《双机热备原理、双线路负载均衡方案.doc》由会员分享,可在线阅读,更多相关《双机热备原理、双线路负载均衡方案.doc(13页珍藏版)》请在三一办公上搜索。
1、双机热备、多线路负载均衡方案深信服科技 2008年 6月目录1. 概述31.1 客户需求31.2 网络拓扑图32. 双机热备42.1 实现原理42.2 实施步骤43. 线路负载均衡53.1实现原理53.2实施步骤64. SINFOR SSL VPN应用效果64.1便捷接入,应用发布64.2保护内部系统74.3数据传输安全性74.4多种认证防止非法接入74.5与第三方认证有效集成84.6双向的证书支持,完整的PKI体系84.7自建CA中心,减少安全构架成本84.8更完备的登录安全94.9超时退出,防止窥探94.10更高的访问权限粒度94.11全面接入审计,记录104.12基于硬件的高效压缩算法,
2、提高访问速度104.13强大的硬件加速卡,更快的SSL处理速度105 . 深信服公司及SINFOR VPN资质简介101. 概述1.1 客户需求使用双机热备,可以在一台设备出现故障时,立即由另一台设备承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。局域网通过多条线路上网,需要通过多线路的负载均衡技术,实现选择最优的线路上网。1.2 网络拓扑图2. 双机热备2.1 实现原理1. 使用双机热备功能时候,外网接口一定是以太网连接方式.不可以是ADSL拨号。2. 当主设备发生故障时,备份设备在一定时间内没有收到来自主设备的回应。则备份设备判定主设备出现故障,并立即启动相应的服务
3、。两台设备先开电源,首先完成启动的作为主设备,另外一台作为备份设备,运行时候判断主备设备的方法为,如果采用是M5100-S设备,那么启动完成后,备份设备的ALRAM红色灯常亮。2.2 实施步骤1. 将外网线路接入交换机,分别将两台M5X00-S的WAN1口接入同一个交换机.2. 使用console线将两台M5X00-S的console口连接起来.3. 将两台M5X00-S的LAN口接入同一个交换机,和内部局域网连接起来.4. 开启其中一台M5X00-S设备,等设备启动完成后,在局域网内部找一台电脑,安装SINFOR MX00-S控制台。按照需求对其进行配置.主要有内外网接口的IP地址,SSL提
4、供的资源,用户,角色等内容.5. 配置完成后,打开另外一台机器的电源,刚才做的所有配置会通过console线自动同步到后来开启电源的那台设备,以后如果需要修改某些配置,只需要通过控制台对其中的一台做设置,配置会自动同步到备份的设备上.3. 线路负载均衡3.1实现原理1、 多线路技术实现线路备份,保证VPN线路稳定 SINFOR SSL VPN支持多达四条线路的线路备份和负载均衡,大大提高了VPN网络的稳定性。由于VPN的稳定性是依赖于线路本身的稳定性,若采用单条线路,一旦中断,将造成整个VPN系统陷入瘫痪。通过多线路带宽叠加及复用技术(专利号:CN200310112006X),将多条线路、不同
5、方式接入方式的上网线路实现带宽叠加和互为备份,保证了整个系统的持续可靠运行。若任何一条线路出现故障,SINFOR SSL VPN可以将数据无缝切换到其他正常线路,不会影响SSL VPN用户的接入和访问。并且若故障线路恢复正常,VPN的连接隧道将自动愈合。这一切都是系统自动进行,无需人工干预,保证了用户的重要应用持续、不间断地稳定运行。2、 多线路带宽叠加技术,保证充足的上网带宽 多线路带宽叠加及复用技术(专利号:CN200310112006X)。可在多条线路之间起到带宽复用,提高传输带宽,而且SINFOR SSL针对不同的上网线路,还可以启用多线路策略,用户可以根据线路情况选择带宽叠加模式、线
6、路主备模式或者动态适应模式等多线路策略。同时,SINFOR SSL VPN安全网关内置了5个Qos级别和多条Qos规则,用户可根据自身实际情况设置相应的QOS级别。3、 多线路智能选路技术,选择最快的连接线路 目前,大规模VPN网络往往都是跨运营商的。但是国内运营商间的带宽太小,严重影响了VPN的应用效果。SINFOR SSL VPN安全网关采用了多线路智能选路的功能,解决了国内跨运营商部署VPN网络时遇到的带宽小,延迟大的问题。只要在VPN总部端申请多条运营商线路,采用SINFOR SSL VPN的多线路版本。对于分布到不同运营商网络的远程接入用户,当发送一个连接请求到SSL VPN硬件网关
7、时,SSL VPN会自动迁移到最快的线路上,完美解决跨运营商之间连接延迟大、带宽小的问题。此技术对于在外地出差的移动办公用户能够很好的解决运营商不同的问题。3.2实施步骤1. 实现多线路部署,要将SSLVPN设备部署为网关模式,将外网线路直接连接到设备WAN口。2. 配置好不同线路的WAN口IP,根据内网规划配置好内网IP。3. 配置相应的线路策略,内网用户可以根据不同的策略,最大限度的使用带宽。4. 对不同类型用户可采用不同的身份动态绑定方式。如在启动ID鉴权的情况下,需要把所有需接入总部的远程用户生成证书后传给总部管理员并分别绑定到对应的用户账号上;可选择是否为某类型移动用户启用DKEY,
8、若启用,需将对应DKEY插入总部模块所在计算机的USB口上,DLAN总部模块将会把此移动用户接入VPN所需的配置信息导入DKEY,并将DKEY作为用户接入时的身份认证依据。5. 针对每个不同的移动用户,进行安全策略设置。4. SINFOR SSL VPN应用效果4.1便捷接入,应用发布SSL VPN的客户端程序,如Microsoft Internet Explorer等已经预装在了一般的PC中,因此不需要再次安装;使用者只需打开浏览器,输入相应地址,就可以访问到其所授权的服务。对中信国际内部所有的应用系统,包括内部邮件,公文处理系统,电子商务系统等,都可以对远程用户开放。而对网络管理人员,可以
9、远程访问其中的网络设备管理系统,对内网系统进行远程维护和操作。而SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响,远程用户无论所处网络如何,都可以有效接入。IT管理人员也不再为大量的用户接入故障,客户端维护升级疲于奔命。这些都使中信国际的信息化触角遍布到员工到达的每一个角落,实现业务信息的即时互联互通。4.2保护内部系统在总部的网络出口处,防火墙只需开放443端口就能保证远程用户对内网所有服务的使用,极大的解决了网络系统安全性和可用性的矛盾。而对远程接入用户而言,只有SSLVPN设备是对其可见的,而隐藏了服务区网络结构。其对任何网络服务的访问都由SSL VPN做代理访问再将数据传回
10、。避免了IPSec VPN一旦建立隧道,就将服务区网络结构暴露出来的弊端。SINFOR SSL VPN还提供了一个隐藏服务。用户在访问总部的SSL资源时,SSL VPN可以将某些特殊的资源隐藏起来,用户在其资源列表中无法看到该项资源,但用户仍然可以使用。这种支持隐藏服务的功能,更加保证了企业内网资源的安全性。4.3数据传输安全性SINFOR SSL VPN采用标准的SSL协议加密建立安全的专用通道,使用标准浏览器内置的RC4 (128 位)加密算法进行加密,并通过RSA(1024 位交换)非对称密钥进行签名,保证了数据在传输过程不被监听和篡改。4.4多种认证防止非法接入Sinfor SSL V
11、PN提供短信认证技术,此认证系统分为手机短信终端和短信认证服务器两部份。终端用户通过手机短信获得随机用户认证访问代码,就能够安全地访问网络资源。对目前日益严重威胁网络安全的间谍软件、木马以及钓鱼软件等,SINFOR SSL VPN基于短信认证多种认证方式,有效地抵御了这类对企业重要资源造成的威胁。即使终端用户的机器被黑客攻击,控制了用户的机器,或者一些间谍软件、钓鱼软件泄漏了用户名密码等访问口令,由于采用了手机短信认证的动态身份认证系统,也无法威胁到企业的内部资源。一些特殊的远程接入使用环境下可以使用硬件特征码绑定,比如无需指定接入用户,但必须对接入主机进行控制的情况,可以通过获取客户端的硬件
12、信息生成数字证书,对证书和用户进行绑定实现用户身份的唯一性控制。多种认证方式、完善的认证体系,使得企业在选择的时候,可以根据相应的安全级别,对客户端的认证方式进行组合,最大限度地保证了接入用户的合法性和企业内网资源的高度安全。4.5与第三方认证有效集成SINFOR SSL VPN可以从微软域服务器或LDAP服务器中直接导入用户数据,能和第3方的LDAP认证服务器或RADIUS认证服务器有效集成。这样一个组织机构就可以保持一套认证体系,简化了部署过程,避免多套认证体系带来的更多维护成本和更多安全风险。4.6双向的证书支持,完整的PKI体系目前很多SSL VPN仅仅支持服务器端的数字证书,这样就无
13、法使用PKI体系识别接入用户的真伪。SINFOR SSL VPN能够支持双向的数字证书:不仅支持使用证书对服务器身份进行认证,还能使用数字对客户端身份进行验证。这样SINFOR SSL VPN就能支持开放的PKI体系,和许多使用CA中心的应用有效集成,简化认证过程:即同一套PKI即用于SSL VPN的接入认证,又用于接入后登录应用系统的认证。4.7自建CA中心,减少安全构架成本SINFOR SSL VPN中内置了一个CA中心,可以减少中小企业构建CA安全认证体系的成本。通过该CA中心,管理员可以给每个远程接入用户颁发证书,并存储在DKEY中,用来认证每个接入用户的身份。同时,SSL VPN也支
14、持第三方CA中心。4.8更完备的登录安全为了保证客户端接入VPN前的安全性,SINFOR SSL VPN安全网关即将推出客户端安全检查功能,依据客户端的操作系统、安装杀毒软件的情况、安全补丁版本等因素来评估客户端安全级别,并根据不同安全级别分配不同的权限,防止客户端的不安全因素通过SSL VPN传播到总部的内部网络而产生的安全隐患。为防止远端机器由于成为黑客接入内网的“跳板”,SINFOR SSL VPN提供VPN专线功能,即在用户用SSL登录内网的同时,切断其和Internet的所有其它连接。SINFOR SSL VPN在用户结束访问以后,拔出DKEY后将自动注销,同时会自动清除Cookie
15、,临时文件等遗留在客户端计算机上的信息,实现“零痕迹”访问,避免安全隐患。4.9超时退出,防止窥探为防止用户在没有注销的情况下长时间离开,导致他人窥探到SSL VPN内的机密信息,SINFOR SSL VPN安全网关特别加入了不活动检测引擎。当检测到客户端在指定时间内没有任何访问内网资源的流量时,SSL VPN网关将自动弹出对话框,提示用户“SSL连接会在X秒内超时关闭,继续还是注销?”若用户在该时间内仍未选择相应动作,则SINFOR SS VPN安全网关将自动注销,中断会话并重新返回登录界面。4.10更高的访问权限粒度SINFOR SSL VPN对每个用户的访问控制粒度精确到了URL级别。根
16、据组织的构架,用户可以分组管理,而授权粒度则可以按照角色进行管理,可以为每个用户或每个组分配一个或多个角色。比如可以为某用户分配经理和财务的双重角色,这样他即可以访问经理的文档数据又可以使用财务系统。通过这种有特色的角色权限分配体系能满足各种现实世界中的权限设置要求。4.11全面接入审计,记录SINFOR SSL VPN通过行为跟踪引擎,对每个远程接入用户的所有访问记录都留下了日志记录。并支持第三方日志服务器,对审计日志进行定期导出,在日志系统中可对所有远程用户的登录行为做全面的分析和统计。管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次数、被拒绝次数,用户的登录次数、告警次数等
17、进行直观显示,并可直接打印和导出。4.12基于硬件的高效压缩算法,提高访问速度传统的SSL数据传送都是经过没有压缩的,这样会导致客户端访问Web资源和C/S应用时速度低下。SINFOR SSL VPN安全网关通过内置基于硬件的压缩算法和硬件加速卡,提升了网络的吞吐量。SINFOR SSL VPN安全网关采用了基于硬件的GZIP和LZO高速流压缩算法,对所有的VPN数据先压缩后传送,大大提高了终端用户在使用Web资源和C/S应用时的访问速度,减少下载时间和网络流量。尤其当终端用户在CDMA等移动网络上使用VPN时,效果更为明显,速度可以提高一倍以上。4.13强大的硬件加速卡,更快的SSL处理速度
18、待添加的隐藏文字内容3SINFOR SSL VPN安全网关内置了硬件SSL加速卡,将需要计算程度较高的加密/解密流程从CPU中分离出来,提高SSL VPN网关的性能。5 . 深信服公司及SINFOR VPN资质简介深信服科技有限公司是成长最快,创新能力最强的前沿网络设备供应商,公司致力于提升商业用户互联网的带宽价值。利用创新、高性价比的产品,围绕商业用户Internet带宽资源,帮助用户降低成本(IPSec VPN实现网间互联)、提高效率(SSL VPN实现随时随地的移动办公、网间加速技术大幅度提升广域网速度)、防范风险(上网行为管理设备全面维护内网安全)等,提升Internet带宽价值。公司
19、现有产品包括SSL VPN,上网行为管理,广域网加速设备和IPSec VPN等。在2000年底成立至今,公司以每年销售收入增长23倍、人员增长1倍的速度高速发展,在近两年连续入选中国高科技、高成长50强。深信服科技坚持自主研发、每年将销售收入的15投入产品研发,目前已申请10多项网络及安全领域发明专利。目前,深信服科技在全国二十余个大中城市设立有直属办事处,销售网络遍布全国。截止到2007年3月,“SINFOR”系列产品已经应用于上万家客户、连接着国内外数十万个网络,移动用户数量更是超过十万多个,在政府、金融、电信、教育、电网电力、石油石化、民航、物流、制造等诸多行业有着大规模的成熟应用。 2
20、005,2006、2007连续三年,深信服科技荣获德勤颁发的“中国高科技高成长企业50强”和“亚太区高科技高成长500强”两项殊荣。公司资历2003年1月 深信服公司获得深圳市南山区政府科技孵化资金投资2003年3月 Sinfor网网通DLAN软件获公安部计算机信息系统安全专用产品销售许可证2003年5月 Sinfor网网通DLAN软件获“深圳市优秀新软件”荣誉称号2003年6月 Sinfor网网通纯软件VPN平台被认定为“深圳市高新技术项目”2003年8月 Sinfor DLAN VPN获得软件产品发展资金支持2003年11月 Sinfor DLAN VPN产品获得三项国家发明专利2004年
21、1月 Sinfor DLAN VPN软件获“深圳市优秀软件产品”称号2004年8月 Sinfor VPN获中国网络大会优秀解决方案2004年10月Sinfor VPN获高交会“优秀产品奖”2004年12月 Sinfor VPN产品获广东省计算机用户信赖品牌2004年12月 Sinfor VPN安全网关获中国计算机报“编辑选择奖”2005年1月 深信服VPN产品荣获“计算机世界2004年度产品奖”2005年3月 深信服科技荣获深圳市高新技术企业资格认定2005年4月 Sinfor VPN荣获中国信息安全值得信赖品牌2005年6月 深信服科技UTM产品荣获赛迪评测2005防火墙大型横向评测“技术特
22、色奖”2005年7月 Sinfor M5100安全网关荣获计算机产品与流通编辑选择奖2005年8月 深信服科技荣获2005中国网络主管调查VPN产品产品提供商企业信赖品牌”2005年8月 Sinfor VPN运营平台获“国家火炬计划”立项2005年9月 Sinfor VPN/防火墙系列产品荣获第七届中国国际高新技术成果交易会2005年10月 深信服科技成为商用密码产品定点生产单位2005年12月 深信服科技荣获2005年IT用户年会“VPN产品中国IT用户满意品牌奖”2005年12月 SINFOR IPSEC/SSL VPN一体化网关荣获“2005年明星产品奖”2005年12月 深信服科技电信
23、移动办公方案入选“通信产业报2005年度推荐”2005年12月 SINFOR IPSEC/SSL VPN一体化网关荣获“2005年网管员最喜爱产品奖”2005年12月 深信服UTM多功能安全网关荣获“2005年度SP编辑推荐”2005年12月 深信服科技UTM一体化网关M5100-AC入选中国计算机报“2005编辑选择奖”2005年12月 深信服科技成功入选德勤2005中国高科技、高成长50强2006年1月 SINFOR IPSEC/SSL VPN一体化网关荣获“2005计算机世界年度产品奖”2006年2月 深信服科技VPN产品荣获IT世界网“年度十大VPN设备和解决方案提供商”2006年2月
24、 51CTO网路工程师推荐产品2006年4月 2006年度中国信息安全UTM产品值得信赖品牌奖。在产品开发过程中,深信服科技始终坚持自主创新原则,致力于为客户提供更方便、更强大、更具性价比的VPN解决方案,目前公司已获得4项VPN领域的发明专利,分别如下:专利一:利用网页进行动态寻址的方法和系统 专利申请号:031139744专利二:基于硬件特征的证书认证系统和方法 专利申请号:031141803专利三:多路复用VPN隧道的连接方法 专利申请号:200310112006X专利四:VPN客户端安全策略交换和存储方法 专利申请号:2004100272163更多成功案例请参考深信服科技公司网站(上万家客户、数十万个网络的成功应用)目前,全球成功案例已经超过11000多家,每天至少有数万个网络实时在使用,更多典型成功案例,请参见 深信服
