網(wǎng)絡(luò)防火墻技術(shù)發(fā)展至今，幾乎已經(jīng)成為了所有的互聯(lián)網(wǎng)企業(yè)的必備安全產(chǎn)品。但是如果一旦企業(yè)網(wǎng)站的訪問量過大，那么就會使得企業(yè)的服務(wù)器難以負荷這些數(shù)據(jù)流量。到時候企業(yè)網(wǎng)站出現(xiàn)了延遲或者服務(wù)器中斷的現(xiàn)象，是企業(yè)和用戶都不想看到的。那么如何通過防火墻來進行負擔(dān)分載呢，本篇文章就通過天網(wǎng)防火墻負擔(dān)分載系統(tǒng)，來闡述一下負擔(dān)分載技術(shù)。

1.天網(wǎng)防火墻負載分擔(dān)--大型服務(wù)節(jié)點的解決方案：

以往在解決這些問題的時候，只能采用更強計算能力的服務(wù)器來替換原來的服務(wù)器，舊的服務(wù)器只能淘汰掉。即使這樣，單臺服務(wù)器的負載能力也是有限的，不可能無限擴展，同時，高檔服務(wù)器的價格是隨著服務(wù)器的性能呈現(xiàn)指數(shù)型上升，因此，采用多臺廉價服務(wù)器組成負載分擔(dān)的系統(tǒng)模型日漸成為主流。

2.天網(wǎng)防火墻負載分擔(dān)系統(tǒng)的原理：

負載分擔(dān)系統(tǒng)主要是將集中在一臺服務(wù)器上的用戶服務(wù)請求分發(fā)到多臺服務(wù)器上。在負載分擔(dān)方式出現(xiàn)的初期，有不少網(wǎng)絡(luò)的設(shè)計采用域名輪轉(zhuǎn)的方式，即是一個域名對應(yīng)多臺服務(wù)器，作為一種廉價的方案，域名輪轉(zhuǎn)的方式可以解決一些服務(wù)器的負載問題。

但是，由于這種負載分擔(dān)的方式有很大的局限性：無法根據(jù)各臺服務(wù)器的負載情況，將用戶服務(wù)請求發(fā)送到不同的服務(wù)器上;在其中一臺服務(wù)器出現(xiàn)問題無法工作的時候，系統(tǒng)仍然會將用戶訪問請求發(fā)送到出現(xiàn)故障的服務(wù)器上，造成一部分服務(wù)的中斷;由于域名解釋一般在各地的服務(wù)器上都會有Cache存在，因此會造成一個地區(qū)的用戶訪問請求將集中在同一臺服務(wù)器上。因而實際上，采用域名輪轉(zhuǎn)的方式來做系統(tǒng)負載分擔(dān)，其效果并不明顯。

3.天網(wǎng)防火墻負載分擔(dān)系統(tǒng)模塊：

使用天網(wǎng)防火墻的分布式方案，可以建造具有快速響應(yīng)時間和高容錯的大容量服務(wù)器集群系統(tǒng)。

天網(wǎng)防火墻的負載分布模塊，可以智能地將用戶的服務(wù)請求分布到多臺服務(wù)器上，同時，提供容錯功能，可以自動隔離出問題的服務(wù)器。系統(tǒng)具體功能如下：

1)動態(tài)負載均衡：

天網(wǎng)防火墻的負載分布模塊可以根據(jù)服務(wù)器的負載情況，包括cpu 占用量，系統(tǒng)Load等情況，自動選擇負載最小的服務(wù)器，將用戶的服務(wù)

請求發(fā)送到該機器上。

2)容錯處理：

天網(wǎng)防火墻的負載分布模塊可以自動檢測服務(wù)器的可用性，當(dāng)某一臺服務(wù)器出現(xiàn)故障的時候，分布式系統(tǒng)會自動繞開發(fā)生故障的機器，不會將用戶的服務(wù)請求發(fā)送到該機器上，保證了系統(tǒng)的正常運作。

負載分擔(dān)系統(tǒng)的原理

4.天網(wǎng)防火墻負載分擔(dān)模塊的工作原理：

天網(wǎng)防火墻負載分擔(dān)模塊的工作原理主要是將用戶的訪問按照一定算法分布到多臺服務(wù)器上。

天網(wǎng)防火墻可以采用多種不同方式實現(xiàn)負載分擔(dān)。從功能上可以分為兩類：

1)智能類：

直接探測

方式：天網(wǎng)防火墻負載分擔(dān)模塊直接向服務(wù)器發(fā)送服務(wù)請求數(shù)據(jù)，根據(jù)服務(wù)器響應(yīng)時間，將無響應(yīng)的服務(wù)器標(biāo)志為問題服務(wù)器，確立用戶

服務(wù)請求轉(zhuǎn)發(fā)的優(yōu)先級。

優(yōu)點：與服務(wù)器采用的系統(tǒng)無關(guān)，用戶服務(wù)器可以采用任何種類的服務(wù)器。

缺點：得到的數(shù)據(jù)不準(zhǔn)確，無法做到完全的負載分擔(dān)。

服務(wù)器Agent

方式：在服務(wù)器端安裝天網(wǎng)防火墻的負載檢測代理軟件，實時向天網(wǎng)防火墻負載分擔(dān)模塊發(fā)送服務(wù)器的負載情況，包括CPU 占用量，系統(tǒng)

Load，網(wǎng)絡(luò)流量等情況，天網(wǎng)防火墻根據(jù)服務(wù)器負載的綜合指數(shù)，確立用戶服務(wù)請求轉(zhuǎn)發(fā)的優(yōu)先級。

優(yōu)點：可以準(zhǔn)確地將用戶服務(wù)請求轉(zhuǎn)發(fā)到真正空閑的服務(wù)器上，保證服務(wù)品質(zhì)。

缺點：必須針對不同操作系統(tǒng)的服務(wù)器安裝負載檢測代理軟件，目前只有Unix系統(tǒng)的負載檢測代理軟件。

2)固定類：

按照固定順序循環(huán)或隨即將用戶服務(wù)請求轉(zhuǎn)發(fā)到服務(wù)器上面。用在某些特殊的場合，例如服務(wù)器端對不正確的服務(wù)請求不響應(yīng)或返回數(shù)據(jù)不正常。

5.IIDR算法：

在實際應(yīng)用中，由于服務(wù)器端常常存在著CGI程序，這些程序會將用戶的信息保存在服務(wù)器的內(nèi)存中，如果負載分擔(dān)系統(tǒng)不能識別用戶來源，就會將同一個用戶的請求分布到不同的服務(wù)器上，就會導(dǎo)致無法正常運行程序。

而天網(wǎng)防火墻的負載負擔(dān)模塊采用獨有的IIDR(智能身份識別)算法，能夠保證同一個用戶的CGI請求可以保留在同一臺服務(wù)器上，保證服務(wù)的正常運作。

6.天網(wǎng)防火墻負載分擔(dān)模塊：

采用分布式結(jié)構(gòu)建造大規(guī)模的Internet應(yīng)用，可以容納大量的用戶，然而在用戶量增大到一定的情況下，負載分擔(dān)服務(wù)器處于整個網(wǎng)絡(luò)中心的位置，有可能反而成為服務(wù)系統(tǒng)的瓶頸。

天網(wǎng)防火墻負載分擔(dān)模塊在設(shè)計時采用的專用散列算法，保證系統(tǒng)即使在處理巨大的用戶量(每秒同時連接數(shù)大于30000用戶)下，網(wǎng)絡(luò)效率仍然可以達到80%以上。

希望大家從中受益。

【編輯推薦】

1. 防火墻安全測試之漏洞掃描
2. 防火墻安全測試之?dāng)?shù)據(jù)包偵聽
3. 防火墻安全測試之規(guī)則分析工具
4. Web應(yīng)用防火墻的主要特性
5. 防止入侵從Web應(yīng)用安全漏洞做起