19-SSA技术白皮书20160527.docx

《19-SSA技术白皮书20160527.docx》由会员分享，可在线阅读，更多相关《19-SSA技术白皮书20160527.docx（21页珍藏版）》请在优知文库上搜索。

1、浪潮安全应用交付系统技术白皮书2015年6月浪潮（北京）电子信息产业有限公司信息安全事业部目录1、 产品概述31.1 背景介绍31.2 产品介绍42、 产品特性52.1 业界领先的性能52.2 丰富的功能支持52.3 全面的健康检查72.4 优质的网络体验72.5 强大的安全防护82.6 面向未来的解决方案83、 技术实现93.1 1应用负载均衡93.2 链路负载均衡123.3 全局负载均衡133.4 应用优化加速133.5 应用安全检测153.6 故障快速切换164、 产品部署174.1 1串联部署174.2 旁路部署184.3 多数据中心部署185、 客户收益196、 公司简介211、产品

2、概述Ll背景介绍企业数据中心的作用是不间断地向用户交付应用、内容和服务，但随着业务 需求的变化和增长以及互联网应用的广泛普及，企业需要越来越多的服务器提供 互联网或内部网络服务。而网站服务器通过HTTP, FTP, SMTP等应用程序，为访 问者提供了越来越丰富的内容和信息的同时,来自网络的数据访问流量迅速增长, 特别是对数据中心、大型企业以及门户网站等的访问流量甚至达到了 IOGb/s的 级别，服务器逐渐被数据淹没。归总起来，目前的数据中心和客户面临以下几点 问题：数据中心压力大，服务器处理效率偏低众所周知，随着访问用户数量的增加，很多网站的应用服务器也越来越多， 但是即便这么多服务器依然面

3、临着越来越大的压力，无法有效处理访问，由于不 能及时处理用户的访问请求，导致大量用户的流失，大大降低了服务质量和工作 效率，最后给客户造成损失。然而简单的依靠提升服务器数量和硬件性能并不能 真正解决用户访问请求高速增长与服务器压力之间的矛盾，而且使得数据中心建 设投入产出比下降。现有网络速度无法满足用户需求随着互联网的发展越来越快，大量的应用发布在网络里，越来越多的用户接 入网络，现在除了 PC,大量的移动设备接入了网络，虽然理论上的带宽越来越 宽，但是客户的实际体验却并没有成比例提升，互联网以体验为王的时代，用户 的体验决定着很多企业的生死。因此提升网络效率和速度是普遍的需求。广域网性能无法

4、满足应用需求近年来，智能终端迅速普及，云计算迅猛兴起，很多企业都在开展数据中心 建设,用户对于数据中心远程接入的需求在不断增长。由于广域网带宽普遍较低, 从而造成访问延时很大、访问速度变慢、用户体验很差的局面。信息安全问题频发，客户与用户的安全需求如何满足伴随着电子商务、网上交易等应用的发展，在极大的便利了人们生活的同时, 也带来了诸多的信息安全隐患。大数据时代面临的是更大安全风险,黑客、病毒、 恶意攻击等影响网络安全的行为也在增多。如不采取有效措施，很有可能会造成 网络访问变慢甚至无法访问的情况，更严重者会危害用户的信息安全。如何有效统计、分析海量数据，助力决策与管理信息化，大数据利用是企业

5、改造升级的方法与方向，进出数据中心的海量数 据能否合理统计，分析是能否实现信息化，利用大数据的关键；而大量流量来去 无踪，缺乏统一有效的统计管理是企业普遍面临的困惑。1.2产品介绍以上的种种问题催生出了种种需求，浪潮SSA就是在这样的需求场景下应运 而生。浪潮安全应用交付系统(SSA)可将您的网络转变为安全的交付基础架构。 它是用户和数据中心之间的桥梁，它部署在应用和数据的边界，用于确保数据中 心的安全、可控，并对数据中心进行优化和负载均衡。这样，您便可以全面控制 您的网络，不但可以控制业务的数据流量、消除业务中断、提高应用性能，还能 根据详尽的统计报表做可靠的决策，并可一定程度提升你业务系统

6、的安全性。对 于服务提供商，它能有效降低您的数据中心的资源投入，简便你的业务管理；对 用户来说，可以提升访问的速度与安全性，多方位提升网络体验，也就是说SSA 的部署能为多方带来切实收益。2、产品特性2.1 业界领先的性能浪潮安全应用交付系统SSA的核心是IESOS操作系统，IESOS采用了独创的 超级并行处理架构，使L4-L7处理性能有了巨大飞跃，同比提升30%到50%；另 外处理系统采用多核心技术，领先业内几代的硬件配置，使得SSA整机性能十分 优异，领先业内诸多同行。全系列支持硬件的SSL加速，https处理性能数倍提 升。SSA的性能不仅强大还可以通过IiCenSe以及硬件的灵活配置实

7、现平滑提 升，满足用户业务扩容许需求，而不需更换设备。2.2 丰富的功能支持应用负载均衡浪潮SSA通过十几种负载均衡算法：轮询、最小连接、加权轮询、加权最小 连接、最快响应时间等实现四到七层应用负载均衡，支持TCP、UDP、HTTP、HTTPS、 SIP、SMTP等几十种协议，能针对不同的应用制定最合适的负载均衡策略，从而 提升系统效率，保障系统可用性。另外还配有健康检查、会话保持、TCP连接复用、内容压缩、SSL卸载等功 能模块，以确保后台服务高可用。- 完全HTTP代理- 提供多种模板，易于使用部署- 高性能的HTTP报头/URL交换及URL哈希- 支持多种业务应用：- VOIP 及流媒体

8、：SIP Load Balancing. 邮件安全：STRTTLS POPS、LDAPS、SMTPS、MPS- 网络安全：Firewall Load Balancing- 认证计费：Diameter Load Balancing- 黑白名单：Policy Server Load Balancing链路负载均衡链路负载均衡是为了解决多链路情况的负载均衡问题。在不同的需求场景下, 将用户的请求根据不同的算法分载到不同的链路，实现流量的分流以及链路的优 化，能有效保证链路的负载均衡，也能为用户选择最优链路来保证优良的网络体 验，而针对我国特殊的多运营商之间通信带宽很低的现状，链路的负载均衡功能 尤其

9、重要。而其中一些丰富细化的功能，诸如：带宽限制，健康检查，流量管理， 都让这个链路功能更加完备，策略更加完善，从而满足各种情况用户差异化的需 求。全局负载均衡通过智能DNS功能，浪潮SSA能够实现广域网即不同地域数据中心之间的流 量分配，既能保证数据中心的负载在合理范围内，也能保证用户请求可快速送达 合适的数据中心。有效解决多个数据中心流量分配，资源调度难题，将资源分配 优化，提升数据中心效率，并保证用户体验。自定义脚本iCmd除了基本负载均衡功能，客户的应用场景往往复杂多变，SSA拥有自定义脚 本iCmd。根据客户需求，通过iCmd灵活编写脚本并导入来实现复杂的功能,配 合基本的功能策略配置

10、，为用户的应用系统灵活定制完整的策略，做到更细粒度 的功能与策略。- 通过iCmd策略控制，可以更精确地检测数据包内容，从而实现更加灵活的 负载均衡功能；- 可以将应用重定向到服务组、单一服务器或单一端口；. 可以提供更加灵活复杂的健康检查手段；- 通过细粒度的查找包的内容实现灵活准确的匹配；. 可用于会话保持。2.3 全面的健康检查为了保证系统的高可用性，针对链路以及后台数据中心服务器和服务的健康 检查十分重要。健康检查就是通过一系列的协议实现对整个链路以及后台数据中 心工作状态进行检查，保证后台负载均衡的同时，也保证用户的请求都能送达可 用的服务器进行处理。浪潮SSA支持多种协议，和自定义

11、脚本健康检查，能在不 同使用场景采用灵活的健康检查方式。随时感知后台状态，确保系统可用，服务 可达。2.4 优质的网络体验随着互联网的迅速发展，移动4G时代的到来，应用和网络用户的数量都大 量增长，虽然网络理论带宽不断提升，但实际的网络体验却并没有显著提升。SSA 的应用优化加速功能通过TCP优化、内存缓存技术、内容压缩技术以及SSL卸载技术实现针对不同应用与网络的优化和加速，有效提升带宽利用率，响应速度, 提升用户网络体验。2.5 5强大的安全防护照亮攻击数S中心应用交付是整个系统的接入端，必须有健全的安全防护机制才能保证业务安 全无忧的运行。在传统应用交付设备的功能中，安全只是一个小小模块

12、，实现的 功能无非针对DOS等网络层攻击的防范，浪潮SSA集成完整WAF功能，既能对4 层网络进行防护，又可以对应用层进行防护。实现诸如，防止SQL注入、防Cookie 注入、网页保护、跨站攻击等高级防护，另外SSA系统自身融合OS内核加固技 术，能从系统底层实现对自身的防护，从而保障系统的安全稳定、高可用。2.6 面向未来的解决方案面向云计算，面向虚拟化为应对云计算时代的到来，针对大型云数据中心的解决方案是当下与未来的 趋势所在。浪潮SSA全面支持虚拟化技术，包括基于服务器运行环境的虚拟化 操作系统，可以与主流的虚拟化软件进行有效整合，性能同样卓越；设备自身也 支持虚拟化，可以最大效率的利用

13、系统资源，并且对用户使用透明；同时可以提 供基于角色及虚拟化的管理等功能。系统可以支持VMWare等虚拟化应用，实现 智能的虚拟网络控制。面向未来全新的网络环境C)PenFIOW及SDN (Software Defined Network)软件定义网络技术能够利用 软件更好地控制网络，允许优化网络行为以最大程度的满足用户需求。SSA同时支持ipv6功能，在面对ipv4资源即将用尽，网络向ipv6演进的变 化，SSA能更好的帮助客户的系统迁移和扩展。浪潮SSA系统提供功能强大的APl接口，通过灵活的编程控制和接口调用， 可以允许第三方应用配置并监控设备；同时系统还为用户提供灵活的脚本语言编 程接

14、口 GCmd),更精确地检测数据包内容，为网络带来无与伦比的应用流量管 理的灵活性。通过系统提供的API接口及iCmd接口，可以与OPenFk)W及SDN很好的 配合工作，结合OPenFIoW及SDN的编程能力及系统强大的可编程接口，充分 发挥OPenFIOW及SDN支持的网络所带来的益处，交付高可用及弹性的网络及 应用，提供基于OpenFlow与SDN的4-7层应用交付解决方案，以实现ADC平 滑整合到SDN网络之中。3、技术实现3.1应用负载均衡浪潮安全应用交付系统对于运用多台服务器集群的机制的数据中心，能将所 有真实服务器配置成应用交付设备的服务IP来实现负载均衡，SSA对外直接发 布一

15、个服务IP(设备中的VIP)。当用户请求到达应用设备的时候，应用安全检测 引擎首先根据预先设定的安全策略进行信息过滤，对于不符合安全策略的请求数 据进行丢弃并把客户自定义的信息返回给客户，从而保证后端服务器的安全；其 次安全检测引擎将安全的数据提交给负载均衡引擎，该引擎基于四到七层负载均 衡算法的调度策略，合理的将每个连接快速的分配到相应的服务器，从而合理利 用服务器资源。不仅在减少硬件投资成本情况下解决单台服务器性能瓶颈，同时 可以保证后端数据中心的安全、并且方便后续扩容，为大并发访问量的系统提供 性能和安全保障。浪加校全应用交付系统口3. L 1负载均衡算法实现负载均衡功能,依靠的是负载均衡算法，浪潮SSA有丰富的负载均衡算法：- 轮询(Round Robin)：按顺序将连接分配给一个服务组中的服务器。轮询方 式对所有服务器同等对待，而与连接的数量或响应时间无关。该算法相对简 单，运行稳定。- 加权轮询(Weighted Round Robin)：加权轮询算法根据每台服务器设定的 加权值来分配请求，服务器收到的连接数与其权值成正比。- 最小连接(Least Connection)：最小连接是一种动态调度算法，它通过检测 服务器与SSA设备建立的连接数来估计服务器的负载情况，并将新的连接请 求分配到当前连接数最小的服务器。