1. 概述

為解決單條鏈路性能及冗余問題，用戶網(wǎng)絡(luò)出口往往選擇多條鏈路。太一星晨推出T-Force LLC鏈路負載產(chǎn)品專注解決出口鏈路問題，為政府、企業(yè)、學(xué)校等提供高性能、高可靠性的鏈路解決方案。T-Force專業(yè)鏈路負載產(chǎn)品通過DNS代理技術(shù)及鏈路保護功能，可以更好的提高多鏈路情況下的使用效率，避免鏈路使用不均以及單條鏈路負載過高的問題。此外，T-Force鏈路負載產(chǎn)品支持智能DNS功能，有效避免跨運營商訪問。

2. 出站流量負載均衡(Outbound方向)

與傳統(tǒng)防火墻、路由器的靜態(tài)路徑選擇不同，T-Force鏈路負載產(chǎn)品支持動態(tài)的路徑選擇，可自動的選擇最佳訪問路徑。通過ICMP、TCP、HTTP等多重健康檢查方式，可有效的定義多重鏈路切換條件。極大的降低管理和維護成本，保持業(yè)務(wù)連續(xù)性，提高工作效率。

2.1 負載分擔(dān)算法

鏈路負載分擔(dān)算法是用來計算內(nèi)網(wǎng)用戶訪問Internet時(出站流量)，在多鏈路間進行流量分配的方案。鏈路負載分擔(dān)的算法和服務(wù)器負載分擔(dān)的算法有一致的地方，也存在一些差異，鏈路負載分擔(dān)算法包括：

輪詢(Round Robin)-依次按照順序把流量均勻的分配給每條鏈路。

比率(Ratio)-根據(jù)每條鏈路的帶寬，指定一個權(quán)值，按照這個比率給多條鏈路分配流量。

優(yōu)先級(Priority)-為每條鏈路指定一個優(yōu)先級，默認(rèn)情況下優(yōu)先向高優(yōu)先級的鏈路分配流量，當(dāng)該鏈路失效時選擇備份鏈路。

加權(quán)最小連接(Weight Least Connection)-首先為每條鏈路指定帶寬的加權(quán)值，使連接數(shù)的分配符合權(quán)值的設(shè)定，對于新建的連接，選擇權(quán)值內(nèi)最小的鏈路分配流量。

加權(quán)最小流量(Weight Least Traffic)-首先為每條鏈路指定帶寬的加權(quán)值，使流量的分配符合權(quán)值的設(shè)定，對于新的流量，選擇權(quán)值內(nèi)最小的鏈路分配流量。

運營商路由(ISP Route)-內(nèi)置IP地址和運營商的對應(yīng)表，根據(jù)內(nèi)網(wǎng)用戶訪問的目的地址所屬運營商，選擇相應(yīng)的鏈路，避免跨運營商的訪問。

最快模式(Fastest)-ADC通過比對服務(wù)器返回數(shù)據(jù)包的延遲，跳數(shù)等情況，選擇一個當(dāng)前響應(yīng)最快的鏈路來分配流量。

主備模式(Master-Slave)-默認(rèn)情況下流量都發(fā)送給主鏈路，當(dāng)主鏈路失效時啟用備份鏈路。

2.2 鏈路健康檢查

T-FORCE ADC鏈路負載實時對出口鏈路進行監(jiān)控和健康檢查，可以及時發(fā)現(xiàn)端口down掉情況。除此之外，T-FORCE ADC支持包括ICMP，TCP SYN，UDP，HTTP Get 等多種協(xié)議對遠端地址進行監(jiān)控，即使是ISP內(nèi)部網(wǎng)絡(luò)出現(xiàn)故障，也可以及時發(fā)現(xiàn)并把流量切換到其他可用鏈路。

2.3 出站流量會話保持和NAT

出接口流量會話保持是指當(dāng)為某個數(shù)據(jù)流分配一個出接口鏈路以后，該種類型的后續(xù)相關(guān)流量都分配給同一條鏈路。T-FORCE ADC支持的會話保持主要是基于源地址的會話保持和基于hash的會話保持。

T-FORCE ADC支持豐富的NAT轉(zhuǎn)換策略，包括源IP地址轉(zhuǎn)換，靜態(tài)地址轉(zhuǎn)換，和基于策略的地址轉(zhuǎn)換。會話保持和NAT地址轉(zhuǎn)換，可以很大程度的避免源主機和某目標(biāo)服務(wù)器通信的過程中，報文橫跨多個運營商的情況出現(xiàn)。

3. 入站流量負載均衡(Inbound方向)

當(dāng)企業(yè)租用多個運營商鏈路，以便內(nèi)部的應(yīng)用服務(wù)器向外部用戶提供服務(wù)時，T-FORCE ADC可以通過在內(nèi)置的智能DNS服務(wù)器上，把企業(yè)的單一域名綁定到多運營商的各自的公網(wǎng)IP上，并作為企業(yè)域名的權(quán)威發(fā)布服務(wù)器。當(dāng)某個客戶端訪問應(yīng)用服務(wù)器時，首先會進行DNS解析，T-FORCE ADC可以根據(jù)客戶端所處的運營商網(wǎng)絡(luò)返回跟他匹配的IP地址，或者通過動態(tài)探測技術(shù)，選出到該用戶通信質(zhì)量最好鏈路，并返回對應(yīng)的IP地址。這樣可以保證每次客戶端都可以通過通信質(zhì)量最好的鏈路來訪問內(nèi)部的應(yīng)用服務(wù)器，極大的改善用戶體驗，并提升整個系統(tǒng)的工作效率。

3.1 智能DNS解析流程

假定企業(yè)通過租用聯(lián)通，電信兩條鏈路向外部網(wǎng)絡(luò)提供服務(wù)，企業(yè)的域名是www.abc.com, 則整個解析流程如下：

1. 客戶端向本地DNS(Local DNS) 服務(wù)器發(fā)送域名為www.abc.com 的DNS請求。

2. LDNS沒有該域名的A記錄，向最長匹配結(jié)果的服務(wù)器發(fā)送該請求，這里假設(shè)最長匹配只有根服務(wù)器。

3. 根服務(wù)器沒有“www.abc.com”的A記錄，但是存放了“www.abc.com”的NS域名服務(wù)器記錄——“www.abc.com IN NS master.abc.com”，將該NS記錄返回給LDNS。

4. LDNS服務(wù)器根據(jù)該NS記錄知道了去哪可以找到“www.abc.com ”的A記錄，將請求發(fā)送到設(shè)備T-FORCE ADC內(nèi)置的智能DNS服務(wù)器。

5. ADC設(shè)備判斷LDNS的IP地址隸屬于哪個運營商，此示例中LDNS隸屬于于網(wǎng)通，所以根據(jù)預(yù)先配置的規(guī)則，T-FORCE ADC返回“www.abc.com”的A記錄為網(wǎng)通鏈路所分配的公網(wǎng)IP地址。

6. LDNS最終將剛收到的DNS響應(yīng)發(fā)送回給客戶端。

7. 客戶端接下來訪問企業(yè)的網(wǎng)通鏈路公網(wǎng)地址，T-FORCE ADC上對應(yīng)的虛擬服務(wù)(VS)接收數(shù)據(jù)，進入服務(wù)器負載分擔(dān)的流程。

4. 應(yīng)用安全防護

4.1 解決方案

傳統(tǒng)的負載產(chǎn)品里，基本不具備安全功能，或者只能具備基本的網(wǎng)絡(luò)訪問控制功能。太一星晨依托自身的安全因子，除了具備基礎(chǔ)的網(wǎng)絡(luò)層訪問控制外，還具備標(biāo)準(zhǔn)的防火墻的防掃描、防攻擊功能。可以完全代替防火墻運行。作為一款應(yīng)用交付產(chǎn)品，太一星晨T-Force應(yīng)用交付平臺，在做應(yīng)用的分發(fā)同時，還支持對應(yīng)用層的安全檢測及訪問控制功能。

T-Force應(yīng)用交付平臺應(yīng)用了一套HTTP會話規(guī)則集，這些規(guī)則涵蓋諸如SQL注入、以及XSS等常見的Web攻擊。同時可通過自定義規(guī)則，識別并阻止更多攻擊。解決諸如防火墻、IPS等傳統(tǒng)設(shè)備束手無策的Web系統(tǒng)安全問題。

T-Force應(yīng)用交付始終致力于提供Web安全與應(yīng)用交付融合的解決方案，確保Web或網(wǎng)絡(luò)協(xié)議應(yīng)用的可用性、性能和安全性：

• Web安全：依托多年安全檢測積累、持續(xù)的安全研究投入，針對WEB安全最主要的SQL/XSS攻擊，提供快速全面的Web安全檢測方案。

• 應(yīng)用交付：依托最新intel SandyBridge平臺、專為TBOS優(yōu)化的TCP/IP協(xié)議棧，以高速、高可用為目標(biāo)，優(yōu)化業(yè)務(wù)資源，改善訪問體驗。

4.2 主要安全功能

4.2.1 網(wǎng)絡(luò)層防護控制與攻擊防護

太一星晨具備標(biāo)準(zhǔn)防火墻功能，能夠基于源、目的IP、協(xié)議、端口、時間、接口等信息做訪問控制。此外，通過分析網(wǎng)絡(luò)層報文的行為特征判斷報文是否具有攻擊性，并且對攻擊行為采取措施以保護網(wǎng)絡(luò)主機或者網(wǎng)絡(luò)設(shè)備。

目前，Internet上常見的網(wǎng)絡(luò)安全威脅分為以下三類：

◆DoS攻擊

DoS攻擊是使用大量的數(shù)據(jù)包攻擊目標(biāo)系統(tǒng)，使目標(biāo)系統(tǒng)無法接受正常用戶的請求，或者使目標(biāo)主機掛起不能正常工作。主要的DoS攻擊有SYN Flood、Fraggle等。DoS攻擊和其它類型的攻擊不同之處在于，攻擊者并不是去尋找進入目標(biāo)網(wǎng)絡(luò)的入口，而是通過擾亂目標(biāo)網(wǎng)絡(luò)的正常工作來阻止合法用戶訪問網(wǎng)絡(luò)資源。

◆掃描窺探攻擊

掃描窺探攻擊利用ping掃描(包括ICMP和TCP)標(biāo)識網(wǎng)絡(luò)上存在的活動主機，從而可以準(zhǔn)確地定位潛在目標(biāo)的位置;利用TCP和UDP端口掃描檢測出目標(biāo)操作系統(tǒng)和啟用的服務(wù)類型。攻擊者通過掃描窺探就能大致了解目標(biāo)系統(tǒng)提供的服務(wù)種類和潛在的安全漏洞，為進一步侵入目標(biāo)系統(tǒng)做好準(zhǔn)備。

◆畸形報文攻擊

畸形報文攻擊是通過向目標(biāo)系統(tǒng)發(fā)送有缺陷的IP報文，如分片重疊的IP報文、TCP標(biāo)志位非法的報文，使得目標(biāo)系統(tǒng)在處理這樣的IP報文時崩潰，給目標(biāo)系統(tǒng)帶來損失。主要的畸形報文攻擊有Ping of Death、Teardrop等。

太一星晨通過包檢測、包速率、連接數(shù)限制功能可有效抵御常見網(wǎng)絡(luò)攻擊報文,如:SynFlood/Jolt2/Land-base/ping of death/Tear drop/winnuke/smurf/TCP flag/ARP攻擊/TCP掃描/UDP掃描/ping掃描。

4.2.2 應(yīng)用層DDoS防護功能

應(yīng)用層DoS攻擊是一種與高層服務(wù)相結(jié)合的攻擊方法，目前最常見就是HTTP Flood攻擊(如：CC攻擊)。與傳統(tǒng)的基于網(wǎng)絡(luò)層的DoS攻擊相比，應(yīng)用層DoS具有更加顯著的攻擊效果，而且更加難以檢測。HTTP Flood是指從一個或者多個客戶端，頻繁向Web服務(wù)器請求資源，導(dǎo)致Web服務(wù)器拒絕服務(wù)的攻擊。通常Web服務(wù)器有些頁面是比較耗資源的，例如一些資源要查詢數(shù)據(jù)庫或者做復(fù)雜計算，對這種資源頻繁請求時，會導(dǎo)致服務(wù)器繁忙從而實現(xiàn)拒絕服務(wù)目的。

針對HTTP Flood攻擊，太一星晨能夠有效識別出攻擊行為和正常請求，在Web服務(wù)器受到HTTP Flood攻擊時，過濾攻擊行為，抑制異常用戶對Web服務(wù)器的資源消耗，同時響應(yīng)正常請求，確保Web業(yè)務(wù)的可用性及連續(xù)性。啟用抗 CC 攻擊后，T-Force ADC 應(yīng)用交付平臺會在服務(wù)器返回的 Http 響應(yīng)中動態(tài)插入一段專用的 Cookie，正常的瀏覽器訪問時，該 Cookie 會被攜帶回來，而“攻擊者”的代理服務(wù)器則無法識別該 Cookie(HTTP Flood是由程序模擬HTTP請求，一般來說不會解析服務(wù)端返回數(shù)據(jù)，更不會解析JS之類代碼。)，并不會在下次請求中攜帶，這樣 應(yīng)用交付就可以區(qū)分出正常流量和攻擊流量，并把攻擊流量直接丟棄。

4.2.3 應(yīng)用層訪問控制.

標(biāo)準(zhǔn)防火墻主要通過源、目的IP地址、協(xié)議、接口的識別和控制達到防范入侵的方法。這種工作模式下，并不能精確解析應(yīng)用層數(shù)據(jù)，更無法結(jié)合WEB系統(tǒng)對請求進行深入分析，針對WEB端口的攻擊可以輕松的通過合法端口突破防火墻的防護。

基于應(yīng)用層的訪問控制恰好彌補了網(wǎng)絡(luò)防火墻的不足，與傳統(tǒng)防火墻相比，基于應(yīng)用的訪問控制體現(xiàn)在：

² 完整解析HTTP協(xié)議，包含HTTP頭、URI、Cookie，提供HTTP協(xié)議合法性檢查，避免非法攻擊報文混入;

² 提供應(yīng)用層控制規(guī)則，僅允許合法用戶的輸入通過。太一星晨可實現(xiàn)基于HTTP head、Cookie、請求速率、VS地址、URI的訪問控制。防止WEB的非授權(quán)訪問。

² 實現(xiàn)對URI的限制，只允許用戶訪問設(shè)定的URI，防止服務(wù)器資源泄露;

² 實現(xiàn)對特定URL的流量控制，根據(jù)Web服務(wù)器的處理性能對Web頁面訪問頻率進行控制，確保一些性能消耗比較大的Web頁面能在Web服務(wù)器承受的性能范圍之內(nèi)被訪問;

4.2.4 SQL、XSS攻擊防護

SQL注入攻擊利用Web應(yīng)用程序不對輸入數(shù)據(jù)進行檢查過濾的缺陷，將惡意的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行，達到偷取數(shù)據(jù)甚至控制數(shù)據(jù)庫服務(wù)器目的。XSS攻擊，指惡意攻擊者往Web頁面里插入惡意HTML代碼，當(dāng)受害者瀏覽該Web頁面時，嵌入其中的HTML代碼會被受害者Web客戶端執(zhí)行，達到惡意目的。

正是由于SQL注入和XSS這類攻擊所利用的并不是通用漏洞，而是每個頁面自己的缺陷，所以變種和變形攻擊數(shù)量非常多，如果還是以常用方法進行檢測，漏報和誤報率將會極高。太一星晨采用VXID專利技術(shù)，采用攻擊手法分析而非攻擊代碼特征分析的方法，可以準(zhǔn)確而全面的檢測和防御此類Web攻擊行為。

VXID算法分為兩個階段：第一階段是行為提取階段，分析和提取Web攻擊的行為特征而非數(shù)據(jù)特征，建立Web攻擊行為特征庫;第二階段是實時分析網(wǎng)絡(luò)數(shù)據(jù)，在太一星晨應(yīng)用交付內(nèi)部構(gòu)建“輕型虛擬機”，模擬攻擊行為以觀察其行為特征，正確判斷攻擊行為的發(fā)生。這種基于原理的檢測方式避免了對固化特征的匹配造成的高漏報率，也避免了由于檢測規(guī)則過于嚴(yán)苛造成的誤報。

太一星晨的應(yīng)用交付平臺，為用戶應(yīng)用，安全快速的交付業(yè)務(wù)提供了完整解決方案。在最大限度地降低帶寬的同時，還保證了數(shù)據(jù)安全，并通過合理的調(diào)度算法確保將流量轉(zhuǎn)發(fā)給性能最優(yōu)的應(yīng)用服務(wù)器，與多個產(chǎn)品組合部署的解決方案不同，單一部署方案可在單個設(shè)備上提供最佳的性能和完善的特性，最大限度的的保護用戶投資，為用戶關(guān)鍵業(yè)務(wù)實現(xiàn)快速、穩(wěn)定、可靠的安全體驗。

4.2.5 服務(wù)器連接數(shù)管理

T-Force應(yīng)用交付平臺可以為每種應(yīng)用指定一個的最大并發(fā)連接數(shù)門限，一方面保護應(yīng)用服務(wù)器的資源，同時也防止某種應(yīng)用過多的占用系統(tǒng)資源，而導(dǎo)致其他應(yīng)用無法得到正常的服務(wù)。

4.2.6 信息防泄漏

HTTP頭部信息隱藏：T-Force應(yīng)用交付平臺可以在服務(wù)器響應(yīng)報文中，擦除響應(yīng)頭的中指定信息，比如web服務(wù)器名稱，版本號等。也可以修改服務(wù)器的真實鏈接目錄，達到隱藏服務(wù)器關(guān)鍵信息的目的。也可以通過定義在Response中允許的header，而把其他所有不滿足的header信息從報文中刪除。

Cookie加密：把服務(wù)器響應(yīng)報文的中的明文Cookie信息進行加密，然后再發(fā)送給客戶端，防止某些利用Cookie存儲的關(guān)鍵信息如用戶賬號，網(wǎng)銀數(shù)據(jù)等在傳輸過程中被截獲。在客戶端回應(yīng)過程中，把Cookie信息解密發(fā)送給應(yīng)用服務(wù)器，即方便應(yīng)用系統(tǒng)的統(tǒng)一管理，也降低了應(yīng)用系統(tǒng)的壓力。

T-Force LLC鏈路負載產(chǎn)品集成標(biāo)準(zhǔn)防火墻訪問控制、防掃描、攻擊功能，可替代專業(yè)防火墻使用，滿足用戶邊界安全防御接入要求。