專利名稱:一種提升web安全網(wǎng)關(guān)并發(fā)性能的方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及TOB安全防護(hù)領(lǐng)域。更具體的�����,本發(fā)明涉及一種提升WEB安全網(wǎng)關(guān)并發(fā)性能的方法�。
背景技術(shù):
隨著互聯(lián)網(wǎng)技術(shù)與應(yīng)用的不斷發(fā)展��,WEB應(yīng)用已經(jīng)逐漸成為了現(xiàn)代人們生產(chǎn)生活不可缺失的一個(gè)方面�����,同時(shí)它也成為了互聯(lián)網(wǎng)上的主要攻擊目標(biāo)��。據(jù)統(tǒng)計(jì),當(dāng)前網(wǎng)絡(luò)上75% 的攻擊是針對(duì)WEB應(yīng)用的�����。這些攻擊會(huì)導(dǎo)致網(wǎng)站聲譽(yù)下降�����,帶來(lái)經(jīng)濟(jì)損失甚至政治影響��。TOB安全網(wǎng)關(guān)是專門(mén)針對(duì)TOB安全威脅而產(chǎn)生的一種網(wǎng)關(guān)類(lèi)安全產(chǎn)品���。它內(nèi)部的 WEB安全檢測(cè)引擎不是通過(guò)包過(guò)濾的手段實(shí)現(xiàn)安全防護(hù)�,而是以代理的形式����,完全解析客戶端發(fā)送的HTTP請(qǐng)求數(shù)據(jù)包,然后進(jìn)行安全檢查�,判斷沒(méi)有問(wèn)題后,再與服務(wù)器端連接����,重新發(fā)送HTTP請(qǐng)求,獲取響應(yīng)后再轉(zhuǎn)發(fā)給客戶端��。數(shù)據(jù)包的處理過(guò)程核心都在應(yīng)用層完成。WEB安全網(wǎng)關(guān)往往是串接在網(wǎng)絡(luò)中�����,因此其處理性能將直接影響整個(gè)網(wǎng)絡(luò)的帶寬�、 延時(shí)等性能指標(biāo)。決定WEB安全網(wǎng)關(guān)的處理性能的因素?zé)o外乎兩個(gè)硬件資源以及軟件執(zhí)行效率�����。前者�����,隨著硬件成本的不斷下降提升較為容易��。而后者����,由于受到應(yīng)用程序設(shè)計(jì)各方面的因素的影響����,無(wú)法快速提升。因此�,在實(shí)際環(huán)境中往往會(huì)出現(xiàn)的一個(gè)現(xiàn)象是,對(duì)于一臺(tái)硬件配置較高的網(wǎng)關(guān)設(shè)備,在網(wǎng)絡(luò)繁忙時(shí)���,總是會(huì)出現(xiàn)丟包����、延時(shí)�、無(wú)法建立連接等問(wèn)題, 而系統(tǒng)的CPU�����、內(nèi)存等資源利用率并沒(méi)有達(dá)到最大化�,甚至處于非常低的水平。高性能的硬件配置利用率不足��,網(wǎng)關(guān)處理速度無(wú)法隨著硬件性能的提高而大幅度提高���,造成網(wǎng)關(guān)始終是網(wǎng)絡(luò)中的瓶頸?,F(xiàn)有的解決方案大多是采用物理集群的方法�,即利用多臺(tái)物理網(wǎng)關(guān)設(shè)備,通過(guò)負(fù)載均衡技術(shù)將數(shù)據(jù)流分發(fā)到不同的網(wǎng)關(guān)上進(jìn)行處理��。但是這種方案的問(wèn)題在于費(fèi)用昂貴�, 能源消耗大���,維護(hù)管理不方便,同時(shí)在某些網(wǎng)絡(luò)環(huán)境中�����,多個(gè)機(jī)器還存在IP資源缺少的問(wèn)題��。與此同時(shí)�����,隨著虛擬技術(shù)的不斷成熟����,服務(wù)器整合已經(jīng)成為產(chǎn)業(yè)界的一種趨勢(shì)。在一臺(tái)物理機(jī)器上運(yùn)行多個(gè)虛擬機(jī)��,由于不同的虛擬機(jī)有不同的繁忙和空閑時(shí)段��,忙閑交錯(cuò)使得單個(gè)機(jī)器的系統(tǒng)資源利用率可以得到大大提高���。因此在當(dāng)前硬件性能不斷提升�����,成本不斷降低的背景下�����,實(shí)施服務(wù)器虛擬化具有重要的現(xiàn)實(shí)意義�。
發(fā)明內(nèi)容
本發(fā)明提供了一種提升TOB安全網(wǎng)關(guān)并發(fā)性能的方法�。該方法主要解決WEB安全網(wǎng)關(guān)中,由于應(yīng)用層數(shù)據(jù)包處理速度慢���,導(dǎo)致網(wǎng)關(guān)并發(fā)處理能力低下�����,系統(tǒng)硬件資源利用率不高的問(wèn)題�����。本發(fā)明所述方法的技術(shù)方案是在一臺(tái)物理網(wǎng)關(guān)設(shè)備上運(yùn)行宿主主機(jī)系統(tǒng)����,宿主主機(jī)系統(tǒng)中運(yùn)行數(shù)據(jù)分發(fā)組件和多個(gè)虛擬機(jī)�,每個(gè)虛擬機(jī)中運(yùn)行WEB安全檢測(cè)引擎從而構(gòu)成一個(gè)虛擬網(wǎng)關(guān)。多個(gè)虛擬網(wǎng)關(guān)與宿主主機(jī)系統(tǒng)在一臺(tái)物理網(wǎng)關(guān)設(shè)備上構(gòu)成一個(gè)虛擬網(wǎng)關(guān)集群�。物理網(wǎng)關(guān)設(shè)備位于客戶端與被保護(hù)的TOB站點(diǎn)服務(wù)器之間��。宿主主機(jī)系統(tǒng)與虛擬網(wǎng)關(guān)通過(guò)虛擬網(wǎng)絡(luò)進(jìn)行通信�����。宿主主機(jī)系統(tǒng)配置物理網(wǎng)關(guān)實(shí)際所處環(huán)境下的真實(shí)網(wǎng)絡(luò)IP地址�,可以直接與其他設(shè)備通信����。每個(gè)虛擬網(wǎng)關(guān)配置不同的IP 地址,也可以與物理網(wǎng)關(guān)所處網(wǎng)絡(luò)環(huán)境中的設(shè)備通信���。虛擬網(wǎng)絡(luò)可以采用橋接方式建立����,也可以采用地址轉(zhuǎn)換的方式建立���。如果采用橋接方式建立虛擬網(wǎng)絡(luò)���,所有的虛擬網(wǎng)關(guān)都需要配置真實(shí)網(wǎng)絡(luò)中的IP地址。如果采用地址轉(zhuǎn)換方式建立虛擬網(wǎng)絡(luò)�,所有的虛擬網(wǎng)關(guān)相對(duì)于宿主主機(jī)系統(tǒng)而言工作于內(nèi)網(wǎng)環(huán)境下,通過(guò)地址轉(zhuǎn)換后以宿主主機(jī)系統(tǒng)的IP地址與外部網(wǎng)絡(luò)通信,這種情況下虛擬網(wǎng)關(guān)無(wú)需占用真實(shí)網(wǎng)絡(luò)中的IP資源�。虛擬網(wǎng)關(guān)中的TOB安全檢測(cè)引擎通過(guò)套接字接口(Socket)接收數(shù)據(jù)分發(fā)組件轉(zhuǎn)發(fā)的HTTP請(qǐng)求數(shù)據(jù)包,檢測(cè)HTTP數(shù)據(jù)流的安全情況��,同時(shí)它可以主動(dòng)連接WEB站點(diǎn)��,發(fā)送 HTTP請(qǐng)求并獲取響應(yīng)�。虛擬網(wǎng)關(guān)對(duì)于每一個(gè)被保護(hù)的TOB站點(diǎn)的IP地址和端口有唯一一個(gè)監(jiān)聽(tīng)端口���。一
臺(tái)物理網(wǎng)關(guān)設(shè)備上的多個(gè)虛擬網(wǎng)關(guān)對(duì)于同一 WEB站點(diǎn)的IP地址及端口�,采用相同的監(jiān)聽(tīng)端□��。數(shù)據(jù)分發(fā)組件攔截客戶端發(fā)往被保護(hù)WEB站點(diǎn)的HTTP請(qǐng)求數(shù)據(jù)包��。為了保證HTTP 會(huì)話的完整性�,數(shù)據(jù)分發(fā)組件根據(jù)源地址散列(Source Hashing)負(fù)載調(diào)度算法選擇合適的虛擬網(wǎng)關(guān)對(duì)數(shù)據(jù)包進(jìn)行處理。數(shù)據(jù)分發(fā)組件記錄被保護(hù)WEB站點(diǎn)的IP地址��、端口和虛擬網(wǎng)關(guān)上的監(jiān)聽(tīng)端口之間的對(duì)應(yīng)關(guān)系����。數(shù)據(jù)分發(fā)組件不處理虛擬網(wǎng)關(guān)發(fā)往被保護(hù)WEB站的HTTP 請(qǐng)求數(shù)據(jù)包。對(duì)于被保護(hù)TOB站點(diǎn)的HTTP數(shù)據(jù)流的具體處理步驟如下1.數(shù)據(jù)分發(fā)組件攔截客戶端發(fā)往被保護(hù)TOB站點(diǎn)的HTTP請(qǐng)求數(shù)據(jù)包����,根據(jù)源地址散列負(fù)載調(diào)度算法選擇同一物理網(wǎng)關(guān)上的某一虛擬網(wǎng)關(guān)�����,修改數(shù)據(jù)包的目的IP地址與目的端口為該虛擬網(wǎng)關(guān)的IP地址以及監(jiān)聽(tīng)端口����,將數(shù)據(jù)包發(fā)送至該虛擬網(wǎng)關(guān)���;2.虛擬網(wǎng)關(guān)接收到HTTP請(qǐng)求后�����,首先根據(jù)獲取當(dāng)前數(shù)據(jù)包的監(jiān)聽(tīng)端口得到對(duì)應(yīng)的WEB站點(diǎn)的IP地址和端口�����,然后檢查請(qǐng)求中是否存在安全威脅���,如果存在,向客戶端發(fā)出中止響應(yīng)�,中斷本次連接,其中響應(yīng)數(shù)據(jù)包的源IP地址及源端口為WEB站點(diǎn)的IP地址與端口���,如果不存在威脅�,則向?qū)?yīng)的WEB站點(diǎn)發(fā)送相同的HTTP請(qǐng)求,其中源IP地址為虛擬網(wǎng)關(guān)自身的IP地址��;3.虛擬網(wǎng)關(guān)收到WEB站點(diǎn)的HTTP響應(yīng)后��,向客戶端轉(zhuǎn)發(fā)HTTP響應(yīng)���,其中響應(yīng)數(shù)據(jù)包的源IP地址及源端口為WEB站點(diǎn)的IP地址與端口。對(duì)于傳統(tǒng)的TOB安全網(wǎng)關(guān)����,其HTTP數(shù)據(jù)流處理示意圖如圖1所示。所有的數(shù)據(jù)包都由TOB安全網(wǎng)關(guān)中的一個(gè)安全引擎來(lái)分析處理���,因此一個(gè)WEB安全檢測(cè)引擎的處理速度將直接決定整個(gè)網(wǎng)關(guān)的數(shù)據(jù)傳輸速率以及并發(fā)連接數(shù)���,從而影響整個(gè)網(wǎng)絡(luò)的傳輸帶寬及延時(shí)。在本發(fā)明所述技術(shù)方案中����,數(shù)據(jù)流的處理如圖2所示。HTTP數(shù)據(jù)流進(jìn)入網(wǎng)關(guān)后�,由數(shù)據(jù)分發(fā)組件分配到多個(gè)的虛擬網(wǎng)關(guān)中進(jìn)行處理。由于多個(gè)WEB安全檢測(cè)引擎并行工作, 所以網(wǎng)關(guān)的并發(fā)處理能力可以得到有效的提高��,系統(tǒng)資源可以得到充分利用���。同時(shí)���,由于數(shù)據(jù)分發(fā)組件只對(duì)客戶端發(fā)往WEB站點(diǎn)的HTTP請(qǐng)求數(shù)據(jù)包進(jìn)行四層負(fù)載均衡,無(wú)狀態(tài)保持����,無(wú)記憶性,所以可以實(shí)現(xiàn)快速轉(zhuǎn)發(fā)���。
圖1是傳統(tǒng)TOB安全網(wǎng)關(guān)的HTTP數(shù)據(jù)流處理過(guò)程示意圖����。圖2是本發(fā)明所述技術(shù)方案中HTTP數(shù)據(jù)流處理過(guò)程示意圖�����。圖3是實(shí)施本發(fā)明所述方法的WEB安全網(wǎng)關(guān)裝置的整體架構(gòu)圖�����。圖4是實(shí)施本發(fā)明所述方法的WEB安全網(wǎng)關(guān)裝置的HTTP數(shù)據(jù)包處理流程圖。
具體實(shí)施例方式下面通過(guò)附圖并結(jié)合具體的實(shí)例來(lái)詳述本發(fā)明的技術(shù)方案實(shí)施過(guò)程����。本發(fā)明所述技術(shù)方案實(shí)施于WEB安全網(wǎng)關(guān)裝置,該裝置的整體架構(gòu)如圖3所示���。宿主主機(jī)系統(tǒng)中運(yùn)行數(shù)據(jù)分發(fā)組件及配置中心組件����。數(shù)據(jù)分發(fā)組件負(fù)責(zé)攔截并處理客戶端發(fā)往被保護(hù)WEB站的HTTP請(qǐng)求數(shù)據(jù)包���。配置中心組件負(fù)責(zé)對(duì)一個(gè)WEB站點(diǎn)選擇一個(gè)合適的監(jiān)聽(tīng)端口,通過(guò)配置節(jié)點(diǎn)在每個(gè)虛擬網(wǎng)關(guān)中進(jìn)行配置�,同時(shí)將WEB站的IP地址、 端口與監(jiān)聽(tīng)端口之間的對(duì)應(yīng)關(guān)系發(fā)布給數(shù)據(jù)分發(fā)組件�����。虛擬控制器負(fù)責(zé)管理虛擬機(jī)����,構(gòu)建虛擬網(wǎng)絡(luò)。每個(gè)虛擬機(jī)中運(yùn)行TOB安全檢測(cè)引擎及配置節(jié)點(diǎn)���,構(gòu)成虛擬網(wǎng)關(guān)�����。本發(fā)明所述TOB安全網(wǎng)關(guān)裝置對(duì)于HTTP數(shù)據(jù)流的處理流程��,按照?qǐng)D4所示實(shí)例進(jìn)行描述�。該實(shí)例中客戶端IP為192. 168. 1. 2,WEB安全網(wǎng)關(guān)IP為192. 168. 1. 1���,需要保護(hù)的冊(cè)B站點(diǎn)服務(wù)器的IP為192. 168. 1.3��,端口為80����。WEB安全網(wǎng)關(guān)中運(yùn)行三個(gè)虛擬網(wǎng)關(guān)�����。 虛擬網(wǎng)絡(luò)采用地址轉(zhuǎn)換方式建立�,三個(gè)虛擬網(wǎng)關(guān)的工作IP分別為10. 0. 0. 2,10. 0. 0. 3�, 10. 0. 0. 4。虛擬網(wǎng)關(guān)中的TOB安全檢測(cè)引擎都使用監(jiān)聽(tīng)端口 50000來(lái)處理發(fā)往192. 168. 1. 3 的80端口的HTTP請(qǐng)求數(shù)據(jù)包���,并通過(guò)哈希表記錄端口 50000與保護(hù)站點(diǎn)192. 168. 1.3:80 之間的對(duì)應(yīng)關(guān)系�����。數(shù)據(jù)分發(fā)組件也采用哈希表記錄端口 50000與保護(hù)站點(diǎn)192. 168. 1. 3:80之間的
對(duì)應(yīng)關(guān)系����。網(wǎng)關(guān)裝置具體的數(shù)據(jù)流處理過(guò)程如下1.客戶端 192. 168. 1. 2 向 192. 168. 1. 3 的 80 端口發(fā)送 HTTP 請(qǐng)求;2.數(shù)據(jù)分發(fā)組件在宿主主機(jī)中攔截客戶端HTTP請(qǐng)求數(shù)據(jù)包����,獲取數(shù)據(jù)包的目的地址/目的端口 192. 168. 1.3/80,然后從哈希表中獲取虛擬網(wǎng)關(guān)中的安全檢測(cè)引擎的監(jiān)聽(tīng)端口 50000�����。根據(jù)源地址散列負(fù)載調(diào)度算法選擇虛擬網(wǎng)關(guān)2��,修改數(shù)據(jù)包的目的地址/目的端口為10. 0. 0. 3/80���,將數(shù)據(jù)包發(fā)送給該虛擬網(wǎng)關(guān);3.虛擬網(wǎng)關(guān)2中的TOB安全檢測(cè)引擎通過(guò)監(jiān)聽(tīng)端口 50000接收到HTTP請(qǐng)求數(shù)據(jù)包后���,首先由本地端口 50000得到對(duì)應(yīng)的TOB站點(diǎn)的IP地址/端口 192. 168. 1.3/80�����。然后對(duì)請(qǐng)求數(shù)據(jù)包的內(nèi)容進(jìn)行分析��,判斷是否存在安全威脅����,如果存在,向客戶端返回中斷響應(yīng)��,如HTTP協(xié)議404響應(yīng)碼��,以中斷本次連接��,響應(yīng)數(shù)據(jù)包的源地址/源端口設(shè)置為WEB站點(diǎn)的地址/端口 192. 168. 1. 3/80��,如果不存在威脅�����,則復(fù)制客戶端的HTTP請(qǐng)求���,向TOB站
5點(diǎn)192. 168. 1. 3發(fā)送相同的HTTP請(qǐng)求���,請(qǐng)求數(shù)據(jù)包的源地址為10. 0. 0. 3�,同時(shí)記錄(客戶端源IP��,客戶端源端口���,虛擬網(wǎng)關(guān)監(jiān)聽(tīng)端口����,WEB站點(diǎn)IP����,TOB站點(diǎn)端口,虛擬網(wǎng)關(guān)發(fā)送HTTP 請(qǐng)求的源IP���,虛擬網(wǎng)關(guān)發(fā)送HTTP請(qǐng)求的源端口 )這個(gè)七元組��;4.虛擬網(wǎng)關(guān)2的TOB安全檢測(cè)引擎獲取WEB站點(diǎn)的HTTP響應(yīng)���,并根據(jù)響應(yīng)數(shù)據(jù)包的目的IP及目的端口,從七元組中獲得對(duì)應(yīng)的客戶端源IP與客戶端源端口���,這里響應(yīng)數(shù)據(jù)包的目的IP及目的端口就是七元組中虛擬網(wǎng)關(guān)發(fā)送HTTP請(qǐng)求的源IP和源端口 ;5.虛擬網(wǎng)關(guān)2的TOB安全檢測(cè)引擎向客戶端轉(zhuǎn)發(fā)HTTP響應(yīng)����,響應(yīng)數(shù)據(jù)包的源地址 /源端口設(shè)置為WEB站點(diǎn)的地址/端口 192. 168. 1. 3/80���。至此,如果客戶端發(fā)送的HTTP請(qǐng)求沒(méi)有安全威脅�����,則客戶端可以接收到WEB站點(diǎn)正常的HTTP響應(yīng)�����。如果客戶端發(fā)送的HTTP請(qǐng)求存在安全威脅��,則客戶端會(huì)收到中止連接的響應(yīng)���,而WEB站點(diǎn)則不會(huì)接收到該請(qǐng)求�,從而保護(hù)了 WEB站點(diǎn)的安全����。
權(quán)利要求
1.一種提升WEB安全網(wǎng)關(guān)并發(fā)性能的方法,在一臺(tái)物理網(wǎng)關(guān)設(shè)備上運(yùn)行宿主主機(jī)系統(tǒng)���,宿主主機(jī)系統(tǒng)中運(yùn)行數(shù)據(jù)分發(fā)組件和多個(gè)虛擬機(jī)�,每個(gè)虛擬機(jī)中運(yùn)行WEB安全檢測(cè)引擎從而構(gòu)成一個(gè)虛擬網(wǎng)關(guān),客戶端發(fā)往被保護(hù)WEB站點(diǎn)的HTTP數(shù)據(jù)包都經(jīng)由數(shù)據(jù)分發(fā)組件處理�����,步驟如下數(shù)據(jù)分發(fā)組件攔截客戶端發(fā)往被保護(hù)WEB站點(diǎn)的HTTP請(qǐng)求數(shù)據(jù)包����,根據(jù)源地址散列負(fù)載調(diào)度算法選擇同一物理網(wǎng)關(guān)上的某一虛擬網(wǎng)關(guān),修改數(shù)據(jù)包的目的IP地址與目的端口為該虛擬網(wǎng)關(guān)的IP地址以及監(jiān)聽(tīng)端口����,將數(shù)據(jù)包發(fā)送至該虛擬網(wǎng)關(guān);虛擬網(wǎng)關(guān)接收到HTTP請(qǐng)求后��,首先根據(jù)獲取當(dāng)前數(shù)據(jù)包的監(jiān)聽(tīng)端口得到對(duì)應(yīng)的WEB站點(diǎn)的IP地址和端口��,然后檢查請(qǐng)求中是否存在安全威脅���,如果存在���,向客戶端發(fā)出中止響應(yīng),中斷本次連接����,其中響應(yīng)數(shù)據(jù)包的源IP地址及源端口為WEB站點(diǎn)的IP地址與端口,如果不存在威脅�����,則向?qū)?yīng)的WEB站點(diǎn)發(fā)送相同的HTTP請(qǐng)求���,其中源IP地址為虛擬網(wǎng)關(guān)自身的IP地址���;虛擬網(wǎng)關(guān)收到TOB站點(diǎn)的HTTP響應(yīng)后,向客戶端轉(zhuǎn)發(fā)HTTP響應(yīng)����,其中響應(yīng)數(shù)據(jù)包的源 IP地址及源端口為WEB站點(diǎn)的IP地址與端口。
2.如權(quán)利要求1所述的方法��,其特征在于所述方法在一臺(tái)物理網(wǎng)關(guān)設(shè)備上通過(guò)虛擬機(jī)運(yùn)行多個(gè)虛擬網(wǎng)關(guān)����。
3.如權(quán)利要求1所述的方法,其特征在于所述方法中的物理網(wǎng)關(guān)設(shè)備部署于客戶端與 wra站點(diǎn)服務(wù)器之間�����。
4.如權(quán)利要求1所述的方法,其特征在于所述方法中的宿主主機(jī)系統(tǒng)與多個(gè)虛擬網(wǎng)關(guān)之間通過(guò)虛擬網(wǎng)絡(luò)通信��,虛擬網(wǎng)絡(luò)的建立可以采用橋接方式也可以采用地址轉(zhuǎn)換方式���,每個(gè)虛擬網(wǎng)關(guān)配置不同的IP地址���,可以與物理網(wǎng)關(guān)所處網(wǎng)絡(luò)環(huán)境中的設(shè)備通信。
5.如權(quán)利要求1所述的方法���,其特征在于所述方法中的WEB安全檢測(cè)引擎通過(guò)套接字接口接收數(shù)據(jù)分發(fā)組件轉(zhuǎn)發(fā)的HTTP請(qǐng)求數(shù)據(jù)包�����,檢測(cè)HTTP數(shù)據(jù)流的安全情況��,同時(shí)它可以主動(dòng)連接WEB站點(diǎn)�,發(fā)送HTTP請(qǐng)求并獲取響應(yīng)����。
6.如權(quán)利要求1所述的方法,其特征在于所述方法中的虛擬網(wǎng)關(guān)對(duì)于每一個(gè)被保護(hù)的 WEB站點(diǎn)的IP地址和端口有唯一一個(gè)監(jiān)聽(tīng)端口���。
7.如權(quán)利要求1所述的方法�����,其特征在于所述方法中位于一臺(tái)物理網(wǎng)關(guān)設(shè)備上的多個(gè)虛擬網(wǎng)關(guān)對(duì)于同一個(gè)被保護(hù)的WEB站點(diǎn)采用相同的監(jiān)聽(tīng)端口�。
8.如權(quán)利要求1所述的方法,其特征在于所述方法中的數(shù)據(jù)分發(fā)組件攔截客戶端發(fā)往被保護(hù)WEB站點(diǎn)的HTTP請(qǐng)求數(shù)據(jù)包�,不包括虛擬網(wǎng)關(guān)發(fā)往被保護(hù)WEB站點(diǎn)的HTTP請(qǐng)求數(shù)據(jù)包����。
9.如權(quán)利要求1所述的方法,其特征在于所述方法中的數(shù)據(jù)分發(fā)組件根據(jù)源地址散列負(fù)載調(diào)度算法選擇接收數(shù)據(jù)包的虛擬網(wǎng)關(guān)�,以保證HTTP會(huì)話的完整性。
10.如權(quán)利要求1所述的方法����,其特征在于所述方法中的數(shù)據(jù)分發(fā)組件工作在傳輸層, 將發(fā)往被保護(hù)WEB站點(diǎn)的HTTP請(qǐng)求數(shù)據(jù)包的目的IP地址與目的端口修改為所選擇虛擬網(wǎng)關(guān)的IP地址及與該WEB站點(diǎn)對(duì)應(yīng)的監(jiān)聽(tīng)端口���。
全文摘要
本發(fā)明公開(kāi)了一種提升WEB安全網(wǎng)關(guān)并發(fā)性能的方法����。該方法部署在網(wǎng)關(guān)設(shè)備上�,網(wǎng)關(guān)設(shè)備位于客戶端與WEB站點(diǎn)服務(wù)器之間。該方法在一臺(tái)物理網(wǎng)關(guān)上利用虛擬技術(shù)模擬多個(gè)虛擬網(wǎng)關(guān)����,在宿主主機(jī)系統(tǒng)中運(yùn)行數(shù)據(jù)分發(fā)組件����,對(duì)HTTP請(qǐng)求數(shù)據(jù)包進(jìn)行攔截轉(zhuǎn)發(fā)處理�,從而在一臺(tái)物理設(shè)備上實(shí)現(xiàn)一個(gè)虛擬網(wǎng)關(guān)集群。該方法主要解決WEB安全網(wǎng)關(guān)中�����,由于應(yīng)用層數(shù)據(jù)包處理速度慢����,導(dǎo)致網(wǎng)關(guān)并發(fā)處理能力低下,系統(tǒng)硬件資源利用率不高的問(wèn)題�����。
文檔編號(hào)H04L29/08GK102469045SQ20101053317
公開(kāi)日2012年5月23日 申請(qǐng)日期2010年11月5日 優(yōu)先權(quán)日2010年11月5日
發(fā)明者宋勁松, 李佳玥, 楊婧, 翟征德 申請(qǐng)人:中科正陽(yáng)信息安全技術(shù)有限公司