SynApps 架构
简介
SynApps 架构由四部分组成:
• 健康检查
• 流量重定向
• 带宽管理
• 应用安全
在 Radware 的产品(WSD、CSD、FireProof 和 LinkProof)中 SynApps 架构的加入会进一步体现这四个组件的优势。SynApps 是作为每个产品的附加模块提供的。
SynApps 四个组件的设计能够满足我们客户的主要需求以及与流量管理有关的问题:
1. 故障和停机时间 – 停机时间的损失会随着应用和业务类型的不同而变化,这里的几个例子显示了按美元计算每小时停机的平均损失:
Radware 的解决方案通过使用 SynApps 架构的两个组件可以保证业务的确定性并避免停机 – 健康检查可以检测任何类型的故障,流量重定向可确保始终将用户定向到可用的资源。
2. 不可预测的流量模式 – Internet 中的流量与公司内部的流量是不一致的。网络出现高峰负载流量是很正常的。然而,如果公司要向终端用户提供服务并建立电子关系,则需要维持一种可靠的、连续的连接。
SynApps 流量重定向组件不但可以通过健康检查工具确保用户被定向到可用的资源,而且保证用户获得最佳的服务。这意味着流量始终被发送到最可用和优化的资源以满足特定用户的需要,这些资源可以是服务器、数据中心、防火墙或者路由器。
3. 区别不同需求 – 电子商务、服务提供商和企业使用不同的应用程序并服务于不同等级的用户。他们需要能够保证为每个用户类型或应用提供最佳级别的服务。这是通过分配不同需求的带宽来实现的。
SynApps 带宽管理组件允许公司定义并实施他们自己的带宽分配策略,即分配给服务器的带宽(如果是 WSD 和 CSD)或者 WAN 带宽(如果是 FireProof 和 LinkProof)。
4. 安全危害 – 在今天内部联网的环境中,许多公司已经完全意识到网络在受到各种形式的攻击时对安全性产生的危害。公司越出名、它的品牌越容易识别,则公司受到攻击的机会就越多。
SynApps 应用安全为我们产品管理的资源提供了更进一步的防线,无论这些资源是服务器、防火墙或者路由器,此模块都能够保护这些资源,避免受到 450 多种类型的攻击,如 DOS、DDOS、BUF 等等。
功能和优点
下面以各种产品为例,对每个组件进行了说明,以便帮助您了解此项技术和其优点。
健康检查
这种健康检查工具可以监视各种资源的状态,这些资源包括应用程序、服务器、防火墙、cache 服务器和路由器。如果在应用程序、硬件甚至是逻辑路径中检测到问题,则 SynApps 会采取措施解决此问题,并向系统管理员发出相应的警报。
健康检查工具的类型
• 基于 IP 监视
• IP 级检查
• 应用级检查(TCP 和 UDP)
• 可以监视服务器代理的 MIB 变量以反映服务器的状态。这样就可以全面定制健康检查。
Web 健康检查
Web 页验证 – 此设备监视从服务器返回的 HTTP 代码,从而确保 web 应用的正常运行。
内容健康检查
在动态内容环境中内容验证是非常有用的,因为在此环境下 HTML 内容是通过中间的应用服务器从位于后端的数据库中获得的。在这种情况下,只能通过查看响应并校验其有效性来确保完美的用户体验。用户可以制定方法来匹配特定的字符串。例如,可以定义字符串 “error” 来警告网络管理员此匹配表示服务器的状态不正常。使用此方法,可以使状态诊断不正常的服务器退出服务。
事务健康检查
• 数据路径监视 – 当正在进行负载均衡的服务器需要依靠其它资源时可以使用此方法。在这种情况下,SynApps 为了确保所选的服务器能够提供正常的服务,会校验所有资源的状态。例如,有时有关验证服务器的状态决定了是否能够提供正常的 web 服务。
• 通过 ping 和端口检查进行全路径监视 – 当控制流量流向有关的联网资源如防火墙和路由器时,将流量定向到正常的资源实际上意味着选择最佳的路径。因此此方法是非常有用的,因为它会验证整个路径是畅通的,并且保证会话将通过此路径到达目标。
*对每个服务器群可以使用多种健康检查方法。
报警类型
如果检测到资源的状态出现问题,流量将被重定向到本地或全局的另一个资源。另外,还会向系统管理人员发送通知以便他们采取措施。通知采用以下方式发出:
• SNMP 中断
• Syslog 报告
也可以将通知发送给标准的工具,从而自动生成 Email 或者寻呼网络管理人员。
流量重定向 – 应用交换
流量管理一般指负载均衡或者 Internet 流量管理 (ITM)。ITM 确保用户被发送到本地或全局最适合处理他们请求的站点。流量管理的讨论常常会涉及本地和全局。本地流量管理只涉及一个站点。而全局管理会涉及处于不同物理位置的多个站点。需要记住的是,全局解决方案优势的发挥取决于对应的或有关的本地解决方案的好坏。从这种意义上说,很难将全局解决方案与本地解决方案隔离开来。还有一点也非常重要,可以从本地解决方案移植到全局解决方案。本地负载均衡解决方案应当能够无缝移植到全局 ITM 解决方案。
本地 ITM 重定向
通常指向一个站点的所有流量都被定向到一个虚拟的 IP 地址。此虚拟 IP 地址驻留在重定向设备中,如 Web Server Director (WSD)。WSD 根据几个用户定义的参数来制定重定向决策。传统的重定向方法包括 cyclic 和基于负载的重定向方法。下面讨论了许多复杂的方法。
• 超级服务器群 (WSD) – 有时要求使用指向多种服务的单个 IP 地址(例如为获得 HTTP 和 FTP 服务使用地址 www.example.com)。如果所有服务都运行在相同的服务器上,则没有问题,并且可以将它们定义为一个群。但如果不同的服务运行在不同的服务器上,则必须按照应用数据将流量多路传输到单个虚拟 IP 地址。这样就存在另一个分层:超级服务器群。客户将此虚拟 IP 地址看作是一个超级服务器群。
• 根据应用程序,超级服务器群知道是哪一个服务器群来处理此数据。
• 端口复用 (WSD) – 为了便于管理提供相同服务的多个服务器群(例如,多个 HTTP 站点都支持相同的服务器),端口复用使用户能够对客户透明地将流量转发到服务器的特定端口。另一个优点是减少了 IP 地址的数量,这对 UNIX 机器的性能具有重要的影响。
• 客户表连续模式 (SRC IP、端口、IP+port) (WSD) – WSD 可以根据 IP 地址和端口信息、SSL ID 和 cookie 信息保持会话的连续性。
• 本地三角传输(WSD – 路径外返回)– 在本地三角传输模式中只有入站流量通过 WSD。返回流量(从服务器到客户)从服务器直接流向客户,而不经过 WSD。
• 支持各种协议:TCP、UDP、IP、Rshell、TFTP、Passive FTP、流媒体。Radware 产品支持使用不同协议的各种应用,这些协议包括 TCP、UDP、IP、Telnet、Rshell、TFTP、流媒体、被动 FTP、HTTP、Email、DNS 和其它协议。Radware 已经为运行在动态端口和要求同步的各种应用设计了特定的支持功能。在通过 Rshell 和 Rexec 远程访问各种应用时能够保证从开始到结束的应用连接性。在 caching 字段内,用于流式和文件传输的协议在地址和同步数据和控制的多
个端口时已经出现了问题。尽管只有某些 cache 供应商能够支持 FTP 和流式协议,如 MMS 和 RTSP,但已经设计出的运行在应用交换平台上的 CSD 可以处理这些协议并确保高的吞吐量和可靠性。
防火墙负载均衡 (FireProof)
Radware 是为了满足透明和非透明安全设备(防火墙、VPN 和 IDS)负载均衡的不同要求而专门设计一种产品的第一个公司。FireProof 使用了与 WSD 相同的传统的负载均衡算法。例如,它能够处理以下特殊情况和要求。
• 防火墙分组 (FireProof) – 此功能允许 FireProof 使用一个策略列表来根据流量类型决定使用哪一个防火墙。所使用的策略标准是源或目标 IP 地址或应用端口。例如,可以使用此功能来定向通过特定防火墙的 Email 流量,以及通过常规防火墙的所有其它流量。
• 端口规则 (FireProof) – FireProof 可以制定这样一种规则,即进入 FireProof 端口的流量只能通过特定的端口流出。例如,如果制定了规则 1->2,则所有通过端口1到达 FireProof 的流量只能通过端口2流出,反之亦然。这强迫流量在通过 FireProof 时只能采用指定的路径。通过端口规则,可以配置一个 FireProof 执行两个独立的 FireProof 的工作。默认情况下不配置端口规则,进入 FireProof 端口的流量可以通过任何其它 FireProof 端口流出。
Web 交换功能
可以根据 URL 和 HTTP 收到的请求来制定流量重定向决策。
• URL 超级服务器群 (WSD) – URL 超级服务器群功能允许用户对具有不同 URL 的大量服务使用相同的 IP 地址。WSD 根据 URL 将流量定向到合适的服务器群。例如,www.aaa.com 和 mail.aaa.com 可能使用了相同的虚拟 IP 地址,WSD 根据每个请求的 URL 将流量定向到邮件服务器群或者 Web 服务器群。
• HTTP 字段连续性 (WSD) – WSD 能够根据 URL 中的字段信息保持连续性。这使客户在不愿意使用 cookies 时能够使用个性化的信息来保持连续性。
• 智能缓存 (CSD) – CSD 将请求重定向到已存储了此 URL 信息的 cache 服务器中,从而优化了总的服务器群点击率。
• 站点策略 (CSD) – CSD 允许针对每个目标 URL 或者 IP 地址定义站点策略。每个策略都会指导 CSD 如何处理特定的目标 URL 或 IP 地址。CSD 对每个项目可以使用三个策略之一 – 阻塞、定向但不缓存或者发送到本地的服务器。
• 首选的站点 (CSD) – 可以配置特定的 URL 以便于预先缓存。CSD 将向 cache 服务器发出请求,并将确保按规定的次数更新这些信息。
• 点击率负载均衡 (CSD) – CSD 能够监视每个 cache 服务器的总点击次数。对所有的客户请求都进行了监视,并记录了每个 cache 服务器的总点击次数。在配置的间隔可以查看这些数字。如果服务器之间的点击率有很大不同,则 CSD 会将一个或多个 URL 从一个服务器“移动”到另一个服务器。这样做的目的就是为了使服务器之间的总点击率保持相对一致。这将优化服务器性能。
内容交换功能
• 可以根据会话的内容制定流量重定向决策。此功能的用途之一就是针对不同的数据类型分配不同的服务器资源。例如 GIF 或者 JPEG 文件可能驻留在单独的服务器组中,当需要此数据的请求发出时,会话将被重定向到一个可用的服务器。
• 连续性也需要内容交换功能 – 或者根据 SSL ID 进行安全的事务处理或者根据 cookie 信息。在一些应用中用户需要相同的服务器提供服务,而唯一识别用户的信息就位于 SSL ID 或者 cookie 信息中。SynApps 流量重定向模块能够了解内容并解决这些识别问题,然后根据它来作出重定向决策。
• 文件类型超级服务器群 (WSD) – 文件类型超级服务器群是 URL 超级服务器群功能的扩展。它使 WSD 能够根据请求的 URL 的文件扩展名来作出 URL 超级服务器群决策。通过 “*.abc” 的形式来定义文件类型,其中 “abc” 是文件扩展名。
• Cookie 连续性 (WSD) – WSD 能够识别 cookies 并在特定的服务器和客户之间保持会话的连续性。
• SSL ID 连续性 (WSD) – 此功能确保从客户和服务器群中的一个服务器之间开始的 SSL 会话继续由相同的服务器提供服务。SSL 会话是通过 WSD 认可的会话 ID 来识别的。
• 内容策略 (CSD) – CSD 为用户定义的子串匹配设置了一项操作(定向、阻塞但不缓存、发送到本地服务器)。例如,您可以定义将所有 GIF 或者 JPEG 进行缓存(本地),而对 CGI 或者 “&” 执行定向策略。
一旦根据上述参数将会话重定向到一组资源,则根据以下负载均衡算法选择可提供服务的最合适的资源:
• Cyclic
• 最少的用户
• 最少的数据包
• 最少的字节数
• 定制的 windows NT
• 定制的 SNMP
全局流量重定向
SynApps 架构的一部分是全局决策机制,它包括将用户发送到“最佳”站点所需要的重定向工具。用户是通过综合了负载、时延和跳转的可定制算法来定义最佳站点的。
Radware 的全局解决方案包括先进的网络就近性检测技术和站点可用性检测。这些标准有助于选择可为用户提供服务的最佳站点。一旦选择了站点,将使用以下重定向方法将客户透明地重定向到此站点:
• 三角传输
• HTTP 重定向
• DNS 重定向
• 上述三种方法的结合
所有 Radware 本地负载均衡解决方案都可以与全局负载均衡解决方案无缝通信,并通过附加的软件模块升级到全局解决方案。
内容路由 (LinkProof)
在管理联网资源如防火墙和路由器时,流量重定向代表了不同的含义。重定向操作选择的不仅仅是一个资源,而是通向 Internet 的整个路由。Radware 的 SynApps 架构重定向模块通过引入内容路由技术,将此功能作了进一步扩展。根据 HTTP Get request 的内容,对可选的路由进行测试,从而可以提供最快的内容路由,然后对流量进行重定向。
带宽管理
BWM 提供了强大的分级引擎,可以按照源和目标 IP 地址或者地址组、应用程序、端口、内容/URL 和 cookies 对流量进行分级。这使用户可以根据上述参数对流量类型进行区分,并确定如何恰当地处理流量类型。
• 按照源和目标 IP 地址和地址组、应用程序、端口、内容/URL 和 cookies 制定的带宽限制。例如,一家公司可能需要对特定的应用程序如游戏或音乐实施限制带宽的策略。
• 每种流量都可以定义最大的带宽限制或保证一定的带宽。例如,一家公司可能需要在工作时间保证 ERP 应用程序能够获得一定的带宽,同时限制在线游戏的带宽。
• 根据源和目标 IP 地址和地址组、应用程序、端口、内容/URL 和 cookies 设置流量的优先级。例如,一个大学可能想为工作人员设置比学生更高的优先级。对于应用程序如 VOIP 或者流媒体应用,除了实时的最高优先级外,还有8个优先级别可以设定。
• 可以为每种流量指定优先级和带宽限制,以保证流量策略的正确执行。
• 允许按照内容或者 cookies 为用户组提供区别服务。例如,由 cookies 标识的黄金成员将比一般用户获得更高的优先级。
• 通过会话实现动态优先级设置。例如,会话可能会为 cookie 指定某个优先级直到识别出 cookie 为止。会话在这个阶段会根据 cookie 改变优先级。另一个例子是根据内容设置优先级。在 CSD 中,如果内容的优先级较低,则为会话指定的优先级也较低。
• 完全的 Diff-Serv 支持包括执行指定的优先级和指定新的 Diff-Serv 优先级。
• 优先级机制的内置功能中支持实时流量,从而可以适用于应用程序如 VOIP 和流媒体。
• 包括 Weighted Round Robin 和 Classed Based Queuing 的多种调度机制确保提供灵活的、可配置的和优化的调度机制。
Weighted Round Robin – 此调度算法按照优先级转发每个排队中的数据包,直到达到带宽限制才停止转发。它适合于用户想根据优先级集中进行带宽管理的情况。
Classed Based Queuing – 按照 CBQ 算法,在每个优先级排队中安排的数据包是来自不同类型的流量,这确保了平均处理每种流量的数据包。这样,在相同优先级排队中的所有类型都能够平均享用带宽,同时还满足了带宽限制并保证获得一定的带宽。这种算法适合于根据带宽限制实施的管理。在 CBQ 算法中内置了排队间借用带宽的功能,从而确保了全面优化带宽的使用。用户可以指定哪种类型可以借用带宽以及可以向哪些类型的流量借用带宽。
• 支持随机丢弃 – 当排队溢出时,此机制可以随机丢弃低优先级排队中的数据包。IP 协议保证重发丢弃的数据包。
应用安全
应用安全模块可以保护 web 服务器免受 1200 多个攻击信号的攻击。此模块的设计使它可以作为 Radware 设备管理的各种资源前面的另一道防线,这些资源包括服务器、防火墙、cache 服务器或者路由器。此模块使用网络信息和基于信息的应用。通过终止所跟踪的可疑会话来实时检测和阻止攻击。在任何管理设备上都不需要使用软件代理。
• 基于 IP 地址、应用程序类型和内容的数据包过滤
• 先进的过滤功能,如内容筛选、URL 阻塞、URL 过滤
• 服务器可以拥有专用的 IP 地址和不能识别的应用程序端口,因此能够保证其安全。
• 对每个服务器和应用程序可以定义连接限制,以确保点击服务器的会话数量不超过其容量。
下面列出的是可以防止的已知的安全危害:
• 基于 Web 的拒绝服务 (DOS) 攻击
• 分布式拒绝服务(DDOS)攻击
• 基于 Web 的缓冲溢出
• 一般的 web 环境漏洞
• 利用错误配置和默认的安装问题来进行攻击
• 探测网络流量
• 未认可的网络流量
• 后门攻击
主要优点
• 反扫描功能 – 应用安全模块能够检测并防止网络扫描(例如秘密地进行连接扫描)、基于 web 的应用程序扫描(特别是能够实时检测和防止 TCP 连接、TCP Syn 和 TCP FIN 扫描方法)。
• 双向检查 – 应用安全模块对流量进行双向监视,搜索从外界进入的或者从内部向外发出的流量中的攻击信息。这样就可以根据流量方向配置安全策略,并有助于防止进入通道上出现新的漏洞,而且对输出通道进行检测和保护。此功能还有助于处理内部攻击。
架构的优点
Radware 的解决方案是第一个基于交换的应用安全解决方案,而不是运行在一般 H/W 平台上的 S/W。它不要求在任何服务器上安装任何网络代理 – 这样易于管理和配置。因为没有代理,也没有消耗服务器资源,所以它可以与任何服务器 H/W 和操作系统共同工作。因为不存在代理报告的日常流量,所以提高了整体的网络性能。另一个主要优点是此解决方案能够立即为多个网络提供应用安全,而不需要为每个网络分段配置单独的设备。
• 高性能 – 因为安全代码运行于应用交换机上,所以它可以提供较高的性能。
• 灵活的拓扑结构 – 此应用交换支持多个配置选项,包括单个和多个 leg 配置。
• 管理安全 – 可以限定只能通过指定的物理端口来配置和管理所有的 Radware 设备,这样就可以防止从外部改变它们的配置,从而保护这些设备。
• 管理软件和设备之间的通讯是经过加密的。
