【文章內(nèi)容簡介】 性 能相當(dāng)，無優(yōu)劣之分。 ? 加權(quán)隨機(jī)（ Weighted Random Scheduling） 將請求隨機(jī)分發(fā)到不同的服務(wù)器上。從統(tǒng)計學(xué)角度看，調(diào)度結(jié)果為各個服務(wù)器按照權(quán)值比重分擔(dān)用戶的連接請求，最后的比值和加權(quán)輪轉(zhuǎn)一致。 適用場景：服務(wù)器集群中各服務(wù)器性能存在差異。 ? 基于源 IP 的 Hash（ Source IP Hashing Scheduling） 通過一個散列（ Hash）函數(shù)將 來自同一個源 IP 的請求 映射到一臺服務(wù)器 上 。 適用場景：需要保證來自同一個用戶的請求分發(fā)到同一個服務(wù)器。 ? 基于源 IP 端口的 Hash（ Source IP and Source Port Hashing Scheduling） 通過一個散列函數(shù)將 來自同一個源 IP 和源端口號的請求 映射到一臺服務(wù)器上 。 適用場景：需要保證來自同一個用戶同一個業(yè)務(wù)的請求分發(fā)到同一臺服務(wù)器。 ? 基于目的 IP 的 Hash（ Destination IP Hashing Scheduling） 通過一個散列函數(shù)將 去往同一個目的 IP 的請求 映射到一臺服務(wù)器 上 。 適用場景：需要保證到達(dá)同一個目的地的請求分發(fā)到同一臺服務(wù)器。適用于網(wǎng)關(guān)負(fù)載均衡和鏈路負(fù)載均衡。 動態(tài)調(diào)度算法 相對于靜態(tài)算法，動態(tài)算法根據(jù)各實服務(wù)實際運(yùn)行中的負(fù)載情況進(jìn)行連接分發(fā)，分發(fā)效果更均衡。 ? 最小連接（ Least Connection Scheduling） 負(fù)載均衡設(shè)備根據(jù)當(dāng)前各 服務(wù)器的連接數(shù)來估計服務(wù)器的負(fù)載情況 ，把新的連接分配給連接數(shù)最小的服務(wù)器。該算法能把負(fù)載差異較大（連接保持時長差異較大）的請求平滑分發(fā)到各個服務(wù)器上。 適用場景：服務(wù)器集群中各服務(wù)器性能相當(dāng)，無優(yōu)劣之分，不同用戶發(fā)起的連接保存時長差異較大。 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 18 ? 加權(quán)最小連接（ Weighted Connection Scheduling） 調(diào)度新連接時盡 可能使服務(wù)器的已建立 活動 連接數(shù)和 服務(wù)器 權(quán)值成比例 ，權(quán)值表明了服務(wù)器處理性能。 適用場景：服務(wù)器集群中各服務(wù)器性能存在差異，不同用戶發(fā)起的連接保存時長差異較大。 豐富的健康性檢測方法 所謂 健康 檢測，就是負(fù)載均衡設(shè)備定期對真實服務(wù)器狀態(tài)進(jìn)行探測，收 集 相應(yīng)信息，及時隔離工作異常的服務(wù)器。健康檢測的結(jié)果除標(biāo)識服務(wù)器能否工作外，還可以統(tǒng)計出服務(wù)器的響應(yīng)時間，作為選擇服務(wù)器的依據(jù)。 負(fù)載均衡技術(shù)支持豐富的健康性檢測方法，可以有效地探測和檢查服務(wù)器的運(yùn)行狀態(tài)。 ? ICMP 向服務(wù)器集群中的服務(wù)器發(fā)送 ICMP Echo 報文， 若收到 ICMP Reply，則服務(wù)器正常。 ? TCP 向服務(wù)器集群中服務(wù)器的某端口發(fā)起 TCP 連接建立請求，若成功建立 TCP 連接，則服務(wù)器正常。 ? HTTP 與服務(wù)器集群中服務(wù)器的 HTTP 端口（默認(rèn)情況為 80）建立 TCP 連接，然后發(fā)出 HTTP 請求，若收到的 HTTP 應(yīng)答內(nèi)容正確，則服務(wù)器正常。 持續(xù)性功能 一次業(yè)務(wù)交互可能包括多個 TCP 連接，如 FTP 應(yīng)用（包含一個控制通道和多個數(shù)據(jù)通道）和 HTTP 應(yīng)用。這些 TCP 連接間有些存在顯式關(guān)聯(lián)關(guān)系，如 FTP 應(yīng)用，數(shù)據(jù)通道的 TCP 連接是通過控制通道協(xié)商得來的。有些存在隱含的關(guān) 聯(lián)關(guān)系，如 HTTP 網(wǎng)絡(luò)購物，多條連接組成一次業(yè)務(wù)應(yīng)用，且多個連接并不像 FTP 應(yīng)用一樣有“父子”之分，能通過父通道獲取子通道信息，但所有該業(yè)務(wù) 的請求應(yīng)發(fā)給 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 19 同一服務(wù)器 ,否則可能造成無法完成所請求的功能，因為其數(shù)據(jù)報文中攜帶隱含關(guān)聯(lián)信息，如 cookie。 將屬于同一個應(yīng)用層會話的多個連接定向到同一服務(wù)器的功能 ，就是持續(xù)性功能。根據(jù)持續(xù)性原則，建立會話表項，保證后續(xù)業(yè)務(wù)報文都送往同一個服務(wù)器處理。比如使用源地址建立持續(xù)性表項，保證持續(xù)性。 具有顯式關(guān)聯(lián)關(guān)系持續(xù)性功能 如前所述， FTP 應(yīng)用的多條 TCP 連接之間具有顯式關(guān)聯(lián)關(guān)系：子通道五元組是通過父通道協(xié)商得來的。因此負(fù)載均衡設(shè)備對于 FTP 應(yīng)用會逐包分析父通道報文，一旦發(fā)現(xiàn)子通道協(xié)商信息，就會利用該信息建立父通道會話關(guān)聯(lián)表項，當(dāng)子通道首報文到來時，根據(jù)關(guān)聯(lián)表項和父會話表項建立完整的會話表項，從而保證父子通道登錄同一臺服務(wù)器。顯式關(guān)聯(lián)關(guān)系由負(fù)載均衡設(shè)備自動識別，無需配置策略。 具有隱式關(guān)聯(lián)關(guān)系持續(xù)性功能 ? 基于源 IP 地址的 持續(xù)性 功能 基于源 IP 地址的持續(xù)性功能常用于服務(wù)器負(fù)載均衡應(yīng)用中，用以確保同一個客戶端的業(yè)務(wù)能分配到同一個服務(wù)器中。 負(fù)載均衡設(shè)備接收到某一客戶端的某一業(yè)務(wù)的首次請求時，建立持續(xù)性表項，記錄為該客戶分配的服務(wù)器情況，在會話表項生存周期內(nèi)，后續(xù)相同源 IP 地址的業(yè)務(wù)報文都將發(fā)往該服務(wù)器處理。 ? 基于 目的 IP 地址的 持續(xù)性 功能 基于目的 IP 地址的持續(xù)性功能常用于鏈路負(fù)載均衡應(yīng)用中，用以確保去往同一個目的地址的業(yè)務(wù)能分配到同一條鏈路上。 負(fù)載均衡設(shè)備接收到某一客戶端的某一業(yè)務(wù)的首次請求時，建立持續(xù)性表項，記錄為該客戶分配的鏈路情況，在會話表項生存周期內(nèi)，后續(xù)相同目的 IP 地址的業(yè)務(wù)報文都將分發(fā)到該鏈路轉(zhuǎn)發(fā)。 基于 Cookie 和 header 的 持續(xù)性 功能 常用于 web 服務(wù)器需要用戶攜帶私有信 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 20 息或某些特定信息的服務(wù)器負(fù)載均衡應(yīng)用中，用來確保同一個用戶能夠去往同一個目的地址。 Cookie 支持 4 種持續(xù)性方式，包括 插入模式，重寫模式，被動模式， HASH 模式。 4~7 層的負(fù)載均衡 基于 第四層（ L4） 的負(fù)載均衡在截取數(shù)據(jù)流以后，對數(shù)據(jù)包檢查與分析的部分僅限于 IP 報頭及 TCP/UDP 報頭，而不關(guān)心 TCP 或 UDP 包 的 內(nèi)部信息。而基于L7 的負(fù)載均衡則要求負(fù)載均衡 設(shè)備 除了支持 L4 負(fù)載均衡以外，還要 解析 數(shù)據(jù)包中 4 層以上的信息，即應(yīng)用層的信息。例如，可以 解析 HTTP 協(xié)議，從數(shù)據(jù)包中提取出 HTTP URL 或 Cookie 信息。 L7 負(fù)載均衡 控制應(yīng)用層服務(wù)的內(nèi)容，提供了一種對訪問流量的高層控制方式 。與 L4 負(fù)載均衡相比， L7 負(fù)載均衡具有如下優(yōu)點(diǎn)： ? 通過對 HTTP報頭的檢查，可以檢測出 HTTP 400、 500 和 600 系列的錯誤信息，因而能透明地將連接請求重新定向到另一臺服務(wù)器，避免應(yīng)用層故障。 ? 可根據(jù)數(shù)據(jù) 包內(nèi)容 （如判斷數(shù)據(jù)包是圖像文件、壓縮文件或多媒體文件格式等），把數(shù)據(jù)流量引向相應(yīng)內(nèi)容的服務(wù)器來處理，增加系統(tǒng)性能。 ? 可 根據(jù)連接請求的 數(shù)據(jù) 類型 （比如根據(jù) URL 來區(qū)分 是 請求 普通文本、圖象等靜態(tài)文檔，還是 請求 ASP、 CGI等動態(tài)文檔 ） ，把相應(yīng)的請求引向相應(yīng)的服務(wù)器來處理，提高系統(tǒng)的性能及安全性。 由于 L7 負(fù)載均衡對應(yīng)用層協(xié)議進(jìn)行深度識別，因此，對于每種應(yīng)用層協(xié)議都需要有獨(dú)立的識別機(jī)制，這大大限制了 L7 負(fù)載均衡的應(yīng)用擴(kuò)展性，一般只是針對 HTTP 進(jìn)行負(fù)載均衡。同時，深度識別應(yīng)用層協(xié)議，對系統(tǒng)性能也會有很大影響。 流量優(yōu)化功能 HTTP 緩存技術(shù) DPtech WAF3000 采用多級 cache 智能緩存加速技術(shù)，支持多種緩存置換算法： ? LRU（最近最少使用次數(shù)） 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 21 ? LRU_DA（動態(tài)衰減最 近最少使用次數(shù)） ? LFU（最近最少使用頻率） ? LFU_DA（動態(tài)衰減最近最少使用頻率） 傳統(tǒng)緩存加速技術(shù) 對諸如 html， js， jpg 等靜態(tài)資源進(jìn)行緩存 同時也可以對 jsp 等動態(tài)資源進(jìn)行緩存處理 ，提高客戶端響應(yīng)速度，降低服務(wù)器負(fù)載，有效節(jié)省服務(wù)器系統(tǒng)資源消耗。 智能緩存加速技術(shù) 采用新型的緩存加速技術(shù)，通過修改響應(yīng)報文內(nèi)容，對 web 資源屬性進(jìn)行重組，減少客戶端請求次數(shù)，提高 客戶端請求效率。 連接復(fù)用功能 將客戶端的多個連接合并為與服務(wù)器的一個連接來進(jìn)行通信，減少 TCP 連接的三次握手次數(shù)，提高實際有效數(shù)據(jù)的交換比率。同時連接復(fù)用功能還 將 Web流量的多個短連接合并為一個長連接， 提高服務(wù)器的響應(yīng)速度， 改善服務(wù)器的性能。在不需要改變?nèi)魏尉W(wǎng)絡(luò)構(gòu)造也不需要改變?nèi)魏畏?wù)器構(gòu)造前提下 總體上 實現(xiàn)減 輕 服務(wù)器的負(fù) 荷 ，提高服務(wù)器的響應(yīng)能力 的目標(biāo) 。 根據(jù)用戶對服務(wù)器負(fù)荷和響應(yīng)能力的協(xié)調(diào)，配置不同的復(fù)用比例，以達(dá)最佳的服務(wù)器總體性能。例如：復(fù)用比例配置成 10： 1 時，對于實服務(wù)器的 TCP 三次握手次數(shù)變成原來的 1/10，理論上服務(wù)器的負(fù)荷也減輕到原來的 1/10，客戶端的連接平均響應(yīng)時間因為 TCP 三次握 手次數(shù)的減少而減少 ；復(fù)用比例配置成20： 1 時， 客戶端的連接平均響應(yīng)時間的減少量則會因為復(fù)用比例的增加而有所上升，但 對于實服務(wù)器的 TCP 三次握手次數(shù)變成原來的 1/20，理論上服務(wù)器的負(fù)荷也減輕到原來的 1/20。 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 22 HTTP 壓縮功能 采用通用的 gzip 格式，代替 WEB服務(wù)器對靜態(tài)資源進(jìn)行壓縮。 gzip 使用 deflate壓縮算法，即先 用 lz77 算法 進(jìn)行壓縮，對得到的結(jié)果再 用 huffman 編碼的方法進(jìn)行壓縮 。 gzip 格式壓縮比例高 ， 能夠有效提高服務(wù)器的響應(yīng)速度，減輕服務(wù)器的負(fù)荷， 節(jié)省用戶帶寬，縮短用戶下載內(nèi)容的時間 ，從而 提高網(wǎng)站訪問的響應(yīng)質(zhì)量 。 SSL 代理 提供硬件 ssl 代理加密功能， web 服務(wù)器需要開放 協(xié)議端口，并將證書導(dǎo)入到 WAF 中，用戶即可通過訪問設(shè)備的 443 端口達(dá)到對 HTTP 數(shù)據(jù)流的加密。 產(chǎn)品形態(tài) 型號 產(chǎn) 品 描述 WAF3000MSN 百兆低端產(chǎn)品， 4 個千兆電口，高性價比，適用于中小型網(wǎng)站 。 WAF3000MEN 百兆高端產(chǎn)品， 2 光 6 電，適用于 中型 網(wǎng)站。 WAF3000GCN 千兆低端產(chǎn)品， 2 光 6 點(diǎn)，適用于中型網(wǎng)站。 WAF3000GEN 千兆中端產(chǎn)品， 2 萬兆 12 千兆光 12 千兆電，高密度接口，萬兆接口，適用于大中型 網(wǎng)站 、數(shù)據(jù)中心及運(yùn)營商網(wǎng)絡(luò)。 WAF3000Blade 一代板卡，單板 3Gbps，適用于大中型網(wǎng)站 WAF3000BladeA 代板卡，單板 10Gbps，最大 100Gbps，適用于大型網(wǎng)站防護(hù) DPX8000A3 2 個業(yè)務(wù)插槽， 交換容量 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 23 DPX8000A5 4 個業(yè)務(wù)插槽， 高度 ， 交換容量 DPX8000A12 10 個業(yè)務(wù)插槽， 15U 高度 ， 交換容量 部署方式 透明模式 如圖所示，透明模式，即 WAF 設(shè)備不改變上下行設(shè)備配置，直接部署在兩臺已運(yùn)行的設(shè)備之間。在透明模式下無需對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整，可做到即插即用。 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 24 部署特點(diǎn)： 快速，簡便，能夠做到即插即用，先部署后配置。 反向代理模式 如圖所示，反向代理模式是指 WAF 設(shè)備部署網(wǎng)絡(luò)主干中，客戶端通過訪問虛擬 IP 做代理訪問后臺服務(wù)器。 部署特點(diǎn)：需要預(yù)先規(guī)劃好網(wǎng)絡(luò)部署結(jié)構(gòu)，可以開啟負(fù)載均衡， ssl 加速等功能。 旁路模式 如圖所示，旁路模式指 WAF 設(shè)備不作為后臺服務(wù)器和客戶端之間的路由設(shè)備，而是旁掛在路由設(shè)備上。 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 25 部署特點(diǎn)：能夠不改變原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，對原有業(yè)務(wù)可以無縫接入，可配置負(fù)載均衡， ssl 加速等網(wǎng)絡(luò)優(yōu)化業(yè)務(wù)。 2 WebShield 網(wǎng)頁防篡改系統(tǒng) 系統(tǒng)概述 在解決方案層次，通過應(yīng)用層安全設(shè)備（尤其是迪普科技的 WAF）可以實現(xiàn)基于網(wǎng)關(guān)的防護(hù)，將網(wǎng)絡(luò)中各種威脅流量清除。同時，為避免各種直接連接到、繞過網(wǎng)關(guān)防御而到達(dá)網(wǎng)站服務(wù)器的攻擊，則需要通過基于服務(wù)器的軟件產(chǎn)品進(jìn)行防護(hù)，這個軟件系統(tǒng)就是杭州迪普科技有限公司推出的 DPtech WebShield 網(wǎng) 站防護(hù)系統(tǒng) （以下簡稱：系統(tǒng)）。 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 26 該系統(tǒng) 采用目前最先進(jìn)的文件驅(qū)動檢測技術(shù)，檢測位置深入系統(tǒng)文件內(nèi)核底層，同時結(jié)合高