如何使用负载均衡设备防御攻击

楼主^#

更多发布于：2011-12-07 11:56

[] 1


	负载均衡设备作为关键应用的入口，自然也成为各种攻击的目标所在。如何确保负载均衡设备在自身不会瘫痪的前提下保护后端服务器，是负载均衡器必须解决的问题。事实上，负载均衡设备从诞生之日起，其高并发会话和新建连接速率让防火墙产品相形见绌。另外，绝大部分攻击目标IP恰好是落在负载均衡设备上的虚拟IP（VIP），相对于防火墙处理经过流量的方式，负载均衡设备更了解这些应用应该如何保护，自然适合施加针对虚拟IP和后端服务器的策略。在负载均衡设备外面设置防火墙的，是一些用户既有的管理原因导致。对于真正大流量的互联网应用，鲜有在负载均衡设备外侧部署防火墙的。下面以A10网络的AX产品具备的各种攻击防御方式进行介绍。 1. 首先，针对最常见的SYN Flooding攻击，负载均衡设备采用广为使用的SYN Cookie机制进行防御。用户关注的就是其SYN Cookie性能了。A10的高端设备采用硬件处理SYN-Cookie，可以防御高达50MSYN/Sec（约3个万兆+3个千兆端口打满攻击流量）的DDoS攻击，而且对cpu影响为0. 2. ICMP速率限制。针对类似Smurf的基于大量PING的攻击，负载均衡设备可以限制每秒处理的ICMP包数量。 3. 基于源IP的连接速率限制，适用于TCP和UDP。越来越多的分布式DoS攻击为有效TCP连接或者UDP攻击。对于来自单一IP连接速率超过设定值的，负载均衡设备可以对该IP地址采取丢弃、发送日志告警、锁定一定时间等多种操作。 4. IP异常攻击防御。针对Land-attack，Ping-of-Death等常见攻击类型，A10的负载均衡设备可以检测并丢弃。 5. 访问控制列表（ACL），基于IP五元组进行过滤，不再赘述。 6. 基于策略的服务器负载均衡（PBSLB），A10的负载均衡设备可以支持高达800万条主机记录的黑白名单，该名单可以通过TFTP服务器定期自动更新，更新期间无过渡漏洞。较之路由器的ACL或防火墙策略数量高出数十倍。可以针对该名单内地址限制连接数量，可以分为不同组，选择丢弃或转发到不同组服务器。该特性可以与A10其它防攻击特性结合动态生成黑白名单。 7. 虚拟服务器/服务器连接数量限制。根据服务器的能力，限制分配到单台服务器或整个虚拟服务器的连接数量。避免服务器由于连接过多而瘫痪。该限制可应用于服务器或其某个服务端口。 8. 虚拟服务器/服务器连接速率限制。上一项限制的是同时保持的静态连接数量，这一项则是限制新建连接的速率。对于大量短连接攻击或突发流量，并发连接数不大，但大量新建连接同样可以让服务器瘫痪。 9. HTTP并发请求限制和请求速率限制。针对目前大量的CC攻击，上述基于连接数和连接速率的限制已经无能为力，因为CC攻击往往是在单一TCP连接上发送大量HTTP请求。A10的负载均衡设备将基于7层请求的攻击防御与强大的黑白名单功能结合，可以限制单一IP来源的并发总连接数、新建连接速率、并发请求数、请求速率。不同用户IP可以分为不同组，设置不同参数。 10. DNS合规性检查。针对应用之首的DNS，攻击防御更是不可忽视。除了上述通用特性外，A10的负载均衡设备可以检查DNS数据包得合规性，对于格式不符合DNS协议标准的数据包进行过滤或转发到专门的安全设备。 11. 动态DNS缓存功能。由于DNS服务器能力有限，如何在有异常流量时保护DNS服务器并让DNS服务正常运行，是用户渴望解决的问题。A10的动态DNS缓存功能可以根据后端DNS服务器能力设置阈值，当针对某个域名的请求达到一定数量时，可以动态启用该域名的缓存功能，有负载均衡设备应答DNS请求。这个功能的前提是负载均衡设备的DNS处理能力足够高。A10的入门级64位产品的DNS处理能力即可达到150万DNS QPS（DNS请求/秒）。 12. 自定义脚本。基于tcl语言的自定义脚本可以让用户根据需求定义更为灵活的安全策略，尤其是A10的自定义脚本可以调用上述高达800万条目的黑白名单。以上只是每个安全特性的简单描述，每个安全特性都有一些细节功能，可以解决很多用户头疼的安全问题。后期会选择部分功能详细介绍。（R.S.）