链路负载均衡: 高性能和高安全的同时实现

本文涉及的产品
云防火墙,500元 1000GB
传统型负载均衡 CLB,每月750个小时 15LCU
应用型负载均衡 ALB,每月750个小时 15LCU
简介:

链路负载均衡,由于国内 南电信,北网通的现状和业务需求,竞争这个市场的厂商比较多,在很多地方也都在使用这种产品。但是有一次我们去访问一个高校客户,客户却表示仍旧愿意使用防火墙来做,使用静态策略和必要时的手动修改,也不愿意使用链路负载均衡的设备,原因何在?

进一步了解后客户指出,链路负载均衡的设备他们也测试过多个厂商,在流量调度和链路冗余备份上当然比现有防火墙要灵活的多,但是最大的问题是作为一个高容量的出口设备,防攻击能力远远不如防火墙。

高校情况类似一个小的运营商,内部用户可以数万计,出口在Gbps的级别,学生求知欲强,喜欢新鲜事物,流量类型复杂,内部也容易出现中木马的肉鸡现象。最常见的SYN Flood的攻击,对防火墙而言,可以通过连接状态的监测过滤,而对基于四层和会话的常见链路负载均衡设备,则有可能迅速耗尽设备可使用session资源,造成正常流量无法处理的故障情况出现。例如下图显示( 带宽信息等隐藏):

设备统计下图上毛刺即为不定期出现的由内网发出的SYN Flood攻击,源IP伪造,目标地址是同一个攻击目标,由于新建连接迅速耗尽设备可创建连接数,正常用户的请求得不到相应,设备吞吐量在攻击时明显下降,用户上网受到影响。

 IPS记录:

Apr 22 19:20:47    info     IPS: event<syn flood>: from src<235.242.124.84> to dest<123.147.240.179>: 1 times
Apr 22 19:20:47    info     IPS: event<syn flood>: from src<24.155.131.131> to dest<123.147.240.179>: 1 times
Apr 22 19:20:47    info     IPS: event<syn flood>: from src<121.217.252.5> to dest<123.147.240.179>: 1 times
Apr 22 19:20:47    info     IPS: event<syn flood>: from src<150.183.171.150> to dest<123.147.240.179>: 1 times
Apr 22 19:20:47    info     IPS: event<syn flood>: from src<111.63.169.80> to dest<123.147.240.179>: 1 times
Apr 22 19:20:47    info     IPS: event<syn flood>: from src<238.81.1.192> to dest<123.147.240.179>: 1 times
Apr 22 19:20:47    info     IPS: event<syn flood>: from src<213.116.80.206> to dest<123.147.240.179>: 1 times
Apr 22 19:20:47    info     IPS: event<syn flood>: from src<100.213.59.43> to dest<123.147.240.179>: 1 times
Apr 22 19:20:47    info     IPS: event<syn flood>: from src<201.150.168.150> to dest<123.147.240.179>: 1 times
Apr 22 19:20:47    info     IPS: event<syn flood>: from src<217.121.39.9> to dest<123.147.240.179>: 1 times
Apr 22 19:20:47    info     IPS: event<syn flood>: from src<213.116.80.206> to dest<123.147.240.179>: 1 times
Apr 22 19:20:47    info     IPS: event<syn flood>: from src<100.213.59.43> to dest<123.147.240.179>: 1 times

其实针对SYN Flood攻击有一些很成熟的手段,例如SYN Cookie机制; 原理也容易理解:SYN Cookie是对TCP服务器端的三次握手协议作一些修改,专门用来防范SYN Flood攻击的一种手段。它的原理是,在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时,TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法,再分配专门的数据区进行处理未来的TCP连接。 

通常的Linxu服务器上其实就可以把该功能打开,但是一般服务器和链路负载即使打开该功能,由于大量并发的请求,传统基于软件的处理方式仍旧会对设备造成影响。部分厂商(例如A10 Networks,Juniper等)的产品使用了自己开发的FPGA硬件作为SYN Cookie防御手段,在打开该功能后对CPU无影响,效果也相当明显

启用前后的现象对比:

之前内网(6509进入)的SYN Flood 攻击会影响到电信和网通的出口链路;

之后SYN Flood攻击仍旧到达设备,但已经被设备抑制,对电信和网通出口无影响,流量平滑

链路负载均衡设备通常对设备的性能要求高,安全性同时也一定需要考虑,最后贴一个较高流量的设备吞吐量图:

 

(J.L)



本文转自 virtualadc 51CTO博客,原文链接:http://blog.51cto.com/virtualadc/687671

相关实践学习
SLB负载均衡实践
本场景通过使用阿里云负载均衡 SLB 以及对负载均衡 SLB 后端服务器 ECS 的权重进行修改,快速解决服务器响应速度慢的问题
负载均衡入门与产品使用指南
负载均衡(Server Load Balancer)是对多台云服务器进行流量分发的负载均衡服务,可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。 本课程主要介绍负载均衡的相关技术以及阿里云负载均衡产品的使用方法。
相关文章
|
负载均衡 应用服务中间件 Linux
Nginx系列教程(14) - LVS+KeepAlived+Nginx实现高性能负载均衡集群
Nginx系列教程(14) - LVS+KeepAlived+Nginx实现高性能负载均衡集群
1347 0
|
1月前
|
负载均衡 算法 安全
slb高性能
【11月更文挑战第4天】
31 3
|
1月前
|
弹性计算 监控 安全
slb使用中安全问题
【11月更文挑战第1天】
40 4
|
7月前
|
网络协议 Linux C语言
Intel HDSLB 高性能四层负载均衡器 — 基本原理和部署配置
本篇主要介绍了 Intel HDSLB 的基本运行原理和部署配置的方式,希望能够帮助读者们顺利的把 HDSLB-DPVS 项目 “玩” 起来。
327 9
Intel HDSLB 高性能四层负载均衡器 — 基本原理和部署配置
|
5月前
|
负载均衡 安全 Cloud Native
云上负载均衡:构建高可用、高性能的网络应用架构
与云原生技术深度融合:随着云原生技术的普及和发展未来的云上负载均衡将更加紧密地与云原生技术相结合。例如与Kubernetes等容器编排平台集成实现自动化的服务发现和路由管理;与Serverless架构结合提供无缝的流量接入和请求处理能力。 安全性能提升:面对日益严峻的网络安全威胁云上负载均衡将更加注重安全性能的提升。通过引入加密传输、访问控制、DDoS防护等安全措施确保网络流量的安全性和隐私性;同时还将建立完善的安全监控和应急响应机制以应对各种安全事件和突发事件。 支持多协议和多场景:未来的云上负载均衡将支持更多种类的网络协议和应用场景以满足不同用户和业务的需求。例如支持HTTP/2、
285 0
|
7月前
|
边缘计算 负载均衡 网络协议
Intel HDSLB 高性能四层负载均衡器 — 快速入门和应用场景
在云计算、SDN、NFV 高速发展并普遍落地的今天,随着上云业务的用户数量越来越多、数据中心的规模越来越大,云计算规模成本效应越来越重要。因此,云计算的集约式系统架构逻辑就决定了网络的性能是一个永恒的话题。在云网络的技术体系中,对性能追求不仅是方方面面的,而且是极致严苛的。性能每提升一点,成本就降低一分,收益就提高一些,产品的竞争力就更上一层楼。
126 0
Intel HDSLB 高性能四层负载均衡器 — 快速入门和应用场景
|
7月前
|
负载均衡 网络协议 应用服务中间件
【亮剑】在Linux中构建高可用性和高性能网络服务的负载均衡工具HAProxy、Nginx和Keepalived。
【4月更文挑战第30天】本文介绍了在Linux中构建高可用性和高性能网络服务的负载均衡工具HAProxy、Nginx和Keepalived。HAProxy是一个高性能的开源TCP和HTTP负载均衡器,适合处理大量并发连接;Nginx是一个多功能Web服务器和反向代理,支持HTTP、HTTPS和TCP负载均衡,同时提供缓存和SSL功能;Keepalived用于监控和故障切换,通过VRRP实现IP热备份,保证服务连续性。文中详细阐述了如何配置这三个工具实现负载均衡,包括安装、配置文件修改和启动服务,为构建可靠的负载均衡系统提供了指导。
189 0
|
缓存 负载均衡 算法
Nginx:为什么高性能?Master&worker如何配合?负载均衡算法有哪些?七层和四层负载均衡了解吗?
Nginx:为什么高性能?Master&worker如何配合?负载均衡算法有哪些?七层和四层负载均衡了解吗?
|
缓存 负载均衡 算法
Nginx实现负载均衡(整合SpringBoot小demo)
Nginx实现负载均衡(整合SpringBoot小demo)
381 4
Nginx实现负载均衡(整合SpringBoot小demo)
|
负载均衡 Linux 调度
使用keepalived(HA)+LVS实现高可用负载均衡群集,调度器的双机热备
使用keepalived(HA)+LVS实现高可用负载均衡群集,调度器的双机热备
196 1
使用keepalived(HA)+LVS实现高可用负载均衡群集,调度器的双机热备