迪普科技-负载均衡技术白皮书

DPX8000系列业务插卡间流量转发原理白皮书1 DPX8000系列简介DPtech DPX8000系列深度业务交换网，是杭州迪普科技有限公司（以下简称迪普科技）面向运营商、IDC、园区网汇聚层/核心层的需求，量身打造的一款系列化，多业务的高端路由交换平台，并无缝融合了L2~L7层网络安全、流量控制以及内容审计方面的强大功能。

DPX8000系列采用一体化机箱式结构，提供了3种机型，包括DPX8000-A12（12槽）、DPX8000-A5（5槽）、DPX8000-A3（3槽）等3款产品。

各种板卡均可以在这三种机型上通用。

2 DPX8000支持的业务插卡简介作为一款交换路由、网络安全、流量监控和应用交付于一体的高端平台系统，DPX8000系列支持丰富的业务插卡。

包括：应用防火墙模块支持安全域划分、访问隔离、攻击防范、NAT、IPSec/SSL/PPTP/L2TP VPN等功能，提供网络安全IPS模块提供深入到七层的安全防御，对漏洞攻击、网页篡改、SQL注入等提供主动防护；同时，IPS内置卡巴斯基病毒库，可对各种蠕虫、病毒进行实时拦截流量控制和安全审计模块深入到7层的识别、分类和控制，能快速实现网络流量及应用的可视化，并完成对P2P、游戏等非关键业务的流量控制，保障关键业务带宽，轻松实现对网络带宽的管理。

可对Web访问、网络游戏、炒股、在线影视等上网行为进行详细记录审核和权限管理，规范用户上网行为，确保上网行为符合相关规定要求；提供近1000万条URL数据库并分为数十种类别，用户可简单、灵活的实施URL控制策略负载均衡及应用交付模块支持服务器负载均衡、链路负载均衡和全局负载均衡等功能。

基于多种的负载均衡调度算法和健康检查算法基于压缩、TCP优化、连接复用、SSL硬件卸载等技术，加快数据传输效率，提高网络性能，优化服务器和网络资源，显著降低网络部署成本3 传统交换机/路由器安全插卡存在问题传统网络网络建设中，通常先规划基础网络，在此基础之上再考虑安全需求，通常是基础网络设备和若干独立和盒式安全设备的网络架构。

ADX产品DNS负载均衡功能杭州迪普科技有限公司Hangzhou DPtech Technologies Co., Ltd目录1 前言： (3)2 概述 (3)3 功能分析 (3)3.1 DNS解析实现流程： (3)3.2 多链路环境下的负载均衡应用： (4)3.2.1 Inbound（源负载均衡）： (4)3.2.2 就近性（RTT算法）： (4)3.2.3 目的负载均衡： (5)3.3 多服务器环境下的负载均衡应用： (5)3.3.1 DNS重定向： (6)3.3.2 地理分布算法： (6)3.3.3 全局负载均衡： (7)1前言：随着服务器负载均衡和链路负载均衡技术的日益发展，人们的关注点大多集中在了链路和服务器存在瓶颈和冗余性的问题，而DNS负载均衡技术为解决这一问题提供了更多、更灵活的解决思路。

2概述DNS 是域名系统(Domain Name System) 的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。

DNS 命名用于TCP/IP 网络，如Internet，用来通过用户友好的名称定位计算机和服务。

当用户在应用程序中输入DNS 名称时，DNS 服务可以将此名称解析为与此名称相关的其他信息，如IP 地址。

在链路方面，为解决单一链路所带了的网络单点故障以及脆弱性和国内所存在跨运营商的问题的，目前大部分的企业都部署了多条互联网链路，来提升网络链路的可靠性。

传统的多链路接入依靠复杂的设计，解决了一些接入链路存在单点故障的问题。

但是，它远远没有把多链路接入的巨大优势发挥出来。

链路负载均衡技术即通过对这些链路的管理，以使其达到最大利用率。

在服务器方面，由于用户访问量的增大，使得单一的网络服务设备已经不能满足需要了，由此需要引入服务器的负载平衡，实现客户端同时访问多台同时工作的服务器，实现动态分配每一个应用请求到后台的服务器，并即时按需动态检查各个服务器的状态，根据预设的规则将请求分配给最有效率的服务器。

应用交付产品技术白皮书目录第一章应用交付产品的概念及核心价值 (4)1.1ADN应用交付网络的概念 (4)1.2应用交付产品的核心价值 (5)第二章天清ADC应用交付解决方案总体介绍 (6)2.1方案构成 (6)服务器负载均衡 (7)全局负载均衡 (8)链路负载均衡 (9)2.2部署方式 (11)串行部署三层接入 (11)串行透明部署 (11)旁路部署三层接入 (12)旁路部署透明接入 (12)旁路部署之三角传输 (13)第三章服务器负载分担 (13)3.1服务器负载分担 (13)3.1.1负载分担算法 (14)3.1.2健康检查策略 (15)3.1.3会话保持策略 (16)3.2七层内容交换 (19)3.3HA高可靠性与设备集群 (20)3.3.1HA高可靠性 (20)3.3.2设备集群 (22)第四章应用优化与加速 (23)4.1SSL硬件加速和卸载 (24)4.2本地RAM Cache (24)4.3内容压缩 (25)4.4TCP连接复用 (25)4.5TCP单边加速 (26)4.6HTTP管线（Pipelining） (27)4.7窄带用户应用加速 (29)4.8重写Rewrite (29)第五章链路负载分担 (30)5.1出站流量负载均衡（Outbound方向） (30)负载分担算法 (30)链路健康检查 (32)出站流量会话保持和NAT (32)5.2入站流量负载均衡(Inbound方向) (33)智能DNS解析流程 (34)第六章全局负载分担 (35)6.1全局负载分担策略 (36)6.2动态就近性 (36)6.3静态就近性策略 (39)6.4IP Anycast技术 (39)6.5基于HTTP重定向的全局负载均衡 (40)第七章应用安全防护 (41)7.1应用安全防护 (41)7.2启明星辰应用交付解决思路 (42)7.3主要安全功能 (43)第一章应用交付产品的概念及核心价值1.1ADN应用交付网络的概念Internet本质上是一种端到端（end-to-end）的技术，任何一个复杂的应用，最终都会归根于在Client和Server之间的数据交互，而其所经过Internet的环节却纷繁复杂，对于应用的运营者来说，其中的任何一个环节处理不好，都会导致业务的无法正常提供或者效率低下。

DPtech FW1000系列防火墙技术白皮书杭州迪普科技有限公司2013年8月目录1、概述32、产品简介33、迪普科技防火墙特色技术43.1DPtech FW1000防火墙数据转发流程43.2丰富的网络特性53.3大策略下的高性能、低时延处理能力63.4攻击防范技术（IPv4/IPv6）73.5防火墙高可靠性93.6防火墙全面VPN支持113.7防火墙虚拟化技术133.7.1虚拟防火墙技术133.7.2VSM虚拟化技术173.7.3 N:M虚拟化技术191、概述在应用需求的不断推动下，网络技术得到了飞速发展；而网络技术的进步则又反过来推动应用的发展，应用与网络之间是相辅相成、相互促进的。

随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网络音频/视频、P2P、云计算等各种新应用、新业务层出不穷，传统的基于端口进行应用识别和访问控制的防火墙，已远远无法满足各种新应用下安全防护的需求。

为解决此类难题，迪普科技推出了基于全新多核处理器架构的FW1000系列下一代应用防火墙。

DPtech FW1000开创了应用防火墙的先河。

基于迪普科技自主知识产权的APP-X硬件平台和ConPlat OS安全操作系统，并配备专业的入侵防御特征库、病毒库、应用协议库、URL库，是目前业界性能最高的应用防火墙。

无以伦比的高可用性、高性能和高可靠性，使得FW1000系列可以放心规模部署于数据中心、大型园区网等各种复杂场景；另外，功能丰富并可按需扩展的应用防火墙方案，也简化了网络的安全架构，并大大降低了企业网络总体拥有成本。

2、产品简介DPtech FW1000系列是迪普公司面向大中型企业、学校、数据中心以及运营商开发的新一代应用防火墙产品，是一种应用级的高性能防火墙，工作在网络边界层，根据安全策略对来自不同区域的数据进行安全控制，同时支持IPv4和IPv6环境，具备业界最高性能，网络无瓶颈，拥有全面的安全防护，可确保网络稳定运行，产品VPN全内置，提供最高性价比，灵活组网能力，可适应各种网络环境。

负载均衡技术白皮书负载均衡技术白皮书关键词：负载均衡，服务器，链路，连接复用，HTTP安全防护，SLB，LLB，摘要：本文介绍了负载均衡技术的应用背景，描述了负载均衡技术的实现与运行机制，并简单介绍了迪普科技负载均衡技术在实际环境中的应用。

缩略语：缩略语英文全名中文解释SLB Server Load Balance 服务器负载均衡LLB Link Load Balance 链路负载均衡VSIP Virtual Service IP Address 虚服务IP地址HSP HTTP Security Policy HTTP安全防护策略IPsec IP Security IP安全ARP Address Resolution Protocol 地址解析协议DNAT Destination NAT 目的地址NATNAT Network Address Translation 网络地址转换RTT Round Trip Time 往返时间DNS Domain Name Service 域名服务SSL Secure Socket Layer 安全套接层TTL Time To Live 生存时间VPN Virtual Private Network 虚拟专用网络VRRP Virtual Router Redundancy Protocol 虚拟路由器冗余协议DR Direct Routing 直接路由XSS(CSS) Cross Site Script 跨站脚本攻击目录1 负载均衡技术概述 (4)负载均衡技术白皮书1.1 负载均衡技术背景 (4)1.1.1 服务器负载均衡技术背景 (4)1.1.2 网关负载均衡技术背景 (5)1.1.3 链路负载均衡技术背景 (6)1.2 负载均衡技术优点分析 (6)2 负载均衡具体技术实现 (7)2.1 负载均衡相关概念介绍 (7)2.2 服务器负载均衡基本概念和技术 (8)2.2.1 NAT方式的服务器负载均衡 (8)2.2.2 DR方式的服务器负载均衡 (10)2.3 网关负载均衡基本概念和技术 (12)2.4 服务器负载均衡和网关负载均衡融合 (14)2.5 链路负载均衡基本概念和技术 (14)2.5.1 Outbound链路负载均衡 (14)2.5.2 Inbound链路负载均衡 (16)2.6 负载均衡设备的双机热备 (18)2.7 负载均衡设备的的部署方式 (19)2.7.1 对称方式 (19)2.7.2 单臂模式 (20)3 迪普科技负载均衡技术特色 (21)3.1 多种负载均衡调度算法 (21)3.1.1 静态调度算法 (21)3.1.2 动态调度算法 (22)3.2 灵活的就近性算法 (23)3.3 多种健康性检测方法 (23)3.4 多种会话持续性功能 (24)3.4.1 具有显式关联关系持续性功能 (25)3.4.2 具有隐式关联关系持续性功能 (25)3.5 4~7层的负载均衡 (25)3.6 多种HTTP安全防护策略 (26)3.7 连接复用功能 (27)3.8 HTTP压缩功能 (27)4 典型组网应用实例 (27)4.1 企业园区网应用 (27)负载均衡技术白皮书4.2 数据中心和大型门户网站应用 (28)负载均衡技术白皮书1 负载均衡技术概述1.1 负载均衡技术背景1.1.1 服务器负载均衡技术背景随着Internet的快速发展和业务量的不断提高，基于网络的数据访问流量迅速增长，特别是对数据中心、大型企业以及门户网站等的访问，其访问流量甚至达到了10Gb/s的级别；同时，服务器网站借助HTTP、FTP、SMTP等应用程序，为访问者提供了越来越丰富的内容和信息，服务器逐渐被数据淹没；另外，大部分网站（尤其电子商务等网站）都需要提供不间断24小时服务，任何服务中断或通信中的关键数据丢失都会造成直接的商业损失。

杭州迪普科技有限公司DPtech入侵防御系统DDoS防范技术白皮书防范技术白皮书1、概述1.1 背景从上世纪90年代到现在，DoS/DDoS 技术主要经历大约阶段：1) 技术发展时期。

90年代，Internet 开始普及，很多新的DoS 技术涌现。

技术，其中大多数技术至今仍然有效，且应用频度相当高，等等。

2) 从实验室向产业化转换2000年前后，DDoS 出现，Yahoo, Amazon等多个著名网站受到攻击并瘫痪，SQL slammer 等蠕虫造成的事件。

3) “商业时代”最近一两年，宽带的发展使得接入带宽增加，个人电脑性能大幅提高，使越频繁，可以说随处可见，而且也出现了更专业的、用于出租的攻击的威胁已经无处不在。

DDoS（分布式拒绝服务攻击）是产生大规模破坏的武器。

不像访问攻击穿透安全周边来窃取信息，DDoS攻击通过伪造的流量淹没服务器、网络链路和网络设备瘫痪来使得网络系统瘫痪。

1.2 DDoS攻击原理由于DDoS攻击往往采取合法的数据请求技术，再加上傀儡机器，造成最难防御的网络攻击之一。

据美国最新的安全损失调查报告，跃居第一。

DDoS攻击的一个致命趋势是使用复杂的欺骗技术和基本协议，不是采用可被阻断的非基本协议或高端口协议，非常难识别和防御，率的措施只是通过停止服务来简单停止攻击任务，但同时合法用户的请求也被拒绝，中断或服务质量的下降；DDoS事件的突发性，往往在很短的时就可使网络资源和服务资源消耗殆尽。

DDoS攻击主要是利用了Internet协议和Internet基本数据包到任意目的地。

DDoS 攻击分为两种：要么大数据，大流量来90年代末发明和研究过许多新的Ping of death, Smurf, SYN flooding, 还有 Codered, DDoS 攻击越来‘D DoS 攻击经济’。

可以说DDoS （路由器，防火墙等）DDoS攻击成为目前DDoS攻击所造成的经济损失已经如HTTP，Email等协议，而通常采用的包过滤或限制速造成业务的间内，大量的DDoS攻击数据——无偏差地从任何的源头传送压垮网络设备和服务器，要第1页共6页如优点杭州迪普科技有限公司么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。

DPtech IPS2000技术白皮书杭州迪普科技有限公司2013年8月目录一、概述 (3)二、产品简介 (3)三、产品特色技术介绍 (4)1.先进的特征提取技术 (4)1.1.协议特征形式化建模流程 (4)1.2.特征数据挖掘算法模型 (5)2.攻击防御技术 (5)2.1.基于指纹特征的检测技术 (5)2.1.1 蠕虫攻击防护 (6)2.1.2 SQL注入防护 (6)2.1.3 XSS攻击防护 (7)2.1.4 缓冲区溢出防护 (7)2.1.5 系统漏洞攻击防护 (7)2.1.6 碎片攻击防护 (7)2.1.7 未知威胁检测防护 (8)2.2.异常流量检测技术 (8)3.病毒过滤技术 (8)4.网络带宽限制技术 (10)4.1.基于用户的带宽管理 (10)4.2.基于服务的带宽管理 (10)5.网络访问控制技术 (10)6.URL过滤技术 (10)7.高可靠安全性 (11)7.1.完善的HA部署方式 (11)7.2.支持冗余电源 (12)7.3.丰富的Bypass功能 (12)一、概述随着网络的飞速发展，以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。

传统的基于网络层的防护只能针对报文头进行检查和规则匹配，但目前大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文头意义不大。

IPS正是通过对报文进行深度检测，对应用层威胁进行实时防御的安全产品。

但目前大多数IPS都是从原有的IDS平台改制而来，性能低、误报和漏报率高、可靠性差，尤其是在新应用不断增多、特征库不断增长的情况下，性能压力持续增加，只能通过减少或关闭特征库来规避。

这样的IPS不仅起不到安全防御的作用，甚至会成为网络中的故障点。

如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延？很显然，传统的基于串行设计思想的硬件和软件架构，无论是X86、ASIC或是NP，都无法承受成千上万条且在不断更新中的漏洞库，更不用说再增加病毒库、应用协议库……。

DPtech ADX应用交付平台技术白皮书杭州迪普科技有限公司2013年10月目录1.概述 (3)2.面向服务的应用交付技术 (3)2.1.基本概念 (4)2.2.调度算法 (5)2.3.会话保持 (7)2.4.应用内容调度 (9)2.4.1.HTTP应用内容调度 (10)2.4.2.基于UDP协议的应用内容调度 (11)2.5.应用健康检查与服务器维护 (12)2.5.1.应用健康检查 (12)2.5.2.软关机和温暖上线 (12)2.6.HTTP服务高级交付技术 (13)2.6.1.HTTP重定向 (13)2.6.2.HTTP内容重写 (13)2.6.3.HTTP连接复用 (14)2.6.4.SSL加速 (14)2.7.浮动长连接 (18)2.8.虚拟机管理系统关联 (19)2.9.ADL应用交付脚本语言 (19)2.10.典型组网 (20)3.面向流量管理和优化的应用交付技术 (23)3.1.基本概念 (23)3.2.基于链路流量阈值的调度 (24)3.3.基于链路质量/状态的调度 (24)3.4.基于静态和动态就近性的调度 (25)3.5.基于域名的调度 (25)3.6.基于应用协议的调度(ABR) (26)3.7.基于智能DNS的调度 (27)3.7.1.DNS静态就近性匹配 (28)3.7.2.DNS透明代理 (29)3.8.广域异地出口链路负载均衡 (29)3.9.典型组网 (31)4.面向广域网的全局应用交付技术 (32)4.1.基本原理 (32)4.2.全局调度算法 (33)4.3.基于DNS的调度技术 (33)4.4.基于HTTP的调度技术 (34)4.5.基于IP-anycast的调度技术 (34)5.高可靠安全性 (35)5.1.HA部署方式 (35)5.2.VSM虚拟交换矩阵技术 (36)5.3.硬件级高可靠性 (36)1.概述随着基于多种平台的网络应用服务高速发展，传统的服务器负载均衡理念和基于普通路由的流量处理方式已经渐渐无法跟上时代发展的脚步，使得用户对使用应用交付技术也提出了越来越高的要求。

迪普FW1000系列防火墙欧阳家百（2021.03.07）技术白皮书1 概述随着网络技术的普及，网络攻击行为出现得越来越频繁。

通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。

各种网络病毒的泛滥，也加剧了网络被攻击的危险。

目前，Internet网络上常见的安全威胁分为以下几类：非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。

例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。

拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。

例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。

信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。

数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。

•基于网络协议的防火墙不能阻止各种攻击工具更加高层的攻击•网络中大量的低安全性家庭主机成为攻击者或者蠕虫病毒的被控攻击主机•被攻克的服务器也成为辅助攻击者Internet一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。

防火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。

例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。

防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面临更加艰巨的任务，不但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的攻击进行防护。