信安世紀(jì)NSAE-LT鏈路負(fù)載均衡產(chǎn)品技術(shù)白皮書V3

1、©信安世紀(jì)fosec信安世紀(jì)應(yīng)用安全網(wǎng)關(guān)鏈路負(fù)載均衡系列產(chǎn)品(NSAE-LT)技術(shù)白皮書信安世紀(jì)科技有限公司INFOSECTECHNOLOGIESCO.LTD二零零八年知識產(chǎn)權(quán)聲明本白皮書中的內(nèi)容是信安世紀(jì)NSAE-LT產(chǎn)品技術(shù)說明書。本材料的相關(guān)權(quán)利歸信安世紀(jì)公司所有。白皮書中的任何部分未經(jīng)本公司許可，不得轉(zhuǎn)印、影印或復(fù)印及傳播。?2007信安世紀(jì)科技有限公司Allrightsreserved.NSAE-LT鏈路負(fù)載均衡產(chǎn)品技術(shù)白皮書信安世紀(jì)科技有限公司北京市西城區(qū)南禮士路二條甲1號月壇理想大廈6層電話：（86-10）68025518傳真：（86-10）68025519郵編：100

2、045網(wǎng)址：電子信箱：support®ia安世紀(jì)fOSOC前言1第1章產(chǎn)品概述3.1.1 產(chǎn)品背景3.1.2 產(chǎn)品簡介4.1.3 產(chǎn)品型號4.1.4 NSAE-LT產(chǎn)品應(yīng)用5.第2章產(chǎn)品功能6.功能特性6.基本功能：鏈路負(fù)載均衡（LLB）.7其他功能9.部署方式1.4產(chǎn)品優(yōu)勢1.4第3章技術(shù)特性1.7產(chǎn)品特性1.7性能特性錯誤！未定義書簽。第4章總結(jié).19®ia安世紀(jì)fOSOC當(dāng)前，無論在政府網(wǎng)、金融網(wǎng)、企業(yè)網(wǎng)、校園網(wǎng)還是在廣域網(wǎng)如Internet上,業(yè)務(wù)量的發(fā)展都超出了過去最樂觀的估計，用戶大量的信息請求，不斷更新的應(yīng)用需求以及對業(yè)務(wù)不間斷的持續(xù)訪問，成為應(yīng)用服務(wù)商解決互

3、聯(lián)網(wǎng)服務(wù)，獲得用戶認(rèn)可的關(guān)鍵因素，即使按照當(dāng)時最優(yōu)條件配置建設(shè)的網(wǎng)絡(luò)，面對不間斷、快速的用戶增長，服務(wù)器也會無法承擔(dān)。原有鏈路也會因?yàn)橛脩袅康牟粩嘣龃髮?dǎo)致用戶訪問速度過慢，鏈路擁塞，網(wǎng)絡(luò)故障頻繁，尤其是各個網(wǎng)絡(luò)的核心部分，其數(shù)據(jù)流量和計算強(qiáng)度之大，使得單一設(shè)備根本無法承擔(dān)，而如何在完成同樣功能的多個鏈路及網(wǎng)絡(luò)設(shè)備之間實(shí)現(xiàn)合理的業(yè)務(wù)量分配，使之不至于出現(xiàn)一臺設(shè)備過忙、而別的設(shè)備卻未充分發(fā)揮處理能力的情況，成為信息提供商及應(yīng)用服務(wù)商必須克服的問題，負(fù)載均衡機(jī)制也因此應(yīng)運(yùn)而生。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價有效的方法擴(kuò)展服務(wù)器帶寬和增加吞吐量，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)的靈活性

4、和可用性。它主要完成以下任務(wù)：解決網(wǎng)絡(luò)擁塞問題，服務(wù)就近提供，實(shí)現(xiàn)地理位置無關(guān)性；多條鏈路接入，根據(jù)鏈路響應(yīng)速度，提供最快的訪問方式，針對故障鏈路進(jìn)行智能自動切換，保證客戶不間斷訪問；為用戶提供更好的訪問質(zhì)量；提高服務(wù)器響應(yīng)速度；提高服務(wù)器及其他資源的利用效率；避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點(diǎn)失故障導(dǎo)致所有服務(wù)停止。針對負(fù)載均衡的運(yùn)行機(jī)制及應(yīng)用策略方面，根據(jù)負(fù)載均衡的工作原理可以分為鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡、廣域網(wǎng)負(fù)載均衡三種負(fù)載均衡方式。三種負(fù)載均衡機(jī)制，根據(jù)用戶針對不同環(huán)境及應(yīng)用的負(fù)載均衡要求進(jìn)行服務(wù)，滿足用戶對各個應(yīng)用層面及網(wǎng)絡(luò)層次的負(fù)載均衡需求。總之，負(fù)載均衡是一種策略，它能讓多條鏈路或

5、多臺服務(wù)器共同承擔(dān)一些繁重的計算或I/O任務(wù)，從而以較低成本消除網(wǎng)絡(luò)瓶頸，提高網(wǎng)絡(luò)的靈活性和可用性。針對當(dāng)前形勢，信安世紀(jì)公司分析各行業(yè)多種應(yīng)用的請求，自主研發(fā)了適用于廣域網(wǎng)、內(nèi)部網(wǎng)、獨(dú)立子網(wǎng)的鏈路負(fù)載均衡設(shè)備NSAE-LT0解決客戶針對鏈®ia安世紀(jì)fOSOC路負(fù)載均衡、服務(wù)器負(fù)載均衡的各種需求。信安世紀(jì)推出的NSAE-LT系列產(chǎn)品，采取了ALLINONE的設(shè)計策略，把服務(wù)器負(fù)載均衡、鏈路負(fù)載均衡、廣域網(wǎng)負(fù)載均衡三種產(chǎn)品集成在一個設(shè)備中。真正實(shí)現(xiàn)了鏈路、服務(wù)器、廣域網(wǎng)負(fù)載均衡三種服務(wù)的無縫接入。在最低成本的控制下滿足了客戶多方面的應(yīng)用需求。并且在無需改變現(xiàn)有網(wǎng)絡(luò)的情況下，即可進(jìn)行負(fù)

6、載均衡設(shè)備的部署及升級，在應(yīng)用及網(wǎng)絡(luò)層次增加了客戶系統(tǒng)的安全性及穩(wěn)定性。®ia安世紀(jì)fOSOC第1章產(chǎn)品概述1.1產(chǎn)品背景隨著網(wǎng)絡(luò)通信的發(fā)展，網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，以及數(shù)字接入專線價格的不斷下調(diào)，客戶對業(yè)務(wù)的需求也隨著網(wǎng)絡(luò)通信的不斷發(fā)展變得更加多樣化，對運(yùn)營服務(wù)的要求也越來越嚴(yán)格，如何充分利用服務(wù)資源，平衡鏈路利用率，提高客戶訪問速度，確?？蛻舻牟婚g斷訪問以及鏈路服務(wù)的正常運(yùn)轉(zhuǎn)和切換，已經(jīng)成為運(yùn)營服務(wù)商提高服務(wù)，爭取更多用戶認(rèn)可的首要難題。目前用戶普遍采用電信、網(wǎng)通、教育等多鏈路接入，實(shí)現(xiàn)鏈路自動切換，為外網(wǎng)及內(nèi)網(wǎng)用戶提供7*24小時的不間斷訪問，當(dāng)其中一條鏈路出現(xiàn)問題后，系統(tǒng)自動切換

7、到正常的鏈路上工作，保證服務(wù)的不間斷運(yùn)行。由于多鏈路解決方案能夠提供更好的可用性和帶寬性能，它正在被越來越多的企業(yè)所采用?？捎眯缘奶岣邅碜杂诙鄺l鏈路的使用，而性能提高則是因?yàn)橥瑫r使用多條鏈路增加了帶寬擴(kuò)充了流量。多鏈路方案能夠提高企業(yè)業(yè)務(wù)的可用性和性能，但這種方案也面臨著特殊的問題和挑戰(zhàn)：在多鏈路環(huán)境的實(shí)際應(yīng)用中，鏈路沒有更好的進(jìn)行負(fù)載分擔(dān)；多鏈路網(wǎng)絡(luò)解決方案僅僅是“共享”式，而不是真正的負(fù)載均衡；由于各個運(yùn)營商之間存在互聯(lián)互通的問題，沒有實(shí)現(xiàn)根據(jù)網(wǎng)絡(luò)就近性的路徑判斷；對流入的流量沒有很好的解決根據(jù)網(wǎng)絡(luò)的就近性來導(dǎo)向用戶的訪問請求，使外部的用戶能最快的訪問對外服務(wù)；對流出的流量無法解決自動選擇

8、最快鏈路，達(dá)要目標(biāo)資源的訪問策略；對于鏈路的健康狀況也不能實(shí)時監(jiān)測，也解決不了鏈路容災(zāi)，也就是當(dāng)某一條鏈路出現(xiàn)故障后，將其流量導(dǎo)向另外鏈路的策略?；谝陨系膯栴}，鏈路負(fù)載均衡的解決方案成為眾多服務(wù)商、以及多鏈路接入客戶必須解決的問題。信安世紀(jì)應(yīng)用安全網(wǎng)關(guān)系列產(chǎn)品(后簡稱NSAE)是一款集成了鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡等多種功能于一體的新型應(yīng)用前端加速負(fù)載均衡設(shè)備，具有SSL加速、鏈路負(fù)載均衡、廣域網(wǎng)負(fù)載均衡、集群、應(yīng)用安全防火墻、高速緩存、HTTP壓縮等多種功能可以自由選擇。NSAE-LT是NSAE產(chǎn)品系列中專用的鏈路負(fù)載均衡設(shè)備，充分考慮了用戶的實(shí)際需求，可以極大的改善企業(yè)應(yīng)用的可靠性、性

9、能和安全性，同時降低了整體成本和數(shù)據(jù)中心的復(fù)雜度，提高了應(yīng)用的處理能力，為用戶提供了全新的易用、高效、穩(wěn)定的保障信息安全的屏障。產(chǎn)品型號鏈路負(fù)載均衡(NSAE-LT)型號列表產(chǎn)品型號范圍NSAE1100-LT適用于用戶數(shù)量不多、鏈路接入帶寬小于等于200M、應(yīng)用訪問較少的中小型應(yīng)用，可以降低成本、提高可靠性。NSAE2100-LT適用于用戶數(shù)量較多、鏈路接入帶寬小于等于400M、應(yīng)用訪問量較大、訪問業(yè)務(wù)增長較快的中小型應(yīng)用，可以降低成本、減小維護(hù)風(fēng)險、提高應(yīng)用可靠性、避免單臺服務(wù)器故障。NSAE11000-LT適用于用戶數(shù)量較多、鏈路接入帶寬非常小于等于1.2G、訪問量增長較快的中型以上應(yīng)用項(xiàng)

10、目，可以充分滿足今后應(yīng)用擴(kuò)展的需求。NSAE21000-LT適用于訪問量以及鏈路負(fù)載量很大的大型應(yīng)用，鏈路接入帶寬小于等于2G,提高整個應(yīng)用平臺的處理能力，為用戶提供不間斷鏈路服務(wù)。NSAE-LT產(chǎn)品型號表®ia安世紀(jì)fOSOC1.4NSAE-LT產(chǎn)品應(yīng)用包uQQmWwrlifeMT產(chǎn)品應(yīng)用同類產(chǎn)品往往由多個單一功能設(shè)備組成，數(shù)據(jù)傳輸延遲大、管理維護(hù)困難，用戶往往為了實(shí)現(xiàn)一個簡單的需求需要改變整個網(wǎng)絡(luò)結(jié)構(gòu)或需要購買其它的網(wǎng)絡(luò)硬件產(chǎn)品。而NSAE-LT則集多功能于一體，具備高性能、高可靠性，為客戶節(jié)省大量的硬件、維護(hù)、設(shè)置、和人力方面的投入。通過部署NSAE-LT設(shè)備，不僅對用戶上行流

11、量支持鏈路的負(fù)載均衡，還可以通過配置實(shí)現(xiàn)對內(nèi)部防火墻或后臺服務(wù)器的負(fù)載均衡。通過NSAE-LT產(chǎn)品的部署減少了網(wǎng)絡(luò)的復(fù)雜性和用戶成本的控制。第2章產(chǎn)品功能功能特性NSAE-LT產(chǎn)品系列除提供專業(yè)的鏈路負(fù)載均衡功能（LLB）外，還是一個真正的將眾多重要的網(wǎng)絡(luò)功能合為一體的集成化應(yīng)用系統(tǒng)，這些網(wǎng)絡(luò)功能包括服務(wù)器負(fù)載均衡（SLB）、全局服務(wù)器負(fù)載均衡（GSLB）、SSL加速、WebWall安全、HTTP壓縮等。通過NSAE-LT鏈路負(fù)載均衡設(shè)備部署，可以有效整合用戶現(xiàn)有鏈路，保障用戶接入服務(wù)的不間斷性及穩(wěn)定性，保障內(nèi)網(wǎng)用戶訪問外部資源的速度，鏈路負(fù)載均衡無論針對內(nèi)網(wǎng)用戶和外網(wǎng)用戶，都起到了良好的效果

12、。具體表現(xiàn)在：內(nèi)網(wǎng)用戶訪問因特網(wǎng)流量的負(fù)載均衡：當(dāng)內(nèi)網(wǎng)用戶訪問因特網(wǎng)上的其他服務(wù)器時，鏈路負(fù)載均衡設(shè)備能夠自動幫助用戶選擇、判斷多條接入鏈路中狀態(tài)最好的一條，加快了用戶訪問速度、及服務(wù)響應(yīng)時間，屏蔽了由于南北電信互訪、網(wǎng)絡(luò)響應(yīng)速度過慢、帶寬資源無法充分利用帶來的一系列問題；并且一旦其中任何一條鏈路發(fā)生問題時，另外一條健康的鏈路將承載所有網(wǎng)絡(luò)訪問，而當(dāng)發(fā)生問題的鏈路恢復(fù)正常后，網(wǎng)絡(luò)服務(wù)自動恢復(fù)負(fù)載均衡狀態(tài)。外網(wǎng)用戶訪問網(wǎng)內(nèi)服務(wù)器的負(fù)載均衡：當(dāng)外網(wǎng)用戶訪問內(nèi)部服務(wù)器時，鏈路負(fù)載均衡設(shè)備除了能幫助實(shí)現(xiàn)上述效果的同時，還可以通過對鏈路狀態(tài)的檢測動態(tài)判斷用戶請求DNSIP地址，這樣眾多的外網(wǎng)用戶在訪問同

13、一服務(wù)器域名時NSAE-LT設(shè)備將根據(jù)用戶訪問請求判斷用戶所屬區(qū)域，根據(jù)定義的服務(wù)策略（輪詢、加權(quán)輪詢、最快響應(yīng)時間、源地址路由）等，返回根據(jù)策略定義的鏈路服務(wù)地址。通過多鏈路接入，不僅保證了用戶訪問速度、服務(wù)響應(yīng)時間還保證了服務(wù)商業(yè)務(wù)的不間斷及穩(wěn)定性。基本功能：鏈路負(fù)載均衡（LLB）NSAE-LT鏈路負(fù)載均衡可以解決多鏈路下流量分擔(dān)的問題，為用戶的多鏈路的網(wǎng)絡(luò)應(yīng)用提供了最好的解決方案。通過NSAE-LT的鏈路負(fù)載分擔(dān)功能，能夠?qū)τ脩舻亩噫溌返木W(wǎng)絡(luò)應(yīng)用提供基于Inbound和Outbound的鏈路負(fù)載分擔(dān)功能，解決多鏈路下流量分擔(dān)的問題。通過NSAE-LT產(chǎn)品的部署很好的解決了南北電信互聯(lián)互通

14、、鏈路冗余、鏈路智能切換、鏈路負(fù)載、加速流量處理速度、提高服務(wù)響應(yīng)速度等問題。InboundInbound:通過互聯(lián)網(wǎng)訪問擁有多條鏈路接入的NSAE-LT內(nèi)網(wǎng)應(yīng)用服務(wù)。當(dāng)有Internet用戶訪問用戶應(yīng)用網(wǎng)絡(luò)時，DNS服務(wù)器回應(yīng)給用戶由NSAE-LT完成的最終地址解析，NSAE-LT根據(jù)具體設(shè)置來選定適當(dāng)?shù)腎SP線路，如果選擇ISP1,則將地址解析為ISP1的路由地址。同樣，如果選擇ISP2,則將地址解析為2的路由地址，從而完成流入流量的負(fù)載均衡。采用SmartDNS（智能DNS）時，LLB支持的負(fù)載均衡算法包括：RoundRobin（輪詢）NSAE-LT順序的將多個ISP的IP地址作為每次用

15、戶解析請求的返回值。WeightingRoundRobbing（權(quán)重輪詢）NSAE-LT為每個ISP的IP地址設(shè)定一個加權(quán)值，并根據(jù)加權(quán)值順序的選擇多個ISP的IP地址作為每次用戶解析請求的返回值，權(quán)值大的ISP的IP地址被選擇的次數(shù)多。通過此算法，企業(yè)可以在多條帶寬不同的鏈路間合理分配流量，帶寬高的鏈路權(quán)值大，因此承載的流量就高。ShortestResponseTime（最快響應(yīng)時間）對于流入的流量，NSAE-LT使用與流出流量相同的最短響應(yīng)時間判斷機(jī)制，選擇最佳的流入流量傳輸路徑，進(jìn)行最終的解析地址。SourceIP-BasedRouting（源IP路由選擇）根據(jù)企業(yè)網(wǎng)絡(luò)的特點(diǎn)，NSAE-

16、LT還提供基于每個數(shù)據(jù)流的源IP地址的路由選擇算法。NSAE-LT會檢查每個用戶解析請求的源IP地址是否屬于預(yù)先設(shè)定的一個地址范圍，若是，則選擇某一個ISP的IP地址作為該次用戶解析請求的返回值。通過此算法，企業(yè)可以設(shè)定源IP地址屬于教育網(wǎng)范圍的，通過教育網(wǎng)的鏈路流入，其他流量則通過另一條鏈路流入。OutboundOutbound:從內(nèi)部網(wǎng)訪問互聯(lián)網(wǎng)通過多條鏈路接入的NSAE-LT。對于流出流量的智能地址管理，NSAE-LT使用了稱為SmartNAT的算法。當(dāng)選定一個路由器（某一個ISP）傳送流出流量時，NSAE-LT將選擇該ISP提供的地址。如果NSAE-LT選才?ISP1作為流出流量的路徑

17、，則它將把內(nèi)部的主機(jī)地址192.168.1.A/24翻譯為0/24,并作為流出數(shù)據(jù)包的源地址。同樣，如果NSAE-LT選才?ISP2作為流出流量的路徑，則它將把內(nèi)部的主機(jī)地址192.168.1.A/24翻譯為0/24,并作為流出數(shù)據(jù)包的源地址。采用SmartNAT時，NSAE-LT支持的負(fù)載均衡算法包括：RoundRobin（輪詢）NSAE-LT順序的選擇多個出口鏈路作為每個數(shù)據(jù)流的流出路徑。WeightingRoundRobbing（權(quán)重輪詢）NSAE-LT為每個出口鏈路設(shè)定一個加權(quán)值，并根據(jù)加權(quán)值順序的選擇多個出口鏈路作為每個數(shù)據(jù)流的流出路徑，權(quán)值大

18、的鏈路被選擇的次數(shù)多。通過此算法，企業(yè)可以在多條帶寬不同的鏈路間合理分配流量，帶寬高的鏈路權(quán)值大，因此承載的流量就高。ShortestResponseTime（最快響應(yīng)時間）為了優(yōu)化流出的流量，NSAE-LT還為流出的流量實(shí)施最快響應(yīng)時間運(yùn)算。如果內(nèi)部主機(jī)要訪問某一Internet站點(diǎn)，可能通過一個ISP的路徑比通過其他ISP的路徑有效。因此，NSAE-LT可以提供最短響應(yīng)時間算法，為流出到某一個站點(diǎn)的流量選擇最佳的ISP路徑，保證所需內(nèi)容最快到達(dá)目的地，提高服務(wù)的品質(zhì)。DestinationIP-BasedRouting（源IP路由選擇）根據(jù)企業(yè)網(wǎng)絡(luò)的特點(diǎn)，NSAE-LT還提供基于每個數(shù)據(jù)流

19、的目標(biāo)IP地址的路由選擇算法。NSAE-LT會檢查每個流的目標(biāo)IP地址是否屬于預(yù)先設(shè)定的一個地址范圍，若是，則選擇某一條特定鏈路作為該數(shù)據(jù)流的流出路徑。通過此算法，企業(yè)可以設(shè)定目標(biāo)IP地址屬于教育網(wǎng)范圍的，通過教育網(wǎng)的鏈路流出，其他流量則通過另一條鏈路流出。NSAE-LT通過端口Mnet或VLAN功能的配置，能夠同時支持128條鏈路實(shí)現(xiàn)鏈路負(fù)載分擔(dān)功能。支持各種速率的鏈路，比如DSL,CableModem,T1/E1；支持多宿主的結(jié)構(gòu)；負(fù)載均衡算法：RR、WRR、SRT、PBR;可以和NAT一起工作。InternetClients&InternetAMdddInsideClientsW

20、ebServers同時通過策略路由(Eroute)功能，能夠更好的滿足用戶對路由功能的要求其他功能內(nèi)置防火墻(Webwall)內(nèi)建基于狀態(tài)檢測的防火墻一Webwall,對比其他基于ACL的防火墻產(chǎn)品,NSAE-LT的Webwall具有獨(dú)特的加速算法，使彳3ACL條目的增加不會影響整個系統(tǒng)的性能?；贜SAE-LT強(qiáng)大的處理性能（每秒可支持1,000,000并發(fā)連接），Webwall可抵御DOS、SYNCFlood>BufferOverflowAttacks、ParserEvasionAttacks>DirectoryTraversalAttacks等惡意攻擊。來自Client端的任

21、何連接請求都不會直接發(fā)到后臺服務(wù)器，從而保證了整個系統(tǒng)的高安全性。Webwall可從以下幾方面有效保護(hù)您的服務(wù)器：支持應(yīng)用層URL的過濾；基于包狀態(tài)檢測的防火墻；支持NAT的功能，使內(nèi)部用戶能訪問Internet的資源；端口的Forward功能，使用戶能遠(yuǎn)端對服務(wù)器進(jìn)行管理，能把常用的端口映射到服務(wù)器的任意端口（端口映射）。常用的端口，比如80,443,20,21能映射到服務(wù)器任何端口，以此提供更高的安全性，讓闖入者很難知道哪些服務(wù)運(yùn)轉(zhuǎn)在哪個端口；WebWall功能啟動后，它將關(guān)閉所有的訪問；NSAE-LT支持多達(dá)1000個訪問控制列表；通過HTTPS或SSL遠(yuǎn)端管理，使用SSH命令行或以HT

22、TPS來做瀏覽器界面管理；支持SSL的安全訪問。集群（Cluster）傳統(tǒng)的四層設(shè)備，僅支持二臺設(shè)備工作在HA方式下，支持Active/Active、Active/Standby工作方式，因此四層設(shè)備可靠性，可擴(kuò)展性，網(wǎng)絡(luò)吞吐量都受到限制。但四層設(shè)備是關(guān)鍵設(shè)備，許多四層設(shè)備廠家都沒有很好解決這些問題。NSAE-LT提供1+1和N+1的冗余配置模式，可以工作在Active/Standby方式。在Active/Standby工作方式中，一個Cluster中NSAE-LT設(shè)備中只有一臺設(shè)備為Master,其它的設(shè)備全部為Backup狀態(tài)。當(dāng)主設(shè)備故障時，備份設(shè)備轉(zhuǎn)換為主設(shè)備成為Master狀態(tài)。只有

23、在主設(shè)備恢復(fù)時，備份設(shè)備退出Master狀態(tài)改變狀態(tài)為Backup。如圖所示:WebClientsInternetSLBVIPbMasterSLBVIP2-Backup5iWInfosec1SLBVIP1-BackupSLE-VIP2-MasterWebServers圖中，Infosecl為主設(shè)備，處理SLB流量，Infosec2為備份設(shè)備，監(jiān)聽Infosecl的廣播，當(dāng)Infosecl發(fā)生故障時，Infosec2就會接管Infosecl上的所有流量。Clustering工作原理利用IPMulticast進(jìn)行廣播，默認(rèn)值：每3秒一次；具有最高優(yōu)先級的成為Master,若一個備份的NSAE-LT

24、具有最高優(yōu)先級，它就成為Master,；一個備份NSAE-LT在3秒內(nèi)，沒在聽到Master的廣播，它宣布成為Master；每個設(shè)備獨(dú)立的進(jìn)行流量的處理，同時又監(jiān)視本Cluster中其它設(shè)備的工作狀態(tài)；利用VRRP的技術(shù)實(shí)現(xiàn)（VRRP虛擬路由冗余協(xié)議，RFC2338）快速緩存(Cache)Cache技術(shù)-解決訪問速度緩慢問題InfosecNSAE-LT采用基于內(nèi)存的反向代理Cache功能。通過Cache功能的應(yīng)用，NSAE-LT產(chǎn)品能夠在內(nèi)存中以數(shù)據(jù)包的形式對網(wǎng)頁及指定內(nèi)容進(jìn)行Cache（內(nèi)容緩存）。當(dāng)用戶訪問請求發(fā)送到NSAE-LT時，如果Cache中的內(nèi)容能夠匹配用戶的訪問請求則直接由NS

25、AE-LT來響應(yīng)用戶的訪問，從而避免了對后臺服務(wù)器的負(fù)載壓力，在減小了后臺服務(wù)器負(fù)載的同時，提高了對用戶的響應(yīng)速度和整體網(wǎng)站的處理能力。ReverseProxyCache兼容HTTP1.0和HTTP1.1;Cache（內(nèi)容緩存）以“Frame”格式存貯，而不是以文件存貯，從而快速存取，僅僅數(shù)據(jù)以“Frame”格式保存（不包含Etherent,IP&TCP的報頭）；內(nèi)容保存于RAM,具有更快的存取速度；Cache內(nèi)容可以手動刪除，自動、手動清除或刷新；緩存內(nèi)容預(yù)先裝入（recursivepre-load）；利用“GETifmodified（緩存驗(yàn)證模式）：”請求，在后臺對內(nèi)容進(jìn)行有效性驗(yàn)

26、證；僅HTTPGET請求由CacheEngine處理，其它請求Forward至USLB處理；請求含有Cookies由SLB處理。響應(yīng)含有Cookies的根據(jù)報頭的Cache控制信息處理；HTTP無Cache控制報頭，自動Cache,通過人工刪除Cache的內(nèi)容;支持LOGSquid格式（日志請求）。Cache功能可以在加速用戶訪問的同時，減輕服務(wù)器的負(fù)擔(dān)。壓縮（Http壓縮）窄帶訪問應(yīng)用的訪問速度和服務(wù)質(zhì)量的保證一直是網(wǎng)站推廣和擴(kuò)大用戶訪問所亟待解決的問題。通過NSAE-LT產(chǎn)品中HTTP壓縮功能的應(yīng)用，能夠提高網(wǎng)站訪問的通信質(zhì)量，在向窄帶用戶提供很高的通信質(zhì)量的同時，還能夠極大的節(jié)約網(wǎng)站互聯(lián)

27、網(wǎng)接入帶寬消耗。采用HTTP壓縮的優(yōu)勢:節(jié)省帶寬；縮短用戶下載內(nèi)容的時間；在WebServer上不需要壓縮功能，減輕了WebServer的負(fù)擔(dān)下圖是采用HTTP壓縮前后的帶寬利用率比較：1E000WOOD5CCC2000015.11i.5Requests;Secvs.Bandwidth0.S14.3Megabits/SecondCompres&ionOnCompressionOff由圖可以看出，在15.1Mbps帶寬下：沒有采用HTTP壓縮時，每秒可以處理2000個HTTP請求；采用HTTP壓縮時，每秒可以處理20000個HTTP請求。連接復(fù)用連接復(fù)用的主要作用是為了改善現(xiàn)有系統(tǒng)的總體

28、性能，其技術(shù)原理是自動實(shí)現(xiàn)HTTP1.0到HTTP1.1的轉(zhuǎn)換；TCP/IP協(xié)議棧在處理長連接時具有更好的性能；將Web流量的多個短連接合并為一個長連接，改善了服務(wù)器的性能。為了提高NSAE-LT和服務(wù)器的性能，在NSAE-LT與服務(wù)器之間建立持續(xù)的TCP連接，從而NSAE-LT不用為每個需要與WEB服務(wù)器連接的請求，建立新的連接；NSAE與Web服務(wù)器之間，預(yù)先建立20個TCP連接，用于轉(zhuǎn)發(fā)用戶的請求到WEB服務(wù)器，一個連接能轉(zhuǎn)發(fā)95個用戶請求部署方式NSAE-LT產(chǎn)品部署方式靈活可以采取雙臂部署方式?？梢造`活的根據(jù)客戶現(xiàn)有網(wǎng)絡(luò)架構(gòu)進(jìn)行部署，盡量減少了客戶現(xiàn)有網(wǎng)絡(luò)的變動，保證了整個網(wǎng)絡(luò)的安全

29、性及穩(wěn)定性。雙臂方式部署如圖產(chǎn)品優(yōu)勢優(yōu)化的操作系統(tǒng)不同于其他安全代理網(wǎng)關(guān)設(shè)備，NSAE-LT具有信安世紀(jì)優(yōu)化、定制的InfosecOS操作系統(tǒng)，實(shí)現(xiàn)內(nèi)核級的應(yīng)用處理，從根本上解決了潛在的應(yīng)用性能障礙，最大程度發(fā)揮其最高的性能，使整個架構(gòu)的延遲得以降低，從而提升整個系統(tǒng)的性能。OpenSSL其它廠家系統(tǒng)架構(gòu)信安世紀(jì)系統(tǒng)架構(gòu)安全性內(nèi)建的應(yīng)用安全防火墻確保網(wǎng)絡(luò)真正的安全，高性能的訪問控制列表(ACL),網(wǎng)絡(luò)地址翻譯(NAT)以及基于狀態(tài)的數(shù)據(jù)包檢測，使來自客戶端的任何連接請求都不會直接發(fā)到后臺服務(wù)器，不僅抵御了非法訪問和Dos攻擊，而且可以阻止某些解決方案無法發(fā)現(xiàn)的應(yīng)用層攻擊，從而保證了整個系統(tǒng)的高

30、安全性。原始數(shù)據(jù)均進(jìn)行了加密處理，關(guān)鍵信息無法被第三方竊取或篡改，有效地保護(hù)服務(wù)器和應(yīng)用的安全，同時還支持1024位的非對稱加密算法和128位的對稱加密算法，應(yīng)用數(shù)據(jù)傳輸更加安全可靠。功能豐富，滿足不同用戶的多種應(yīng)用需求NSAE-LT是集多種功能于一體的新型應(yīng)用設(shè)備，不同于以往單純的鏈路負(fù)載均衡設(shè)備，NSAE-LT還有負(fù)載均衡、集群、應(yīng)用安全防火墻、高速緩存等多種功能，用戶可以根據(jù)需要靈活定制，以獲得最佳的解決方案，來最大程度滿足多種應(yīng)用的需要，改善、優(yōu)化企業(yè)應(yīng)用服務(wù)，從而保證其可靠性和安全性。降低成本和復(fù)雜性NSAE-LT可以做到一個產(chǎn)品提供用戶所需的諸多功能，通過集成化的服務(wù)系統(tǒng)，減少了用

31、戶的投入，節(jié)省了日后擴(kuò)展功能所需的各項(xiàng)投資；不必為多個產(chǎn)品帶來的復(fù)雜配置，增加客戶的管理成本，并能夠避免多產(chǎn)品引發(fā)的兼容性問題；同時也降低了整體成本和數(shù)據(jù)中心的復(fù)雜度，提高了應(yīng)用的處理能力，為用戶提供了全新的易用、高效、穩(wěn)定的保障信息安全的屏障。易用性NSAE-LT安裝簡單，可以通過Web圖形管理界面或者人性化的命令行界面進(jìn)行直觀的配置和管理?？蛻糁恍枰ㄟ^支持SSL/TLS協(xié)議的IE或者Netscape的瀏覽器訪問資源，無須安裝任何客戶端程序，使用步驟與普通的網(wǎng)頁瀏覽沒有任何區(qū)別，對于普通的計算機(jī)使用者這種訪問方式簡單易行、無需維護(hù)。網(wǎng)絡(luò)管理員通過提供Web管理界面和命令行方式操作，通過監(jiān)測

32、自身的系統(tǒng)參數(shù)狀態(tài)，保障服務(wù)正常進(jìn)行。實(shí)時監(jiān)控圖表為排查問題、決策分析等提供參考依據(jù)。高可用性實(shí)現(xiàn)多臺服務(wù)器的負(fù)載均衡，監(jiān)控和同步服務(wù)器提供的內(nèi)容，確?？蛻臬@到準(zhǔn)確可靠的內(nèi)容。提供服務(wù)器在線維護(hù)和調(diào)試的手段，實(shí)時監(jiān)控服務(wù)器應(yīng)用系統(tǒng)的狀態(tài)，并智能屏蔽故障應(yīng)用系統(tǒng)，從多方面提升系統(tǒng)的可靠性。卓越的性能表現(xiàn)通過采用多種性能增強(qiáng)技術(shù)，將提供的所有功能集成在一起，極大的優(yōu)化了各功能處理過程，從優(yōu)化自身操作系統(tǒng)、SSL加速、基于內(nèi)存的緩存以及HTTP軟硬件壓縮等多方面提升服務(wù)器性能，實(shí)現(xiàn)數(shù)據(jù)庫動態(tài)管理，從而保證應(yīng)用和服務(wù)高速、可靠、穩(wěn)定的運(yùn)行。多種訪問控制模式擁有內(nèi)建的訪問控制策略，可以實(shí)現(xiàn)復(fù)雜和專業(yè)的訪問控制，可以對資源進(jìn)行更有效的保護(hù)，以及對用戶進(jìn)行有效管理。第3章技術(shù)特性3.1產(chǎn)品特性功能NSAE-LTAvailable應(yīng)用加速代