一种内生安全负载均衡服务器的构造方法
文献发布时间:2023-06-19 09:52:39
技术领域
本发明涉及网络安全技术领域,尤其涉及一种内生安全负载均衡服务器的构造方法。
背景技术
传统的负载均衡平台存在部署在单一服务器中的情况,对于这种情况下,将来自用户的流量和内容进行转发到下游服务器。这种部署方式存在一定的不足,如利用负载均衡平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等,因此面临严重的安全威胁。本发明通过对云服务器、虚拟化容器、容器内的操作系统、负载均衡平台等进行异构化处理,通过结构化的变化,使负载均衡服务器形成内生安全防御能力。
发明内容
本发明目的在于对负载均衡服务器架构进行优化,提供一种内生安全的负载均衡服务。本发明将流量调度到异构服务器中的异构负载均衡容器,完成负载均衡应有功能的同时,加固负载均衡服务自身安全性。
本发明的目的是通过以下技术方案来实现的:一种内生安全负载均衡服务器的构造方法,该方法包括以下步骤:
(1)搭建异构云服务器,具体为:
(1.1)部署M个云服务器C={c
(1.2)对C进行异构化处理。
(2)部署异构负载均衡容器,具体为:
(2.1)在各个云服务器c
(2.2)对各微容器r
(3)为负载均衡平台配置后端服务器信息S={s
(3.1)当前安全策略要求只转发到单个下游服务器时,根据平台管理用户指定的负载均衡策略进行转发;
(3.2)当前安全策略要求进行组合转发模式时,即同时转发到多个下游服务器,此时负载均衡策略采用响应时间与轮询相结合的方式;
(3.3)当管理用户指定为性能混合模式时,根据下游服务器实时性能负载选择步骤(3.1)或(3.2)的方式进行调度。
(4)将服务域名通过DNS解析到各云服务器C。
(5)流量经过DNS解析到c
(6)规定异构负载均衡服务器下线规则,具体为:
(6.1)人工干预模式:基于时间片的方式,规定每隔T时间对各微容器r
(6.2)基于负反馈的清洗模式:根据云服务器及微容器的性能、规定时间内被检测到遭受攻击的概率进行下线切换。
上述两种模式中,下线后按照预设方式重置所有环境及配置。
进一步地,所述步骤(1.2)中,从虚拟化技术、操作系统、微容器软件的角度对C进行异构化处理。
进一步地,所述操作系统包括Windows Server、CentOS和Ubuntu。
进一步地,所述虚拟化技术包括kvm和Xen。
进一步地,所述微容器软件包括Docker、Solaris Containers和Podman。
进一步地,所述下游服务器包括WAF服务器和应用服务器。
进一步地,所述步骤(3.2)中下游服务器为异构冗余WAF服务器。
进一步地,所述步骤(3.1)中负载均衡策略包括默认轮询方式、权重方式、依据IP进行分配方式、最少连接数方式和依据响应时间分配方式。
进一步地,所述步骤(6.1)中T的取值区间为[30min,60min]。
本发明的有益效果是:本发明对云服务器、虚拟化技术、微容器、容器内的操作系统、负载均衡平台等进行异构化处理,通过结构化的变化,使负载均衡服务形成内生安全防御能力。当访问发生时,通过特定的调度方式分配异构云服务器以及异构负载均衡容器,负载均衡容器根据策略要求,决定转发到下游服务器的方式;此外通过人工干预及负反馈调节两种机制,对负载均衡容器进行下线操作。这样避免了在多层服务器架构中,对负载均衡平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等,转发请求的同时,加固负载均衡自身服务。
附图说明
图1是内生安全负载均衡服务器架构图。
具体实施方式
如图1所示,本发明内生安全负载均衡服务器包括以下步骤:
1、搭建异构云服务器,具体为:
(1)部署M个云服务器C={c
(2)从虚拟化技术、操作系统、微容器软件等角度对C进行异构化处理,其中云上服务器的操作系统可以选择Windows Server、CentOS、Ubuntu等,云的虚拟化技术选择kvm、Xen等,微容器软件选择Docker、Solaris Containers、Podman等。
2、部署异构负载均衡容器,具体为:
(1)在各个云服务器c
(2)对各微容器r
3、为异构负载均衡平台F配置后端服务器信息S={s
(1)当前安全策略要求只转发到单个下游服务器时,根据平台管理用户指定的负载均衡策略进行转发,如默认轮询方式、权重方式、依据IP进行分配方式、最少连接数方式、依据响应时间分配等方式;
(2)当前安全策略要求进行组合转发模式时,即同时转发到多个下游服务器,此时负载均衡策略可以采用响应时间与轮询相结合的方式,保障性能的同时避免资源浪费。当下游组件为异构冗余WAF服务器时,本组合模式更加适用;
(3)当管理用户指定为性能混合模式时,根据下游服务器实时性能负载选择步骤(1)或(2)的方式进行调度。
4、将服务域名通过DNS解析到各云服务器C。
5、流量经过DNS解析到云服务器c
6、规定异构负载均衡服务器下线规则,具体为:
(1)人工干预模式:可以基于时间片的方式进行,规定每隔T时间对各微容器r
(2)基于负反馈的清洗模式:根据云服务器及微容器的性能、规定时间内被检测到遭受攻击的概率等进行下线切换。
上述两种模式中,下线后按照预设方式重置所有环境及配置。
本发明对传统负载均衡服务器架构进行优化,对云服务器、虚拟化容器、容器内的操作系统、负载均衡平台等进行异构化处理,通过结构性的变化,使负载均衡服务形成内生安全防御能力。这样减少负载均衡平台指纹信息泄露概率,减少了负载均衡平台、操作系统或者微容器、云平台的自身漏洞被攻击的概率,在完成负载均衡服务应有功能的同时,加固其自身安全性。
- 一种内生安全负载均衡服务器的构造方法
- 一种内生安全WAF构造方法