怎么运用负载均衡设备防护***51CTO博客 - 牛牛娱乐

怎么运用负载均衡设备防护***51CTO博客

2019年04月04日14时38分18秒 | 作者: 鑫鹏 | 标签: 负载,均衡,设备 | 浏览: 3026

负载均衡设备作为要害运用的进口,天然也成为各种***的方针地点。怎么保证负载均衡设备在本身不会瘫痪的条件下维护后端效劳器,是负载均衡器有必要处理的问题。事实上,负载均衡设备从诞生之日起,其高并发会话和新建衔接速率让防火墙产品相形见绌。别的,绝大部分***方针IP恰好是落在负载均衡设备上的虚拟IP(VIP),相关于防火墙处理经过流量的方法,负载均衡设备更了解这些运用应该怎么维护,天然合适施加针对虚拟IP和后端效劳器的战略。在负载均衡设备外面设置防火墙的,是一些用户既有的办理原因导致。关于真实大流量的互联网运用,鲜有在负载均衡设备外侧布置防火墙的。下面以A10网络的AX产品具有的各种***防护方法进行介绍。

1. 首要,针对最常见的SYN Flooding***,负载均衡设备选用广为运用的SYN Cookie机制进行防护。用户重视的便是其SYN Cookie功用了。A10的高端设备选用硬件处理SYN-Cookie,能够防护高达50M SYN/Sec(约3个万兆+3个千兆端口打满***流量)的DDoS***,并且对CPU影响为0.

2. ICMP速率约束。针对相似Smurf的依据许多PING的***,负载均衡设备能够约束每秒处理的ICMP包数量。

3. 依据源IP的衔接速率约束,适用于TCP和UDP。越来越多的分布式DoS***为有用TCP衔接或许UDP***。关于来自单一IP衔接速率超越设定值的,负载均衡设备能够对该IP地址采纳丢掉、发送日志告警、确定必定时刻等多种操作。

4. IP反常***防护。针对Land-attack,Ping-of-Death等常见***类型,A10的负载均衡设备能够检测并丢掉。

5. 拜访操控列表(ACL),依据IP五元组进行过滤,不再赘述。

6. 依据战略的效劳器负载均衡(PBSLB),A10的负载均衡设备能够支撑高达800万条主机记载的是非名单,该名单能够经过TFTP效劳器定时自动更新,更新期间无过渡缝隙。较之路由器的ACL或防火墙战略数量高出数十倍。能够针对该名单内地址约束衔接数量,能够分为不同组,挑选丢掉或转发到不同组效劳器。该特性能够与A10其它防***特性结合动态生成是非名单。

7. 虚拟效劳器/效劳器衔接数量约束。依据效劳器的才能,约束分配到单台效劳器或整个虚拟效劳器的衔接数量。防止效劳器因为衔接过多而瘫痪。该约束可运用于效劳器或其某个效劳端口。

8. 虚拟效劳器/效劳器衔接速率约束。上一项约束的是一起坚持的静态衔接数量,这一项则是约束新建衔接的速率。关于许多短衔接***或突发流量,并发衔接数不大,但许多新建衔接相同能够让效劳器瘫痪。

9. HTTP并发恳求约束和恳求速率约束。针对现在许多的CC***,上述依据衔接数和衔接速率的约束现已力不从心,因为CC***往往是在单一TCP衔接上发送许多HTTP恳求。A10的负载均衡设备将依据7层恳求的***防护与强壮的是非名单功用结合,能够约束单一IP来历的并发总衔接数、新建衔接速率、并发恳求数、恳求速率。不同用户IP能够分为不同组,设置不同参数。

10. DNS合规性查看。针对运用之首的DNS,***防护更是不行忽视。除了上述通用特性外,A10的负载均衡设备能够查看DNS数据包得合规性,关于格局不符合DNS协议规范的数据包进行过滤或转发到专门的安全设备。

11. 动态DNS缓存功用。因为DNS效劳器才能有限,怎么在有反常流量时维护DNS效劳器并让DNS效劳正常运转,是用户巴望处理的问题。A10的动态DNS缓存功用能够依据后端DNS效劳器才能设置阈值,当针对某个域名的恳求到达必定数量时,能够动态启用该域名的缓存功用,有负载均衡设备应对DNS恳求。这个功用的条件是负载均衡设备的DNS处理才能足够高。A10的入门级64位产品的DNS处理才能即可到达150万DNS QPS(DNS恳求/秒)。

12. 自界说脚本。依据tcl言语的自界说脚本能够让用户依据需求界说更为灵敏的安全战略,尤其是A10的自界说脚本能够调用上述高达800万条意图是非名单。

以上仅仅每个安全特性的简略描绘,每个安全特性都有一些细节功用,能够处理许多用户头疼的安全问题。后期会挑选部分功用具体介绍。

(R.S.)

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表牛牛娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章