1 應用負載均衡設計方案 計方案 1 需要有支持應用的負載均衡產品，具備多種負載均衡算法。 2 能夠做到根據各個 務器的性能，合理地分配服務器群中的每臺機器所要處理的請求。 3 能夠及時的發(fā)現(xiàn)群中的某臺機器當?shù)簦瑥亩粚Υ藱C器發(fā)送請求。當?shù)魴C器恢復正常后，自動進行業(yè)務處理。 4 可以應對大量的服務訪問；至少 2, 000, 000 條的 時并發(fā)連接，至少每秒建立 100, 000 條連接。 5 有效直觀的監(jiān)控統(tǒng)計界面，包含當前時刻、過去一段時間的請求數(shù)量統(tǒng)計、性能統(tǒng)計、會話時間統(tǒng)計。 6 為個人業(yè)務提供 以將 服務器 解密前移，并提供高效的 /解密性能。 7 能夠提供有效的機制緩解后臺應用中間鍵服務器壓力，提高業(yè)務的訪問量。 2 一、 方方 案案 建建 議議 針對上一節(jié)提出的需求分析， 司充分考慮 有的實際狀況，結合 司在國際上網絡優(yōu)化案例的經驗，總結出以下應用交付優(yōu)化設計方案。 方案采用 司的新一代 用交換機 提供后臺 務器集群的負載均衡；同時，采用 另 兩臺 400 設備提供后臺中間鍵服務器負載均衡，并減輕中間鍵服務器的壓力。 在負責實 現(xiàn) 務器負載均衡的 400 上設置兩個 分別是 責連接外部的防火墻系統(tǒng) , 責連接內部 務器集群。 并且在該對 400 上，分別采用 務器實現(xiàn)業(yè)務的加密處理；還采用了動態(tài)智能壓縮模塊幫助 有限的帶寬下實現(xiàn)訪問速度的提高和訪問量的增大。 在負責實現(xiàn)內部中間鍵服務器負載均衡的 400 也設置兩個 別是 責連接外部的 務 器集群 , 責連接內部中間鍵服務器集群。并且在該對 400 上，采用 術降低后臺中間鍵服務器集群的負載。 3 400 提供所有應用的負載均衡，并實時監(jiān)控各臺服務器的狀態(tài)，自動屏蔽故障服務器，從而確保系統(tǒng)穩(wěn)定工作。 同時，由于采用 有的動態(tài)攻擊防御系統(tǒng)， 400 對惡意的海量攻擊具有很強的抵御能力，確保了服務器和服務的正常運作。 4 1. 服務器負載均衡 P 利用虛擬 址（ 址和 用的端口組成，它是一個地址）來為用戶的一個或多個目標服務器（稱為節(jié)點：目標服務器的 址和 用的端口組成，它可以是 私網地址）提供服務。因此，它能夠為大量的基于 P 連續(xù)地對目標服務器進行 理性檢查，當用戶通過 求目標服務器服務時， P 根椐目標服務器之間性能和網絡健康情況，選擇性能最佳的服務器響應用戶的請求。如果能夠充分利用所有的服務器資源，將所有流量均衡的分配到各個服務器，我們就可以有效地避免 不平衡 現(xiàn)象的發(fā)生。 一臺對流量和內容進行管理分配的設備。它提供 12 種靈活的算法將數(shù)據流有效地轉發(fā)到它所連接的服務器群。而面對用戶，只是一臺虛擬服務器。用戶此時只須記住一臺服務器，即虛擬服務器。但他們的數(shù)據流卻被 活地均衡到所有的服務器。這 12 種算法包括： 輪詢（ 順序循環(huán)將請求一次順序循環(huán)地連接每個服務器。當其中某個服務器發(fā)生第二到第 7 層的故障， P 就把其從順序循環(huán)隊列中拿出，不參加下一次的輪詢，直到其恢復正常。 比率（ 給每個服務器分配一個 加權值為比例，根椐這個比例，把用戶的請求分配到每個服務器。當其中某個服務器發(fā)生第二到第 7 層的故障， P 就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。 優(yōu)先權（ 給所有服務器分組，給每個組定義優(yōu)先權， P 用戶的請求，分配給優(yōu)先級最高的服務器組（在同一組內，采用輪詢或比率算法，分配用戶的請求）；當最高優(yōu)先級中所有服務器出現(xiàn)故障， P 才將請求送給次優(yōu)先級的服務器組。這種方式，實際為用戶提供一種熱備份的方式。 最少的連接方式（ 傳遞新的連接給那些進行最少連接處理的服務器。當其中某個服務器發(fā)生第二到第 7 層的故障， P 就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。 最快模式（ 傳遞連接給那些響應最快的服務器。當其中某個服務器發(fā)生第二到第 7 層的故障， P 就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。 觀察模式（ 連接數(shù)目和響應時間以這兩項的最佳平衡為依據為新的請求選擇服務器。當其中某個服務器發(fā)生第二到第 7 層的故障， P 就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。 預測模式（ P 利用收集到的服務器當前的性能指標，進行預測分析，選擇一臺服務器在下一個時間片內，其性能將達到最佳的服務器相應用戶的請求。 (被 P 進行檢測 ) 動態(tài)性能分配（ P 收集到的應用程序和應用服務器的各項性能參數(shù)，動態(tài)調整流量分配。 5 動態(tài)服務器補充（ :當主服務器群中因故障導致數(shù)量減少時，動態(tài)地將備份服務器補充至 主服務器群。 服務質量 (按不同的優(yōu)先級對數(shù)據流進行分配。 服務類型 (按不同的服務類型（在 標識）對數(shù)據流進行分配。 規(guī)則模式：針對不同的數(shù)據流設置導向規(guī)則，用戶可自行編輯流量分配規(guī)則， 當出現(xiàn)流量 峰值 時，如果能調配所有服務器的資源同時提供服務，所謂的 峰值堵塞 壓力就會由于系統(tǒng)性能的大大提高而明顯減弱。由于 秀的負載均衡能力，所有流量會被均衡的轉發(fā)到各個服務器，即組織所有服務器提供服務。這時，系統(tǒng)性 能等于所有服務器性能的總和，遠大于流量 峰值 。這樣，即緩解了 峰值堵塞 的壓力，又降低了為調整系統(tǒng)性能而增加的投資。 P 提供了基于應用的七層交換技術 , 可以根據任意制訂的規(guī)則將用戶的訪問導向到不同的服務器群組 , 例如 , 址 , 的任何標識 (IE ). 6 2. 服務器健康檢查 控制器將標準的第二層至第 三層網絡技術與創(chuàng)新的第四層至第七層流量管理結合在一起，從而大幅度提高了現(xiàn)有 持 特別是 基礎網絡檢查 層應用檢查 DP 展內容查證 一種非常復雜的服務檢查，主要用于確認應用程序能否對請求返回對應的數(shù)據。如果一個應用對該服務檢查做出響應并返回對應的數(shù)據，則 P 控制器將該服務器標識為工作良好。如果服務器不能返回相應的數(shù)據，則將該服務器標識為宕機。宕機 一旦修復， P 就會自動查證應用已能對客戶請求作出正確響應并恢復向該服務器傳送。該功能使 P 可以將保護延伸到后端應用 , 如 容及數(shù)據庫。 P 的 能允許您向 務器、防火墻、緩存服務器、代理服務器和其它透明設備發(fā)送查詢，然后檢查返回的響應。這將有助于確認您為客戶提供的內容正是其所需要的。 擴展應用驗證 于確認運行在某個服務器上的應用能否對客戶請求作出響應。為完成這種檢查， P 控制器使用一個被稱作外部服 務檢查者的客戶程序，該程序為 P 提供完全客戶化的服務檢查功能，但它位于 P 控制器的外部。例如，該外部服務檢查者可以查證一個 的從后臺數(shù)據庫中取出數(shù)據 , 并在 頁上顯示的應用能否正常工作。 P 提供的非常獨特的功能，它提供管理者將 P 客戶化后訪問各種各樣應用的能力，該功能使 P 在提供標準的可用性查證之外能獲得服務器、應用及內容可用性等最重要的反饋。 該功能對于電子商務和其它應用至關重要 , 它用于從客戶的角度測試您的站點。例如，您可以模擬客戶完成交易所需的所有步驟連接到站點、從目錄中選擇項目以及驗證交易使用的信用卡。一旦 P 掌握了該 可用性 信息，即可利用負載平衡使資源達到最高的可用性。 P 已經為測試 務的健康情況和狀態(tài)，預定義的擴展應用驗證 (它有二種用戶界面：瀏覽器和 置。 P 預定義的應用檢查： 7 3. 與應用緊密結合的會話保持 P 控制器經過專門設計， 可以為關鍵業(yè)務站點提供高可用性和智能負載平衡。除這些能力外，它經過配置還可以識別用戶固定訪問特定服務器的要求，以支持用戶重新建立到特定服務器的連接。在這些條件下， P 控制器會放棄負載平衡算法以支持對話持續(xù)性。 在大多數(shù)廠商只能提供非 續(xù)性時， 經可以提供 6 種持續(xù)性模式：源、服務器、 續(xù)性和目的地址相似性。憑借這些選項， P 可以隨時準備滿足您特殊的網絡要求。 以下是對各種模式的簡要說明。 源持續(xù)性模式 在這一模式下，只要持續(xù)性計數(shù)器尚未到時，指定流向某虛擬服務器的特定用戶流量就會持續(xù)流向同一臺服務器。每條連接都有其各自的持續(xù)性計數(shù)器。 80的計數(shù)器獨立于 80 的計數(shù)器。 服務器持續(xù)性模式 最終用戶請求 連接到 ： 用交換機 的任務 ： 1） 虛擬服務器 #1 0 用交換機 將為該虛擬服務器選擇一臺可用的服務器。來自源地址的80 流量將流至該服務器，直到計時停止為止。 2） 虛擬服務器 #2 1 （ 用交換機 將為該虛擬服務器選擇一臺可用的服務器。來自源地址的21 流量將流至該服務器，直到計時停止為止。 3） 虛擬服務器 #3 0 用交換機 將為該虛擬服務器選擇一臺可用的服務器 （ 不一定是與80 相同的那臺 服務器 ） 。來自源地址的80 流量將流至該服務器，直到計時停止為止。 80 流量將繼續(xù)流至其它服務器。 8 在該模式下，無論使用哪一臺虛擬服務器，特定用戶流量都將流向同一臺服務器，除非 持續(xù)性計時器到時 ， 以前被連接到某臺服務器上的用戶將被連接到一臺不包 含該特定服務器的新虛擬服務器上。這時， 用交換機將為這臺新的虛擬服務器發(fā)送一條到達可用服務器的連接。 最終用戶請求 連接到 ： 用交換機 的任務 ： 1） 虛擬服務器 #1 0 用交換機 將為該虛擬服務器選擇一臺可用的服務器。來自該 源地址的流量將流至該服務器，直到計時停止為止。 2） 虛擬服務器 #2 1 （ 用交換機 將試著將用戶連接到步驟 #1 中所用的那臺服務器上。 3） 虛擬服務器 #3 001 如果持續(xù)性計數(shù)器尚未到時 ， 該服務器被定義為虛擬服務器 #3 的服務器 ， 那么無論來自哪個虛擬地址 ， 用戶都將被連接至同一臺服務器。 9 續(xù)性模式 在該模式下，無論使用哪個端口，某用戶指定流向某 流量都將流向同一臺服務器，除非： 持續(xù)性計時器到時 服務器不再可用。在這種情形中 ， 用交換機 將發(fā)送一條到該虛擬服務器的其它可用服務器的連接。 續(xù)性模式 最終用戶請求 連接到 ： 用交換機 的任務 ： 1） 虛擬服務器 #1 0 用交換機 將為該虛擬服務器選擇一臺可用的服務器。從該源地址流向 任何端口的流量將流至該服務器，直到計時停止為止。 2） 虛擬服務器 #2 1 （ 因為此時用戶已經連接到 上 ， 用交換機 將為 擇一個可用的服務器 ，并將流 量從源地址引導到被定義為虛擬服務器#2 的服務器。只要持續(xù)性計時器還沒到時，用交換機都會把流向 任一端口的用戶流量引導至該服務器上。 3） 虛擬服務器 #3 001 用戶現(xiàn)已連接到端口 80 上。如果持續(xù)性計時器還沒到時，用戶將被連接到口 80 連接所用的同一臺服務器上。 10 續(xù)性 模式 續(xù)性利用客戶機存儲的 息來把客戶機連接到合適的服務器上。 用交換機提供 4 種不同的 續(xù)性模式以適應任何應用的要求：重寫模式、插入模式、被動模式和散列模式。 在 寫模式下，服務器將插入一個 然后 用交換機 將對其進行重寫： 首次命中 求（不帶有 入 用交換機 用交換機任選一臺服務器，將請求發(fā)送至該服務器 來自該服務器的 復此時包括一個空白的 用交換機重寫 在粘貼 一個特殊的 將 復發(fā)送回去。 再次命中 求（帶有與上面同樣的 入 用交換機 最終用戶請求 連接到 ： 用交換機 的任務 1） 用戶 1 連接到虛擬服務器 #1。 服務器 #1 確定唯一的 話 使用它來實現(xiàn)流量的 持續(xù)性 2） 用戶 2 連接到虛擬服務器 #2。 服務器 #2 確定唯一的 話 使用它來實現(xiàn)流量的 持續(xù)性 3） 用戶 1 連接到虛擬服務器 #1。 服務器 #1 確定唯一的 話 使用它來實現(xiàn)流量的 持續(xù)性 11 用交換機借助 息確定合適的服務器 求（帶有與上面同樣的 入服務器 復（帶有空白 回 用交換機，后者將向客戶機提供更新后的 續(xù)性重寫模式 首次命中 求（不帶 入 用交換機 用交換機任選一臺服務器，將請求發(fā)送至該服務器 復（不帶 發(fā)回 用交換機 用交換機插入 復返回到客戶機 再次命中 求（帶有與上面同樣的 入 用交換機 定合適的服務器 求（帶有與上面同 樣的 入服務器 12 復（不帶有 入 用交換機，后者將為客戶機提供更新后的 在被動模式下，服務器使用特定信息來設置 首次命中 求（不帶有 入 用交換機 用交換機任選一臺服務器，將請求發(fā)送至該服務器 復（帶有特定 回至 用交換機 用交換機將 復（帶有特定 回客戶機。 再次命中 發(fā)送 求（帶有與上面同樣的 定合適的服務器 求（帶有與上面同樣的 入服務器 復（帶有特定 回至 用交換機，后者將 復（帶有特定 送回客戶機。 用交換機 續(xù)性模式與 續(xù)性模式之間的主要區(qū)別在于：對于續(xù)性而言，數(shù)據存儲在客戶機上，而不是 用交換機上，因此可充分使用客戶機上的無限資源。 即 續(xù)性體現(xiàn)在 ，而信息則存儲于客戶機的磁盤驅動器上。 續(xù)性散列模式 該模式只能在 A 控制器和企業(yè)上使用。散列模式使您可以通過設定 模式用于將 映射到節(jié)點上，之后該值這將用于連接含該 客戶機，從而實現(xiàn)了節(jié)點的持續(xù)性。 目標地址相關性 13 目標地址相關性適用于 P 應用交換機被用于對高速緩存進行負載 平衡的情形。在這種情形中， 用交換機把向相同內容的請求重發(fā)到同一 高速緩存上，從而實現(xiàn)高速緩存的高效利 用，并減少服務器陣列中的冗余數(shù)據量， 后者可降低整個站點 的運行性能。 舉一個簡單的例子，用戶 2 從 內部網絡通過互聯(lián)網進入 站。高速緩存扮演 站的 存 儲箱 角色。此時用戶 1 是高速緩存 1 存儲 內容。隨后當用戶 1 決定訪問 ，因為高速緩存上已 經存儲了所需的信息，因此就實現(xiàn)了更加 快速和高效的訪問。 帶有對話 續(xù)性的優(yōu)勢 當 戶與服務器進行首次信息交換以： 1交換安全證書， 2）商議加密和壓縮方法， 3）為每條對話建立對話 對話 能 會再次用到。當用戶想與該服務器再次建立連接時，它可以通過提供上次會話中的對話 隨意指定希望繼續(xù)以前的某條 服務器同意之后，雙方即可跳過信息交換建立起新的會話，該會話將使用與上次會話同樣的加密方法，并繼續(xù)上次的數(shù)據包排序，就好象上次會話從未結束一樣。通常情況下，服務器將某條 后，服務器將刪除這些對話信息。 例如，用戶可以建立一條到旅游景點網站的 接并預訂房間。旅游景點站點可以將用戶的預訂信息保存一段時間（如 60 分鐘），從而使用戶無需重新輸入預訂信息 即可再次連接到站點上以預付訂金。如果旅游景點的網站僅將用戶信息存儲在進行初始對話的服務器上而不是后端數(shù)據庫中，那么 用交換機的持續(xù)性設置將覆蓋負載平衡設置，將用戶再次發(fā)送到最初的服務器上。如果用戶嘗試重新建立一條已被遺棄的對話，那么服務器將忽略此請求而僅提供一個新的對話 的對話也將要求進行新的信息交換。 改善總體吞吐能力 延續(xù)先前的 這一處理是一項計算密集型任務，執(zhí)行的次數(shù)越多，服務器的總體吞吐能力下降幅度就越大。如果能夠跳過 除 網絡流量上的額外負載，那么吞吐能力也將因為持續(xù)性而大為提高。這將為 14 諸如 協(xié)議帶來顯著改進，它們往往需要向同一臺服務器幾次建立連接就只是為了傳輸一個網頁。因此， 需要 續(xù)性的環(huán)境 乍一看來，源持續(xù)性似乎與 是，當用戶希望與同一臺服務器重新建立會話，但兩次連接中用戶的 址又有所不同時，情況就不一樣了。在這種情形中， 用交換機將沒有所需的信息以將流量引導至合適的服務器。您可能會發(fā)出疑問：那么 我們?yōu)槭裁匆欢ㄒ懻撛谂c同一臺服務器進行的兩次會話中用戶址發(fā)生變化的情形呢？許多網絡都會定期更改用戶的 址，當用戶與 用交換機之間部署有防火墻時更是如此。 當用戶的 址發(fā)生變化時 許多防火墻都會將網絡所用的網絡地址轉換為一個或多個由防火墻管理的 址。使用這種方式，防火墻可以在不暴露網絡內部實際使用的 址的前提下將流量引導至互聯(lián)網，這時流量上的返回地址就是防火墻地址。反之，防火墻也可把地址轉回用戶地址，然后發(fā)送回受保護網絡。同時再通過端口號轉換，防火墻即可以在多個用戶之間 使用相同的址了。這有時被稱為地址重載，可支持網絡（位于防火墻之后）使用一個 址與互聯(lián)網建立上千條連接。 然而，在大型網絡中，防火墻可能需要多個 址來分配流量。在使用一個以上防火墻來處理網絡流量的情形中，每個防火墻都可以為通過的流量分配一個不同的 址。在這種情形中，防火墻或防火墻陣列可將用戶 址轉換為針對各條 話的不同地址。 在需要持續(xù)性的情形中，地址重載會引發(fā)各種問題。如果持續(xù)性僅由源地址決定，那么許多個人用戶將被引導至一臺服務器上，從而導致流量匯集在一臺服務器上而不是分散到多 臺服務器上。最終結果就是一臺服務器過載而其它服務器未得到充分利用，最終用戶得到極差的響應體驗。 使用 D 持續(xù)性可以確保流量的平均分配，即使流量源使用 址重載也同樣如此。 D 持續(xù)性的實現(xiàn)可以確保用戶從關鍵 總之，源持續(xù)性不適用于用戶 址改變的使用情形，例如在用戶與互聯(lián)網間部署有使用多個 址的服務器或服務器陣列。 使用帶有源持續(xù)性的 續(xù)性 15 您可以同時使用 P 地址的源持續(xù)性，因為 P 地址的持續(xù)性擁有更高的優(yōu)先級 。當自上一次連接后過去的時間超過 續(xù)性的時限時，用交換機可能會刪除該 D?；蛘撸苍S用戶的客戶機沒有對話 憶機制，也刪除了該 這些情形中， 用交換機仍可根據基于用戶 址的源持續(xù)性來將用戶引導至同一臺服務器。在這種模式中，源持續(xù)性用作 續(xù)性的后備。 16 4. 動態(tài)安全體系防御攻擊 硬件平臺上運行的 用流量管理軟件可為所有基于 應用和 務提供原來只有 用才能享有的流量管理功能。在任何網絡環(huán)境下， 能通過其功 能強大的通用擴展應用檢測 擴展內容檢測 服務器進行仔細檢測，自動屏蔽故障服務器，以便準確、安全、經濟高效地創(chuàng)建和提供所有基于 應用或 務。 確保所有 創(chuàng)建一個可控的執(zhí)行點以對所有流量進行前瞻性安全控制 使服務器和應用能夠及時準確地做出響應 無需額外硬件、軟件或其它 輕松適應未來不斷變化的業(yè)務需求 當大數(shù)據流 擊進入的時候，服務器可能由于在瞬間接受超過服務器吞吐能力的數(shù)據流而直接導致系統(tǒng)崩潰，甚至導致數(shù)據丟失或客戶資料遺失。而采用 護服務器，通過 確探測服務器的處理能力，從而在服務器處理能力飽和之前自動屏蔽新建鏈接。超過服務器吞吐能力的鏈接將在 處于 態(tài)，直至有服務器空閑或 與此同時，為進一步防止服務器遭受攻擊過載， 用 術可以幫助服務器通知網絡， 此時忙，暫停服務 ，然后，網絡將停止再向它轉發(fā)客戶請求，而將客戶請求繼續(xù)轉發(fā)至其它服務器，繼續(xù)對客戶應用請求提供服務。并且，服務器會同時通知 3個中心可用服務器數(shù)量減少一臺，應相應減 少對這個中心的客戶服務請求量。當這臺服務器完成所有數(shù)據記錄的備份后，服務器又會通知 3時它已恢復正常，可以提供服務。這時，系統(tǒng)又恢復原有的正常狀態(tài)。 在系統(tǒng)的運行過程中，各種各樣的變化是不可避免的，靠人工的方法畢竟不是一個靈活的、智能的方式。 幫助系統(tǒng)成為一個 自適應 的系統(tǒng)，使 網絡真正感知應用，應用控制網絡 。 同時，對于所有對外提供應用的服務器，由于有 供負載均衡，用戶無法直接于服務器聯(lián)系，必須與 建立的虛擬服務器建立鏈接，所以黑客無法獲得服務器的真實 地址，增加了黑客攻擊的難度。同時，由于虛擬服務器對外只提供應用服務端口，其余端口不響應且直接 而有效地屏蔽了黑客攻擊的第一步 端口掃描。甚至以將虛擬服務器的 應屏蔽，從而使黑客無法 虛擬服務器。由于對外只 17 提供必須的應用端口，因而可以有效地屏蔽第一章常用黑客攻擊手段的前四種方式，通過加強對應用服務器的 理可以有效避免黑客利用系統(tǒng) 擊的手段。而對于擊， 于常用的幾種攻擊手段，從內核級就予以屏蔽，具體實施如下： 1 該攻擊以多個隨機的源主機地址向目的主機發(fā)送 ，而在收到目的主機的 樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務。 策略： 用特有的 有與虛擬服務器建立 請求均由 替服務器響應， 不將 求發(fā)送到服務器。只有當用于響應了 真正發(fā)送求時， 與服務器建立鏈接并發(fā)送 求。所 以普通的 5 通訊，無法攻擊到服務器。而 夠輕松支持高達 2,000,000 個會話的吞吐能力，能夠應付絕大多數(shù)攻擊。而如果攻擊數(shù)量超過 能力， 能將自動啟動保護系統(tǒng)自身。 2 根據 P 的規(guī)范，一個包的長度最大為 65536 字節(jié)。盡管一個包的長度不能超過 65536字節(jié)，但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大于 65536 字節(jié)的包時，就是受到了 擊，該攻擊會造成主機的宕機。 策略： 如前所述，在 可以將虛擬服務器的 蔽， 系統(tǒng)根本不響應。其次，虛擬服務器的 應是由 管理進程提供響應，當管理進程繁忙時，系統(tǒng)會自動降低虛擬服務器的 應的優(yōu)先級甚至不響應，而管理進程與服務器負載均衡是兩個完全不同 18 的進程，在 其內存和 用時間是嚴格分離的，所以 毫不會影響服務器負載均衡，也就是不會影響真正對外的服務響應端口。 3 騙 擊 這種攻擊利用 來實現(xiàn)。假設現(xiàn)在有一個合法用戶 (經同服務 器建立了正常的連接，攻擊者構造攻擊的 據，偽裝自己的 向服務器發(fā)送一個帶有的 據段。服務器接收到這樣的數(shù)據后，認為從 送的連接有錯誤，就會清空緩沖區(qū)中建立好的連接。這時，如果合法用戶 發(fā)送合法數(shù)據，服務器就已經沒有這樣的連接了，該用戶就必須從新開始建立連接。 攻擊時，偽造大量的 址，向目標發(fā)送 據，使服務器不對合法用戶服務。 策略： 如前 1 所述， 有的 段握手作為判斷合法用戶的依據，同時所有的 不通服務器鏈接，只有當用戶發(fā)送求時再與選定的服務器建立鏈接，所以 是拆除與 立額鏈接，并不影響合法用戶訪問服務器。 4 帶寬 擊 如果黑客的連接帶寬足夠大而服務器又不是很大，黑客可以通過發(fā)送大量請求，來消耗服務器的緩沖區(qū)消耗服務器的帶寬。這種攻擊就是人多力量大了，配合上 起實施 力巨大。 策略： 這種攻擊發(fā)生時，從站點的路由器、交換機、防火墻到服務器的帶寬均有可能被占滿。所以如 果發(fā)生該種攻擊，首要的任務是通過 護服務器不要溢出或崩潰。其次，采用 術配合 火墻、交換機、服務器、路由器形成整個系統(tǒng)的聯(lián)動來予以抵御攻擊。 19 5. 自身的高可用性 如前所述， 擊主要是利用現(xiàn)有系統(tǒng)對外提供的正常業(yè)務服務，通過發(fā)送大量的非法數(shù)據流來達到阻止業(yè)務服務的目的。為了抵御 擊，首先必須大力提升系統(tǒng)自身的吞吐能力，至少必須大于可能的 力，否則盡管系統(tǒng)能夠抵御攻擊，但性能無法滿足，同樣無法在攻擊下保證正常業(yè)務，從而使黑客間接達到攻擊目的。 為此， 過多年的研發(fā)推出精心打造的全新體系構架，大為提升 7 的吞吐性能。 隨著企業(yè)部署更多的應用（從 統(tǒng)），應用流量管理產品必須能夠支持龐大的且不斷增加的流量。 以做到。它提供了其它解決方案無法企及的強大處理能力，能夠深層檢查流量。與分布式體系結構不同的是， 以隨時將其全部處理能力集中應用于任何端口，以制定最佳決策。 如此強勁的處理能力，確保了 一般的攻擊下仍然能夠順利地完成負載均衡的工作。當然，也會出現(xiàn)攻擊 的流量大于 處理能力的情況，如果是其他 設備可能均會發(fā)生系統(tǒng)崩潰，甚至是導致網絡崩潰。而 內核采用獨有的 能，內置的 控程序會自動實時檢測整個系統(tǒng)的 用率，如果超過低閥值（ 自動隨意丟棄新建鏈接，如果達到高閥值（ 系統(tǒng)將丟棄所有的新建鏈接，將所有的攻擊屏蔽，以達到保護自身系統(tǒng)的效果，等待 用率下降或攻擊流下降時再開啟新鏈接。 下圖就是 遭受大量 擊下 實時記錄圖表，可以看到，由于擁有 術，防止了 身在大量攻擊下發(fā)生崩潰的情況。 20 21 6. 強大的 當 關鍵應用通過互聯(lián)網進行部署時，需要采用 往 會 使服務器的 堪重負。 用交換機集成了硬件 夠有效地管理通過 進行先進的智能流量管理檢查。從而，提供了更強大的性能，并降低了實施安全應用的成本。 用交換機對 正 卸載 理 過 供的強大編程處理能力， 用交換機還可以實現(xiàn)對應用內容有選擇性的加密。 同時， 用交換機具有支持三級證書，雙向證書認證， 動下載，證書信息透傳后臺應用服務器等功能特色。 用交換機在基本配置中已經包含了 100 過購買附加的 以將額外 用交換機上激活。最大可以支持15, 000 2G 解密處理能力，足以 滿足 務需求和一定時期內的發(fā)展。 22 7. 靈活而有效的 廣域網訪問的網絡延時與帶寬瓶頸經常給用戶的 用的正常訪問帶來不便，通過在 用交換機上啟用 縮功能，可以帶來以下好處： 更快的頁面下載速度； 更小的帶寬消耗 (支持廣泛數(shù)據類型的壓縮：例如 啟用帶寬壓縮所帶來的帶寬節(jié)省可以達到 80%。 客戶端自適應的壓縮處理能力 (技術專利 )： 用交換機可以通過探測到客戶端的 識別用戶是通過寬帶還是窄帶方式上網，然后決定是否要對該用戶啟用 縮功能。 對用戶完全透明，不需要在客戶端安裝程序： 用交換機采用的壓縮算法是目前常用 覽器廣泛支持的 法，因此對用戶完全透明，不需要預先安裝客戶端解壓程序。 23 8. 術 司的產品是業(yè)界唯一的可以達到 切換的產品，而且設計極為合理，所有會話通過 設備的同時，會把會話信息通過同步數(shù)據線同步到 設備上，保證在 備內也有所有的用戶訪問會話信息；另外每臺設備中的 片通過心跳線監(jiān)控對方設備的電頻，當 備發(fā)生故障時， 首先發(fā)現(xiàn)，并通知 備接管 P， ，完成 A=B 的切換過程，因為 備中有事先同步好的會話信息，所以可以保持訪問的暢通和在線會話的數(shù)據。 24 9. F5 i的 為了確保電子商務取得成功，應用和網絡必須能夠緊密結合。網絡通知應用；應用指導網絡。這就是 型體系結構的基礎。 定義： 聯(lián)網控制體系結構（圖 1）是業(yè)界第一個集成的端到端互聯(lián)網流量、內容和網絡管理體系結構，該體系結構可以： 集成網絡產品 促進網絡與應用間的通信 現(xiàn)在就可使用 它提供了業(yè)界最緊密集成的產品套件，利用統(tǒng)一的設備活動協(xié)作來對互聯(lián)網流量和內容部署 /提供進行端到端的控制。它提供了端到端集成所需要的產品間的安全通信，而且還可以通過開放式 品進行編 程，以支持客戶與合作伙伴應用間的集成（ 部通信協(xié)議）。 圖 1：業(yè)界第一個集成的端到端互聯(lián)網流量、應用和網絡管理體系結構 這種架構方式克服了多廠商解決方案的最大問題：互操作性和管理復雜性，而且還避免了單廠商套件的最大問題：有限的靈活性、缺乏足夠的集成能力（圖 3）。這種架構使服務提供商和企業(yè)能夠： 管理和控制全球范圍的互聯(lián)網流量和內容 部署并實施 策 將政策應用到多種技術上，如防火墻、 備 接收告警并管理關于網絡和設備活動的報告 25 保 持適當?shù)南到y(tǒng)配置 夠使應用與網絡流量管理和內容提供基礎設施實現(xiàn)直接的互操作。通過放的安全通信協(xié)議和 絡設備能夠與應用進行通信，應用可以控制網絡，從而避免出現(xiàn)易于出錯的過程和人為干預。 夠提供網絡產品間安全、加密的互相通信能力，并為無縫應用集成帶來了方便，其中包括： (1) 本地流量管理； (2) 分布于全球的流量管理； (3) 將內容部署到遠程服務器上； (4) 管理網絡中高速緩存提供的內容版本； (5) 顯著減少管理分布式網絡所需的資源。 客戶、合作伙伴及第三方 集成商都可以使用 件開發(fā)套件（ 它具有開放式的 著 推出， 明了其對制定和采用開放式互聯(lián)網流量和內容管理標準的支持。 通過將 業(yè)界領先 品相結合使用，可以實施并部署 完整互聯(lián)網控制體系結構，從而增強了 7 層性能。任何第三方和客戶都可以通過 自己的應用與網絡系統(tǒng)集成在一起，從而提供無與倫比的 7 層性能。 26 二、 方方 案案 優(yōu)優(yōu) 勢勢 闡闡 述述 1. 拓撲結構的優(yōu)點 1. 全冗余連接方法 , 絕對保證網絡沒有單點故 障的存在。 2. 所有網絡設備都是可以直接相連，減少網絡層次和避免新的單點故障。 3. 比較少的網絡層次，避免運行維護時面對的大批網絡設備。 4. 靈活的擴展空間，用戶可以根據實際的網絡流量和壓力增加鏈路帶寬，添加防火墻或增加服務器來提高整體的服務水平。 2. 安全機制方面 1. 加密的網絡管理，避免明碼通訊對網絡設備控制時的安全隱患。 2. 旦規(guī)定成功 ,服務的 口也就同時確認，除特定服務外，其他的端口就全部被封閉了，保護服務器避免被端口掃描。 3. 在防止 擊方面， 供免費的防護 ，特別對 于 旦規(guī)定成功就對 做中繼處理，避免攻擊對服務器的壓力。 4. 所有關鍵業(yè)務都 可以 采用 障了用戶隱私和安全。 3. 與應用的結合方面 1. 以通過 后臺的多層結構的服務器進行健康檢查，確保用戶的正常訪問。 2. 以通過 方式和后臺應用服務器實現(xiàn)無縫集合的各種切換。 3. 一套全球唯一的網絡產品提供的 可以允許用戶根據自己的要求控制網 絡設備。 27 三、 相相 關關 產產 品品 介介 紹紹 400 地流量管理器 應用交付低效、遲延和失敗都會導致數(shù)百萬美元的損失，包括預算浪費、公司名譽受損，系統(tǒng)和應用停機、法律責任以及錯失良機等。 地流量管理器是一款出色的應用流量管理系統(tǒng)，可提供業(yè)內最智能，最具適應性的解決方案來保護、優(yōu)化和交付應用，從而確保企業(yè)能夠在保持高效運營的同時提高其競爭力。 它是業(yè)內唯一一款包含整套統(tǒng)一應用基礎設施服務的系統(tǒng)，將總體控制、可見性以及靈活性出色地融合到應用安全、性能和交付中。優(yōu)點？ 更高的業(yè)務靈敏性和當今企業(yè)生命線（應用）的成本實施。 主要優(yōu)勢 可靠性 提供業(yè)內最可靠、最先進的系統(tǒng)，以確保應用始終可用。 應用加速 提供無可比擬的控制能力將應用性能提高 3 倍，確保高優(yōu)先級應用得以優(yōu)先處理，同時卸載昂貴的服務器循環(huán)。 降低服務器和帶寬成本 通過豐富的基礎設施優(yōu)化特性將服務器容量增加 3 倍；同時通過智能 縮、帶寬管理等特性將帶寬成本降低 80%。 增強網絡和應用安全性 從拒絕服務（ 護到隱藏、再到過濾應用攻擊， 加了多項不能在網絡中其它地方實現(xiàn)的關鍵安全特性。 無可比 擬的應用智能與控制特性 業(yè)內唯一一款可提供完整應用流的解決方案 能夠以網速進行全面的有效負載檢查和基于事件的可編程流量管理，以及時掌握流量信息，并采取相應措施。 面向所有 用的集成解決方案 提供可與所有應用（不僅是基于 協(xié)議（ ）相集成的綜合解決方案，在單個統(tǒng)一系統(tǒng)內為企業(yè)提供了面向所有 用（包括傳統(tǒng)應用和諸如 新興應用）的集中解決方案。 行業(yè)領先的性能 提供行業(yè)內最快的流量管理解決方案，來保護、交付和優(yōu)化應用性能。作為行業(yè)內當之無愧的領導者，次刷新了 量加密以及最大并發(fā) 接的業(yè)內記錄。 簡化管理、提高可見性 全新的圖形用戶界面（ 大地簡化了產品配置，提供了針對流量與插件資源的精細可見性，同時支持配置的批量快速修改。 28 強大的 S 體系結構：完善的應用智能與網絡適應性 新型 核心是一款創(chuàng)新體系結構，稱為 S（流量管理 /操作系統(tǒng)），它為企業(yè)提供了一套統(tǒng)一系統(tǒng)來幫助其實現(xiàn)最佳應用交付。 S 針對 的每項功能都做了改進，在支持 能地適應應用與網絡日新月異的需求同時，提供了面向所有服務的 完全可見性、靈活性和控制能力。 S 快速應用代理 S 使 夠高效地將客戶機與服務器端數(shù)據流隔離開來、獨立維持每個連接設備的最佳性能，并承擔起系統(tǒng)間的通信工作，以改進應用性能。如今，任何與 連的系統(tǒng)或 用都將可以更高效地工作。 通用檢查引擎 S 集成了 版定制的 通用檢查引擎（ 為應用交易或應用流內任何時刻的應用流量處理都提供了無與倫比的控制能力。憑借完整的有效載荷檢查及轉換能力、可擴展的事件驅動 及面向會 話層的交換（ 術、 供了業(yè)內最智能的流量控制點，以（以網速）解決各種應用交付問題。 一應用基礎設施服務 通過易于管理的圖形用