一种内生安全负载均衡服务器的构造方法技术

本发明专利技术公开了一种内生安全负载均衡服务器的构造方法，在多层服务器架构中，负载均衡服务器作为网络流量的入口，极易泄露指纹信息，造成安全隐患；该方法对云服务器、异构化容器、容器内负载均衡平台等进行内生安全处理，通过结构化变化，形成内生安全防御能力。当访问发生时，通过特定的调度方式分配异构云服务器以及异构负载均衡容器，负载均衡容器根据策略要求，决定转发到下游服务器的方式。此外通过人工干预及负反馈调节两种机制，对负载均衡容器进行下线操作。本发明专利技术避免了在多层服务器架构中，对负载均衡平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等，转发请求的同时，加固负载均衡自身服务。加固负载均衡自身服务。加固负载均衡自身服务。

【技术实现步骤摘要】
一种内生安全负载均衡服务器的构造方法


[0001]本专利技术涉及网络安全
，尤其涉及一种内生安全负载均衡服务器的构造方法。

技术介绍

[0002]传统的负载均衡平台存在部署在单一服务器中的情况，对于这种情况下，将来自用户的流量和内容进行转发到下游服务器。这种部署方式存在一定的不足，如利用负载均衡平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等，因此面临严重的安全威胁。本专利技术通过对云服务器、虚拟化容器、容器内的操作系统、负载均衡平台等进行异构化处理，通过结构化的变化，使负载均衡服务器形成内生安全防御能力。

技术实现思路

[0003]本专利技术目的在于对负载均衡服务器架构进行优化，提供一种内生安全的负载均衡服务。本专利技术将流量调度到异构服务器中的异构负载均衡容器，完成负载均衡应有功能的同时，加固负载均衡服务自身安全性。
[0004]本专利技术的目的是通过以下技术方案来实现的：一种内生安全负载均衡服务器的构造方法，该方法包括以下步骤：
[0005](1)搭建异构云服务器，具体为：
[0006](1.1)部署M个云服务器C＝{c
i
|i＝1,2,
…
,M}，其中c
i
为第i个云服务器；
[0007](1.2)对C进行异构化处理。
[0008](2)部署异构负载均衡容器，具体为：
[0009](2.1)在各个云服务器c
i
内部署N个微容器，R＝{r
j
|j＝1,2,
…
,N}，其中r
j
表示第j个微容器；
[0010](2.2)对各微容器r
i
部署异构操作系统O、异构负载均衡平台F，即r
j
＝{(O
j
,F
j
)|j＝1,2,
…
,N}。
[0011](3)为负载均衡平台配置后端服务器信息S＝{s
k
|k＝1,2,
…
,K}及负载均衡策略Lb，即流量转发到的下游服务器，具体为：
[0012](3.1)当前安全策略要求只转发到单个下游服务器时，根据平台管理用户指定的负载均衡策略进行转发；
[0013](3.2)当前安全策略要求进行组合转发模式时，即同时转发到多个下游服务器，此时负载均衡策略采用响应时间与轮询相结合的方式；
[0014](3.3)当管理用户指定为性能混合模式时，根据下游服务器实时性能负载选择步骤(3.1)或(3.2)的方式进行调度。
[0015](4)将服务域名通过DNS解析到各云服务器C。
[0016](5)流量经过DNS解析到c
i
后，随机选择上线状态的r
j
进行转发，然后识别请求头中的策略标识信息，依据步骤(3)选择Lb并转发到后端服务器s
k
。
[0017](6)规定异构负载均衡服务器下线规则，具体为：
[0018](6.1)人工干预模式：基于时间片的方式，规定每隔T时间对各微容器r
i
进行下线清洗，须保证同一时间内处于上线状态的微容器个数不少于M*N/2；
[0019](6.2)基于负反馈的清洗模式：根据云服务器及微容器的性能、规定时间内被检测到遭受攻击的概率进行下线切换。
[0020]上述两种模式中，下线后按照预设方式重置所有环境及配置。
[0021]进一步地，所述步骤(1.2)中，从虚拟化技术、操作系统、微容器软件的角度对C进行异构化处理。
[0022]进一步地，所述操作系统包括Windows Server、CentOS和Ubuntu。
[0023]进一步地，所述虚拟化技术包括kvm和Xen。
[0024]进一步地，所述微容器软件包括Docker、Solaris Containers和Podman。
[0025]进一步地，所述下游服务器包括WAF服务器和应用服务器。
[0026]进一步地，所述步骤(3.2)中下游服务器为异构冗余WAF服务器。
[0027]进一步地，所述步骤(3.1)中负载均衡策略包括默认轮询方式、权重方式、依据IP进行分配方式、最少连接数方式和依据响应时间分配方式。
[0028]进一步地，所述步骤(6.1)中T的取值区间为[30min,60min]。
[0029]本专利技术的有益效果是：本专利技术对云服务器、虚拟化技术、微容器、容器内的操作系统、负载均衡平台等进行异构化处理，通过结构化的变化，使负载均衡服务形成内生安全防御能力。当访问发生时，通过特定的调度方式分配异构云服务器以及异构负载均衡容器，负载均衡容器根据策略要求，决定转发到下游服务器的方式；此外通过人工干预及负反馈调节两种机制，对负载均衡容器进行下线操作。这样避免了在多层服务器架构中，对负载均衡平台的自身漏洞、操作系统的漏洞或者云平台的漏洞进行攻击等，转发请求的同时，加固负载均衡自身服务。
附图说明
[0030]图1是内生安全负载均衡服务器架构图。
具体实施方式
[0031]如图1所示，本专利技术内生安全负载均衡服务器包括以下步骤：
[0032]1、搭建异构云服务器，具体为：
[0033](1)部署M个云服务器C＝{c
i
|i＝1,2,
…
,M}，其中c
i
为第i个云服务器；
[0034](2)从虚拟化技术、操作系统、微容器软件等角度对C进行异构化处理，其中云上服务器的操作系统可以选择Windows Server、CentOS、Ubuntu等，云的虚拟化技术选择kvm、Xen等，微容器软件选择Docker、Solaris Containers、Podman等。
[0035]2、部署异构负载均衡容器，具体为：
[0036](1)在各个云服务器c
i
内部署N个微容器，R＝{r
j
|j＝1,2,
…
,N}，其中r
j
表示第j个微容器；
[0037](2)对各微容器r
j
部署异构操作系统O、异构负载均衡平台F，即r
j
＝{(O
j
,F
j
)|j＝1,2,
…
,N}。
[0038]3、为异构负载均衡平台F配置后端服务器信息S＝{s
k
|k＝1,2,
…
,K}及负载均衡策略Lb，即流量转发到的下游服务器(WAF服务器或应用服务器)，下面对负载均衡策略Lb进行介绍：
[0039](1)当前安全策略要求只转发到单个下游服务器时，根据平台管理用户指定的负载均衡策略进行转发，如默认轮询方式、权重方式、依据IP进行分配方式、最少连接数方式、依据响应时间分配等方式；
[0040](2)当前安全策略要求进行本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种内生安全负载均衡服务器的构造方法，其特征在于，该方法包括以下步骤：(1)搭建异构云服务器，具体为：(1.1)部署M个云服务器C＝{c
i
|i＝1，2，...，M}，其中c
i
为第i个云服务器；(1.2)对C进行异构化处理。(2)部署异构负载均衡容器，具体为：(2.1)在各个云服务器c
i
内部署N个微容器，R＝{r
j
|j＝1，2，...，N}，其中r
j
表示第j个微容器。(2.2)对各微容器r
i
部署异构操作系统O、异构负载均衡平台F，即r
j
＝{(O
j
，F
j
)|j＝1，2，...，N}。(3)为负载均衡平台配置后端服务器信息S＝{s
k
|k＝1，2，...，K}及负载均衡策略Lb，即流量转发到的下游服务器，具体为：(3.1)当前安全策略要求只转发到单个下游服务器时，可以根据平台管理用户指定的负载均衡策略进行转发。(3.2)当前安全策略要求进行组合转发模式时，即同时转发到多个下游服务器，此时负载均衡策略可以采用响应时间与轮询相结合的方式。(3.3)当管理用户指定为性能混合模式时，可以根据下游服务器实时性能负载选择步骤(3.1)或(3.2)的方式进行调度。(4)将服务域名通过DNS解析到各云服务器C。(5)流量经过DNS解析到c
i
后，随机选择上线状态的r
j
进行转发，然后识别请求头中的策略标识信息，依据步骤(3)选择Lb并转发到后...

【专利技术属性】
技术研发人员：吴春明，陈双喜，曲振青，
申请(专利权)人：浙江大学，
类型：发明
国别省市：