链路及服务器负载均衡整体解决方案.doc

链路及服务器负载均衡解决方案 目录 目录 2 公司介绍 5 一 业务分析 7 1 1 多链路服务及防火墙负载均衡当前业务分析 7 1 2 服务器负载均衡当前业务分析 8 二 问题分析及解决方案 9 2 1 单点故障 9 2 2 ISP 链路切换问题 11 2 3 链路负载均衡问题 14 2 4 服务器负载均衡问题 19 三 NSAE 负载均衡整体解决方案功能介绍 25 3 1 高可用性 25 3 2 全面的链路 后台服务监控能力 25 3 3 全路径健康检查 26 3 4 策略路由 26 3 5 NSAE 性能优化功能与提高应用性能功能 26 前 言 当前 无论在政府网 金融网 企业网 网还是在广域网如 Internet 上 业务量的发展都超出了过去最乐观的估计 用户大量的 信息请求 不断更新的应用需求以及对业务不间断的持续访问 成 为应用服务商解决互联网服务 获得用户认可的关键因素 即使按 照当时最优条件配置建设的网络 面对不间断 快速的用户增长 服务器也会无法承担 原有链路也会因为用户量的不断增大导致用 户访问速度过慢 链路拥塞 网络故障频繁 尤其是各个网络的核 心部分 其数据流量和计算强度之大 使得单一设备根本无法承担 而如何在完成同样功能的多个链路及网络设备之间实现合理的业务 量分配 使之不致于出现一台设备过忙 而别的设备却未充分发挥 处理能力的情况 就成为信息提供商及应用服务商必须克服的问题 负载均衡机制也因此应运而生 负载均衡建立在现有网络结构之上 它提供了一种廉价有效的 方法扩展服务器带宽和增加吞吐量 加强网络数据处理能力 提高 网络的灵活性和可用性 它主要完成以下任务 解决网络拥塞问题 服务就近提供 实现地理位置无关性 多条链路接入 根据链路响 应速度 提供最快的访问方式 针对故障链路进行智能自动切换 保证客户不间断访问 为用户提供更好的访问质量 提高服务器响 应速度 提高服务器及其他资源的利用效率 避免了网络关键部位 出现单点失故障导致所有服务停止 针对负载均衡的运行机制及应用策略方面 根据负载均衡的工 作原理可以分为链路负载均衡 服务器负载均衡 广域网负载均衡 三种负载均衡方式 三种负载均衡机制 根据用户针对不同环境及 应用的负载均衡要求进行服务 满足用户对各个应用层面及网络层 次的负载均衡需求 总之 负载均衡是一种策略 它能让多条链路或多台服务器共 同承担一些繁重的计算或 I O 任务 从而以较低成本消除网络瓶颈 提高网络的灵活性和可用性 针对当前形势 信安世纪公司分析各行业多种应用的请求 自 主研发了适用于广域网 内部网 独立子网的负载均衡设备 NSAE 解决客户针对链路 服务器 广域网负载均衡的各种需求 信安世纪推出的 NSAE 系列产品 采取了 ALL IN ONE 的设计策 略 把服务器负载均衡 链路负载均衡 广域网负载均衡三种产品 集成在一个设备中 真正实现了链路 服务器 广域网负载均衡三 种服务的无缝接入 在最低成本的控制下满足了客户多方面的应用 需求 并且在无需改变现有网络的情况下 即可进行负载均衡设备 的部署及升级 在应用及网络层次增加了客户系统的安全性及稳定 性 一 网络当前业务分析 1 1 网多链路接入及防火墙负载均衡当前业务分析 随着网络通信的发展 网络规模的不断扩大 以及数字接入专 线价格的不断下调 高校网络对内和对外访问业务需求也随着网络 通信的不断发展变得更加多样化 高校核心网络针对链路及应用服 务的要求也越来越严格 如何充分利用服务资源及现有链路资源 平衡链路利用率 提高访问速度 确保内部和外部的不间断访问以 及链路服务的正常运转和切换 已经成为高校网络链路控制的首要 难题 目前高校用户普遍采用教育网 电信或网通进行多链路接入 实现链路自动切换 为外网及内网用户提供 7 24 小时的不间断访问 当其中一条链路出现问题后 系统自动切换到正常的链路上工作 保证服务的不间断运行 由于多链路解决方案能够提供更好的可用 性和带宽性能 它正在被越来越多的高校所采用 可用性的提高来 自于多条链路的使用 而性能提高则是因为同时使用多条链路增加 了带宽扩充了流量 多链路方案能够提高企业业务的可用性和性能 但这种方案也面临着特殊的问题和挑战 在多链路环境的实际应用中 链路没有更好的进行负载分担 多链路网络解决方案仅仅是 共享 式 而不是真正的负载均衡 由于各个运营商之间存在互联互通的问题 没有实现根据网络就近 性的路径判断 对流入的流量没有很好的解决根据网络的就近性来 导向用户的访问请求 使外部的用户能最快的访问对外服务 对流 出的流量无法解决自动选择最快链路 达要目标资源的访问策略 对于链路的健康状况也不能实时监测 也解决不了链路容灾 也就 是当某一条链路出现故障后 将其流量导向另外链路的策略 所以 基于以上的问题 链路负载均衡的解决方案成为众多服务商 以及 多链路接入客户必须解决的问题 防火墙作为内网与外网的信息过滤和分割产品 被用来保护内 部计算机网络免受非授权人员的骚扰与黑客的入侵 防火墙尤如一 道护栏隔在被保护的内部网与不安全的非信任网络之间 如何充分发挥每一台防火墙性能 使其均匀的处理用户请求 避免单点故障 不会因为单台防火墙故障导致整个业务系统出现问 题 及当业务流量突然升高 超出防火墙的处理能力 已经成为防 火墙用户比较关心的问题 1 2 网服务器负载均衡当前业务分析 对于高校网络而言 访问时延和服务器的可靠性是非常重要的问 题 而随着业务的增长 对拥有多台服务器的网络中心中心来说 不是全部服务器都发挥了其应有的效力 NASE 的负载均衡服务 使每台服务器的处理能力都能得到充分的发挥 NSAE 负载均衡服 务可以实现如下的功能 提供真正面向应用层的 WWW DNS FTP 以及基于固定 端口的 TCP UDP 等应用的负载均衡 无需改动网络拓扑结构 即可实现功能 功能强大 支持路由功能 根据实际响应时间的负载平衡算 法来实现真正的合理的流量分配 NSAE 系列负载均衡产品建立在现有网络结构之上 针对后台 应用服务它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐 量 充分利用每台服务器的应用处理能力 加强了整个服务器组数 据处理能力 提高服务器响应速度 提高服务器及其他资源的利用 效率 避免了由于单台服务器出现问题而导致所有服务停止 二 问题分析及解决方案 2 1 单点故障 整个网络结构中 存在多个网络关键业务服务节点 网络关 键业务服务节点在整个客户网络体系中起着关键性作用 如果此节 点发生故障必然导致所有业务的访问中断 所以在整个网络体系初 期建设及部署中 关键业务服务节点必须采取多台设备进行双机部 署 当一台设备宕机后 备份设备自动启动 继续提供服务 所有 业务请求会被自动转发到正常工作的备份设备中 实现客户请求服 务的正常提供 但是如果一台对外提供访问服务的设备 当服务进程处于假死 状态时 其实主机还在正常工作 从网络层没有发现任何问题 只 是服务进程假死 处于网络层发起应用请求的所有客户 无法判断 该设备是否还在处理服务请求 所以请求继续被发送到该台设备 大量数据发送到服务器 而服务器其实已经停止了服务 这种情况 必然会导致一些关键性数据丢失 并且无法保证用户数据存储以及 用户访问的不间断性 2 1 1 单点故障解决方法 针对上述问题 信安公司 NSAE 提供了完善 成熟的解决方法 此网络架构中 NSAE 20000 为用户解决多链路及防火墙提供 负载均衡 保证多链路接入及防火墙的正常及稳定工作 NSAE 2000 为后台服务器提供了负载均衡服务 为后台服务不间断 无故 障的工作 提供保护策略 NSAE 设备根据客户要求定义 4 7 层的 针对应用及网络层的健康检查及负载均衡策略 根据健康检查策略 设定 可以为任意一个服务定义健康检查策略 后台设备无论是在 网络交换层出现问题还是服务请求处理服务出现假死问题 NSAE 都可以自动判断故障设备 并且把请求发送到正常服务的设备中 保证客户正常访问 基于双机双链路架构的 NSAE 产品 更是可以从链路 防火墙 交换机 应用服务四个层次 去解决单点故障的难题 保证客户服 务提供的不间断性 为用户提供更具竞争力的网络结构 及应用服 务体系 2 2 ISP 链路切换问题 链路负载均衡是指建立在多链路网络结构上的一种网络流量管 理及控制技术 客户采用多链路配置 基本就是为了保证不间断的 网络访问 以及带宽流量的扩充 但是如何保证访问产生的进出流 量的调度和智能分配以及链路自动切换成为客户无法控制的难题 客户采用多条接入链路策略为外网访问用户及内网用户提供快 速访问 并且保证在任意一条链路出现问题的情况下实现无延时自 动切换 保证用户的不间断访问 但是由于设备支持 以及路由健 康检查支持策略的问题 无法保证在单条链路出现问题的情况下或 者 ISP 运营商服务出现问题的情况下自动切换用户到正常工作的链 路中 即使在路由上定义了链路切换策略 也无法避免由于路由健 康检查机制的导致多条链路切换速度慢 或者完全无法自动切换到 正常链路的问题 NSAE 可检测到整个链路中出现的错误 从而能够提供可靠的 端到端 WAN 连接 它可以监视每个连接的运行状态和可用性 实 时检测链路或 ISP 的损耗情况 一旦出现故障 流量将被动态地传 递给其它可用链路 从而确保用户及外部客户继续保持连接 对于外网访问内部服务的用户 根据现有路由策略无法根据访 问路由进行链路智能选择 流量控制 为访问用户提供最快的 ISP 链路 进行内部服务访问 对于内网访问外网用户 根据现有路由策略无法根据访问请求 分配链路工作策略 并且根据访问请求进行智能链路切换 流量分 配 管理 链路选择 内网和外网用户不可以最大限度地扩展和利用链路的带宽 导 致资源浪费 并且在某一链路发生故障而中断时 无法自动将其访 问流量分配至其他尚在正常工作的链路上 无法避免由于 ISP 链路 上的单点故障 导致服务停止 2 2 1 ISP链路切换解决方法 针对上述问题信安世纪 NSAE 产品提供了对链路服务智能切换 管理的解决方案 此网络架构中通过部署 NSAE 产品可以最大限度地扩展和利用 链路的带宽 而且 在某一链路发生故障而中断时 可以自动将其 访问流量分配至其他尚在正常工作的链路上 避免了 ISP 链路上的 单点故障 通过 NSAE 健康检查策略的运行 可以检查从 ISP 路由器到本 地路由器之间的路径健康检查 发现任何节点的链路出现问题后 可以自动切换到正常工作的链路 通过双机 NSAE 配置多链路接入 几乎可以实现多链路无延时自动链路切换 对于外网访问内部服务的用户 可以根据 NSAE 定义的访问策 略进行链路智能选择 为访问用户提供最快的 ISP 链路 进行内部 服务访问 对于内网访问外网用户 可以根据 NSAE 定义外部访问策略 根据内部用户访问外部服务的最快响应时间等策略进行智能链路调 整 分配用户请求到最佳链路 通过 NSAE 产品的部署 内网和外网用户可以最大限度地扩展 和利用链路的带宽 避免资源浪费 并且在某一链路发生故障而中 断时快速判断故障 并且自动将访问流量分配至其他尚在正常工作 的链路上 避免由于 ISP 链路上的单点故障 导致所有访问服务停 止 2 3 链路负载均衡问题 多链路的接入 保证了用户的带宽资源分配 但是客户如何合 理利用多链路性能 如何合理分配访问产生的进出流量调度和流量 智能分配 如何调整链路流量负载平衡 成为客户在链路流量优化 策略上无法控制的难题 客户采用多条接入链路策略为外网访问用户及内网用户提供快 速访问 并且提供在任意一条链路出现问题的情况下实现无延时自 动切换 保证用户的不间断访问 但是由于设备支持 以及路由支 持策略的问题 无法保证合理利用每条链路的资源 导致一条链路 利用率超过 90 但是另外一条链路的利用率低于 10 造成链路利 用率的极度不平衡 以及链路资源的浪费 2 3 1 链路负载均衡解决方法 针对上述问题信安世纪 NSAE 产品提供了对链路负载智能分配流 量及智能链路负载流量管理的解决方案 此网络架构中信安公司 NSAE 产品针对链路流量管理及分配方面提 供如下功能 智能管理不同 ISP 提供的 IP 地址网段 优化所有的 ISP 链路 智能分配所有通过 NSAE 产品的可用 链路的流量 使用信安世纪的 SmartNAT 和 SmartDNS 来选择用于流入流 出流量的最佳 ISP 保证了每个用户都可以最快速的访问分 部的服务器 而不必受到南北电信 网通互联互通问题的影 响 可以通过策略路由强制流量通过某个 ISP 的链路 以解决用 户办公上网访问南北电信 网通不同站点的速度问题 在某条链路失效时 所有流量仍可以经过另一条链路正常进 出 以保证系统的提供服务的不间断性 流出 Outbound 流量处理解决策略 流出流量使用 Destination IP Based Routing 目的 IP 规则 当用户上网访问目标服务属于 Http 80 或其它访问请求的流量 用户的访问会首先会通过代理进行访问 这时 DMZ 区的代理服务 器会向 NSAE 发送请求 NSAE 会根据代理服务器请求的目标地址 属于网通地址库还是电信地址库 如果是目标地址是网通地址 NSAE 将代理服务器的流量指向网通的链路 这时不做 NAT 转换 如果是目标地址是电信的地址库 NSAE 将代理服务器的流量通过 做 SmartNAT 转换指向电信的链路 如果是目标地址都不是网通与 电信的地址 由于我们处于北方 所以网通的线路最好 所以可以将其他 ISP 的流量定向到网通链路 NSAE 将代理服务器的流量指向网通的链 路 这时不做 NAT 转换 NSAE 提供以下针对链路的负载均衡算法 SmartNAT 最佳路由策略 对于流出流量的智能地址管理 NSAE 使用了称为 SmartNAT 的算法 当选定某一个 ISP 传送流出流量时 NSAE 将选择该 ISP 提供的地址 在图中 如果 NSAE 选择电信作为流出流量的路径 则它将内部的主机地址翻译为电信的地址 并作为流出数据包的源 地址 同样 如果 NSAE 选择网通通作为流出流量的路径 则它将 把内部的主机地址翻译为网通的地址 并作为流出数据包的源地址 采用 SmartNAT 时 NSAE 支持的负载均衡算法包括 Round Robin 轮询 NSAE 按照顺序的选择多个出口链路作为每个数据流的流出路 径 Weighting Round Robing 加权轮询 NSAE 为每个出口链路设定一个加权值 并根据加权值顺序的 选择多个出口链路作为每个数据流的流出路径 权值大的链路被选 择的次数多 通过此算法 学校可以在多条带宽不同的链路间合理 分配流量 带宽高的链路权值大 因此承载的流量就高 Shortest Response Time 最快响应速度 为了优化流出的流量 NSAE 还为流出的流量实施最快响应时 间运算 如果内部主机要访问某一 Internet 站点 可能通过一个 ISP 的路径比通过其他 ISP 的路径有效 因此 NSAE 可以提供最 短响应时间算法 为流出到某一个站点的流量选择最佳的 ISP 路径 保证所需内容最快到达目的地 提高服务的品质 Destination IP Based Routing 目的 IP 根据双链路网络的特点 NSAE 还提供基于每个数据流的目标 IP 地址的路由选择算法 NSAE 会检查每个流的目标 IP 地址是否属 于预先设定的一个地址范围 若是 则选择某一条特定链路作为该 数据流的流出路径 通过此算法 用户可以设定目标 IP 地址属于网 通范围的 通过网通的链路流出 属于电信地址范围的流量则通过 电信的链路流出 流入 Inbound 流量处理解决策略 由于 DMZ 的服务器使用的都是网通公网地址进行服务 所以 当网通链路出现故障后 对外无法提供正常的服务 所以不仅需要 管理流出的流量 还必须管理来自 Internet 的访问 即流入 Inbound 流量 流入流量使用 Source IP Based Routing 目的 IP 规则 当用户请求的 Local DNS 地址属于网通地址范围的 通过网通 的链路流入站点 属于电信地址范围的流量则通过电信的链路流入 对于其他不不属于网通与电信地址范围的站点 用户访问可以将默 认的算法定向到某一个性能较好的 ISP 链路上 也可以根据 Weighting Round Robing 的算法 为每个 ISP 的 IP 地址设定一 个加权值 并根据加权值顺序的选择多个 ISP 的 IP 地址作为每次用 户解析请求的返回值 权值大的 ISP 的 IP 地址被选择的次数多 通 过此算法 用户可以在多条带宽不同的链路间合理分配流量 带宽 高的链路权值大 因此承载的流量就高 2 4 服务器负载均衡问题 如何在完成同样功能的多个后台服务器之间实现合理的业务量分 配 使之不致于出现一台设备过忙 而别的设备却未充分发挥处理 能力的情况 成为信息提供商及应用服务商必须克服的问题 2 4 1 服务器负载均衡解决方法 信安世纪 NSAE 提供的负载均衡服务 SLB 使每台服务器的 处理能力都能得到充分的发挥 SLB 可以实现如下的功能 提供真正面向应用层的 WWW DNS FTP 以及基于固定 端口的 TCP UDP 等应用的负载均衡 无需改动网络拓扑结构 即可实现功能 功能强大 支持路由功能 根据实际响应时间的负载平衡算 法来实现真正的合理的流量分配 使用特有的连接复用技术和连接池技术 有效减少后台服务 器的负载 保护企业的投资成本 NSAE 的服务器负载均衡算法 信安世纪 NSAE 支持多种服务器负载均衡算法 持续性的 和非持续性的 包括轮循算法 最少连接算法 响应时间算法 散列算法 最少连接失误算法 链路带宽算法等等 此外实际 服务器可以被分配不同的加权值来调整被分配的流量 可以使 性能高的大型服务器支持更多的负载 为了避免服务器因过载 而崩溃 可为实际服务器指定最大连接阈值来避免该服务器过 载 任何服务器可被指定为另一台服务器的备份服务器或溢出 服务器 从而进一步保证了应用可用性 NSAE 的服务器负载均衡支持的健康检查类型 信安世纪 NSAE 通过对服务器的实时健康检查 保证数据 流量会自动绕过故障服务器或不可用服务器 当信安世纪的健 康检测机制 检测到服务器重新恢复正常以后 将使该服务器 可以自动回到服务器群之中 所有这些服务器故障的处理 对 进行操作的用户是完全透明的 信安世纪 NSAE 对服务器的健康检查 可采用四种方式 ICMP 检查 利用 ICMP 可检查服务器的网络工作是否正常 TCP 检查 信安世纪 NSAE 可与服务器之间 利用服务器 的服务端口建立 TCP 连接 检查服务器的服务是否正常 HTTP 检查 信安世纪 NSAE 采用 HTTP 的检查 来验证服 务器提供的服务是否正常 UDP 检查 信安世纪 NSAE 针对 DNS 服务进行检查 可及 时判断 DNS 服务是否正常 通过这四种机制 确保服务器为用户提供正确可靠的服务 NSAE 的服务器负载均衡的特点 实时监控服务器应用系统的状态 并智能屏蔽故障应用系统 实现多台服务器的负载均衡 提升系统的可靠性 可以监控和同步服务器提供的内容 确保客户获取到准确可 靠的内容 提供服务器在线维护和调试的手段 信安世纪 NSAE 产品采用 ALL IN ONE 设计理念 用户按需购 买所需功能 减少了用户的初期投资 并节省了日后扩展功能所需 的硬件投资 信安世纪 NSAE 一个产品提供用户所需诸多功能 GSLB SLB Cache HTTP Compress Webwall 配置简单 管理方便 降低了客户的管理成本 三 NSAE 负载均衡整体解决方案功能介绍 3 1 高可用性 NSAE 可检测到整个链路及后台服务中出现的错误 从而能够 提供可靠的端到端 WAN 连接 它可以监视每个连接的运行状态和 可用性 实时检测链路或 ISP 的损耗情况 一旦出现故障 流量将 被动态地传递给其它可用链路 从而确保用户及外部客户继续保持 连接 3 2 全面的链路 后台服务监控能力 如何有效地确定链路 服务器 应用 内容的状态 是提高系 统可靠性的关键 NSAE 利用其独到的 高效的 健康检测 手段 识别链路 服务器 应用 内容的状态 它们包括 ICMP 检查 利用 ICMP 可检查服务器的网络工作是否正常 TCP 检查 信安世纪 NSAE 可与服务器之间 利用服务器的 服务端口建立 TCP 连接 检查服务器的服务是否正常 HTTP 检查 信安世纪 NSAE 采用 HTTP 的检查 来验证服务 器提供的服务是否正常 UDP 检查 信安世纪 NSAE 针对 DNS 服务进行检查 可及时 判断 DNS 服务是否正常 Script 检查 定制一些特殊应用的检查脚本来检查应用的健康状 态 Keyword 检查 信安世纪 NSAE 针对应用对该服务检查作出响 应并返回对应的数据进行检查 通过这几种机制 确保服务器为用户提供正确可靠的服务 3 3 全路径健康检查 访问 Internet 的可靠性不仅仅是由 ISP 路由器提供的链路状况 决定的 而是由整个数据流经的路径决定 例如用户可以设置透过 某 ISP 的路由器同时去检查 sina 等各类企业的 web 网站 只有当 所有这些网站都无法检测通过时 NSAE 才会认为该链路已经 DOWN 掉 然后 NSAE 可以重新为流量选择路径 传递到其它可用 链路 从而继续保持客户连接 避免出现停机影响 3 4 策略路由 NSAE 可以设置基于用户数据包源 IP Port 目标 IP Port 的策 略路由 通过该功能可以帮助学习人为的对特殊的流入流出流量进 行规划 比如某个应用系统需要比较高的数据传输带宽 而多条 Internet 链路的带宽存在不均衡性 管理员可以选择一条带宽更高的 链路承载这个应用的数据流量 3 5 NSAE 性能优化功能与提高应用性能功能 3 5 1 Http 压缩功能 窄带访问应用的访问速度和服务质量的保证一直是网站推广和 扩大用户访问所急待解决的问题 通过 NSAE 系列产品中 HTTP 压 缩功能的应用 能够提高网站访问的通信质量 在向窄带宽用户提 供很高的通信质量的同时 还能够极大的节约网站互联网接入带宽 消耗 3 5 2 NSAE HTTP压缩过程 采用信安世纪 HTTP 压缩的优势 节省带宽 缩短用户下载内容的时间 在 Web Server 上不需要压缩功能 减轻了 Web Server 的负担 3 5 3 Cache 功能 基于内存的反向代理 Cache 功能 通过 Cache 功能的应用 NSAE 系列产品能够在内存中以数据包的形式 Cache 住网站页面中 所有可以被 Cache 住的内容 当用户访问请求发送到 NSAE 时 如 果 Cache 中的内容能够匹配用户的访问请求则直接由 NSAE 来响应 用户的访问 从而避免了对后台服务器的负载压力 在减小了后台 服务器负载的同时 提高了对用户的响应速度和整体网站的处理能 力 3 5 4 Connection Multiplexing 连接复用 技术 主要作用是为了改善现有系统的总体性能 其技术原理是自动实 现 HTTP 1 0 到 HTTP 1 1 的转换 TCP IP 协议栈在处理长连接时 具有更好的性能 将 Web 流量的多个短连接合并为一个长连接 信安世纪 Connection Multiplexing 连接复用 技术的实现过程 3 5 5 Connection Pooling 连接池 技术 信安世纪采用 Connection Pooling 连接池 技术 其优点在于 1 加快了与后台服务器之间的 TCP UDP 连接处理速度 信安世纪 NSAE 预先与后台服务器之间建立多个连接 并保持住它们 每个服务器最多预先建立 20 个连接 如果有客户端的请求 根据负载分担算法被分配到某个后 台服务器上 信安世纪 NSAE 从预先建立的该服务器的 连接池中选择一个连接 在此连接上发送客户端的请求 一个连接可以被用来传送多个请求 每个连接最多可以同 时处理 90 个请求 显著的减少了后台服务器需要处理的用户端连接数 减少 量可能达 90 2 改善了服务器的性能 服务器不需要花费更多的时间处理 TCP UDP 连接建立和拆除的 工作 服务器不需要耗费更多的资源保持多个客户端连接 3 5 6 信安世纪 Infosec OS 技术 信安世纪 NSAE 正是基于 Infosec OS 核心技术来构建其产品 的 信安世纪的 Infosec OS 技术由三部分组成 一个 TCP IP 栈 HTTP 分析器和一个代理引擎 这种独特的架构让信安世纪及第三 方的开发人员可以在数据流的多个环节来实现垂直应用程序与 Infosec OS 的关联 Infosec OS 技术可以让你在保持高性能的基础上关联更多的垂 直功能 四层或七层的 SLB 反向代理缓存 全局服务器负载均 衡 SSL 加速 压缩 等等 而这一切都得益于消除了不必要的重 复工作 在信安世纪解决方案中 TCP IP 栈在数据包进入系统时首 先对其进行处理 TCP IP 栈通过高效的包处理来实现高性能 在处 理流程的初期及时检测出有害或已损坏的数据包并将它们丢弃 TCP IP 栈的工作完成后 数据包就被交给了 HTTP 分析器 它以独 特的方式对 HTTP 包头进行分解 使其它组件不必再重复相同的工 作 分析引擎本身已经进行了优化 能够完成精确的 HTTP 处理 性能出色 3 5 7 安全防护功能 信安世纪的解决方案具备内在的安全特性 这些特性是专门为 避免遭受攻击和为服务器和网络设备提供保护而特别设计的 信安世纪 WebWall 防火墙能有效地保护服务器和应用的安全 采用 Full Proxy 技术的 SLB 使来自客户端的任何请求都不能直 接到达服务器 有效保护后台服务器 强大的连接性能 每秒支持 1 000 000 并发连接 及基于 HTTP 的过滤机制 可有效抵御 DOS SYNC Flood 等恶意攻击 GSLB 广域网负载均衡 提供的灵活配置 使整个系统具有 灾难恢复功能 信安世纪 NSAE 内建基于状态检测的的防火墙 Webwall 最 高可配置 1000 条策略 对比其他基于 ACL 的防火墙产品 信安世 纪 NSAE 的 Webwall 具有独特的加速算法 使得 ACL 条目的增加 不会影响整个系统的性能 基于信安世纪 NSAE 强大的处理性能 每秒可支持 1 000 000 并发连接 Webwall 可抵御 DOS SYNC Flood Buffer Overflow Attacks Parser Evasion Attacks Directory Traversal Attacks 等恶意攻击 信安世纪 NSAE 是基于 Full Proxy 设计的产品 来自 Client 端的任何连接请 求都不会直接发到后台服务器 从而保证了整个系统的高安全性 3 5 8 Cluster技术 提供容错性 高可靠性和高吞吐量 传统的四层设备 仅支持 二台设备工作在 HA 方式下 NSAE 支持 Active Active Active Standby 工作方式 从而 L4 设备可靠性 可 扩展性 网络吞吐量都受到限制 但 L4 层的设备是一关健设备 许 多 L4 层厂家都没有很好解决这些问题 信安世纪在给服务器提供高容错性 高可靠性的前提是 信安 世纪设备本身的容错性和高可靠性 信安世纪支持 Cluster 的工作 模式 提供 1 1 和 N 1 的冗余配置模式 能工作在 Active Standby 或 Active Active 方式 信安世纪容错性 高可靠性 高吞吐量同时给服务器的提供更强大的容错性 Clustering 容量 信安世纪 NSAE 支持多达 32 台设备的 Cluster 提供 N 1 的冗余 3 5 9 NSAE 配置管理 多数负载均衡产品的命令配置界面是基于 UNIX 的 而并非所有 网路工程师都熟悉使用 UNIX 命令 当用户登录到控制台 既进入 了一个 UNIX 的 Shell 除非通读产品手册 并熟悉命令 用户无法 进行下一步配置操作 信安世纪产品通过安全连接方式 SSH 进行远程连接 通过与 Cisco 产品命令类似的命令进行配置 使网络工程师非常容易上手 和掌握 同时 信安世纪产品内嵌 WebUI 通过浏览器以加密方式 登录 管理员可以非常直观和方便的配置和实现所有的功能 四 网负载均衡解决方案 目前采用教育网 网通 电信三条百兆链路接入到网中为全校 师生提供网络服务 由于用户数量不断的增加 P2P 访问流量的控 制力度不够 链路负载的不均衡 故障链路无法实现快速切换 防 火墙的单机故障等原因很可能会导致整个网络无法正常工作以及网 络访问的速度下降 基于以上原因信安世纪公司 提出了针对网络的整体负载均衡 解决方案 4 1 网络拓扑图 通过上述方案可以解决现有的网络优化问题 通过链路负载均 衡服务器可以解决链路分配负载均衡 避免了因为单链路故障导致 的整个链路的中断和链路智能负载均衡问题 并且通过使用防火墙 负载均衡功能可以充分利用防火墙性能 避免了由于防火墙问题导 致整个网络出现故障 服务器负载均衡产品解决了后台服务器的负载均衡问题