梭子魚服務(wù)器負(fù)載均衡BLB通用項目方案

./服務(wù)器系統(tǒng)負(fù)載均衡項目建議書梭子魚負(fù)載均衡機通用方案文檔修訂記錄標(biāo)題服務(wù)器系統(tǒng)負(fù)載均衡項目建議書--梭子魚負(fù)載均衡機通用方案文檔類型產(chǎn)品文檔?設(shè)計方案?實施文檔?配置文檔?測試文檔?其他?當(dāng)前版本V1.0文檔作者梭子魚〔中國〕文檔審閱創(chuàng)建日期2012/5/11文檔名稱服務(wù)器系統(tǒng)負(fù)載均衡項目建議書--梭子魚負(fù)載均衡機通用方案更新者更新內(nèi)容與版本更新時間潘淵文檔建立2012/5/14文檔說明此文檔是由梭子魚公司〔中國〕于2012/5/11制定的內(nèi)部文檔。本文檔僅就BarracudaNetworks內(nèi)部與相關(guān)合作伙伴和BarracudaNetworks最終用戶使用.說明本文檔中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、代碼等內(nèi)容,除由特別注明,均屬于BarracudaNetworks所有,受到有關(guān)產(chǎn)權(quán)與法保護(hù)。任何個人、機構(gòu)未經(jīng)BarracudaNetworks書面授權(quán)許可,不得以任何方式復(fù)制或引用本文檔的任何片斷。目錄第一章前言4第二章梭子魚負(fù)載均衡機的技術(shù)優(yōu)勢52.1功能全面的服務(wù)器負(fù)載均衡解決方案52.2梭子魚負(fù)載均衡機的基本原理62.3梭子魚負(fù)載均衡機的特色62.4梭子魚負(fù)載均衡機的功能82.4.1負(fù)載算法82.4.2服務(wù)器健康檢查102.4.3會話保持102.4.4內(nèi)建IPS防御攻擊112.4.5梭子魚的高可用性14第三章XXXXX負(fù)載均衡機需求分析與項目方案153.1客戶網(wǎng)絡(luò)概況153.2梭子魚解決方案153.3梭子魚型號的選擇163.4梭子魚產(chǎn)品安裝部署16第四章負(fù)載均衡機產(chǎn)品國內(nèi)外評測194.1微軟認(rèn)證合作伙伴194.2獎項資質(zhì)19第五章梭子魚客戶情況20第一章前言隨著寬帶網(wǎng)絡(luò)技術(shù)的不斷發(fā)展以與網(wǎng)絡(luò)基礎(chǔ)設(shè)施的完善,Internet在國內(nèi)得到迅速的發(fā)展,短短幾年中,國內(nèi)上網(wǎng)人數(shù)突破了1.3億。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心20xx1月公布的數(shù)據(jù),我國上網(wǎng)計算機數(shù)約5940萬臺,其中寬帶上網(wǎng)計算機為3530萬臺,撥號上網(wǎng)計算機為1820萬臺。我國上網(wǎng)用戶人數(shù)約13700萬人,其中寬帶上網(wǎng)的用戶人數(shù)約為9070萬,撥號上網(wǎng)的用戶人數(shù)約為3900萬,同時使用寬帶與撥號的用戶人數(shù)為565萬。除計算機外同時使用其它設(shè)備<移動終端、信息家電等>上網(wǎng)的用戶人數(shù)為1700萬。不少地方如XXXX等網(wǎng)民數(shù)站到總?cè)丝诘?/3?；ヂ?lián)網(wǎng)已經(jīng)徹底地成為了人們工作、生活的一部分。對于提供互聯(lián)網(wǎng)服務(wù)的服務(wù)器而言,出現(xiàn)了如下變化：訪問量大量增加網(wǎng)絡(luò)用戶的所有請求都涌向源,很多網(wǎng)絡(luò)服務(wù)因為訪問次數(shù)爆炸式地增長而不堪重負(fù),不能與時處理用戶的請求,導(dǎo)致用戶進(jìn)行長時間的等待,大大降低了服務(wù)質(zhì)量。如何建立可伸縮的網(wǎng)絡(luò)服務(wù)來滿足不斷增長的負(fù)載需求已成為迫在眉睫的問題。內(nèi)容與功能的增加例如：現(xiàn)在Web服務(wù)中越來越多地使用CGI、動態(tài)主頁等CPU密集型應(yīng)用,這對服務(wù)器的性能有較高要求。此外,企業(yè)的互動和多媒體內(nèi)容增多,企業(yè)上大量Flash,圖片內(nèi)容影響響應(yīng)速度；企業(yè)宣傳活動與新產(chǎn)品發(fā)布期間,易產(chǎn)生"數(shù)據(jù)風(fēng)暴"影響服務(wù)與新產(chǎn)品的推廣宣傳。再如：流媒體作為網(wǎng)絡(luò)內(nèi)容的新生代,已經(jīng)被越來越多的內(nèi)容提供商和企業(yè)所采用,用戶將更多的從網(wǎng)絡(luò)上獲取流媒體的內(nèi)容。會議、研討會、娛樂、體育活動直播、網(wǎng)上教育、網(wǎng)上影院等更加豐富多樣的流媒體體現(xiàn)形式也將進(jìn)一步走進(jìn)網(wǎng)絡(luò)用戶的生活,隨著寬帶時代的到來,寬帶用戶渴望看到大量流媒體內(nèi)容。安全性增加由于的所有內(nèi)容都是以數(shù)字的形式流轉(zhuǎn)于Internet之上,因此,在網(wǎng)絡(luò)運營中不可避免地存在著由Internet的自由、開放所帶來的信息安全隱患。Internet上橫行的黑客、肆虐的病毒使用戶感覺到目前的網(wǎng)絡(luò)環(huán)境缺乏安全。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心〔CNNIC〕20xx1月公布的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示,用戶認(rèn)為目前網(wǎng)上交易存在的最大問題是"安全性得不到保障",排在了第一位,由此可見用戶對網(wǎng)絡(luò)安全性的憂慮程度。因此,對用硬件和軟件方法實現(xiàn)高可伸縮、高可用網(wǎng)絡(luò)服務(wù)的需求不斷增長,這種需求可以歸結(jié)以下幾點：可擴展性〔Scalability〕,當(dāng)服務(wù)的負(fù)載增長時,系統(tǒng)能被擴展來滿足需求,且不降低服務(wù)質(zhì)量。高可用性〔Availability〕,盡管部分硬件和軟件會發(fā)生故障,整個系統(tǒng)的服務(wù)必須是每天24小時每星期7天可用的?？晒芾硇浴睲anageability〕,整個系統(tǒng)可能在物理上很大,但應(yīng)該易于管理。價格有效性〔Cost-effectiveness〕,整個系統(tǒng)實現(xiàn)是經(jīng)濟的、高性價比的。第二章梭子魚負(fù)載均衡機的技術(shù)優(yōu)勢2.1功能全面的服務(wù)器負(fù)載均衡解決方案.主要功能.L4/L7負(fù)載均衡支持IPV6提供硬件和虛擬兩種產(chǎn)品交付方式全局負(fù)載均衡〔GSLB〕通過微軟認(rèn)證：Exchange2010,LyncServer2010,OfficeCommunicationServer<OCS>2007支持微軟遠(yuǎn)程桌面服務(wù)SSL卸載緩存&壓縮內(nèi)容路由TCP池復(fù)用SIP負(fù)載均衡.2.2梭子魚負(fù)載均衡機的基本原理針對Internet的飛速發(fā)展給企業(yè)網(wǎng)絡(luò)帶寬和服務(wù)器帶來的這種巨大挑戰(zhàn),企業(yè)有兩種解決思路。一種方法是增加服務(wù)器的性能,例如采用對稱多處理系統(tǒng)〔SymmetricMulti-Processor,簡稱SMP〕,該系統(tǒng)是由多個對稱的處理器、和通過總線共享的內(nèi)存和I/O部件所組成的計算機系統(tǒng),具有強大的處理能力。但是隨著業(yè)務(wù)量的增大,這種服務(wù)器升級時具有明顯的不足。一是升級過程繁瑣,機器切換會使服務(wù)暫時中斷,并造成原有計算資源的浪費；二是越往高端的服務(wù)器,所花費的代價越大；三是SMP服務(wù)器是單一故障點〔SinglePointofFailure〕,一旦該服務(wù)器或應(yīng)用軟件失效,會導(dǎo)致整個服務(wù)的中斷。另一種思路是采用服務(wù)器集群實現(xiàn)高可伸縮的、高可用網(wǎng)絡(luò)服務(wù)的有效結(jié)構(gòu)。這種方案通過一組服務(wù)器分擔(dān)任務(wù),可以獲得很高的整體性能。也易于擴展,性價比也很高。但是簡單的服務(wù)器機群在實現(xiàn)可伸縮的網(wǎng)絡(luò)服務(wù)存在許多問題。例如透明性〔Transparency〕問題,用戶希望由多個獨立計算機組成的松藕合的集群系統(tǒng)構(gòu)成一個虛擬服務(wù)器；客戶端應(yīng)用程序與集群系統(tǒng)交互時,就像與一臺高性能、高可用的服務(wù)器交互一樣,客戶端無須作任何修改。部分服務(wù)器的切入和切出不會中斷服務(wù),對用戶也是透明的。再比如流量的均衡,管理的便捷性。這些要求是服務(wù)器集群無法實現(xiàn)的。梭子魚負(fù)載均衡機〔BarracudaLoadBalancer〕提供了另外一個思路。利用梭子魚負(fù)載均衡機。將一組服務(wù)器構(gòu)成一個實現(xiàn)可伸縮的、高可用網(wǎng)絡(luò)服務(wù)的虛擬服務(wù)器。其體系結(jié)構(gòu)如下圖,在一組服務(wù)器的前端安裝梭子魚負(fù)載均衡機,所有外部的請求將先連接在梭子魚負(fù)載均衡機VIP上〔也稱為虛擬服務(wù)器上〕,梭子魚執(zhí)行NAT,無縫地將網(wǎng)絡(luò)請求調(diào)度到真實服務(wù)器上。從而使得服務(wù)器集群的結(jié)構(gòu)對客戶是透明的,客戶訪問集群系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)就像訪問一臺高性能、高可用的服務(wù)器一樣?？蛻舫绦虿皇芊?wù)器集群的影響不需作任何修改。系統(tǒng)的伸縮性通過在服務(wù)機群中透明地加入和刪除一個節(jié)點來達(dá)到,通過檢測節(jié)點或服務(wù)進(jìn)程故障和正確地重置系統(tǒng)達(dá)到高可用性。.2.3梭子魚負(fù)載均衡機的特色梭子魚負(fù)載均衡機提供強大、易于使用、成本效益高的企業(yè)級服務(wù)器負(fù)載均衡設(shè)備,是當(dāng)前負(fù)載均衡設(shè)備中最活躍、最易推廣、最易普與的服務(wù)器負(fù)載均衡機品牌。其設(shè)計遵循以下原則：可擴展性：IT技術(shù)日新月異,一年以前最新的產(chǎn)品,現(xiàn)在或許已是網(wǎng)絡(luò)中性能最低的產(chǎn)品；負(fù)載均衡機應(yīng)能夠根據(jù)信息化的不斷深入發(fā)展的需要,方便的擴展〔或裁剪〕服務(wù)器,以滿足企業(yè)業(yè)務(wù)擴展的需要。需具備支持多種通信媒體,能均衡不同操作系統(tǒng)和硬件平臺之間的負(fù)載,能均衡、、新聞、代理、數(shù)據(jù)庫、防火墻和

Cache等不同服務(wù)器的負(fù)載,并且能以對客戶端完全透明的方式動態(tài)增加或刪除某些資源。梭子魚負(fù)載均衡機使用TCP/UDP協(xié)議和IP負(fù)載平衡調(diào)度,支持所有基于IP的應(yīng)用程序負(fù)載均衡。包括：高流量的,如,s,FTP,流媒體等。使用瘦客戶端的主機應(yīng)用程序,如：Citrix、Windows終端服務(wù)。其他IP服務(wù),如：SMTP、DNS、TFTP、RADIUS、LDAP等。靈活性：均衡解決方案應(yīng)能靈活地提供不同的應(yīng)用需求,滿足應(yīng)用需求的不斷變化。在不同的服務(wù)器群有不同的應(yīng)用需求時,梭子魚可以提供多樣的均衡策略提供更廣泛的選擇。梭子魚負(fù)載均衡機部署靈活,支持路由模式、橋接模式、服務(wù)直接返回模式。路由模式部署靈活,約60%的用戶采用這種方式部署；橋接模式不改變現(xiàn)有的網(wǎng)絡(luò)架構(gòu)；服務(wù)直接返回〔DSR〕比較適合吞吐量大特別是內(nèi)容分發(fā)的網(wǎng)絡(luò)應(yīng)用。約30%的用戶采用這種模式?？煽啃裕涸趯Ψ?wù)質(zhì)量要求較高的站點,負(fù)載均衡解決方案應(yīng)能為服務(wù)器群提供完全的容錯性和高可用性。但在負(fù)載均衡設(shè)備自身出現(xiàn)故障時,應(yīng)該有良好的冗余解決方案,提高可靠性。使用冗余時,處于同一個冗余單元的多個負(fù)載均衡設(shè)備必須具有有效的方式以便互相進(jìn)行監(jiān)控,保護(hù)系統(tǒng)盡可能地避免遭受到重大故障的損失。梭子魚負(fù)載均衡機提供強大的企業(yè)級的解決方案,它可以用于為任何基于IP的應(yīng)用程序提供IP負(fù)載均衡,它監(jiān)控服務(wù)器的健康狀態(tài),并在服務(wù)器故障時自動容錯,而梭子魚本身還可以部署成主/次模式,如果主設(shè)備故障,次負(fù)載均衡設(shè)備能自動切換成主設(shè)備,最大程度的減小了整個負(fù)載均衡服務(wù)器集群的風(fēng)險。易管理性：不管是通過軟件還是硬件方式的均衡解決方案,我們都希望它有靈活、直觀和安全的管理方式,這樣便于安裝、配置、維護(hù)和監(jiān)控,提高工作效率,避免差錯。梭子魚〔Barracuda〕提供給用戶是非常易于使用的產(chǎn)品。用戶打開包裝箱,把梭子魚安裝在19英寸標(biāo)準(zhǔn)機架上,進(jìn)行簡單的配置后梭子魚立刻開始提供高性能的負(fù)載均衡服務(wù)。這一過程僅僅只需要十分鐘。梭子魚〔Barracuda〕提供給用戶的是一種"即插即忘"式的產(chǎn)品,無需用戶進(jìn)行復(fù)雜的系統(tǒng)操作,管理員通過WEB.2.4梭子魚負(fù)載均衡機的功能2.4.1負(fù)載算法梭子魚負(fù)載均衡機利用虛擬IP地址〔VIP由IP地址和TCP/UDP應(yīng)用的端口組成,它是一個地址〕來為用戶的一個或多個目標(biāo)服務(wù)器〔稱為節(jié)點,即真實服務(wù)器RealServer的IP地址和TCP/UDP應(yīng)用的端口組成,它可以是私網(wǎng)地址〕提供服務(wù)。因此,它能夠為大量的基于TCP/IP的網(wǎng)絡(luò)應(yīng)用提供服務(wù)器負(fù)載均衡服務(wù)。梭子魚負(fù)載均衡機連續(xù)地對目標(biāo)服務(wù)器進(jìn)行L4到L7合理性檢查,當(dāng)用戶通過VIP請求目標(biāo)服務(wù)器服務(wù)時,梭子魚負(fù)載均衡機根椐目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況,選擇性能最佳的服務(wù)器響應(yīng)用戶的請求。能夠充分利用所有的服務(wù)器資源,將所有流量均衡的分配到各個服務(wù)器,我們就可以有效地避免"不平衡"現(xiàn)象的發(fā)生。梭子魚負(fù)載均衡機是一臺對流量和內(nèi)容進(jìn)行管理分配的設(shè)備。它提供7種靈活的算法將數(shù)據(jù)流有效地轉(zhuǎn)發(fā)到它所連接的服務(wù)器群。而面對用戶,只是一臺虛擬服務(wù)器。用戶此時只須記住一臺服務(wù)器,即虛擬服務(wù)器。但他們的數(shù)據(jù)流卻被梭子魚負(fù)載均衡機靈活地均衡到所有的服務(wù)器。這7種算法包括：輪詢〔RoundRobin〕：輪詢算法就是順序循環(huán)將請求依次順序循環(huán)地連接每個服務(wù)器。在此過程中,如果梭子魚檢測到某個服務(wù)器第二到第7層的故障,梭子魚將把該服務(wù)器從順序循環(huán)隊列中拿出〔稱為切出服務(wù)〕,不參與下一次輪詢,直到其恢復(fù)正常。該算法相對簡單,其優(yōu)點是簡潔,它無需記錄當(dāng)前所有連接的狀態(tài),所以它是一種無狀態(tài)調(diào)度。但是由于它假設(shè)所有服務(wù)器處其理性能均相同,不管服務(wù)器的當(dāng)前連接數(shù)和響應(yīng)速度。因此不適用于服務(wù)器組中處理性能不一的情況,而且當(dāng)請求服務(wù)時間變化比較大時輪詢,輪詢算法容易導(dǎo)致服務(wù)器間的負(fù)載不平衡。加權(quán)輪詢算法〔WeightedRound-Robin〕：加權(quán)輪詢算法可以解決服務(wù)器間性能不一的情況,它用相應(yīng)的權(quán)值表示服務(wù)器的處理性能,服務(wù)器的缺省權(quán)值為1。假設(shè)服務(wù)器A的權(quán)值為1,B的權(quán)值為2,則表示服務(wù)器B的處理性能是A的兩倍。加權(quán)輪叫調(diào)度算法是按權(quán)值的高低和輪詢方式分配請求到各服務(wù)器。權(quán)值高的服務(wù)器先收到的連接,權(quán)值高的服務(wù)器比權(quán)值低的服務(wù)器處理更多的連接,相同權(quán)值的服務(wù)器處理相同數(shù)目的連接數(shù)。例如,有三個服務(wù)器A、B和C分別有權(quán)值4、3和2,則在一個調(diào)度周期調(diào)度序列為AABABCABC。加權(quán)輪詢調(diào)度算法還是比較簡單和高效。加權(quán)輪詢調(diào)度也無需記錄當(dāng)前所有連接的狀態(tài),所以它也是一種無狀態(tài)調(diào)度。當(dāng)請求的服務(wù)時間變化很大,單獨的加權(quán)輪詢調(diào)度算法依然會導(dǎo)致服務(wù)器間的負(fù)載不平衡。在此過程中,如果梭子魚檢測到某個服務(wù)器第二到第7層的故障,梭子魚將把該服務(wù)器從順序循環(huán)隊列中拿出〔稱為切出服務(wù)〕,不參與下一次輪詢,直到其恢復(fù)正常。最小連接算法：最小連接算法〔Least-ConnectionScheduling〕是把新的連接請求分配到當(dāng)前連接數(shù)最小的服務(wù)器。最小連接調(diào)度是一種動態(tài)調(diào)度算法,它通過服務(wù)器當(dāng)前所活躍的連接數(shù)來估計服務(wù)器的負(fù)載情況。調(diào)度器需要記錄各個服務(wù)器已建立連接的數(shù)目,當(dāng)一個請求被調(diào)度到某臺服務(wù)器,其連接數(shù)加1；當(dāng)連接中止或超時,其連接數(shù)減一。在此過程中,如果梭子魚檢測到某個服務(wù)器第二到第7層的故障,梭子魚將把該服務(wù)器從順序循環(huán)隊列中拿出〔稱為切出服務(wù)〕,不參與下一次輪詢,直到其恢復(fù)正常。當(dāng)各個服務(wù)器有相同的處理性能時,最小連接調(diào)度算法能把負(fù)載變化大的請求分布平滑到各個服務(wù)器上,所有處理時間比較長的請求不可能被發(fā)送到同一臺服務(wù)器上。但是,當(dāng)各個服務(wù)器的處理能力不同時,該算法并不理想,因為TCP連接處理請求后會進(jìn)入TIME_WAIT狀態(tài),TCP的TIME_WAIT一般為2分鐘,此時連接還占用服務(wù)器的資源,所以會出現(xiàn)這樣情形,性能高的服務(wù)器已處理所收到的連接,連接處于TIME_WAIT狀態(tài),而性能低的服務(wù)器已經(jīng)忙于處理所收到的連接,還不斷地收到新的連接請求。加權(quán)最小連接算法：加權(quán)最小連接〔WeightedLeast-ConnectionScheduling〕算法是最小連接調(diào)度的超集,各個服務(wù)器用相應(yīng)的權(quán)值表示其處理性能。服務(wù)器的缺省權(quán)值為1,系統(tǒng)管理員可以動態(tài)地設(shè)置服務(wù)器的權(quán)值。加權(quán)最小連接調(diào)度在調(diào)度新連接時盡可能使服務(wù)器的已建立連接數(shù)和其權(quán)值成比例。在此過程中,如果梭子魚檢測到某個服務(wù)器第二到第7層的故障,梭子魚將把該服務(wù)器從順序循環(huán)隊列中拿出〔稱為切出服務(wù)〕,不參與下一次輪詢,直到其恢復(fù)正常。觀察模式：這種方式基于動態(tài)反饋負(fù)載均衡機制,來控制新連接的分配,從而控制各個服務(wù)器的負(fù)載。調(diào)度器根據(jù)單位時間內(nèi)服務(wù)器收到新連接數(shù)與平均連接數(shù)的比例,計算服務(wù)器的負(fù)載,并依此計算出新的權(quán)重進(jìn)行流量的分配。CPU動態(tài)性能分配：調(diào)度器通過SNMP向各個服務(wù)器查詢服務(wù)器當(dāng)前CPU負(fù)載LOADi,并依此計算出新的權(quán)重進(jìn)行流量的分配。URL測試動態(tài)性能分配：調(diào)度器向服務(wù)器發(fā)送測試頁面,根據(jù)服務(wù)器響應(yīng)時間,計算新的權(quán)重進(jìn)行流量分配。這種方式能比較好的反映服務(wù)器上請求等待隊列的長度和請求的處理時間。如果服務(wù)器設(shè)定的時間內(nèi)沒有響應(yīng),梭子魚將認(rèn)為服務(wù)器不可達(dá),該服務(wù)器的權(quán)值將設(shè)為零,即將服務(wù)器切出。直至恢復(fù)。網(wǎng)絡(luò)中的實際流量呈波浪型發(fā)生的,在一段較長時間的小流量后,會有一段大流量的訪問,然后是小流量,這樣跟波浪一樣周期性地發(fā)生。當(dāng)出現(xiàn)流量"峰值"時,如果能調(diào)配所有服務(wù)器的資源同時提供服務(wù),所謂的"峰值堵塞"壓力就會由于系統(tǒng)性能的大大提高而明顯減弱。由于梭子魚優(yōu)秀的負(fù)載均衡能力,所有流量會被均衡的轉(zhuǎn)發(fā)到各個服務(wù)器,即組織所有服務(wù)器提供服務(wù)。這時,系統(tǒng)性能等于所有服務(wù)器性能的總和,遠(yuǎn)大于流量"峰值"。這樣,即緩解了"峰值堵塞"的壓力,又降低了為調(diào)整系統(tǒng)性能而增加的投資。用戶可以根據(jù)任意制訂的規(guī)則將客戶端的訪問導(dǎo)向到不同的服務(wù)器群組。2.4.2服務(wù)器健康檢查梭子魚負(fù)載均衡機支持真實服務(wù)器和服務(wù)的自動發(fā)現(xiàn),從而方便部署新的服務(wù)器。對常用的服務(wù),用戶不需要手動設(shè)置端口,梭子魚能自動檢測在指定的服務(wù)器上有哪些服務(wù)正在運行,節(jié)省部署和配置的時間。梭子魚還支持OSI模型二到七層的healthchecking。特別是EAV和ECV功能：基礎(chǔ)網(wǎng)絡(luò)檢查Ping四層應(yīng)用檢查TCP/UDPport擴展內(nèi)容查證ECVECV是一種非常復(fù)雜的服務(wù)檢查,用于確認(rèn)應(yīng)用程序能否對請求返回對應(yīng)的數(shù)據(jù)。如果一個應(yīng)用對該服務(wù)檢查做出響應(yīng)并返回對應(yīng)的數(shù)據(jù),梭子魚就將該服務(wù)器標(biāo)識為健康狀態(tài)。如果服務(wù)器不能返回相應(yīng)的數(shù)據(jù),則將該服務(wù)器標(biāo)識為宕機,并將其切出服務(wù)。宕機一旦修復(fù),梭子魚就會自動發(fā)現(xiàn)該服務(wù)器已經(jīng)恢復(fù)健康,并將其列入輪詢序列。擴展應(yīng)用驗證EAVEAV是另一種服務(wù)檢查,用于確認(rèn)運行在某個服務(wù)器上的應(yīng)用能否對客戶請求作出響應(yīng)。梭子魚Web管理界面上設(shè)置了一組被稱作外部服務(wù)檢查者的客戶程序,該程序為用戶提供完全客戶化的服務(wù)檢查功能。例如,DNS_TEST程序,用戶可以輸入需要查詢的主機名與匹配值,如果真實服務(wù)器返回的值與匹配值相同,則表明該服務(wù)正常。梭子魚預(yù)定義的擴展驗證〔EAV〕檢查包括：DNS、SPAMFIREWALL、SNMP、POP、IMAP、SMTP、SIMPLE_、SIMPLE_S、_SLOW、_TEST。2.4.3會話保持梭子魚負(fù)載均衡機經(jīng)過專門設(shè)計,可以為關(guān)鍵業(yè)務(wù)站點提供高可用性和智能負(fù)載平衡。除這些能力外,還可以識別用戶固定訪問特定服務(wù)器的要求,以支持用戶重新建立到特定服務(wù)器的連接。在這些條件下,梭子魚負(fù)載均衡機會放棄負(fù)載平衡算法以支持對話持續(xù)性。舉例來說,如果某位用戶連接到了一臺服務(wù)器上,那么我們肯定希望該用戶在將來再次連接時將仍可連接到該臺服務(wù)器上。當(dāng)該服務(wù)器存有用戶相關(guān)數(shù)據(jù),并且這些數(shù)據(jù)并不與其它服務(wù)器動態(tài)共享時,持續(xù)性就顯得十分有必要了。例如,讓我們假設(shè)一位用戶在某采購了一"購物車"的商品,然后還未結(jié)帳就離開了該。如果在其重新登錄后,BIG-IP應(yīng)用交換機將客戶請求路由至不同的服務(wù)器,那么新的服務(wù)器對該用戶的數(shù)據(jù)和其所購買的商品將一無所知。當(dāng)然,如果所有服務(wù)器都在同一個后臺數(shù)據(jù)庫服務(wù)器中存儲用戶信息與其選購商品的話,那么一切就不成問題了。但是如果不是這樣設(shè)計的,那么具體的購物車數(shù)據(jù)就只能存儲在特定的服務(wù)器上。這樣,BIG-IP應(yīng)用交換機就必需選擇用戶曾連接上的那臺服務(wù)器,以無縫地處理用戶請求。此外,會話保持的功能將減少新建連接的數(shù)量,這將有助于減小負(fù)載均衡機系統(tǒng)開銷。2.4.4內(nèi)建IPS防御攻擊防御攻擊包括兩個層面,第一個層面如前述服務(wù)器健康檢查,負(fù)載均衡設(shè)備通過精確探測服務(wù)器的健康狀態(tài),再服務(wù)器處理能力達(dá)到飽和前可以自動的屏蔽新建,以免服務(wù)器可能由于在瞬間接受超過服務(wù)器吞吐能力的數(shù)據(jù)流而直接導(dǎo)致系統(tǒng)崩潰,甚至導(dǎo)致數(shù)據(jù)丟失或客戶資料遺失。從而達(dá)到以下目的：確保所有IP應(yīng)用的高可用性和正常運行時間創(chuàng)建一個可控的執(zhí)行點以對所有流量進(jìn)行前瞻性安全控制使服務(wù)器和應(yīng)用能夠與時準(zhǔn)確地做出響應(yīng)無需額外硬件、軟件或其它IT資源輕松適應(yīng)未來不斷變化的業(yè)務(wù)需求第二個層面是在負(fù)載均衡設(shè)備上建立相應(yīng)的安全機制。首先是端口的屏蔽。采用負(fù)載均衡設(shè)備后,用戶無法直接于服務(wù)器聯(lián)系,必須與負(fù)載均衡設(shè)備上建立的虛擬服務(wù)器建立,所以黑客無法獲得服務(wù)器的真實地址,增加了黑客攻擊的難度。同時,由于虛擬服務(wù)器對外只提供應(yīng)用服務(wù)端口,其余端口負(fù)載均衡機均不響應(yīng)且直接DropPacket,從而有效地屏蔽了黑客攻擊的第一步——端口掃描。甚至可以將虛擬服務(wù)器的ARP響應(yīng)屏蔽,從而使黑客無法PING通虛擬服務(wù)器。由于對外只提供必須的應(yīng)用端口,因而可以有效地屏蔽常用黑客攻擊手段。其次是對于DoS/DDoS攻擊,梭子魚能從內(nèi)核級就予以屏蔽,具體實施如下：Synflood:該攻擊以多個隨機的源主機地址向目的主機發(fā)送SYN包,而在收到目的主機的SYNACK后并不回應(yīng),這樣,目的主機就為這些源主機建立了大量的連接隊列,而且由于沒有收到ACK一直維護(hù)著這些隊列,造成了資源的大量消耗而不能向正常請求提供服務(wù)。梭子魚的策略：梭子魚采用特有的SYNproxy功能,所有與虛擬服務(wù)器建立SYN的請求均由梭子魚代替服務(wù)器響應(yīng),梭子魚并不將SYN請求發(fā)送到服務(wù)器。對方響應(yīng)了梭子魚的ACK,并真正發(fā)送GET請求時,梭子魚才與服務(wù)器建立并發(fā)送GET請求。所以普通的Synflood只會和梭子魚通訊,無法攻擊到服務(wù)器。PingofDeath

根據(jù)TCP/IP的規(guī)X,一個包的長度最大為65536字節(jié)。盡管一個包的長度不能超過65536字節(jié),但是一個包分成的多個片段的疊加卻能做到。當(dāng)一個主機收到了長度大于65536字節(jié)的包時,就是受到了PingofDeath攻擊,該攻擊會造成主機的宕機。梭子魚的策略：如前所述,在梭子魚上可以將虛擬服務(wù)器的ARP屏蔽,ICMP包系統(tǒng)根本不響應(yīng)。其次,虛擬服務(wù)器的ICMP響應(yīng)是由梭子魚的管理進(jìn)程提供響應(yīng),當(dāng)管理進(jìn)程繁忙時,系統(tǒng)會自動降低虛擬服務(wù)器的ICMP響應(yīng)的優(yōu)先級甚至不響應(yīng),而管理進(jìn)程與服務(wù)器負(fù)載均衡是兩個完全不同的進(jìn)程,在梭子魚上其內(nèi)存和CPU使用時間是嚴(yán)格分離的,所以PingofDeath絲毫不會影響服務(wù)器負(fù)載均衡,也就是不會影響真正對外的服務(wù)響應(yīng)端口。IP欺騙DoS攻擊這種攻擊利用RST位來實現(xiàn)。假設(shè)現(xiàn)在有一個合法用戶<.1>已經(jīng)同服務(wù)器建立了正常的連接,攻擊者構(gòu)造攻擊的TCP數(shù)據(jù),偽裝自己的IP為,并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后,認(rèn)為從發(fā)送的連接有錯誤,就會清空緩沖區(qū)中建立好的連接。這時,如果合法用戶再發(fā)送合法數(shù)據(jù),服務(wù)器就已經(jīng)沒有這樣的連接了,該用戶就必須從新開始建立連接。攻擊時,偽造大量的IP地址,向目標(biāo)發(fā)送RST數(shù)據(jù),使服務(wù)器不對合法用戶服務(wù)。梭子魚的策略：如前所述,梭子魚的SYNproxy功能,將TCP的SYN/ACK/SYNACK三段握手作為判斷合法用戶的依據(jù),同時所有的SYN/ACK/SYNACK均不通服務(wù)器,只有當(dāng)用戶發(fā)送GET請求時再與選定的服務(wù)器建立,所以RST只是拆除與梭子魚建立,并不影響合法用戶訪問服務(wù)器。帶寬DoS攻擊如果黑客的連接帶寬足夠大而服務(wù)器又不是很大,黑客可以通過發(fā)送大量請求,來消耗服務(wù)器的緩沖區(qū)消耗服務(wù)器的帶寬。這種攻擊就是人多力量大了,配合上SYN一起實施DoS,威力巨大。梭子魚的策略：這種攻擊發(fā)生時,從站點的路由器、交換機、防火墻到服務(wù)器的帶寬均有可能被占滿。所以如果發(fā)生該種攻擊,首要的任務(wù)是通過EAV/ECV保護(hù)服務(wù)器不要溢出或崩潰。其次,內(nèi)置的IPS能有效地抵御攻擊。上述功能是負(fù)載均衡設(shè)備防攻擊的基本功能。除此之外,內(nèi)置IPS的梭子魚還具備以下功能：1防止病毒：如NIMDA、CodeRed等。2防止針對協(xié)議的攻擊。梭子魚有特定協(xié)議攻擊防護(hù),保護(hù)真實服務(wù)器免遭以SMTP,DNS和LDAP為目的的攻擊。3針對應(yīng)用程序的攻擊：梭子魚保護(hù)那些對外部攻擊特別脆弱的應(yīng)用程序。這些程序包括：IIS,Websphere,ColdFusion,Exchange和許多其它程序。4針對操作系統(tǒng)的攻擊：梭子魚有針對檢測Microsoft和UNIX操作系統(tǒng),標(biāo)記那些與系統(tǒng)相關(guān)的可疑的活動。梭子魚動態(tài)更新示意圖。梭子魚公司建立了一個強大的運營中心BarracudaCentral,7x24小時日以繼夜地工作,監(jiān)控互聯(lián)網(wǎng)上最新的攻擊、漏洞與病毒發(fā)展趨勢,并制作出最新的升級文件。梭子魚負(fù)載均衡機將自動接收這些文件,實現(xiàn)IPS的動態(tài)更新。2.4.5梭子魚的高可用性梭子魚負(fù)載均衡機允許連接一個次梭子魚設(shè)備作為主設(shè)備的后備。所有會話通過Active的設(shè)備的同時,會把會話信息通過同步數(shù)據(jù)線同步到Backup的設(shè)備上,保證在Backup設(shè)備內(nèi)也有所有的用戶訪問會話信息；另外每臺設(shè)備中的watchdog芯片通過心跳線監(jiān)控對方設(shè)備的電頻,當(dāng)Active設(shè)備發(fā)生故障時,watchdog會首先發(fā)現(xiàn),并通知Backup設(shè)備接管SharedIP,VIP等,完成A=>B的切換過程,因為Backup設(shè)備中有事先同步好的會話信息,所以可以保持訪問的暢通和在線會話的數(shù)據(jù)。梭子魚使用8001和8002端口來同步相連系統(tǒng)的配置。每一個連接的梭子魚都會發(fā)送一個"心跳信號"給其它使用SNMP的梭子魚設(shè)備,讓彼此通知對方處于開啟和正常運行狀態(tài)。在路由模式部署中,次梭子魚設(shè)備在主系統(tǒng)5秒內(nèi)仍未發(fā)送心跳