網絡防火墻技術發展至今，幾乎已經成為了所有的互聯網企業的必備安全產品。但是如果一旦企業網站的訪問量過大，那么就會使得企業的服務器難以負荷這些數據流量。到時候企業網站出現了延遲或者服務器中斷的現象，是企業和用戶都不想看到的。那么如何通過防火墻來進行負擔分載呢，本篇文章就通過天網防火墻負擔分載系統，來闡述一下負擔分載技術。

1.天網防火墻負載分擔--大型服務節點的解決方案：

以往在解決這些問題的時候，只能采用更強計算能力的服務器來替換原來的服務器，舊的服務器只能淘汰掉。即使這樣，單臺服務器的負載能力也是有限的，不可能無限擴展，同時，高檔服務器的價格是隨著服務器的性能呈現指數型上升，因此，采用多臺廉價服務器組成負載分擔的系統模型日漸成為主流。

2.天網防火墻負載分擔系統的原理：

負載分擔系統主要是將集中在一臺服務器上的用戶服務請求分發到多臺服務器上。在負載分擔方式出現的初期，有不少網絡的設計采用域名輪轉的方式，即是一個域名對應多臺服務器，作為一種廉價的方案，域名輪轉的方式可以解決一些服務器的負載問題。

但是，由于這種負載分擔的方式有很大的局限性：無法根據各臺服務器的負載情況，將用戶服務請求發送到不同的服務器上;在其中一臺服務器出現問題無法工作的時候，系統仍然會將用戶訪問請求發送到出現故障的服務器上，造成一部分服務的中斷;由于域名解釋一般在各地的服務器上都會有Cache存在，因此會造成一個地區的用戶訪問請求將集中在同一臺服務器上。因而實際上，采用域名輪轉的方式來做系統負載分擔，其效果并不明顯。

3.天網防火墻負載分擔系統模塊：

使用天網防火墻的分布式方案，可以建造具有快速響應時間和高容錯的大容量服務器集群系統。

天網防火墻的負載分布模塊，可以智能地將用戶的服務請求分布到多臺服務器上，同時，提供容錯功能，可以自動隔離出問題的服務器。系統具體功能如下：

1)動態負載均衡：

天網防火墻的負載分布模塊可以根據服務器的負載情況，包括cpu 占用量，系統Load等情況，自動選擇負載最小的服務器，將用戶的服務

請求發送到該機器上。

2)容錯處理：

天網防火墻的負載分布模塊可以自動檢測服務器的可用性，當某一臺服務器出現故障的時候，分布式系統會自動繞開發生故障的機器，不會將用戶的服務請求發送到該機器上，保證了系統的正常運作。

負載分擔系統的原理

4.天網防火墻負載分擔模塊的工作原理：

天網防火墻負載分擔模塊的工作原理主要是將用戶的訪問按照一定算法分布到多臺服務器上。

天網防火墻可以采用多種不同方式實現負載分擔。從功能上可以分為兩類：

1)智能類：

直接探測

方式：天網防火墻負載分擔模塊直接向服務器發送服務請求數據，根據服務器響應時間，將無響應的服務器標志為問題服務器，確立用戶

服務請求轉發的優先級。

優點：與服務器采用的系統無關，用戶服務器可以采用任何種類的服務器。

缺點：得到的數據不準確，無法做到完全的負載分擔。

服務器Agent

方式：在服務器端安裝天網防火墻的負載檢測代理軟件，實時向天網防火墻負載分擔模塊發送服務器的負載情況，包括CPU 占用量，系統

Load，網絡流量等情況，天網防火墻根據服務器負載的綜合指數，確立用戶服務請求轉發的優先級。

優點：可以準確地將用戶服務請求轉發到真正空閑的服務器上，保證服務品質。

缺點：必須針對不同操作系統的服務器安裝負載檢測代理軟件，目前只有Unix系統的負載檢測代理軟件。

2)固定類：

按照固定順序循環或隨即將用戶服務請求轉發到服務器上面。用在某些特殊的場合，例如服務器端對不正確的服務請求不響應或返回數據不正常。

5.IIDR算法：

在實際應用中，由于服務器端常常存在著CGI程序，這些程序會將用戶的信息保存在服務器的內存中，如果負載分擔系統不能識別用戶來源，就會將同一個用戶的請求分布到不同的服務器上，就會導致無法正常運行程序。

而天網防火墻的負載負擔模塊采用獨有的IIDR(智能身份識別)算法，能夠保證同一個用戶的CGI請求可以保留在同一臺服務器上，保證服務的正常運作。

6.天網防火墻負載分擔模塊：

采用分布式結構建造大規模的Internet應用，可以容納大量的用戶，然而在用戶量增大到一定的情況下，負載分擔服務器處于整個網絡中心的位置，有可能反而成為服務系統的瓶頸。

天網防火墻負載分擔模塊在設計時采用的專用散列算法，保證系統即使在處理巨大的用戶量(每秒同時連接數大于30000用戶)下，網絡效率仍然可以達到80%以上。

希望大家從中受益。

【編輯推薦】

1. 防火墻安全測試之漏洞掃描
2. 防火墻安全測試之數據包偵聽
3. 防火墻安全測試之規則分析工具
4. Web應用防火墻的主要特性
5. 防止入侵從Web應用安全漏洞做起