CN112367344A - 一种内生安全负载均衡服务器的构造方法 - Google Patents
一种内生安全负载均衡服务器的构造方法 Download PDFInfo
- Publication number
- CN112367344A CN112367344A CN202010954534.3A CN202010954534A CN112367344A CN 112367344 A CN112367344 A CN 112367344A CN 202010954534 A CN202010954534 A CN 202010954534A CN 112367344 A CN112367344 A CN 112367344A
- Authority
- CN
- China
- Prior art keywords
- server
- load balancing
- container
- micro
- heterogeneous
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种内生安全负载均衡服务器的构造方法,在多层服务器架构中,负载均衡服务器作为网络流量的入口,极易泄露指纹信息,造成安全隐患;该方法对云服务器、异构化容器、容器内负载均衡平台等进行内生安全处理,通过结构化变化,形成内生安全防御能力。当访问发生时,通过特定的调度方式分配异构云服务器以及异构负载均衡容器,负载均衡容器根据策略要求,决定转发到下游服务器的方式。此外通过人工干预及负反馈调节两种机制,对负载均衡容器进行下线操作。本发明避免了在多层服务器架构中,对负载均衡平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等,转发请求的同时,加固负载均衡自身服务。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种内生安全负载均衡服务器的构造方法。
背景技术
传统的负载均衡平台存在部署在单一服务器中的情况,对于这种情况下,将来自用户的流量和内容进行转发到下游服务器。这种部署方式存在一定的不足,如利用负载均衡平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等,因此面临严重的安全威胁。本发明通过对云服务器、虚拟化容器、容器内的操作系统、负载均衡平台等进行异构化处理,通过结构化的变化,使负载均衡服务器形成内生安全防御能力。
发明内容
本发明目的在于对负载均衡服务器架构进行优化,提供一种内生安全的负载均衡服务。本发明将流量调度到异构服务器中的异构负载均衡容器,完成负载均衡应有功能的同时,加固负载均衡服务自身安全性。
本发明的目的是通过以下技术方案来实现的:一种内生安全负载均衡服务器的构造方法,该方法包括以下步骤:
(1)搭建异构云服务器,具体为:
(1.1)部署M个云服务器C={ci|i=1,2,…,M},其中ci为第i个云服务器;
(1.2)对C进行异构化处理。
(2)部署异构负载均衡容器,具体为:
(2.1)在各个云服务器ci内部署N个微容器,R={rj|j=1,2,…,N},其中rj表示第j个微容器;
(2.2)对各微容器ri部署异构操作系统O、异构负载均衡平台F,即rj={(Oj,Fj)|j=1,2,…,N}。
(3)为负载均衡平台配置后端服务器信息S={sk|k=1,2,…,K}及负载均衡策略Lb,即流量转发到的下游服务器,具体为:
(3.1)当前安全策略要求只转发到单个下游服务器时,根据平台管理用户指定的负载均衡策略进行转发;
(3.2)当前安全策略要求进行组合转发模式时,即同时转发到多个下游服务器,此时负载均衡策略采用响应时间与轮询相结合的方式;
(3.3)当管理用户指定为性能混合模式时,根据下游服务器实时性能负载选择步骤(3.1)或(3.2)的方式进行调度。
(4)将服务域名通过DNS解析到各云服务器C。
(5)流量经过DNS解析到ci后,随机选择上线状态的rj进行转发,然后识别请求头中的策略标识信息,依据步骤(3)选择Lb并转发到后端服务器sk。
(6)规定异构负载均衡服务器下线规则,具体为:
(6.1)人工干预模式:基于时间片的方式,规定每隔T时间对各微容器ri进行下线清洗,须保证同一时间内处于上线状态的微容器个数不少于M*N/2;
(6.2)基于负反馈的清洗模式:根据云服务器及微容器的性能、规定时间内被检测到遭受攻击的概率进行下线切换。
上述两种模式中,下线后按照预设方式重置所有环境及配置。
进一步地,所述步骤(1.2)中,从虚拟化技术、操作系统、微容器软件的角度对C进行异构化处理。
进一步地,所述操作系统包括Windows Server、CentOS和Ubuntu。
进一步地,所述虚拟化技术包括kvm和Xen。
进一步地,所述微容器软件包括Docker、Solaris Containers和Podman。
进一步地,所述下游服务器包括WAF服务器和应用服务器。
进一步地,所述步骤(3.2)中下游服务器为异构冗余WAF服务器。
进一步地,所述步骤(3.1)中负载均衡策略包括默认轮询方式、权重方式、依据IP进行分配方式、最少连接数方式和依据响应时间分配方式。
进一步地,所述步骤(6.1)中T的取值区间为[30min,60min]。
本发明的有益效果是:本发明对云服务器、虚拟化技术、微容器、容器内的操作系统、负载均衡平台等进行异构化处理,通过结构化的变化,使负载均衡服务形成内生安全防御能力。当访问发生时,通过特定的调度方式分配异构云服务器以及异构负载均衡容器,负载均衡容器根据策略要求,决定转发到下游服务器的方式;此外通过人工干预及负反馈调节两种机制,对负载均衡容器进行下线操作。这样避免了在多层服务器架构中,对负载均衡平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等,转发请求的同时,加固负载均衡自身服务。
附图说明
图1是内生安全负载均衡服务器架构图。
具体实施方式
如图1所示,本发明内生安全负载均衡服务器包括以下步骤:
1、搭建异构云服务器,具体为:
(1)部署M个云服务器C={ci|i=1,2,…,M},其中ci为第i个云服务器;
(2)从虚拟化技术、操作系统、微容器软件等角度对C进行异构化处理,其中云上服务器的操作系统可以选择Windows Server、CentOS、Ubuntu等,云的虚拟化技术选择kvm、Xen等,微容器软件选择Docker、Solaris Containers、Podman等。
2、部署异构负载均衡容器,具体为:
(1)在各个云服务器ci内部署N个微容器,R={rj|j=1,2,…,N},其中rj表示第j个微容器;
(2)对各微容器rj部署异构操作系统O、异构负载均衡平台F,即rj={(Oj,Fj)|j=1,2,…,N}。
3、为异构负载均衡平台F配置后端服务器信息S={sk|k=1,2,…,K}及负载均衡策略Lb,即流量转发到的下游服务器(WAF服务器或应用服务器),下面对负载均衡策略Lb进行介绍:
(1)当前安全策略要求只转发到单个下游服务器时,根据平台管理用户指定的负载均衡策略进行转发,如默认轮询方式、权重方式、依据IP进行分配方式、最少连接数方式、依据响应时间分配等方式;
(2)当前安全策略要求进行组合转发模式时,即同时转发到多个下游服务器,此时负载均衡策略可以采用响应时间与轮询相结合的方式,保障性能的同时避免资源浪费。当下游组件为异构冗余WAF服务器时,本组合模式更加适用;
(3)当管理用户指定为性能混合模式时,根据下游服务器实时性能负载选择步骤(1)或(2)的方式进行调度。
4、将服务域名通过DNS解析到各云服务器C。
5、流量经过DNS解析到云服务器ci后,随机选择上线状态的微容器rj进行转发,然后识别请求头中的策略标识信息,依据步骤3选择负载均衡策略Lb并转发到后端服务器sk。
6、规定异构负载均衡服务器下线规则,具体为:
(1)人工干预模式:可以基于时间片的方式进行,规定每隔T时间对各微容器rj进行下线清洗,须保证同一时间内处于上线状态的微容器个数不少于M*N/2,其中T可设置区间为[30min,60min];
(2)基于负反馈的清洗模式:根据云服务器及微容器的性能、规定时间内被检测到遭受攻击的概率等进行下线切换。
上述两种模式中,下线后按照预设方式重置所有环境及配置。
本发明对传统负载均衡服务器架构进行优化,对云服务器、虚拟化容器、容器内的操作系统、负载均衡平台等进行异构化处理,通过结构性的变化,使负载均衡服务形成内生安全防御能力。这样减少负载均衡平台指纹信息泄露概率,减少了负载均衡平台、操作系统或者微容器、云平台的自身漏洞被攻击的概率,在完成负载均衡服务应有功能的同时,加固其自身安全性。
Claims (9)
1.一种内生安全负载均衡服务器的构造方法,其特征在于,该方法包括以下步骤:
(1)搭建异构云服务器,具体为:
(1.1)部署M个云服务器C={ci|i=1,2,...,M},其中ci为第i个云服务器;
(1.2)对C进行异构化处理。
(2)部署异构负载均衡容器,具体为:
(2.1)在各个云服务器ci内部署N个微容器,R={rj|j=1,2,...,N},其中rj表示第j个微容器。
(2.2)对各微容器ri部署异构操作系统O、异构负载均衡平台F,即rj={(Oj,Fj)|j=1,2,...,N}。
(3)为负载均衡平台配置后端服务器信息S={sk|k=1,2,...,K}及负载均衡策略Lb,即流量转发到的下游服务器,具体为:
(3.1)当前安全策略要求只转发到单个下游服务器时,可以根据平台管理用户指定的负载均衡策略进行转发。
(3.2)当前安全策略要求进行组合转发模式时,即同时转发到多个下游服务器,此时负载均衡策略可以采用响应时间与轮询相结合的方式。
(3.3)当管理用户指定为性能混合模式时,可以根据下游服务器实时性能负载选择步骤(3.1)或(3.2)的方式进行调度。
(4)将服务域名通过DNS解析到各云服务器C。
(5)流量经过DNS解析到ci后,随机选择上线状态的rj进行转发,然后识别请求头中的策略标识信息,依据步骤(3)选择Lb并转发到后端服务器sk。
(6)规定异构负载均衡服务器下线规则,具体为:
(6.1)人工干预模式:基于时间片的方式,规定每隔T时间对各微容器ri进行下线清洗,须保证同一时间内处于上线状态的微容器个数不少于M*N/2;
(6.2)基于负反馈的清洗模式:根据云服务器及微容器的性能、规定时间内被检测到遭受攻击的概率进行下线切换。
2.如权利要求1所述内生安全负载均衡服务器的构造方法,其特征在于,所述步骤(1.2)中,从虚拟化技术、操作系统、微容器软件的角度对C进行异构化处理。
3.如权利要求2所述内生安全负载均衡服务器的构造方法,其特征在于,所述操作系统包括Windows Server、CentOS和Ubuntu。
4.如权利要求2所述内生安全负载均衡服务器的构造方法,其特征在于,所述虚拟化技术包括kvm和Xen。
5.如权利要求2所述内生安全负载均衡服务器的构造方法,其特征在于,所述微容器软件包括Docker、Solaris Containers和Podman。
6.如权利要求1所述内生安全负载均衡服务器的构造方法,其特征在于,所述下游服务器包括WAF服务器和应用服务器。
7.如权利要求6所述内生安全负载均衡服务器的构造方法,其特征在于,所述步骤(3.2)中下游服务器为异构冗余WAF服务器。
8.如权利要求1所述内生安全负载均衡服务器的构造方法,其特征在于,所述步骤(3.1)中负载均衡策略包括默认轮询方式、权重方式、依据IP进行分配方式、最少连接数方式和依据响应时间分配方式。
9.如权利要求1所述内生安全负载均衡服务器的构造方法,其特征在于,所述步骤(6.1)中T的取值区间为[30min,60min]。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010954534.3A CN112367344A (zh) | 2020-09-11 | 2020-09-11 | 一种内生安全负载均衡服务器的构造方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010954534.3A CN112367344A (zh) | 2020-09-11 | 2020-09-11 | 一种内生安全负载均衡服务器的构造方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112367344A true CN112367344A (zh) | 2021-02-12 |
Family
ID=74516780
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010954534.3A Pending CN112367344A (zh) | 2020-09-11 | 2020-09-11 | 一种内生安全负载均衡服务器的构造方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112367344A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105071981A (zh) * | 2015-07-16 | 2015-11-18 | 福建天晴数码有限公司 | 自动测试相同域名的webapi接口的方法及系统 |
CN106899657A (zh) * | 2017-01-16 | 2017-06-27 | 东南大学常州研究院 | 一种面向gps移动目标定位追踪系统的高并发接入方法 |
CN107291538A (zh) * | 2017-06-14 | 2017-10-24 | 中国人民解放军信息工程大学 | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 |
US20180077118A1 (en) * | 2011-02-16 | 2018-03-15 | Fortinet, Inc. | Load balancing among a cluster of firewall security devices |
CN110166436A (zh) * | 2019-04-18 | 2019-08-23 | 杭州电子科技大学 | 采用随机选择进行动态调度的拟态Web网关系统及方法 |
CN111478970A (zh) * | 2020-04-13 | 2020-07-31 | 国网福建省电力有限公司 | 一种电网Web应用拟态防御系统 |
-
2020
- 2020-09-11 CN CN202010954534.3A patent/CN112367344A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180077118A1 (en) * | 2011-02-16 | 2018-03-15 | Fortinet, Inc. | Load balancing among a cluster of firewall security devices |
CN105071981A (zh) * | 2015-07-16 | 2015-11-18 | 福建天晴数码有限公司 | 自动测试相同域名的webapi接口的方法及系统 |
CN106899657A (zh) * | 2017-01-16 | 2017-06-27 | 东南大学常州研究院 | 一种面向gps移动目标定位追踪系统的高并发接入方法 |
CN107291538A (zh) * | 2017-06-14 | 2017-10-24 | 中国人民解放军信息工程大学 | 面向任务的拟态云构建方法及基于拟态云的任务调度方法、装置、系统 |
CN110166436A (zh) * | 2019-04-18 | 2019-08-23 | 杭州电子科技大学 | 采用随机选择进行动态调度的拟态Web网关系统及方法 |
CN111478970A (zh) * | 2020-04-13 | 2020-07-31 | 国网福建省电力有限公司 | 一种电网Web应用拟态防御系统 |
Non-Patent Citations (3)
Title |
---|
CHEN SHUANG-XI ET AL.: "Research on Executive Control Strategy of Mimic Web Defense Gateway", 《IEEE》 * |
宋克 等: "基于拟态防御的以太网交换机内生安全体系结构", 《通信学报》 * |
陈双喜 等: "基于攻击转移的拟态安全网关技术的研究", 《通信学报》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10735553B2 (en) | Micro-services in a telecommunications network | |
Li et al. | A survey of network function placement | |
CN100574323C (zh) | 网络处理器的动态网络安全装置及方法 | |
US20080209044A1 (en) | Load balancing of servers in a cluster | |
CN108833462A (zh) | 一种面向微服务的自注册服务发现的系统及方法 | |
EP3545451B1 (en) | Automatic forwarding of access requests and responses thereto | |
CN113014611B (zh) | 一种负载均衡方法及相关设备 | |
CN111431881A (zh) | 一种基于windows操作系统的诱捕节点实现方法及装置 | |
WO2017016454A1 (zh) | 防范ddos攻击的方法和装置 | |
CN104079668B (zh) | 一种dns负载均衡调节方法和系统 | |
Soleimanzadeh et al. | SD‐WLB: An SDN‐aided mechanism for web load balancing based on server statistics | |
CN102271078A (zh) | 面向服务质量保障的负载均衡方法 | |
CN112367344A (zh) | 一种内生安全负载均衡服务器的构造方法 | |
Gasmelseed et al. | Traffic pattern–based load‐balancing algorithm in software‐defined network using distributed controllers | |
CN112243036A (zh) | PaaS服务的数据处理方法及装置、设备、存储介质 | |
Lopez et al. | Evaluating allocation heuristics for an efficient virtual network function chaining | |
EP2321931B1 (en) | Shared hosting using host name affinity | |
CN111225030B (zh) | 一种基于信任评估策略对微服务进行选择的方法及系统 | |
Cisco | Overview of LocalDirector | |
CN112367290A (zh) | 一种内生安全waf构造方法 | |
Salchow | Load balancing 101: Nuts and bolts | |
CN104853004A (zh) | 一种域名的分布式智能解析方法 | |
CN112738193B (zh) | 云计算的负载均衡方法及装置 | |
CN105337959B (zh) | 网络负载防攻击处理方法和系统及防攻击服务器 | |
US10855592B2 (en) | Flow based session drain director |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210212 |