問(wèn)題; 同時(shí)也降低了整體成本和數(shù)據(jù)中心的簡(jiǎn)單度,提高了應(yīng)用的處理力量,為用戶(hù)供應(yīng)了全新的易用、高效、穩(wěn)定的保障信息平安的屏障。n 易用性nsae-lt 安裝簡(jiǎn)潔,可以通過(guò) web 圖形治理界面或者人性化的命令行界面進(jìn)行直觀(guān)的配置和治理??蛻?hù)只需要通過(guò)支持 ssl/tls 協(xié)議的
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- QC/T 746-2024壓縮天然氣汽車(chē)高壓管路
- GB/T 44976-2024技術(shù)性貿(mào)易措施評(píng)議指南
- 2024年航空輪胎項(xiàng)目資金申請(qǐng)報(bào)告
- 銀行合規(guī)管理制度實(shí)施效果
- 酒店餐飲服務(wù)安全與風(fēng)險(xiǎn)防范制度
- 《餐飲服務(wù)人員培訓(xùn)》課件
- 【大學(xué)課件】煤礦機(jī)電設(shè)備安全管理 緒論
- 幼兒園小班班級(jí)年度總結(jié)(22篇)
- 幾種常見(jiàn)的酸堿鹽的特性及應(yīng)用課件
- 幼兒園玩教具配備-托小班
- 知識(shí)產(chǎn)權(quán)法(英文) Intellectual Property Right Law課件
- 綜合評(píng)分法評(píng)分表(建設(shè)工程)
- SBS卷材防水施工工藝
- 深化設(shè)計(jì)確認(rèn)記錄
- 小學(xué)生心理健康教育課件
- 熱力管道焊接技術(shù)交底記錄大全
- 各級(jí)醫(yī)院健康體檢中心基本標(biāo)準(zhǔn)(2019年版)
- XX鎮(zhèn)2022年度農(nóng)產(chǎn)品綜合服務(wù)中心項(xiàng)目實(shí)施方案范本
- 早產(chǎn)兒保健管理
- 評(píng)標(biāo)專(zhuān)家及評(píng)標(biāo)員管理辦法
- aecopd護(hù)理查房課件
評(píng)論
0/150
提交評(píng)論