防火墻技術(shù)包括哪些

防火墻是一種監(jiān)視網(wǎng)絡(luò)流量并檢測潛在威脅的安全設(shè)備或程序，作為一道保護(hù)屏障，它只允許非威脅性流量進(jìn)入，阻止危險流量進(jìn)入。防火墻的技術(shù)包含哪些呢？下面將帶大家了解一下。1、靈活的代理系統(tǒng)代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。新一代防火墻采用了兩種代理機(jī)制，一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接，另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)來解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。2、多級的過濾技術(shù) 為保證系統(tǒng)的安全性和防護(hù)水平，新一代防火墻采用了三級過濾措施，并輔以鑒別手段。在 分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址。 在應(yīng)用級網(wǎng)關(guān)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)；在電路網(wǎng)關(guān)一級，實現(xiàn)內(nèi)部主機(jī)與外部站點的透明連接，并對服務(wù)的通行實行嚴(yán)格控制。3、雙端口或三端口的結(jié)構(gòu)新一代防火墻產(chǎn)品具有兩個或三個獨(dú)立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不作IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間，另一個網(wǎng)卡可專用于對服務(wù)器的安全保護(hù)。4、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）新一代防火墻利用NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自己定制的IP地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個主機(jī)的通信，確保每個分組送往正確的地址。同時使用NAT的網(wǎng)絡(luò)，與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起，極大地提高了內(nèi)部網(wǎng)絡(luò)的安全性。 NAT的另一個顯而易見的用途是解決IP地址匱乏問題。5、透明的訪問方式以前的防火墻在訪問方式上要么要求用戶作系統(tǒng)登錄，要么需要通過SOCKS等庫路徑修改客戶機(jī)的應(yīng)用。新一代防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險和出錯概率。防火墻的技術(shù)包含哪些？看完文章就能清楚知道了，企業(yè)在網(wǎng)絡(luò)中設(shè)置內(nèi)聯(lián)防火墻，作為外部源和受保護(hù)系統(tǒng)之間的邊界。在保障網(wǎng)絡(luò)安全上防火墻具有重要作用，為指定設(shè)備提供出色的保護(hù)。

售前佳佳 2024-01-10 00:00:00

WAF適用于什么類型的網(wǎng)站？

在當(dāng)今數(shù)字化時代，網(wǎng)站的安全性備受關(guān)注。為了保護(hù)網(wǎng)站免受各種網(wǎng)絡(luò)攻擊和惡意行為的侵害，我們需要依賴于先進(jìn)的安全技術(shù)。其中，Web應(yīng)用防火墻（Web Application Firewall，WAF）作為一種高效的網(wǎng)絡(luò)安全防護(hù)工具，廣泛應(yīng)用于各類型的網(wǎng)站。以下是一些適合使用 WAF（Web 應(yīng)用防火墻）防火墻的網(wǎng)站：電商網(wǎng)站：電商網(wǎng)站通常處理大量的用戶交易、個人信息和支付數(shù)據(jù)。WAF 可以防止 SQL 注入、跨站腳本攻擊（XSS）等常見的 Web 攻擊，保護(hù)用戶的賬戶安全和交易數(shù)據(jù)的完整性，避免因安全漏洞導(dǎo)致的經(jīng)濟(jì)損失和聲譽(yù)損害。金融機(jī)構(gòu)網(wǎng)站：銀行、證券等金融機(jī)構(gòu)的網(wǎng)站存儲著客戶的敏感金融信息，如賬戶余額、交易密碼等。WAF 能夠提供強(qiáng)大的安全防護(hù)，抵御各種網(wǎng)絡(luò)攻擊，確保金融交易的安全進(jìn)行，符合嚴(yán)格的行業(yè)安全法規(guī)和標(biāo)準(zhǔn)。政府機(jī)構(gòu)網(wǎng)站：政府網(wǎng)站發(fā)布重要的政策信息、服務(wù)公眾，需要保證信息的保密性、完整性和可用性。WAF 可以防止黑客攻擊導(dǎo)致的信息泄露、網(wǎng)站篡改等安全事件，維護(hù)政府機(jī)構(gòu)的形象和公信力。在線教育網(wǎng)站：在線教育平臺存儲著大量的教學(xué)資源和用戶信息，包括學(xué)生的個人資料、學(xué)習(xí)記錄等。WAF 可以保護(hù)網(wǎng)站免受攻擊，確保教學(xué)活動的正常開展，保障用戶數(shù)據(jù)安全。社交媒體網(wǎng)站：社交媒體網(wǎng)站擁有海量的用戶數(shù)據(jù)和高流量訪問，容易成為攻擊目標(biāo)。WAF 有助于防止惡意攻擊，如暴力破解密碼、內(nèi)容篡改等，保護(hù)用戶的隱私和社交互動的安全。新聞媒體網(wǎng)站：新聞媒體網(wǎng)站需要及時、準(zhǔn)確地發(fā)布新聞資訊，保持網(wǎng)站的穩(wěn)定運(yùn)行至關(guān)重要。WAF 可以防范各種網(wǎng)絡(luò)攻擊，避免網(wǎng)站因遭受攻擊而出現(xiàn)故障或信息泄露，確保新聞的正常發(fā)布和傳播。企業(yè)官方網(wǎng)站：企業(yè)官網(wǎng)是企業(yè)展示形象、發(fā)布產(chǎn)品信息和與客戶溝通的重要渠道。使用 WAF 可以保護(hù)網(wǎng)站免受攻擊，防止企業(yè)信息泄露和網(wǎng)站被篡改，維護(hù)企業(yè)的品牌形象和商業(yè)利益。醫(yī)療健康網(wǎng)站：醫(yī)療網(wǎng)站存儲著患者的病歷、健康數(shù)據(jù)等敏感信息。WAF 能夠保障這些數(shù)據(jù)的安全，防止數(shù)據(jù)泄露和非法訪問，保護(hù)患者的隱私和醫(yī)療服務(wù)的正常提供。無論是電商網(wǎng)站、金融機(jī)構(gòu)網(wǎng)站、政府機(jī)構(gòu)網(wǎng)站、社交媒體網(wǎng)站還是教育機(jī)構(gòu)網(wǎng)站，都需要Web應(yīng)用防火墻的保護(hù)。它不僅可以有效地防止各類網(wǎng)絡(luò)攻擊，還能提升網(wǎng)站的安全性和可靠性，為用戶和網(wǎng)站提供更好的保護(hù)。

售前思思 2025-05-15 06:02:02

什么是負(fù)載均衡，教你徹底搞懂負(fù)載均衡

在業(yè)務(wù)初期，我們一般會先使用單臺服務(wù)器對外提供服務(wù)。隨著業(yè)務(wù)流量越來越大，單臺服務(wù)器無論如何優(yōu)化，無論采用多好的硬件，總會有性能天花板，當(dāng)單服務(wù)器的性能無法滿足業(yè)務(wù)需求時，就需要把多臺服務(wù)器組成集群系統(tǒng)提高整體的處理性能?；谏鲜鲂枨?，我們要使用統(tǒng)一的流量入口來對外提供服務(wù)，本質(zhì)上就是需要一個流量調(diào)度器，通過均衡的算法，將用戶大量的請求流量均衡地分發(fā)到集群中不同的服務(wù)器上。這其實就是我們今天要說的負(fù)載均衡，什么是負(fù)載均衡？使用負(fù)載均衡可以給我們帶來的幾個好處：提高了系統(tǒng)的整體性能；提高了系統(tǒng)的擴(kuò)展性；提高了系統(tǒng)的可用性；負(fù)載均衡類型什么是負(fù)載均衡？廣義上的負(fù)載均衡器大概可以分為 3 類，包括：DNS 方式實現(xiàn)負(fù)載均衡、硬件負(fù)載均衡、軟件負(fù)載均衡。（一）DNS 實現(xiàn)負(fù)載均衡DNS 實現(xiàn)負(fù)載均衡是最基礎(chǔ)簡單的方式。一個域名通過 DNS 解析到多個 IP，每個 IP 對應(yīng)不同的服務(wù)器實例，這樣就完成了流量的調(diào)度，雖然沒有使用常規(guī)的負(fù)載均衡器，但實現(xiàn)了簡單的負(fù)載均衡功能。通過 DNS 實現(xiàn)負(fù)載均衡的方式，最大的優(yōu)點就是實現(xiàn)簡單，成本低，無需自己開發(fā)或維護(hù)負(fù)載均衡設(shè)備，不過存在一些缺點：①服務(wù)器故障切換延遲大，服務(wù)器升級不方便。我們知道 DNS 與用戶之間是層層的緩存，即便是在故障發(fā)生時及時通過 DNS 修改或摘除故障服務(wù)器，但中間經(jīng)過運(yùn)營商的 DNS 緩存，且緩存很有可能不遵循 TTL 規(guī)則，導(dǎo)致 DNS 生效時間變得非常緩慢，有時候一天后還會有些許的請求流量。②流量調(diào)度不均衡，粒度太粗。DNS 調(diào)度的均衡性，受地區(qū)運(yùn)營商 LocalDNS 返回 IP 列表的策略有關(guān)系，有的運(yùn)營商并不會輪詢返回多個不同的 IP 地址。另外，某個運(yùn)營商 LocalDNS 背后服務(wù)了多少用戶，這也會構(gòu)成流量調(diào)度不均的重要因素。③流量分配策略太簡單，支持的算法太少。DNS 一般只支持 rr 的輪詢方式，流量分配策略比較簡單，不支持權(quán)重、Hash 等調(diào)度算法。④DNS 支持的 IP 列表有限制。我們知道 DNS 使用 UDP 報文進(jìn)行信息傳遞，每個 UDP 報文大小受鏈路的 MTU 限制，所以報文中存儲的 IP 地址數(shù)量也是非常有限的，阿里 DNS 系統(tǒng)針對同一個域名支持配置 10 個不同的 IP 地址。（二）硬件負(fù)載均衡硬件負(fù)載均衡是通過專門的硬件設(shè)備來實現(xiàn)負(fù)載均衡功能，是專用的負(fù)載均衡設(shè)備。目前業(yè)界典型的硬件負(fù)載均衡設(shè)備有兩款：F5和A10。這類設(shè)備性能強(qiáng)勁、功能強(qiáng)大，但價格非常昂貴，一般只有土豪公司才會使用此類設(shè)備，中小公司一般負(fù)擔(dān)不起，業(yè)務(wù)量沒那么大，用這些設(shè)備也是挺浪費(fèi)的。硬件負(fù)載均衡的優(yōu)點：功能強(qiáng)大：全面支持各層級的負(fù)載均衡，支持全面的負(fù)載均衡算法。性能強(qiáng)大：性能遠(yuǎn)超常見的軟件負(fù)載均衡器。穩(wěn)定性高：商用硬件負(fù)載均衡，經(jīng)過了良好的嚴(yán)格測試，經(jīng)過大規(guī)模使用，穩(wěn)定性高。安全防護(hù)：還具備防火墻、防 DDoS 攻擊等安全功能，以及支持 SNAT 功能。硬件負(fù)載均衡的缺點也很明顯：①價格貴；②擴(kuò)展性差，無法進(jìn)行擴(kuò)展和定制；③調(diào)試和維護(hù)比較麻煩，需要專業(yè)人員；（三）軟件負(fù)載均衡軟件負(fù)載均衡，可以在普通的服務(wù)器上運(yùn)行負(fù)載均衡軟件，實現(xiàn)負(fù)載均衡功能。目前常見的有 Nginx、HAproxy、LVS。其中的區(qū)別：Nginx：七層負(fù)載均衡，支持 HTTP、E-mail 協(xié)議，同時也支持 4 層負(fù)載均衡；HAproxy：支持七層規(guī)則的，性能也很不錯。OpenStack 默認(rèn)使用的負(fù)載均衡軟件就是 HAproxy；LVS：運(yùn)行在內(nèi)核態(tài)，性能是軟件負(fù)載均衡中最高的，嚴(yán)格來說工作在三層，所以更通用一些，適用各種應(yīng)用服務(wù)。軟件負(fù)載均衡的優(yōu)點：易操作：無論是部署還是維護(hù)都相對比較簡單；便宜：只需要服務(wù)器的成本，軟件是免費(fèi)的；靈活：4 層和 7 層負(fù)載均衡可以根據(jù)業(yè)務(wù)特點進(jìn)行選擇，方便進(jìn)行擴(kuò)展和定制功能。負(fù)載均衡LVS軟件負(fù)載均衡主要包括：Nginx、HAproxy 和 LVS，三款軟件都比較常用。四層負(fù)載均衡基本上都會使用 LVS，據(jù)了解 BAT 等大廠都是 LVS 重度使用者，就是因為 LVS 非常出色的性能，能為公司節(jié)省巨大的成本。LVS，全稱 Linux Virtual Server 是由國人章文嵩博士發(fā)起的一個開源的項目，在社區(qū)具有很大的熱度，是一個基于四層、具有強(qiáng)大性能的反向代理服務(wù)器。它現(xiàn)在是標(biāo)準(zhǔn)內(nèi)核的一部分，它具備可靠性、高性能、可擴(kuò)展性和可操作性的特點，從而以低廉的成本實現(xiàn)最優(yōu)的性能。Netfilter基礎(chǔ)原理LVS 是基于 Linux 內(nèi)核中 netfilter 框架實現(xiàn)的負(fù)載均衡功能，所以要學(xué)習(xí) LVS 之前必須要先簡單了解 netfilter 基本工作原理。netfilter 其實很復(fù)雜，平時我們說的 Linux 防火墻就是 netfilter，不過我們平時操作的都是 iptables，iptables 只是用戶空間編寫和傳遞規(guī)則的工具而已，真正工作的是 netfilter。通過下圖可以簡單了解下 netfilter 的工作機(jī)制：netfilter 是內(nèi)核態(tài)的 Linux 防火墻機(jī)制，作為一個通用、抽象的框架，提供了一整套的 hook 函數(shù)管理機(jī)制，提供諸如數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換、基于協(xié)議類型的連接跟蹤的功能。通俗點講，就是 netfilter 提供一種機(jī)制，可以在數(shù)據(jù)包流經(jīng)過程中，根據(jù)規(guī)則設(shè)置若干個關(guān)卡（hook 函數(shù)）來執(zhí)行相關(guān)的操作。netfilter 總共設(shè)置了 5 個點，包括：①PREROUTING ：剛剛進(jìn)入網(wǎng)絡(luò)層，還未進(jìn)行路由查找的包，通過此處②INPUT ：通過路由查找，確定發(fā)往本機(jī)的包，通過此處③FORWARD ：經(jīng)路由查找后，要轉(zhuǎn)發(fā)的包，在POST_ROUTING之前④OUTPUT ：從本機(jī)進(jìn)程剛發(fā)出的包，通過此處⑤POSTROUTING ：進(jìn)入網(wǎng)絡(luò)層已經(jīng)經(jīng)過路由查找，確定轉(zhuǎn)發(fā)，將要離開本設(shè)備的包，通過此處當(dāng)一個數(shù)據(jù)包進(jìn)入網(wǎng)卡，經(jīng)過鏈路層之后進(jìn)入網(wǎng)絡(luò)層就會到達(dá) PREROUTING，接著根據(jù)目標(biāo) IP 地址進(jìn)行路由查找，如果目標(biāo) IP 是本機(jī)，數(shù)據(jù)包繼續(xù)傳遞到 INPUT 上，經(jīng)過協(xié)議棧后根據(jù)端口將數(shù)據(jù)送到相應(yīng)的應(yīng)用程序。應(yīng)用程序處理請求后將響應(yīng)數(shù)據(jù)包發(fā)送到 OUTPUT 上，最終通過 POSTROUTING 后發(fā)送出網(wǎng)卡。如果目標(biāo) IP 不是本機(jī)，而且服務(wù)器開啟了 forward 參數(shù)，就會將數(shù)據(jù)包遞送給 FORWARD 上，最后通過 POSTROUTING 后發(fā)送出網(wǎng)卡。LVS基礎(chǔ)原理LVS 是基于 netfilter 框架，主要工作于 INPUT 鏈上，在 INPUT 上注冊 ip_vs_in HOOK 函數(shù)，進(jìn)行 IPVS 主流程，大概原理如圖所示：當(dāng)用戶訪問 www.sina.com.cn 時，用戶數(shù)據(jù)通過層層網(wǎng)絡(luò)，最后通過交換機(jī)進(jìn)入 LVS 服務(wù)器網(wǎng)卡，并進(jìn)入內(nèi)核網(wǎng)絡(luò)層。進(jìn)入 PREROUTING 后經(jīng)過路由查找，確定訪問的目的 VIP 是本機(jī) IP 地址，所以數(shù)據(jù)包進(jìn)入到 INPUT 鏈上LVS 是工作在 INPUT 鏈上，會根據(jù)訪問的 IP:Port 判斷請求是否是 LVS 服務(wù)，如果是則進(jìn)行 LVS 主流程，強(qiáng)行修改數(shù)據(jù)包的相關(guān)數(shù)據(jù)，并將數(shù)據(jù)包發(fā)往 POSTROUTING 鏈上。POSTROUTING 上收到數(shù)據(jù)包后，根據(jù)目標(biāo) IP 地址（后端真實服務(wù)器），通過路由選路，將數(shù)據(jù)包最終發(fā)往后端的服務(wù)器上。開源 LVS 版本有 3 種工作模式，每種模式工作原理都不同，每種模式都有自己的優(yōu)缺點和不同的應(yīng)用場景，包括以下三種模式：①DR 模式②NAT 模式③Tunnel 模式這里必須要提另外一種模式是 FullNAT，這個模式在開源版本中是模式?jīng)]有的。這個模式最早起源于百度，后來又在阿里發(fā)揚(yáng)光大，由阿里團(tuán)隊開源，代碼地址如下：https://github.com/alibaba/lvsLVS 官網(wǎng)也有相關(guān)下載地址，不過并沒有合進(jìn)到內(nèi)核主線版本。后面會有專門章節(jié)詳細(xì)介紹 FullNAT 模式。下邊分別就 DR、NAT、Tunnel 模式分別詳細(xì)介紹原理。DR 模式實現(xiàn)原理LVS 基本原理圖中描述的比較簡單，表述的是比較通用流程。下邊會針對 DR 模式的具體實現(xiàn)原理，詳細(xì)的闡述 DR 模式是如何工作的。（一）實現(xiàn)原理過程① 當(dāng)客戶端請求 www.sina.com.cn 主頁，請求數(shù)據(jù)包穿過網(wǎng)絡(luò)到達(dá) Sina 的 LVS 服務(wù)器網(wǎng)卡：源 IP 是客戶端 IP 地址 CIP，目的 IP 是新浪對外的服務(wù)器 IP 地址，也就是 VIP；此時源 MAC 地址是 CMAC，其實是 LVS 連接的路由器的 MAC 地址（為了容易理解記為 CMAC），目標(biāo) MAC 地址是 VIP 對應(yīng)的 MAC，記為 VMAC。② 數(shù)據(jù)包經(jīng)過鏈路層到達(dá) PREROUTING 位置（剛進(jìn)入網(wǎng)絡(luò)層），查找路由發(fā)現(xiàn)目的 IP 是 LVS 的 VIP，就會遞送到 INPUT 鏈上，此時數(shù)據(jù)包 MAC、IP、Port 都沒有修改。③ 數(shù)據(jù)包到達(dá) INPUT 鏈，INPUT 是 LVS 主要工作的位置。此時 LVS 會根據(jù)目的 IP 和 Port 來確認(rèn)是否是 LVS 定義的服務(wù)，如果是定義過的 VIP 服務(wù)，就會根據(jù)配置信息，從真實服務(wù)器列表 中選擇一個作為 RS1，然后以 RS1 作為目標(biāo)查找 Out 方向的路由，確定一下跳信息以及數(shù)據(jù)包要通過哪個網(wǎng)卡發(fā)出。最后將數(shù)據(jù)包投遞到 OUTPUT 鏈上。④ 數(shù)據(jù)包通過 POSTROUTING 鏈后，從網(wǎng)絡(luò)層轉(zhuǎn)到鏈路層，將目的 MAC 地址修改為 RealServer 服務(wù)器 MAC 地址，記為 RMAC；而源 MAC 地址修改為 LVS 與 RS 同網(wǎng)段的 selfIP 對應(yīng)的 MAC 地址，記為 DMAC。此時，數(shù)據(jù)包通過交換機(jī)轉(zhuǎn)發(fā)給了 RealServer 服務(wù)器（注：為了簡單圖中沒有畫交換機(jī)）。⑤ 請求數(shù)據(jù)包到達(dá)后端真實服務(wù)器后，鏈路層檢查目的 MAC 是自己網(wǎng)卡地址。到了網(wǎng)絡(luò)層，查找路由，目的 IP 是 VIP（lo 上配置了 VIP），判定是本地主機(jī)的數(shù)據(jù)包，經(jīng)過協(xié)議棧拷貝至應(yīng)用程序（比如 nginx 服務(wù)器），nginx 響應(yīng)請求后，產(chǎn)生響應(yīng)數(shù)據(jù)包。然后以 CIP 查找出方向的路由，確定下一跳信息和發(fā)送網(wǎng)卡設(shè)備信息。此時數(shù)據(jù)包源、目的 IP 分別是 VIP、CIP，而源 MAC 地址是 RS1 的 RMAC，目的 MAC 是下一跳（路由器）的 MAC 地址，記為 CMAC（為了容易理解，記為 CMAC）。然后數(shù)據(jù)包通過 RS 相連的路由器轉(zhuǎn)發(fā)給真正客戶端，完成了請求響應(yīng)的全過程。從整個過程可以看出，DR 模式 LVS 邏輯比較簡單，數(shù)據(jù)包通過直接路由方式轉(zhuǎn)發(fā)給后端服務(wù)器，而且響應(yīng)數(shù)據(jù)包是由 RS 服務(wù)器直接發(fā)送給客戶端，不經(jīng)過 LVS。我們知道通常請求數(shù)據(jù)包會比較小，響應(yīng)報文較大，經(jīng)過 LVS 的數(shù)據(jù)包基本上都是小包，所以這也是 LVS 的 DR 模式性能強(qiáng)大的主要原因。（二）優(yōu)缺點和使用場景DR 模式的優(yōu)點1.響應(yīng)數(shù)據(jù)不經(jīng)過 lvs，性能高2.對數(shù)據(jù)包修改小，信息保存完整（攜帶客戶端源 IP）DR 模式的缺點1.lvs 與 rs 必須在同一個物理網(wǎng)絡(luò)（不支持跨機(jī)房）2.服務(wù)器上必須配置 lo 和其它內(nèi)核參數(shù)3.不支持端口映射DR 模式的使用場景如果對性能要求非常高，可以首選 DR 模式，而且可以透傳客戶端源 IP 地址。NAT 模式實現(xiàn)原理（一）實現(xiàn)原理與過程① 用戶請求數(shù)據(jù)包經(jīng)過層層網(wǎng)絡(luò)，到達(dá) lvs 網(wǎng)卡，此時數(shù)據(jù)包源 IP 是 CIP，目的 IP 是 VIP。② 經(jīng)過網(wǎng)卡進(jìn)入網(wǎng)絡(luò)層 prerouting 位置，根據(jù)目的 IP 查找路由，確認(rèn)是本機(jī) IP，將數(shù)據(jù)包轉(zhuǎn)發(fā)到 INPUT 上，此時源、目的 IP 都未發(fā)生變化。③ 到達(dá) lvs 后，通過目的 IP 和目的 port 查找是否為 IPVS 服務(wù)。若是 IPVS 服務(wù)，則會選擇一個 RS 作為后端服務(wù)器，將數(shù)據(jù)包目的 IP 修改為 RIP，并以 RIP 為目的 IP 查找路由信息，確定下一跳和出口信息，將數(shù)據(jù)包轉(zhuǎn)發(fā)至 output 上。④ 修改后的數(shù)據(jù)包經(jīng)過 postrouting 和鏈路層處理后，到達(dá) RS 服務(wù)器，此時的數(shù)據(jù)包源 IP 是 CIP，目的 IP 是 RIP。⑤ 到達(dá) RS 服務(wù)器的數(shù)據(jù)包經(jīng)過鏈路層和網(wǎng)絡(luò)層檢查后，被送往用戶空間 nginx 程序。nginx 程序處理完畢，發(fā)送響應(yīng)數(shù)據(jù)包，由于 RS 上默認(rèn)網(wǎng)關(guān)配置為 lvs 設(shè)備 IP，所以 nginx 服務(wù)器會將數(shù)據(jù)包轉(zhuǎn)發(fā)至下一跳，也就是 lvs 服務(wù)器。此時數(shù)據(jù)包源 IP 是 RIP，目的 IP 是 CIP。⑥ lvs 服務(wù)器收到 RS 響應(yīng)數(shù)據(jù)包后，根據(jù)路由查找，發(fā)現(xiàn)目的 IP 不是本機(jī) IP，且 lvs 服務(wù)器開啟了轉(zhuǎn)發(fā)模式，所以將數(shù)據(jù)包轉(zhuǎn)發(fā)給 forward 鏈，此時數(shù)據(jù)包未作修改。⑦ lvs 收到響應(yīng)數(shù)據(jù)包后，根據(jù)目的 IP 和目的 port 查找服務(wù)和連接表，將源 IP 改為 VIP，通過路由查找，確定下一跳和出口信息，將數(shù)據(jù)包發(fā)送至網(wǎng)關(guān)，經(jīng)過復(fù)雜的網(wǎng)絡(luò)到達(dá)用戶客戶端，最終完成了一次請求和響應(yīng)的交互。NAT 模式雙向流量都經(jīng)過 LVS，因此 NAT 模式性能會存在一定的瓶頸。不過與其它模式區(qū)別的是，NAT 支持端口映射，且支持 windows 操作系統(tǒng)。NAT 模式優(yōu)點1.能夠支持 windows 操作系統(tǒng)2.支持端口映射。如果 rs 端口與 vport 不一致，lvs 除了修改目的 IP，也會修改 dport 以支持端口映射。NAT 模式缺點1.后端 RS 需要配置網(wǎng)關(guān)2.雙向流量對 lvs 負(fù)載壓力比較大NAT 模式的使用場景如果你是 windows 系統(tǒng)，使用 lvs 的話，則必須選擇 NAT 模式了。Tunnel 模式在國內(nèi)使用的比較少，不過據(jù)說騰訊使用了大量的 Tunnel 模式。它也是一種單臂的模式，只有請求數(shù)據(jù)會經(jīng)過 lvs，響應(yīng)數(shù)據(jù)直接從后端服務(wù)器發(fā)送給客戶端，性能也很強(qiáng)大，同時支持跨機(jī)房。下邊繼續(xù)看圖分析原理。（一）實現(xiàn)原理與過程① 用戶請求數(shù)據(jù)包經(jīng)過多層網(wǎng)絡(luò)，到達(dá) lvs 網(wǎng)卡，此時數(shù)據(jù)包源 IP 是 cip，目的 ip 是 vip。② 經(jīng)過網(wǎng)卡進(jìn)入網(wǎng)絡(luò)層 prerouting 位置，根據(jù)目的 ip 查找路由，確認(rèn)是本機(jī) ip，將數(shù)據(jù)包轉(zhuǎn)發(fā)到 input 鏈上，到達(dá) lvs，此時源、目的 ip 都未發(fā)生變化。③ 到達(dá) lvs 后，通過目的 ip 和目的 port 查找是否為 IPVS 服務(wù)。若是 IPVS 服務(wù)，則會選擇一個 rs 作為后端服務(wù)器，以 rip 為目的 ip 查找路由信息，確定下一跳、dev 等信息，然后 IP 頭部前邊額外增加了一個 IP 頭（以 dip 為源，rip 為目的 ip），將數(shù)據(jù)包轉(zhuǎn)發(fā)至 output 上。④ 數(shù)據(jù)包根據(jù)路由信息經(jīng)最終經(jīng)過 lvs 網(wǎng)卡，發(fā)送至路由器網(wǎng)關(guān)，通過網(wǎng)絡(luò)到達(dá)后端服務(wù)器。⑤ 后端服務(wù)器收到數(shù)據(jù)包后，ipip 模塊將 Tunnel 頭部卸載，正?？吹降脑?ip 是 cip，目的 ip 是 vip，由于在 tunl0 上配置 vip，路由查找后判定為本機(jī) ip，送往應(yīng)用程序。應(yīng)用程序 nginx 正常響應(yīng)數(shù)據(jù)后以 vip 為源 ip，cip 為目的 ip 數(shù)據(jù)包發(fā)送出網(wǎng)卡，最終到達(dá)客戶端。Tunnel 模式具備 DR 模式的高性能，又支持跨機(jī)房訪問，聽起來比較完美。不過國內(nèi)運(yùn)營商有一定特色性，比如 RS 的響應(yīng)數(shù)據(jù)包的源 IP 為 VIP，VIP 與后端服務(wù)器有可能存在跨運(yùn)營商的情況，很有可能被運(yùn)營商的策略封掉，Tunnel 在生產(chǎn)環(huán)境確實沒有使用過，在國內(nèi)推行 Tunnel 可能會有一定的難度吧。（二）優(yōu)點、缺點與使用場景Tunnel 模式的優(yōu)點1.單臂模式，對 lvs 負(fù)載壓力小2.對數(shù)據(jù)包修改較小，信息保存完整3.可跨機(jī)房（不過在國內(nèi)實現(xiàn)有難度）Tunnel 模式的缺點1.需要在后端服務(wù)器安裝配置 ipip 模塊2.需要在后端服務(wù)器 tunl0 配置 vip3.隧道頭部的加入可能導(dǎo)致分片，影響服務(wù)器性能4.隧道頭部 IP 地址固定，后端服務(wù)器網(wǎng)卡 hash 可能不均5.不支持端口映射Tunnel 模式的使用場景理論上，如果對轉(zhuǎn)發(fā)性能要求較高，且有跨機(jī)房需求，Tunnel 可能是較好的選擇。以上是主題為：什么是負(fù)載均衡？的教學(xué)全部內(nèi)容，希望對您有幫助！快快網(wǎng)絡(luò)致力于安全防護(hù)、服務(wù)器高防、網(wǎng)絡(luò)高防、ddos防護(hù)、cc防護(hù)、dns防護(hù)、防劫持、高防服務(wù)器、網(wǎng)站防護(hù)等方面的服務(wù)，自研的WAF提供任意CC和DDOS攻擊防御。更多詳情聯(lián)系客服QQ 537013901

售前毛毛 2022-06-10 10:59:16