1. 概述

為解決單條鏈路性能及冗余問題，用戶網絡出口往往選擇多條鏈路。太一星晨推出T-Force LLC鏈路負載產品專注解決出口鏈路問題，為政府、企業、學校等提供高性能、高可靠性的鏈路解決方案。T-Force專業鏈路負載產品通過DNS代理技術及鏈路保護功能，可以更好的提高多鏈路情況下的使用效率，避免鏈路使用不均以及單條鏈路負載過高的問題。此外，T-Force鏈路負載產品支持智能DNS功能，有效避免跨運營商訪問。

2. 出站流量負載均衡(Outbound方向)

與傳統防火墻、路由器的靜態路徑選擇不同，T-Force鏈路負載產品支持動態的路徑選擇，可自動的選擇最佳訪問路徑。通過ICMP、TCP、HTTP等多重健康檢查方式，可有效的定義多重鏈路切換條件。極大的降低管理和維護成本，保持業務連續性，提高工作效率。

2.1 負載分擔算法

鏈路負載分擔算法是用來計算內網用戶訪問Internet時(出站流量)，在多鏈路間進行流量分配的方案。鏈路負載分擔的算法和服務器負載分擔的算法有一致的地方，也存在一些差異，鏈路負載分擔算法包括：

輪詢(Round Robin)-依次按照順序把流量均勻的分配給每條鏈路。

比率(Ratio)-根據每條鏈路的帶寬，指定一個權值，按照這個比率給多條鏈路分配流量。

優先級(Priority)-為每條鏈路指定一個優先級，默認情況下優先向高優先級的鏈路分配流量，當該鏈路失效時選擇備份鏈路。

加權最小連接(Weight Least Connection)-首先為每條鏈路指定帶寬的加權值，使連接數的分配符合權值的設定，對于新建的連接，選擇權值內最小的鏈路分配流量。

加權最小流量(Weight Least Traffic)-首先為每條鏈路指定帶寬的加權值，使流量的分配符合權值的設定，對于新的流量，選擇權值內最小的鏈路分配流量。

運營商路由(ISP Route)-內置IP地址和運營商的對應表，根據內網用戶訪問的目的地址所屬運營商，選擇相應的鏈路，避免跨運營商的訪問。

最快模式(Fastest)-ADC通過比對服務器返回數據包的延遲，跳數等情況，選擇一個當前響應最快的鏈路來分配流量。

主備模式(Master-Slave)-默認情況下流量都發送給主鏈路，當主鏈路失效時啟用備份鏈路。

2.2 鏈路健康檢查

T-FORCE ADC鏈路負載實時對出口鏈路進行監控和健康檢查，可以及時發現端口down掉情況。除此之外，T-FORCE ADC支持包括ICMP，TCP SYN，UDP，HTTP Get 等多種協議對遠端地址進行監控，即使是ISP內部網絡出現故障，也可以及時發現并把流量切換到其他可用鏈路。

2.3 出站流量會話保持和NAT

出接口流量會話保持是指當為某個數據流分配一個出接口鏈路以后，該種類型的后續相關流量都分配給同一條鏈路。T-FORCE ADC支持的會話保持主要是基于源地址的會話保持和基于hash的會話保持。

T-FORCE ADC支持豐富的NAT轉換策略，包括源IP地址轉換，靜態地址轉換，和基于策略的地址轉換。會話保持和NAT地址轉換，可以很大程度的避免源主機和某目標服務器通信的過程中，報文橫跨多個運營商的情況出現。

3. 入站流量負載均衡(Inbound方向)

當企業租用多個運營商鏈路，以便內部的應用服務器向外部用戶提供服務時，T-FORCE ADC可以通過在內置的智能DNS服務器上，把企業的單一域名綁定到多運營商的各自的公網IP上，并作為企業域名的權威發布服務器。當某個客戶端訪問應用服務器時，首先會進行DNS解析，T-FORCE ADC可以根據客戶端所處的運營商網絡返回跟他匹配的IP地址，或者通過動態探測技術，選出到該用戶通信質量最好鏈路，并返回對應的IP地址。這樣可以保證每次客戶端都可以通過通信質量最好的鏈路來訪問內部的應用服務器，極大的改善用戶體驗，并提升整個系統的工作效率。

3.1 智能DNS解析流程

假定企業通過租用聯通，電信兩條鏈路向外部網絡提供服務，企業的域名是www.abc.com, 則整個解析流程如下：

1. 客戶端向本地DNS(Local DNS) 服務器發送域名為www.abc.com 的DNS請求。

2. LDNS沒有該域名的A記錄，向最長匹配結果的服務器發送該請求，這里假設最長匹配只有根服務器。

3. 根服務器沒有“www.abc.com”的A記錄，但是存放了“www.abc.com”的NS域名服務器記錄——“www.abc.com IN NS master.abc.com”，將該NS記錄返回給LDNS。

4. LDNS服務器根據該NS記錄知道了去哪可以找到“www.abc.com ”的A記錄，將請求發送到設備T-FORCE ADC內置的智能DNS服務器。

5. ADC設備判斷LDNS的IP地址隸屬于哪個運營商，此示例中LDNS隸屬于于網通，所以根據預先配置的規則，T-FORCE ADC返回“www.abc.com”的A記錄為網通鏈路所分配的公網IP地址。

6. LDNS最終將剛收到的DNS響應發送回給客戶端。

7. 客戶端接下來訪問企業的網通鏈路公網地址，T-FORCE ADC上對應的虛擬服務(VS)接收數據，進入服務器負載分擔的流程。

4. 應用安全防護

4.1 解決方案

傳統的負載產品里，基本不具備安全功能，或者只能具備基本的網絡訪問控制功能。太一星晨依托自身的安全因子，除了具備基礎的網絡層訪問控制外，還具備標準的防火墻的防掃描、防攻擊功能。可以完全代替防火墻運行。作為一款應用交付產品，太一星晨T-Force應用交付平臺，在做應用的分發同時，還支持對應用層的安全檢測及訪問控制功能。

T-Force應用交付平臺應用了一套HTTP會話規則集，這些規則涵蓋諸如SQL注入、以及XSS等常見的Web攻擊。同時可通過自定義規則，識別并阻止更多攻擊。解決諸如防火墻、IPS等傳統設備束手無策的Web系統安全問題。

T-Force應用交付始終致力于提供Web安全與應用交付融合的解決方案，確保Web或網絡協議應用的可用性、性能和安全性：

• Web安全：依托多年安全檢測積累、持續的安全研究投入，針對WEB安全最主要的SQL/XSS攻擊，提供快速全面的Web安全檢測方案。

• 應用交付：依托最新intel SandyBridge平臺、專為TBOS優化的TCP/IP協議棧，以高速、高可用為目標，優化業務資源，改善訪問體驗。

4.2 主要安全功能

4.2.1 網絡層防護控制與攻擊防護

太一星晨具備標準防火墻功能，能夠基于源、目的IP、協議、端口、時間、接口等信息做訪問控制。此外，通過分析網絡層報文的行為特征判斷報文是否具有攻擊性，并且對攻擊行為采取措施以保護網絡主機或者網絡設備。

目前，Internet上常見的網絡安全威脅分為以下三類：

◆DoS攻擊

DoS攻擊是使用大量的數據包攻擊目標系統，使目標系統無法接受正常用戶的請求，或者使目標主機掛起不能正常工作。主要的DoS攻擊有SYN Flood、Fraggle等。DoS攻擊和其它類型的攻擊不同之處在于，攻擊者并不是去尋找進入目標網絡的入口，而是通過擾亂目標網絡的正常工作來阻止合法用戶訪問網絡資源。

◆掃描窺探攻擊

掃描窺探攻擊利用ping掃描(包括ICMP和TCP)標識網絡上存在的活動主機，從而可以準確地定位潛在目標的位置;利用TCP和UDP端口掃描檢測出目標操作系統和啟用的服務類型。攻擊者通過掃描窺探就能大致了解目標系統提供的服務種類和潛在的安全漏洞，為進一步侵入目標系統做好準備。

◆畸形報文攻擊

畸形報文攻擊是通過向目標系統發送有缺陷的IP報文，如分片重疊的IP報文、TCP標志位非法的報文，使得目標系統在處理這樣的IP報文時崩潰，給目標系統帶來損失。主要的畸形報文攻擊有Ping of Death、Teardrop等。

太一星晨通過包檢測、包速率、連接數限制功能可有效抵御常見網絡攻擊報文,如:SynFlood/Jolt2/Land-base/ping of death/Tear drop/winnuke/smurf/TCP flag/ARP攻擊/TCP掃描/UDP掃描/ping掃描。

4.2.2 應用層DDoS防護功能

應用層DoS攻擊是一種與高層服務相結合的攻擊方法，目前最常見就是HTTP Flood攻擊(如：CC攻擊)。與傳統的基于網絡層的DoS攻擊相比，應用層DoS具有更加顯著的攻擊效果，而且更加難以檢測。HTTP Flood是指從一個或者多個客戶端，頻繁向Web服務器請求資源，導致Web服務器拒絕服務的攻擊。通常Web服務器有些頁面是比較耗資源的，例如一些資源要查詢數據庫或者做復雜計算，對這種資源頻繁請求時，會導致服務器繁忙從而實現拒絕服務目的。

針對HTTP Flood攻擊，太一星晨能夠有效識別出攻擊行為和正常請求，在Web服務器受到HTTP Flood攻擊時，過濾攻擊行為，抑制異常用戶對Web服務器的資源消耗，同時響應正常請求，確保Web業務的可用性及連續性。啟用抗 CC 攻擊后，T-Force ADC 應用交付平臺會在服務器返回的 Http 響應中動態插入一段專用的 Cookie，正常的瀏覽器訪問時，該 Cookie 會被攜帶回來，而“攻擊者”的代理服務器則無法識別該 Cookie(HTTP Flood是由程序模擬HTTP請求，一般來說不會解析服務端返回數據，更不會解析JS之類代碼。)，并不會在下次請求中攜帶，這樣 應用交付就可以區分出正常流量和攻擊流量，并把攻擊流量直接丟棄。

4.2.3 應用層訪問控制.

標準防火墻主要通過源、目的IP地址、協議、接口的識別和控制達到防范入侵的方法。這種工作模式下，并不能精確解析應用層數據，更無法結合WEB系統對請求進行深入分析，針對WEB端口的攻擊可以輕松的通過合法端口突破防火墻的防護。

基于應用層的訪問控制恰好彌補了網絡防火墻的不足，與傳統防火墻相比，基于應用的訪問控制體現在：

² 完整解析HTTP協議，包含HTTP頭、URI、Cookie，提供HTTP協議合法性檢查，避免非法攻擊報文混入;

² 提供應用層控制規則，僅允許合法用戶的輸入通過。太一星晨可實現基于HTTP head、Cookie、請求速率、VS地址、URI的訪問控制。防止WEB的非授權訪問。

² 實現對URI的限制，只允許用戶訪問設定的URI，防止服務器資源泄露;

² 實現對特定URL的流量控制，根據Web服務器的處理性能對Web頁面訪問頻率進行控制，確保一些性能消耗比較大的Web頁面能在Web服務器承受的性能范圍之內被訪問;

4.2.4 SQL、XSS攻擊防護

SQL注入攻擊利用Web應用程序不對輸入數據進行檢查過濾的缺陷，將惡意的SQL命令注入到后臺數據庫引擎執行，達到偷取數據甚至控制數據庫服務器目的。XSS攻擊，指惡意攻擊者往Web頁面里插入惡意HTML代碼，當受害者瀏覽該Web頁面時，嵌入其中的HTML代碼會被受害者Web客戶端執行，達到惡意目的。

正是由于SQL注入和XSS這類攻擊所利用的并不是通用漏洞，而是每個頁面自己的缺陷，所以變種和變形攻擊數量非常多，如果還是以常用方法進行檢測，漏報和誤報率將會極高。太一星晨采用VXID專利技術，采用攻擊手法分析而非攻擊代碼特征分析的方法，可以準確而全面的檢測和防御此類Web攻擊行為。

VXID算法分為兩個階段：第一階段是行為提取階段，分析和提取Web攻擊的行為特征而非數據特征，建立Web攻擊行為特征庫;第二階段是實時分析網絡數據，在太一星晨應用交付內部構建“輕型虛擬機”，模擬攻擊行為以觀察其行為特征，正確判斷攻擊行為的發生。這種基于原理的檢測方式避免了對固化特征的匹配造成的高漏報率，也避免了由于檢測規則過于嚴苛造成的誤報。

太一星晨的應用交付平臺，為用戶應用，安全快速的交付業務提供了完整解決方案。在最大限度地降低帶寬的同時，還保證了數據安全，并通過合理的調度算法確保將流量轉發給性能最優的應用服務器，與多個產品組合部署的解決方案不同，單一部署方案可在單個設備上提供最佳的性能和完善的特性，最大限度的的保護用戶投資，為用戶關鍵業務實現快速、穩定、可靠的安全體驗。

4.2.5 服務器連接數管理

T-Force應用交付平臺可以為每種應用指定一個的最大并發連接數門限，一方面保護應用服務器的資源，同時也防止某種應用過多的占用系統資源，而導致其他應用無法得到正常的服務。

4.2.6 信息防泄漏

HTTP頭部信息隱藏：T-Force應用交付平臺可以在服務器響應報文中，擦除響應頭的中指定信息，比如web服務器名稱，版本號等。也可以修改服務器的真實鏈接目錄，達到隱藏服務器關鍵信息的目的。也可以通過定義在Response中允許的header，而把其他所有不滿足的header信息從報文中刪除。

Cookie加密：把服務器響應報文的中的明文Cookie信息進行加密，然后再發送給客戶端，防止某些利用Cookie存儲的關鍵信息如用戶賬號，網銀數據等在傳輸過程中被截獲。在客戶端回應過程中，把Cookie信息解密發送給應用服務器，即方便應用系統的統一管理，也降低了應用系統的壓力。

T-Force LLC鏈路負載產品集成標準防火墻訪問控制、防掃描、攻擊功能，可替代專業防火墻使用，滿足用戶邊界安全防御接入要求。