对于一般的互联网企业来说,基本都会采用混合架构来对外提供服务。对公众提供主要业务响应的系统部署在公有云上,但关键 的用户鉴权信息保留在企业内部,只有通过公有云和企业内部数据库联动完成用户认证后,再由公有云提供涉及和用户相关的具体操 作业务。
对于此种现状,互联网企业将采用多运营商线路接入方式,来提升应用系统的稳定性和可靠性,提升用户体验。但实际建设过程中, 效果并不理想,主要表现为以下几个方面:
◆ 当某一运营商线路故障时,业务恢复时间长,业务很难实现秒级切换。
◆ 带宽出现严重浪费现象,带宽利用分配不均,经常出现某一运营商线路已满载了,而其它运营商线路基本处于闲置状态。
◆ 入向流量调度手段匮乏。互联网外部用户在外部访问对外发布的应用系统时如何够动态的在各家运营商链路上合理优化分配,且在 一条链路中断时能够智能地自动切换到另外一条链路。
◆ 内网访问外网时,不能智能识别不同的运营商网络资源,需要人为手工来分配,灵活性不够,不智能。未能实现基于特定域名的访 问流量调度。
◆ 基于Web层的SQL注入、XSS、CC攻击等多种Web层安全威胁问题。
齐杉科技互联网企业安全解决方案:
◆ 在互联网企业出口部署齐杉Cedar ADC产品,负责多家运营商线路的接入,主要解决出站(局域网用户和服务器主动访问互联网的 流量)和入站(公有云或其它主动对发部业务的访问)的流量调度问题;
◆ 在出口Cedar ADC之下部署齐杉Cedar NGFW产品,过虑来自互联网对内部的安全威胁,为企业外地员工提供VPN访问业务。
◆ 部局域网与数据中心间部署齐杉Cedar NGFW产品,对访问数据中心的数据进行深度安全检测,安全控制,安全过滤等。
◆ 在数据中心部署齐杉Cedar ADC产品,对关键服务器流量进行高可用调度、应用优化与加速,保障业务可持续服务的同时,提升用 户的访问体验。
◆ 在数据中心部署齐杉Cedar WAF产品,负责处理访问流量中携带的基于Web层的攻击威胁。
智能DNS功能是解决入站流量调度方面的问题,首先将对发部业务的域名解析功能指向齐杉科技Cedar ADC设备,由Cedar ADC设 备来进行域名A记录的解析。举个例子来说,当公有云或外网用户远程通过域名访问对外发布业务系统时,逐步通过公有云或外网用户 的本地DNS服务器、根DNS服务器,最终由Cedar ADC设备来进行域名的A记录解析。然后Cedar ADC设备就会通过智能DNS模块进行 发起访问公有云或外网用户的运营商归属分析,给公有云或外网用户返回对应的运营商访问地址,同时实现多条线路冗余,让公有云或 外网用户得到最佳的访问IP地址,提高访问效率,详细实现如下:
◆ 公有云或外网用户通过Cedar ADC访问后台业务服务器。
◆ 公有云或外网用户请求到达设备的路径有多条,设备的每个外网接口分别对应着不同运营商的链路。
◆ 公有云或外网用户访问域名时,设备对域名进行智能DNS解析,通过将域名解析为所属的运营商IP地址,返回给公有云或外网用户 访问同属性运营商的IP地址,通过智能DNS技术让所属不同运营商网络的外网用户能通过相对应的路径完成业务请求的功能。
出口链路调度对应的功能是解决出站流量调度方面的问题。主要是由企业内部用户和服务器主动发起的对公网的访问,当这部分流 量到达Cedar ADC设备时,Cedar ADC设备会通过预先设定的好策略判断每条链路的健康状况、响应时延,并决定将流量调度到哪条链 路,然后数据包的源地址转换成对应运营商的公网地址,再将该数据包发出,响应数据包返回到设备时,设备将目的地址进行转换之后 将数据包发给内部的用户或服务器。
DNS透明代理实现方式,即内网用户在对外网的域名进行访问时,Cedar ADC设备针对DNS流量进行劫持后,再通过Cedar ADC设 备配合调度算法进行DNS解析调度,将域名解析成对应的对应运营商的服务器地址,以实现达到最优访问速度。
企业内部用户访问外网域名时,设备对域名进行解析,并保证解析的服务器地址所属的运营商类型,与当前连接外网的链路所属的 运营商类型相同。同时确保在内网与外网连接的链路发生切换时,内网的客户端仍能以最优速度访问外网。
互联网业务数据成爆炸式的增长,为保证部署的Cedar系列安全设备稳定性、可靠性、高性能,在方案中,齐杉科技Cedar系列安 全产品通过虚拟化进行部署, 可根据用户的需要灵活地将多台物理Cedar系列安全设备虚拟成一台逻辑设备,也可以将一台物理Cedar 系列安全设备虚拟成多台虚拟安全设备,当其中任意一台物理或虚拟安全设备出现故障时,能够实现业务系统无缝切换,同时可实现 与业务系统的虚拟化进行无缝对接,有效提供运维效率,也方便了用户业务的灵活扩展。
通过Cedar NGFW把数据中心与内部网络进行隔离,通过基于状态的包过滤技术,根据设定的安全策略,过滤位于TCP/IP协议栈数 据链路层、网络层、应用层中隐藏的安全威胁。Cedar NGFW可以根据每个数据包的源MAC地址、目的MAC地址、源IP地址、目的IP地 址、协议、源端口、目的端口、时间、安全特征库等为过滤依据,决定是否对这个数据包给予放行或阻断。
通过Cedar WAF的完整TCP协议栈解析引擎,可以准确的对TCP/IP栈数据包进行重组还原,能完整识别HTTP协议框架, 实现HTTP/ HTTPS协议完整解析和还原,从根源上避免绕过及穿透攻击。通过指纹识别及行为分析引擎,能对TCP协议扫描、UDP协议扫描、Ping 扫描和异常探测行为及时发现并进行及时阻断。通过特有的并行流过滤处理引擎,满足在灵活定制各种复杂WEB防护策略、开启各种 WEB行为攻击检测的同时,实现万兆高并发低延迟处理。通过敏感信息检测引擎,对服务器返回信息的HTTP头域、URI字段、Cookie、 服务器信息等进行有效识别,完成对敏感信息泄露过滤。
Cedar WAF针对SQL注入攻击、跨站攻击、脚本木马、缓冲区溢出、信息泄露、CC攻击等攻击全面防御,让对门户网站系统的信息 泄露、伪造和破坏风险降到最低,IT人员针对Web系统的安全忧虑迎刃而解。
Cedar ADC应用调度主要针对企业内部,同一业务部署在多台服务器上提供高可靠的一种解决方案,应用调度功能通过丰富的调度 算法,结合健康检查、会话保持策略,动态的将每一次业务请求调度到性能最优服务器成员上,确保每一次用户的访问体验都最佳。
Cedar ADC通过多种静态和动态调度算法,确保访问数据中心服务器的流量智能的分发给最佳服务成员。
◆ 轮询:把来自用户的请求轮流分配给内部的服务器:从服务器1开始,直到服务器N,然后重新开始循环。
◆ 加权轮询:根据服务器的不同处理能力,给每个服务器分配不同的权值,使其能够接受相应权值数的服务请求。
◆ 最小连接:根据当前各服务器或链路的连接数来估计服务器或链路的负载情况,把新的连接分配给连接数最小的服务器或链路。
◆ 加权最小连接:调度新连接时尽可能使服务器或链路的已建立活动连接数和服务器或链路权值成比例,权值表明了服务器处理性能 或链路实际带宽。
◆ 动态反馈:设备根据不同链路的实际剩余带宽及权值,将新连接分发到剩余带宽最大的链路上。
◆ 源IP哈希:通过一个散列(Hash)函数将来自同一个源IP的请求映射到一台服务器或链路上。
◆ 源和端口IP哈希:通过一个散列函数将来自同一个源IP和源端口号的请求映射到一台服务器或链路上。
◆ 基于目的IP哈希:通过一个散列函数将去往同一个目的IP的请求映射到一台服务器或链路上
◆ 最快响应时间:设备根据不同链路或服务器的实际响应时间,将新连接分发到响应时间最短的链路或服务器上。
◆ 基于源IP地址的会话保持功能
基于源IP地址的持续性功能常用于应用调度中,用以确保同一个客户端的业务能分配到同一个服务器中。Cedar ADC接收到某一客 户端的某一业务的首次请求时,建立持续性表项,记录为该客户分配的服务器情况,在会话表项生存周期内,后续相同源IP地址的业务 报文都将发往该服务器处理。
◆ 基于目的IP地址的会话保持功能
基于目的IP地址的持续性功能常用于链路调度应用中,用以确保去往同一个目的地址的业务能分配到同一条链路上。Cedar ADC接
收到某一客户端的某一业务的首次请求时,建立持续性表项,记录为该客户分配的链路情况,在会话表项生存周期内,后续相同目的IP 地址的业务报文都将分发到该链路转发。
◆ 基于Cookie、头域、Session的会话保持功能常用于web服务器需要用户携带私有信息或某些特定信息的应用调度中,用来确保同 一个用户能够去往同一个目的地址。Cookie支持4种持续性方式,包括插入模式,重写模式,被动模式,HASH模式。
所谓健康检测,就是Cedar ADC定期对真实服务器服务状态进行探测,收集相应信息,及时隔离工作异常的服务器成员。Cedar ADC 设备通过17种健康检测的结果标识服务器健康情况,统计出服务器的响应时间,作为选择服务器的依据。
通过Cedar ADC的连接复用、SSL卸载、缓存、内容压缩等优化技术,为数据中心业务访问提速。连接复用就是将多个连接合并为一 个连接来与服务器进行通信,减少与服务器三次握手的次数,提交数据交换的效率,达到提升用户访问的效果。SSL卸载是通过高性能硬 件加速芯片,对SSL协议进行加解密处理,从而减轻服务器的压力,提升服务器对请求的响应速度。缓存是通过缓存空间将一些常被访问 的静态文件,如图片、文档、视频等进行本地缓存,客户请求时,直接由Cedar ADC设备进行响应,提升请求响应效能。压缩是通过 HTTP压缩算法,提升带宽利用率,缩短下载时间,从而提升用户体验。
◆ 安全性:实现L2~7层的立体安全防护,让数据中心固若金汤。
◆ 高可靠:关键业务7*24的可持续性提升服务,并同时升级用户的访问体验。
◆ 虚拟化:业务级虚拟化,提升数据中心安全的同时,让业务扩展、性能提升更灵活性。
◆ 高可用:提升用户安全体验的同时,提升了故障的自愈能力,大大提升用户的满意度。