负载均衡设备作为关键应用的入口,自然也成为各种攻击的目标所在。如何确保负载均衡设备在自身不会瘫痪的前提下保护后端服务器,是负载均衡器必须解决的问题。事实上,负载均衡设备从诞生之日起,其高并发会话和新建连接速率让防火墙产品相形见绌。另外,绝大部分攻击目标IP恰好是落在负载均衡设备上的虚拟IP(VIP),相对于防火墙处理经过流量的方式,负载均衡设备更了解这些应用应该如何保护,自然适合施加针对虚拟IP和后端服务器的策略。在负载均衡设备外面设置防火墙的,是一些用户既有的管理原因导致。对于真正大流量的互联网应用,鲜有在负载均衡设备外侧部署防火墙的。下面以A10网络的AX产品具备的各种攻击防御方式进行介绍。
1. 首先,针对最常见的SYN Flooding攻击,负载均衡设备采用广为使用的SYN Cookie机制进行防御。用户关注的就是其SYN Cookie性能了。A10的高端设备采用硬件处理SYN-Cookie,可以防御高达50M SYN/Sec(约3个万兆+3个千兆端口打满攻击流量)的DDoS攻击,而且对CPU影响为0.
2. ICMP速率限制。针对类似Smurf的基于大量PING的攻击,负载均衡设备可以限制每秒处理的ICMP包数量。
3. 基于源IP的连接速率限制,适用于TCP和UDP。越来越多的分布式DoS攻击为有效TCP连接或者UDP攻击。对于来自单一IP连接速率超过设定值的,负载均衡设备可以对该IP地址采取丢弃、发送日志告警、锁定一定时间等多种操作。
4. IP异常攻击防御。针对Land-attack,Ping-of-Death等常见攻击类型,A10的负载均衡设备可以检测并丢弃。
5. 访问控制列表(ACL),基于IP五元组进行过滤,不再赘述。
6. 基于策略的服务器负载均衡(PBSLB),A10的负载均衡设备可以支持高达800万条主机记录的黑白名单,该名单可以通过TFTP服务器定期自动更新,更新期间无过渡漏洞。较之路由器的ACL或防火墙策略数量高出数十倍。可以针对该名单内地址限制连接数量,可以分为不同组,选择丢弃或转发到不同组服务器。该特性可以与A10其它防攻击特性结合动态生成黑白名单。
7. 虚拟服务器/服务器连接数量限制。根据服务器的能力,限制分配到单台服务器或整个虚拟服务器的连接数量。避免服务器由于连接过多而瘫痪。该限制可应用于服务器或其某个服务端口。
8. 虚拟服务器/服务器连接速率限制。上一项限制的是同时保持的静态连接数量,这一项则是限制新建连接的速率。对于大量短连接攻击或突发流量,并发连接数不大,但大量新建连接同样可以让服务器瘫痪。
9. HTTP并发请求限制和请求速率限制。针对目前大量的CC攻击,上述基于连接数和连接速率的限制已经无能为力,因为CC攻击往往是在单一TCP连接上发送大量HTTP请求。A10的负载均衡设备将基于7层请求的攻击防御与强大的黑白名单功能结合,可以限制单一IP来源的并发总连接数、新建连接速率、并发请求数、请求速率。不同用户IP可以分为不同组,设置不同参数。
10. DNS合规性检查。针对应用之首的DNS,攻击防御更是不可忽视。除了上述通用特性外,A10的负载均衡设备可以检查DNS数据包得合规性,对于格式不符合DNS协议标准的数据包进行过滤或转发到专门的安全设备。
11. 动态DNS缓存功能。由于DNS服务器能力有限,如何在有异常流量时保护DNS服务器并让DNS服务正常运行,是用户渴望解决的问题。A10的动态DNS缓存功能可以根据后端DNS服务器能力设置阈值,当针对某个域名的请求达到一定数量时,可以动态启用该域名的缓存功能,有负载均衡设备应答DNS请求。这个功能的前提是负载均衡设备的DNS处理能力足够高。A10的入门级64位产品的DNS处理能力即可达到150万DNS QPS(DNS请求/秒)。
12. 自定义脚本。基于tcl语言的自定义脚本可以让用户根据需求定义更为灵活的安全策略,尤其是A10的自定义脚本可以调用上述高达800万条目的黑白名单。
以上只是每个安全特性的简单描述,每个安全特性都有一些细节功能,可以解决很多用户头疼的安全问题。后期会选择部分功能详细介绍。
(R.S.)