诸如HTTP等协议带来显著改进,它们往往需要向同一台服务器几次建立连接就只是为了传输一个网页。因此,SSL持续性将通过避免单台服务器过载而使您的网络大为受益。
需要SSL持续性的环境
乍一看来,源持续性似乎与SSL持续性的有着相容的工作模式。但是,当用户希望与同一台服务器重新建立会话,但两次连接中用户的IP地址又有所不同时,情况就不一样了。在这种情形中,BIG-IP应用交换机将没有所需的信息以将流量引导至合适的服务器。您可能会发出疑问:那么我们为什么一定要讨论在与同一台服务器进行的两次会话中用户IP地址发生变化的情形呢?许多网络都会定期更改用户的IP地址,当用户与BIG-IP应用交换机之间部署有防火墙时更是如此。
当用户的IP地址发生变化时
许多防火墙都会将网络所用的网络地址转换为一个或多个由防火墙管理的IP地址。使用这种方式,防火墙可以在不暴露网络内部实际使用的IP地址的前提下将流量引导至互联网,这时流量上的返回地址就是防火墙地址。反之,防火墙也可把地址转回用户地址,然后发送回受保护网络。同时再通过端口号转换,防火墙即可以在多个用户之间使用相同的IP地址了。这有时被称为地址重载,可支持网络(位于防火墙之后)使用一个IP地址与互联网建立上千条连接。
然而,在大型网络中,防火墙可能需要多个IP地址来分配流量。在使用一个以上防火墙来处理网络流量的情形中,每个防火墙都可以为通过的流量分配一个不同的IP地址。在这种情形中,防火墙或防火墙阵列可将用户IP地址转换为针对各条TCP对话的不同地址。 在需要持续性的情形中,地址重载会引发各种问题。如果持续性仅由源地址决定,那么许多个人用户将被引导至一台服务器上,从而导致流量汇集在一台服务器上而不是分散到多台服务器上。最终结果就是一台服务器过载而其它服务器未得到充分利用,最终用户得到极差的响应体验。
使用SSL对话ID持续性可以确保流量的平均分配,即使流量源使用IP地址重载也同样如此。SSL对话ID持续性的实现可以确保用户从关键SSL流量上得到最佳的响应。 总之,源持续性不适用于用户IP地址改变的使用情形,例如在用户与互联网间部署有使用多个IP地址的服务器或服务器阵列。
使用带有源持续性的SSL持续性
第 16 页 / 共41页
您可以同时使用SSL持续性和基于IP地址的源持续性,因为SSL持续性比基于IP地址的持续性拥有更高的优先级。当自上一次连接后过去的时间超过SSL持续性的时限时,BIG-IP应用交换机可能会删除该SSL对话ID。或者,也许用户的客户机没有对话ID记忆机制,也删除了该ID。在这些情形中,BIG-IP应用交换机仍可根据基于用户IP地址的源持续性来将用户引导至同一台服务器。在这种模式中,源持续性用作SSL持续性的后备。
第 17 页 / 共41页
4. 动态安全体系防御攻击
F5在硬件平台上运行的BIG-IP?应用流量管理软件可为所有基于IP的应用和Web服务提供原来只有Web应用才能享有的流量管理功能。在任何网络环境下,BIG-IP都能通过其功能强大的通用扩展应用检测EAV和扩展内容检测ECV对服务器进行仔细检测,自动屏蔽故障服务器,以便准确、安全、经济高效地创建和提供所有基于IP的应用或Web服务。
? ? ? ? ?
当大数据流DoS/DDoS攻击进入的时候,服务器可能由于在瞬间接受超过服务器吞吐能力的数据流而直接导致系统崩溃,甚至导致数据丢失或客户资料遗失。而采用F5的BIG-IP保护服务器,通过EAV/ECV精确探测服务器的处理能力,从而在服务器处理能力饱和之前自动屏蔽新建链接。超过服务器吞吐能力的链接将在F5上处于waiting状态,直至有服务器空闲或TCP timeout。
与此同时,为进一步防止服务器遭受攻击过载,F5利用―iControl‖技术可以帮助服务器通知网络,―此时忙,暂停服务‖,然后,网络将停止再向它转发客户请求,而将客户请求继续转发至其它服务器,继续对客户应用请求提供服务。并且,服务器会同时通知3DNS,这个中心可用服务器数量减少一台,应相应减少对这个中心的客户服务请求量。当这台服务器完成所有数据记录的备份后,服务器又会通知BIGIP和3DNS,此时它已恢复正常,可以提供服务。这时,系统又恢复原有的正常状态。
在系统的运行过程中,各种各样的变化是不可避免的,靠人工的方法毕竟不是一个灵活的、智能的方式。―iControl‖可帮助系统成为一个―自适应‖的系统,使―网络真正感知应用,应用控制网络‖。
同时,对于所有对外提供应用的服务器,由于有F5提供负载均衡,用户无法直接于服务器联系,必须与F5上建立的虚拟服务器建立链接,所以黑客无法获得服务器的真实地址,增加了黑客攻击的难度。同时,由于虚拟服务器对外只提供应用服务端口,其余端口F5均不响应且直接Drop Packet,从而有效地屏蔽了黑客攻击的第一步——端口扫描。甚至
第 18 页 / 共41页
确保所有IP应用的高可用性和正常运行时间
创建一个可控的执行点以对所有流量进行前瞻性安全控制 使服务器和应用能够及时准确地做出响应 无需额外硬件、软件或其它IT资源 轻松适应未来不断变化的业务需求
F5可以将虚拟服务器的ARP响应屏蔽,从而使黑客无法PING通虚拟服务器。由于对外只提供必须的应用端口,因而可以有效地屏蔽第一章常用黑客攻击手段的前四种方式,通过加强对应用服务器的BUG管理可以有效避免黑客利用系统BUG攻击的手段。而对于DoS/DDoS攻击,F5对于常用的几种攻击手段,从内核级就予以屏蔽,具体实施如下: 1.
Synflood:
该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。 F5 的策略:
F5 采用特有的SYN proxy功能,所有与虚拟服务器建立HTTP SYN的请求均由F5代替服务器响应,F5并不将SYN请求发送到服务器。只有当用于响应了F5的ACK,并真正发送HTTP GET请求时,F5才与服务器建立链接并发送HTTP GET请求。所以普通的Synflood只会和F5通讯,无法攻击到服务器。而F5 能够轻松支持高达2,000,000个会话的吞吐能力,能够应付绝大多数攻击。而如果攻击数量超过F5的能力,F5 的Reaper功能将自动启动保护系统自身。
2.
Ping of Death
根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。 F5 的策略:
如前所述,在F5上可以将虚拟服务器的ARP屏蔽,ICMP包系统根本不响应。其次,虚拟服务器的ICMP响应是由F5的管理进程提供响应,当管理进程繁忙时,系统会自动降低虚
第 19 页 / 共41页
拟服务器的ICMP响应的优先级甚至不响应,而管理进程与服务器负载均衡是两个完全不同的进程,在F5上其内存和CPU使用时间是严格分离的,所以Ping of Death丝毫不会影响服务器负载均衡,也就是不会影响真正对外的服务响应端口。 3.
IP欺骗DoS攻击
这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。 攻击时,伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务。 F5 的策略:
如前1所述,F5特有的SYN proxy功能,将TCP的SYN/ACK/SYN ACK三段握手作为判断合法用户的依据,同时所有的SYN/ACK/SYN ACK均不通服务器链接,只有当用户发送HTTP GET请求时再与选定的服务器建立链接,所以RST只是拆除与F5建立额链接,并不影响合法用户访问服务器。 4.
带宽DoS攻击
如果黑客的连接带宽足够大而服务器又不是很大,黑客可以通过发送大量请求,来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了,配合上SYN一起实施DoS,威力巨大。 F5 的策略:
这种攻击发生时,从站点的路由器、交换机、防火墙到服务器的带宽均有可能被占
满。所以如果发生该种攻击,首要的任务是通过EAV/ECV保护服务器不要溢出或崩溃。其次,采用F5的i-Control技术配合IDS、防火墙、交换机、服务器、路由器形成整个系统的联动来予以抵御攻击。
第 20 页 / 共41页