CN112367344A - 一种内生安全负载均衡服务器的构造方法 - Google Patents

一种内生安全负载均衡服务器的构造方法 Download PDF

Info

Publication number
CN112367344A
CN112367344A CN202010954534.3A CN202010954534A CN112367344A CN 112367344 A CN112367344 A CN 112367344A CN 202010954534 A CN202010954534 A CN 202010954534A CN 112367344 A CN112367344 A CN 112367344A
Authority
CN
China
Prior art keywords
server
load balancing
container
micro
heterogeneous
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010954534.3A
Other languages
English (en)
Inventor
吴春明
陈双喜
曲振青
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN202010954534.3A priority Critical patent/CN112367344A/zh
Publication of CN112367344A publication Critical patent/CN112367344A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种内生安全负载均衡服务器的构造方法,在多层服务器架构中,负载均衡服务器作为网络流量的入口,极易泄露指纹信息,造成安全隐患;该方法对云服务器、异构化容器、容器内负载均衡平台等进行内生安全处理,通过结构化变化,形成内生安全防御能力。当访问发生时,通过特定的调度方式分配异构云服务器以及异构负载均衡容器,负载均衡容器根据策略要求,决定转发到下游服务器的方式。此外通过人工干预及负反馈调节两种机制,对负载均衡容器进行下线操作。本发明避免了在多层服务器架构中,对负载均衡平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等,转发请求的同时,加固负载均衡自身服务。

Description

一种内生安全负载均衡服务器的构造方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种内生安全负载均衡服务器的构造方法。
背景技术
传统的负载均衡平台存在部署在单一服务器中的情况,对于这种情况下,将来自用户的流量和内容进行转发到下游服务器。这种部署方式存在一定的不足,如利用负载均衡平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等,因此面临严重的安全威胁。本发明通过对云服务器、虚拟化容器、容器内的操作系统、负载均衡平台等进行异构化处理,通过结构化的变化,使负载均衡服务器形成内生安全防御能力。
发明内容
本发明目的在于对负载均衡服务器架构进行优化,提供一种内生安全的负载均衡服务。本发明将流量调度到异构服务器中的异构负载均衡容器,完成负载均衡应有功能的同时,加固负载均衡服务自身安全性。
本发明的目的是通过以下技术方案来实现的:一种内生安全负载均衡服务器的构造方法,该方法包括以下步骤:
(1)搭建异构云服务器,具体为:
(1.1)部署M个云服务器C={ci|i=1,2,…,M},其中ci为第i个云服务器;
(1.2)对C进行异构化处理。
(2)部署异构负载均衡容器,具体为:
(2.1)在各个云服务器ci内部署N个微容器,R={rj|j=1,2,…,N},其中rj表示第j个微容器;
(2.2)对各微容器ri部署异构操作系统O、异构负载均衡平台F,即rj={(Oj,Fj)|j=1,2,…,N}。
(3)为负载均衡平台配置后端服务器信息S={sk|k=1,2,…,K}及负载均衡策略Lb,即流量转发到的下游服务器,具体为:
(3.1)当前安全策略要求只转发到单个下游服务器时,根据平台管理用户指定的负载均衡策略进行转发;
(3.2)当前安全策略要求进行组合转发模式时,即同时转发到多个下游服务器,此时负载均衡策略采用响应时间与轮询相结合的方式;
(3.3)当管理用户指定为性能混合模式时,根据下游服务器实时性能负载选择步骤(3.1)或(3.2)的方式进行调度。
(4)将服务域名通过DNS解析到各云服务器C。
(5)流量经过DNS解析到ci后,随机选择上线状态的rj进行转发,然后识别请求头中的策略标识信息,依据步骤(3)选择Lb并转发到后端服务器sk
(6)规定异构负载均衡服务器下线规则,具体为:
(6.1)人工干预模式:基于时间片的方式,规定每隔T时间对各微容器ri进行下线清洗,须保证同一时间内处于上线状态的微容器个数不少于M*N/2;
(6.2)基于负反馈的清洗模式:根据云服务器及微容器的性能、规定时间内被检测到遭受攻击的概率进行下线切换。
上述两种模式中,下线后按照预设方式重置所有环境及配置。
进一步地,所述步骤(1.2)中,从虚拟化技术、操作系统、微容器软件的角度对C进行异构化处理。
进一步地,所述操作系统包括Windows Server、CentOS和Ubuntu。
进一步地,所述虚拟化技术包括kvm和Xen。
进一步地,所述微容器软件包括Docker、Solaris Containers和Podman。
进一步地,所述下游服务器包括WAF服务器和应用服务器。
进一步地,所述步骤(3.2)中下游服务器为异构冗余WAF服务器。
进一步地,所述步骤(3.1)中负载均衡策略包括默认轮询方式、权重方式、依据IP进行分配方式、最少连接数方式和依据响应时间分配方式。
进一步地,所述步骤(6.1)中T的取值区间为[30min,60min]。
本发明的有益效果是:本发明对云服务器、虚拟化技术、微容器、容器内的操作系统、负载均衡平台等进行异构化处理,通过结构化的变化,使负载均衡服务形成内生安全防御能力。当访问发生时,通过特定的调度方式分配异构云服务器以及异构负载均衡容器,负载均衡容器根据策略要求,决定转发到下游服务器的方式;此外通过人工干预及负反馈调节两种机制,对负载均衡容器进行下线操作。这样避免了在多层服务器架构中,对负载均衡平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等,转发请求的同时,加固负载均衡自身服务。
附图说明
图1是内生安全负载均衡服务器架构图。
具体实施方式
如图1所示,本发明内生安全负载均衡服务器包括以下步骤:
1、搭建异构云服务器,具体为:
(1)部署M个云服务器C={ci|i=1,2,…,M},其中ci为第i个云服务器;
(2)从虚拟化技术、操作系统、微容器软件等角度对C进行异构化处理,其中云上服务器的操作系统可以选择Windows Server、CentOS、Ubuntu等,云的虚拟化技术选择kvm、Xen等,微容器软件选择Docker、Solaris Containers、Podman等。
2、部署异构负载均衡容器,具体为:
(1)在各个云服务器ci内部署N个微容器,R={rj|j=1,2,…,N},其中rj表示第j个微容器;
(2)对各微容器rj部署异构操作系统O、异构负载均衡平台F,即rj={(Oj,Fj)|j=1,2,…,N}。
3、为异构负载均衡平台F配置后端服务器信息S={sk|k=1,2,…,K}及负载均衡策略Lb,即流量转发到的下游服务器(WAF服务器或应用服务器),下面对负载均衡策略Lb进行介绍:
(1)当前安全策略要求只转发到单个下游服务器时,根据平台管理用户指定的负载均衡策略进行转发,如默认轮询方式、权重方式、依据IP进行分配方式、最少连接数方式、依据响应时间分配等方式;
(2)当前安全策略要求进行组合转发模式时,即同时转发到多个下游服务器,此时负载均衡策略可以采用响应时间与轮询相结合的方式,保障性能的同时避免资源浪费。当下游组件为异构冗余WAF服务器时,本组合模式更加适用;
(3)当管理用户指定为性能混合模式时,根据下游服务器实时性能负载选择步骤(1)或(2)的方式进行调度。
4、将服务域名通过DNS解析到各云服务器C。
5、流量经过DNS解析到云服务器ci后,随机选择上线状态的微容器rj进行转发,然后识别请求头中的策略标识信息,依据步骤3选择负载均衡策略Lb并转发到后端服务器sk
6、规定异构负载均衡服务器下线规则,具体为:
(1)人工干预模式:可以基于时间片的方式进行,规定每隔T时间对各微容器rj进行下线清洗,须保证同一时间内处于上线状态的微容器个数不少于M*N/2,其中T可设置区间为[30min,60min];
(2)基于负反馈的清洗模式:根据云服务器及微容器的性能、规定时间内被检测到遭受攻击的概率等进行下线切换。
上述两种模式中,下线后按照预设方式重置所有环境及配置。
本发明对传统负载均衡服务器架构进行优化,对云服务器、虚拟化容器、容器内的操作系统、负载均衡平台等进行异构化处理,通过结构性的变化,使负载均衡服务形成内生安全防御能力。这样减少负载均衡平台指纹信息泄露概率,减少了负载均衡平台、操作系统或者微容器、云平台的自身漏洞被攻击的概率,在完成负载均衡服务应有功能的同时,加固其自身安全性。

Claims (9)

1.一种内生安全负载均衡服务器的构造方法,其特征在于,该方法包括以下步骤:
(1)搭建异构云服务器,具体为:
(1.1)部署M个云服务器C={ci|i=1,2,...,M},其中ci为第i个云服务器;
(1.2)对C进行异构化处理。
(2)部署异构负载均衡容器,具体为:
(2.1)在各个云服务器ci内部署N个微容器,R={rj|j=1,2,...,N},其中rj表示第j个微容器。
(2.2)对各微容器ri部署异构操作系统O、异构负载均衡平台F,即rj={(Oj,Fj)|j=1,2,...,N}。
(3)为负载均衡平台配置后端服务器信息S={sk|k=1,2,...,K}及负载均衡策略Lb,即流量转发到的下游服务器,具体为:
(3.1)当前安全策略要求只转发到单个下游服务器时,可以根据平台管理用户指定的负载均衡策略进行转发。
(3.2)当前安全策略要求进行组合转发模式时,即同时转发到多个下游服务器,此时负载均衡策略可以采用响应时间与轮询相结合的方式。
(3.3)当管理用户指定为性能混合模式时,可以根据下游服务器实时性能负载选择步骤(3.1)或(3.2)的方式进行调度。
(4)将服务域名通过DNS解析到各云服务器C。
(5)流量经过DNS解析到ci后,随机选择上线状态的rj进行转发,然后识别请求头中的策略标识信息,依据步骤(3)选择Lb并转发到后端服务器sk
(6)规定异构负载均衡服务器下线规则,具体为:
(6.1)人工干预模式:基于时间片的方式,规定每隔T时间对各微容器ri进行下线清洗,须保证同一时间内处于上线状态的微容器个数不少于M*N/2;
(6.2)基于负反馈的清洗模式:根据云服务器及微容器的性能、规定时间内被检测到遭受攻击的概率进行下线切换。
2.如权利要求1所述内生安全负载均衡服务器的构造方法,其特征在于,所述步骤(1.2)中,从虚拟化技术、操作系统、微容器软件的角度对C进行异构化处理。
3.如权利要求2所述内生安全负载均衡服务器的构造方法,其特征在于,所述操作系统包括Windows Server、CentOS和Ubuntu。
4.如权利要求2所述内生安全负载均衡服务器的构造方法,其特征在于,所述虚拟化技术包括kvm和Xen。
5.如权利要求2所述内生安全负载均衡服务器的构造方法,其特征在于,所述微容器软件包括Docker、Solaris Containers和Podman。
6.如权利要求1所述内生安全负载均衡服务器的构造方法,其特征在于,所述下游服务器包括WAF服务器和应用服务器。
7.如权利要求6所述内生安全负载均衡服务器的构造方法,其特征在于,所述步骤(3.2)中下游服务器为异构冗余WAF服务器。
8.如权利要求1所述内生安全负载均衡服务器的构造方法,其特征在于,所述步骤(3.1)中负载均衡策略包括默认轮询方式、权重方式、依据IP进行分配方式、最少连接数方式和依据响应时间分配方式。
9.如权利要求1所述内生安全负载均衡服务器的构造方法,其特征在于,所述步骤(6.1)中T的取值区间为[30min,60min]。
CN202010954534.3A 2020-09-11 2020-09-11 一种内生安全负载均衡服务器的构造方法 Pending CN112367344A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010954534.3A CN112367344A (zh) 2020-09-11 2020-09-11 一种内生安全负载均衡服务器的构造方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010954534.3A CN112367344A (zh) 2020-09-11 2020-09-11 一种内生安全负载均衡服务器的构造方法

Publications (1)

Publication Number Publication Date
CN112367344A true CN112367344A (zh) 2021-02-12

Family

ID=74516780

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010954534.3A Pending CN112367344A (zh) 2020-09-11 2020-09-11 一种内生安全负载均衡服务器的构造方法

Country Status (1)

Country Link
CN (1) CN112367344A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105071981A (zh) * 2015-07-16 2015-11-18 福建天晴数码有限公司 自动测试相同域名的webapi接口的方法及系统
CN106899657A (zh) * 2017-01-16 2017-06-27 东南大学常州研究院 一种面向gps移动目标定位追踪系统的高并发接入方法
CN107291538A (zh) * 2017-06-14 2017-10-24 中国人民解放军信息工程大学 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统
US20180077118A1 (en) * 2011-02-16 2018-03-15 Fortinet, Inc. Load balancing among a cluster of firewall security devices
CN110166436A (zh) * 2019-04-18 2019-08-23 杭州电子科技大学 采用随机选择进行动态调度的拟态Web网关系统及方法
CN111478970A (zh) * 2020-04-13 2020-07-31 国网福建省电力有限公司 一种电网Web应用拟态防御系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180077118A1 (en) * 2011-02-16 2018-03-15 Fortinet, Inc. Load balancing among a cluster of firewall security devices
CN105071981A (zh) * 2015-07-16 2015-11-18 福建天晴数码有限公司 自动测试相同域名的webapi接口的方法及系统
CN106899657A (zh) * 2017-01-16 2017-06-27 东南大学常州研究院 一种面向gps移动目标定位追踪系统的高并发接入方法
CN107291538A (zh) * 2017-06-14 2017-10-24 中国人民解放军信息工程大学 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统
CN110166436A (zh) * 2019-04-18 2019-08-23 杭州电子科技大学 采用随机选择进行动态调度的拟态Web网关系统及方法
CN111478970A (zh) * 2020-04-13 2020-07-31 国网福建省电力有限公司 一种电网Web应用拟态防御系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CHEN SHUANG-XI ET AL.: "Research on Executive Control Strategy of Mimic Web Defense Gateway", 《IEEE》 *
宋克 等: "基于拟态防御的以太网交换机内生安全体系结构", 《通信学报》 *
陈双喜 等: "基于攻击转移的拟态安全网关技术的研究", 《通信学报》 *

Similar Documents

Publication Publication Date Title
US10735553B2 (en) Micro-services in a telecommunications network
Li et al. A survey of network function placement
CN100574323C (zh) 网络处理器的动态网络安全装置及方法
US20080209044A1 (en) Load balancing of servers in a cluster
CN108833462A (zh) 一种面向微服务的自注册服务发现的系统及方法
EP3545451B1 (en) Automatic forwarding of access requests and responses thereto
CN113014611B (zh) 一种负载均衡方法及相关设备
CN111431881A (zh) 一种基于windows操作系统的诱捕节点实现方法及装置
WO2017016454A1 (zh) 防范ddos攻击的方法和装置
CN104079668B (zh) 一种dns负载均衡调节方法和系统
Soleimanzadeh et al. SD‐WLB: An SDN‐aided mechanism for web load balancing based on server statistics
CN102271078A (zh) 面向服务质量保障的负载均衡方法
CN112367344A (zh) 一种内生安全负载均衡服务器的构造方法
Gasmelseed et al. Traffic pattern–based load‐balancing algorithm in software‐defined network using distributed controllers
CN112243036A (zh) PaaS服务的数据处理方法及装置、设备、存储介质
Lopez et al. Evaluating allocation heuristics for an efficient virtual network function chaining
EP2321931B1 (en) Shared hosting using host name affinity
CN111225030B (zh) 一种基于信任评估策略对微服务进行选择的方法及系统
Cisco Overview of LocalDirector
CN112367290A (zh) 一种内生安全waf构造方法
Salchow Load balancing 101: Nuts and bolts
CN104853004A (zh) 一种域名的分布式智能解析方法
CN112738193B (zh) 云计算的负载均衡方法及装置
CN105337959B (zh) 网络负载防攻击处理方法和系统及防攻击服务器
US10855592B2 (en) Flow based session drain director

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20210212