《双机热备原理、双线路负载均衡方案》由会员分享,可在线阅读,更多相关《双机热备原理、双线路负载均衡方案(13页珍藏版)》请在金锄头文库上搜索。
1、双机热备、多线路负载均衡方案深信服科技 2008年 6月目录1. 概述31.1 客户需求31.2 网络拓扑图32. 双机热备42.1 实现原理42.2 实施步骤43. 线路负载均衡53.1实现原理53.2实施步骤64. SINFOR SSL VPN应用效果64.1便捷接入,应用发布64.2保护内部系统74.3数据传输安全性74.4多种认证防止非法接入74.5与第三方认证有效集成84.6双向的证书支持,完整的PKI体系84.7自建CA中心,减少安全构架成本84.8更完备的登录安全94.9超时退出,防止窥探94.10更高的访问权限粒度94.11全面接入审计,记录104.12基于硬件的高效压缩算法,
2、提高访问速度104.13强大的硬件加速卡,更快的SSL处理速度105 . 深信服公司及SINFOR VPN资质简介101. 概述1.1 客户需求使用双机热备,可以在一台设备出现故障时,立即由另一台设备承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。局域网通过多条线路上网,需要通过多线路的负载均衡技术,实现选择最优的线路上网。1.2 网络拓扑图2. 双机热备2.1 实现原理1. 使用双机热备功能时候,外网接口一定是以太网连接方式.不可以是ADSL拨号。2. 当主设备发生故障时,备份设备在一定时间内没有收到来自主设备的回应。则备份设备判定主设备出现故障,并立即启动相应的服务
3、。两台设备先开电源,首先完成启动的作为主设备,另外一台作为备份设备,运行时候判断主备设备的方法为,如果采用是M5100-S设备,那么启动完成后,备份设备的ALRAM红色灯常亮。2.2 实施步骤1. 将外网线路接入交换机,分别将两台M5X00-S的WAN1口接入同一个交换机.2. 使用console线将两台M5X00-S的console口连接起来.3. 将两台M5X00-S的LAN口接入同一个交换机,和内部局域网连接起来.4. 开启其中一台M5X00-S设备,等设备启动完成后,在局域网内部找一台电脑,安装SINFOR MX00-S控制台。按照需求对其进行配置.主要有内外网接口的IP地址,SSL提
4、供的资源,用户,角色等内容.5. 配置完成后,打开另外一台机器的电源,刚才做的所有配置会通过console线自动同步到后来开启电源的那台设备,以后如果需要修改某些配置,只需要通过控制台对其中的一台做设置,配置会自动同步到备份的设备上.3. 线路负载均衡3.1实现原理1、 多线路技术实现线路备份,保证VPN线路稳定 SINFOR SSL VPN支持多达四条线路的线路备份和负载均衡,大大提高了VPN网络的稳定性。由于VPN的稳定性是依赖于线路本身的稳定性,若采用单条线路,一旦中断,将造成整个VPN系统陷入瘫痪。通过多线路带宽叠加及复用技术(专利号:CN200310112006X),将多条线路、不同
5、方式接入方式的上网线路实现带宽叠加和互为备份,保证了整个系统的持续可靠运行。若任何一条线路出现故障,SINFOR SSL VPN可以将数据无缝切换到其他正常线路,不会影响SSL VPN用户的接入和访问。并且若故障线路恢复正常,VPN的连接隧道将自动愈合。这一切都是系统自动进行,无需人工干预,保证了用户的重要应用持续、不间断地稳定运行。2、 多线路带宽叠加技术,保证充足的上网带宽 多线路带宽叠加及复用技术(专利号:CN200310112006X)。可在多条线路之间起到带宽复用,提高传输带宽,而且SINFOR SSL针对不同的上网线路,还可以启用多线路策略,用户可以根据线路情况选择带宽叠加模式、线
6、路主备模式或者动态适应模式等多线路策略。同时,SINFOR SSL VPN安全网关内置了5个Qos级别和多条Qos规则,用户可根据自身实际情况设置相应的QOS级别。3、 多线路智能选路技术,选择最快的连接线路 目前,大规模VPN网络往往都是跨运营商的。但是国内运营商间的带宽太小,严重影响了VPN的应用效果。SINFOR SSL VPN安全网关采用了多线路智能选路的功能,解决了国内跨运营商部署VPN网络时遇到的带宽小,延迟大的问题。只要在VPN总部端申请多条运营商线路,采用SINFOR SSL VPN的多线路版本。对于分布到不同运营商网络的远程接入用户,当发送一个连接请求到SSL VPN硬件网关
7、时,SSL VPN会自动迁移到最快的线路上,完美解决跨运营商之间连接延迟大、带宽小的问题。此技术对于在外地出差的移动办公用户能够很好的解决运营商不同的问题。3.2实施步骤1. 实现多线路部署,要将SSLVPN设备部署为网关模式,将外网线路直接连接到设备WAN口。2. 配置好不同线路的WAN口IP,根据内网规划配置好内网IP。3. 配置相应的线路策略,内网用户可以根据不同的策略,最大限度的使用带宽。4. 对不同类型用户可采用不同的身份动态绑定方式。如在启动ID鉴权的情况下,需要把所有需接入总部的远程用户生成证书后传给总部管理员并分别绑定到对应的用户账号上;可选择是否为某类型移动用户启用DKEY,
8、若启用,需将对应DKEY插入总部模块所在计算机的USB口上,DLAN总部模块将会把此移动用户接入VPN所需的配置信息导入DKEY,并将DKEY作为用户接入时的身份认证依据。5. 针对每个不同的移动用户,进行安全策略设置。4. SINFOR SSL VPN应用效果4.1便捷接入,应用发布SSL VPN的客户端程序,如Microsoft Internet Explorer等已经预装在了一般的PC中,因此不需要再次安装;使用者只需打开浏览器,输入相应地址,就可以访问到其所授权的服务。对中信国际内部所有的应用系统,包括内部邮件,公文处理系统,电子商务系统等,都可以对远程用户开放。而对网络管理人员,可以
9、远程访问其中的网络设备管理系统,对内网系统进行远程维护和操作。而SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响,远程用户无论所处网络如何,都可以有效接入。IT管理人员也不再为大量的用户接入故障,客户端维护升级疲于奔命。这些都使中信国际的信息化触角遍布到员工到达的每一个角落,实现业务信息的即时互联互通。4.2保护内部系统在总部的网络出口处,防火墙只需开放443端口就能保证远程用户对内网所有服务的使用,极大的解决了网络系统安全性和可用性的矛盾。而对远程接入用户而言,只有SSLVPN设备是对其可见的,而隐藏了服务区网络结构。其对任何网络服务的访问都由SSL VPN做代理访问再将数据传回
10、。避免了IPSec VPN一旦建立隧道,就将服务区网络结构暴露出来的弊端。SINFOR SSL VPN还提供了一个隐藏服务。用户在访问总部的SSL资源时,SSL VPN可以将某些特殊的资源隐藏起来,用户在其资源列表中无法看到该项资源,但用户仍然可以使用。这种支持隐藏服务的功能,更加保证了企业内网资源的安全性。4.3数据传输安全性SINFOR SSL VPN采用标准的SSL协议加密建立安全的专用通道,使用标准浏览器内置的RC4 (128 位)加密算法进行加密,并通过RSA(1024 位交换)非对称密钥进行签名,保证了数据在传输过程不被监听和篡改。4.4多种认证防止非法接入Sinfor SSL V
11、PN提供短信认证技术,此认证系统分为手机短信终端和短信认证服务器两部份。终端用户通过手机短信获得随机用户认证访问代码,就能够安全地访问网络资源。对目前日益严重威胁网络安全的间谍软件、木马以及钓鱼软件等,SINFOR SSL VPN基于短信认证多种认证方式,有效地抵御了这类对企业重要资源造成的威胁。即使终端用户的机器被黑客攻击,控制了用户的机器,或者一些间谍软件、钓鱼软件泄漏了用户名密码等访问口令,由于采用了手机短信认证的动态身份认证系统,也无法威胁到企业的内部资源。一些特殊的远程接入使用环境下可以使用硬件特征码绑定,比如无需指定接入用户,但必须对接入主机进行控制的情况,可以通过获取客户端的硬件
12、信息生成数字证书,对证书和用户进行绑定实现用户身份的唯一性控制。多种认证方式、完善的认证体系,使得企业在选择的时候,可以根据相应的安全级别,对客户端的认证方式进行组合,最大限度地保证了接入用户的合法性和企业内网资源的高度安全。4.5与第三方认证有效集成SINFOR SSL VPN可以从微软域服务器或LDAP服务器中直接导入用户数据,能和第3方的LDAP认证服务器或RADIUS认证服务器有效集成。这样一个组织机构就可以保持一套认证体系,简化了部署过程,避免多套认证体系带来的更多维护成本和更多安全风险。4.6双向的证书支持,完整的PKI体系目前很多SSL VPN仅仅支持服务器端的数字证书,这样就无
13、法使用PKI体系识别接入用户的真伪。SINFOR SSL VPN能够支持双向的数字证书:不仅支持使用证书对服务器身份进行认证,还能使用数字对客户端身份进行验证。这样SINFOR SSL VPN就能支持开放的PKI体系,和许多使用CA中心的应用有效集成,简化认证过程:即同一套PKI即用于SSL VPN的接入认证,又用于接入后登录应用系统的认证。4.7自建CA中心,减少安全构架成本SINFOR SSL VPN中内置了一个CA中心,可以减少中小企业构建CA安全认证体系的成本。通过该CA中心,管理员可以给每个远程接入用户颁发证书,并存储在DKEY中,用来认证每个接入用户的身份。同时,SSL VPN也支
14、持第三方CA中心。4.8更完备的登录安全为了保证客户端接入VPN前的安全性,SINFOR SSL VPN安全网关即将推出客户端安全检查功能,依据客户端的操作系统、安装杀毒软件的情况、安全补丁版本等因素来评估客户端安全级别,并根据不同安全级别分配不同的权限,防止客户端的不安全因素通过SSL VPN传播到总部的内部网络而产生的安全隐患。为防止远端机器由于成为黑客接入内网的“跳板”,SINFOR SSL VPN提供VPN专线功能,即在用户用SSL登录内网的同时,切断其和Internet的所有其它连接。SINFOR SSL VPN在用户结束访问以后,拔出DKEY后将自动注销,同时会自动清除Cookie
15、,临时文件等遗留在客户端计算机上的信息,实现“零痕迹”访问,避免安全隐患。4.9超时退出,防止窥探为防止用户在没有注销的情况下长时间离开,导致他人窥探到SSL VPN内的机密信息,SINFOR SSL VPN安全网关特别加入了不活动检测引擎。当检测到客户端在指定时间内没有任何访问内网资源的流量时,SSL VPN网关将自动弹出对话框,提示用户“SSL连接会在X秒内超时关闭,继续还是注销?”若用户在该时间内仍未选择相应动作,则SINFOR SS VPN安全网关将自动注销,中断会话并重新返回登录界面。4.10更高的访问权限粒度SINFOR SSL VPN对每个用户的访问控制粒度精确到了URL级别。根据组织的构架,用户可以分组管理,而授权粒度则可以按照角色进行管理,可以为每个用户或每个组分配一个或多个角色。比如可以为某用户分配经理和财务的双重角色,这样他即可以访问经理的文档数据又可以使用财务系统。通过这种有特色的角色权限分配体系能满足各种现实世界中的权限设置要求。4.11全面接入审计,记录SINFOR SSL VPN通过行为跟踪引擎,对每个远程接入用户的所有访问记录都留下了日志记录。并支持第三
