网络前沿技术讲座之四四、七层交换和网络安全设备

网络前沿技术讲座之四四、七层交换和网络安全设备概念•四－七层交换对应OSI模型的第四层到第七层•四层交换对应TCP或UDP交换•七层对应应用交换第四层交换•第四层交换机不仅可以完成端到端交换，还能根据端口主机的应用特点，确定或限制它的交换流量。•简单地说，第四层交换机是基于传输层数据包的交换过程的，是一类基于TCP/IP协议应用层的用户应用交换需求的新型局域网交换机。•第四层交换机支持TCP/UDP第四层以下的所有协议，可识别至少80个字节的数据包包头长度，可根据TCP/UDP端口号来区分数据包的应用类型，从而实现应用层的访问控制和服务质量保证。•与其说第四层交换机是硬件网络设备，还不如说它是软件网络管理系统。也就是说，第四层交换机是一类以软件技术为主，以硬件技术为辅的网络管理交换设备。第四层交换的作用•包过滤/安全控制•在大多数路由器上，采用第四层信息去定义过滤规则已经成为默认标准，所以有许多路由器被用作包过滤防火墙，在这种防火墙上不仅能够配置允许或禁止IP子网间的连接，还可以控制指定TCP/UDP端口的通信。和传统的基于软件的路由器不一样，第四层交换区别于第三层交换的主要不同之处，就是在于这种过滤能力是在ASIC专用高速芯片中实现的，从而使这种安全过滤控制机制可以全线速地进行，极大地提高了包过滤速率。第四层交换的作用•服务质量•在网络系统的层次结构中，TCP/UDP第四层信息，往往用于建立应用级通信优先权限。如果没有第四层交换概念，服务质量/服务级别就必然受制于第二层和第三层提供的信息，例如MAC地址，交换端口，IP子网或VLAN等。显然，在信息通信中，因缺乏第四层信息而受到妨碍时，紧急应用的优先权就无从谈起，这将大大阻止紧急应用在网络上的迅速传输。第四层交换机允许用基于目的地址、目的端口号（应用服务）的组合来区分优先级，于是紧急应用就可以获得网络的高级别服务。第四层交换的作用•服务器负载均衡•在相似服务内容的多台服务器间提供平衡流量负载支持时，第四层信息是至关重要的。因此，第四层交换机在核心网络系统中，担负服务器间负载均衡是一项非常重要的应用。第四层交换机所支持的服务器负载均衡方式，是将附加有负载均衡服务的IP地址，通过不同的物理服务器组成一个集，共同提供相同的服务，并将其定义为一个单独的虚拟服务器。这个虚拟服务器是一个有单独IP地址的逻辑服务器，用户数据流只需指向虚拟服务器的IP地址，而不直接和物理服务器的真实IP地址进行通信。只有通过交换机执行的网络地址转换（NAT）后，未被注册IP地址的服务器才能获得被访问的能力。这种定义虚拟服务器的另一好处是，在隐藏服务器的实际IP地址后，可以有效地防止非授权访问。第四层交换的作用•主机备用连接•主机备用连接为端口设备提供了冗余连接，从而在交换机发生故障时有效保护系统，这种服务允许定义主备交换机，同虚拟服务器定义一样，它们有相同的配置参数。由于第四层交换机共享相同的MAC地址，备份交换机接收和主单元全部一样的数据。这使得备份交换机能够监视主交换机服务的通信内容。主交换机持续地通知备份交换机第四层的有关数据、MAC数据以及它的电源状况。主交换机失败时，备份交换机就会自动接管，不会中断对话或连接。第四层交换的作用•统计和通信监测•通过查询第四层数据包，第四层交换机能够提供更详细的统计记录。因为管理员可以收集到更详细的哪一个IP地址在进行通信的信息，甚至可根据通信中涉及到哪一个应用层服务来收集通信信息。当服务器支持多个服务时，这些统计对于考察服务器上每个应用的负载尤其有效。增加的统计服务对于使用交换机的服务器负载平衡服务连接同样十分有用。第七层交换•应用层交换–HTTPHTTPSFTP……•对所有传输流和内容的控制–由于可以自由地完全打开传输流的应用／表示层，仔细分析其中的内容，因此可以根据应用的类型而非仅仅根据IP和端口号做出更智能的负载均衡决定。多层交换应用•服务器负载均衡•链路负载均衡•内容控制•WEBCACHE•IPS入侵防御•统计和审计负载均衡•四层交换机收到用户请求•利用实时的健康信息和性能信息选择最佳的服务器•充分地同时利用所有可用的服务器•在服务器间智能分配流量IP网络应用服务器四层交换机用户负载均衡的原理IPNetworkLoadBalancerClients10.1.1.1010.1.1.2010.1.1.30VIP=192.1.1.1ClientMessageSourceIP=ClientIPDestinationIP=LoadBalancerVIPSourceIP=ClientIPDestinationIP=10.1.1.10GWIP=10.1.1.1DefaultGateway=LoadBalancerIP•私有和安全的服务器IP•用户访问负载均衡器VIP•负载均衡器执行NATVIP=虚拟IP硬件负载均衡和软件负载均衡对比关键特点4-7层交换机基于PC的负载均衡注释模块热插拔YESNO冗余电源YES部分端口扩展性YESNO性能可升级性YESNOPC平台需要彻底更换安全可靠的操作系统YESNOUnix操作系统安全可靠性较低万兆支持YESNOPC无法支持万兆吞吐网络设计灵活性YESNOPC不适用于网络核心的串联设计直接连接服务器YESNOPC端口少线速ACLs和流量监控YESNO是否内置硬盘NO部分高可靠性网络设备不应该含有转动存储设备统计应用：服务器健康检查•周期性向服务器发送健康检查•检查失败时，服务器和应用从服务均衡列表中移除•可定制健康检查–2/3层(ARP,Ping)–4层(TCPconnectionsandUDPmessages)–7层(HTTP,ApplicationSpecific,SSL,Scripted)LoadBalancerServertakenoutofservice会话保持IPNetworkLoadBalancerClients•交易涉及多个TCP连接或UDP会话•需要同一台服务器处理所有连接•按“交易”负载均衡ConnectiontoBrowseBook11ConnectiontoAddBook1toCart2ConnectiontoBrowseBook23ConnectiontoAddBook2toCart4ConnectiontoCheckoutCart512345Transactionpersistencemaintained会话保持机制•4层TCP连接保持–SourceIP&port,DestinationIP&port•7层Cookie交换–Cookie被插入在HTTP数据中–具有相同cookie的所有请求被交换到同一台服务器–服务器不插入Cookie时，负载均衡器可以插入cookies•SSLSessionID交换•UDP会话保持–SourceIP&port,DestinationIP&port–Inactivitytimeoutusedtoagesessions负载均衡高可用性•两种高可用性模式–Active-Standby(一主一备)–Active-Active(负载分担)•状态保留的会话切换保持活动会话，改善用户性能体验•对应用和用户全透明•GSLB提供站点级保护IPNetworkLoadBalancersClientsAB防火墙负载均衡RouterBigIron4000123456789101112131415161718192021222324Console7Link8Activity5Link6Activity3Link4Activity1Link2Activity7Link8Activity5Link6Activity3Link4Activity1Link2Activity7Link8Activity5Link6Activity3Link4Activity1Link2ActivityInternalNetworkInternetSecure,ProtectedNetworkFirewallFirewallFirewallLoadBalancer多台防火墙负载均衡以改善性能和提升扩展性防火墙失败时透明切换在防火墙资源耗尽时保护网络和服务器ISP链路负载均衡•充分的同时利用所有可用的ISP链路•智能地均衡流量，达到最优的利用率•针对ISP不同价格和服务灵活制定策略•汇聚多条低速链路成为一条虚拟的高速链路EnterpriseNetworkRouter#1Router#2Router#3InternetISP1ISP2ISP3LoadBalancer透明缓存交换－服务器加速•透明重定向流量到缓存•在缓存间负载均衡•可接受单台缓存失败•如所有缓存失败，流量被送往服务器WebServerFarmCacheStaticcontentDynamicContent透明缓存交换－互联网加速•对缓存进行健康检查•透明重定向流量至缓存•在多台缓存间负载均衡•一台缓存失败时，可透明切换•所有缓存失败时，流量被直接转发到源服务器Cache缓存内容至源服务器Internet内容交换•避免在所有服务器上复制相同内容•增加整体服务器利用率和响应时间•使用URL和HTTP头内容选择最佳服务器–URLfull,prefixandsuffixmatch–Browsertype,devicetypeandlanguagecodeIPNetworkServersforEnglishJapaneseClientsEnglishClientsServersforJapaneseHTTPLanguageCode=EnglishHTTPLanguageCode=JapaneseIPHdrTCPHdrHTTPHdrLanguageCode*.gif/home.foo.com/*.htm*.binURLSwitch七层交换－URL交换控制/movies/songs/products/products/supportABCDEServerContent198.121.1.1•根据前缀,后缀或匹配模式定义规则•高达256条URL规则，URL长度无限制•支持URL散列:对URL通过散列法选择服务器保证同一URL访问在同一服务器InternetServerIronXL七层交换－差别客户内容控制IPNetworkPremiumServersNormalServersPremiumClientsNormalClients•用户分类并提供差别服务•定制化性能和响应时间以满足不同客户需求•区分客户–Cookies和其他7层信息–源IP地址四－七层控制：保障服务器安全防DoS攻击，连接代理保护服务器免受攻击超级的防攻击性能14.88MillionSYN/sec地址翻译保证内部网络安全全面的IronShieldTM安全特性集TransactionRateLimiting,ConnectionRateLimitingandAcessControlListsSYN-DefenseTMandSYN-GuardTMTCPSYNTCPSYNACK–SpecialSEQGoodClientBadClientTCPACK–SpecialSEQCompleteConnectionTCPSYNTCPSYNACK–SpecialSEQBADTCPACK–SpecialSEQNOConnectionFoundryServerIron监控、统计和计费•基于RFC3176的sFlow流量监控统计•实时监控client/ServerIron，server/ServerIron间流量，提供详细统计报告•不影响性能的前提下度量应用可用性、ToS、链路利用率以及其它参数•识别DoS攻击INM四、七层市场演化智能DeepContentScanSLBTCSFWLBGSLBDOSSecurityApplicationServicesandIntegrationCookieURLApplicationSecurityBladeServerFa