如何使用負載均衡裝置防禦攻擊

負載均衡裝置作為關鍵應用的入口，自然也成為各種攻擊的目標所在。如何確保負載均衡裝置在自身不會癱瘓的前提下保護後端伺服器，是負載均衡器必須解決的問題。事實上，負載均衡裝置從誕生之日起，其高併發會話和新建連線速率讓防火牆產品相形見絀。另外，絕大部分攻擊目標IP恰好是落在負載均衡裝置上的虛擬IP（VIP），相對於防火牆處理經過流量的方式，負載均衡裝置更瞭解這些應用應該如何保護，自然適合施加針對虛擬IP和後端伺服器的策略。在負載均衡裝置外面設定防火牆的，是一些使用者既有的管理原因導致。對於真正大流量的網際網路應用，鮮有在負載均衡裝置外側部署防火牆的。下面以A10網路的AX產品具備的各種攻擊防禦方式進行介紹。

1. 首先，針對最常見的SYN Flooding攻擊，負載均衡裝置採用廣為使用的SYN Cookie機制進行防禦。使用者關注的就是其SYN Cookie效能了。A10的高階裝置採用硬體處理SYN-Cookie，可以防禦高達50M SYN/Sec（約3個萬兆+3個千兆埠打滿攻擊流量）的DDoS攻擊，而且對CPU影響為0.

2. ICMP速率限制。針對類似Smurf的基於大量PING的攻擊，負載均衡裝置可以限制每秒處理的ICMP包數量。

3. 基於源IP的連線速率限制，適用於TCP和UDP。越來越多的分散式DoS攻擊為有效TCP連線或者UDP攻擊。對於來自單一IP連線速率超過設定值的，負載均衡裝置可以對該IP地址採取丟棄、傳送日誌告警、鎖定一定時間等多種操作。

4. IP異常攻擊防禦。針對Land-attack，Ping-of-Death等常見攻擊型別，A10的負載均衡裝置可以檢測並丟棄。

5. 訪問控制列表（ACL），基於IP五元組進行過濾，不再贅述。

6. 基於策略的伺服器負載均衡（PBSLB），A10的負載均衡裝置可以支援高達800萬條主機記錄的黑白名單，該名單可以通過TFTP伺服器定期自動更新，更新期間無過渡漏洞。較之路由器的ACL或防火牆策略數量高出數十倍。可以針對該名單內地址限制連線數量，可以分為不同組，選擇丟棄或轉發到不同組伺服器。該特性可以與A10其它防攻擊特性結合動態生成黑白名單。

7. 虛擬伺服器/伺服器連線數量限制。根據伺服器的能力，限制分配到單臺伺服器或整個虛擬伺服器的連線數量。避免伺服器由於連線過多而癱瘓。該限制可應用於伺服器或其某個服務埠。

8. 虛擬伺服器/伺服器連線速率限制。上一項限制的是同時保持的靜態連線數量，這一項則是限制新建連線的速率。對於大量短連線攻擊或突發流量，併發連線數不大，但大量新建連線同樣可以讓伺服器癱瘓。

9. HTTP併發請求限制和請求速率限制。針對目前大量的CC攻擊，上述基於連線數和連線速率的限制已經無能為力，因為CC攻擊往往是在單一TCP連線上傳送大量HTTP請求。A10的負載均衡裝置將基於7層請求的攻擊防禦與強大的黑白名單功能結合，可以限制單一IP來源的併發總連線數、新建連線速率、併發請求數、請求速率。不同使用者IP可以分為不同組，設定不同引數。

10. DNS合規性檢查。針對應用之首的DNS，攻擊防禦更是不可忽視。除了上述通用特性外，A10的負載均衡裝置可以檢查DNS資料包得合規性，對於格式不符合DNS協議標準的資料包進行過濾或轉發到專門的安全裝置。

11. 動態DNS快取功能。由於DNS伺服器能力有限，如何在有異常流量時保護DNS伺服器並讓DNS服務正常執行，是使用者渴望解決的問題。A10的動態DNS快取功能可以根據後端DNS伺服器能力設定閾值，當針對某個域名的請求達到一定數量時，可以動態啟用該域名的快取功能，有負載均衡裝置應答DNS請求。這個功能的前提是負載均衡裝置的DNS處理能力足夠高。A10的入門級64位產品的DNS處理能力即可達到150萬DNS QPS（DNS請求/秒）。

12. 自定義指令碼。基於tcl語言的自定義指令碼可以讓使用者根據需求定義更為靈活的安全策略，尤其是A10的自定義指令碼可以呼叫上述高達800萬條目的黑白名單。

以上只是每個安全特性的簡單描述，每個安全特性都有一些細節功能，可以解決很多使用者頭疼的安全問題。後期會選擇部分功能詳細介紹。

（R.S.）

本文轉自 virtualadc 51CTO部落格，原文連結:http://blog.51cto.com/virtualadc/730514