로드 밸런싱 장치는 핵심 어플리케이션의 입구로서 당연히 각종 공격의 표적이 된다. 로드 밸런서가 백엔드 서버를 자체 마비로부터 보호하는 방법은 로드 밸런서가 해결해야 할 문제입니다. 사실, 로드 밸런싱 장치가 탄생한 이후 높은 동시 세션과 새로운 연결율로 방화벽 제품이 부족했습니다. 또한 대부분의 공격 대상 IP 는 로드 밸런싱 장치에 떨어지는 가상 IP(VIP) 입니다. 로드 밸런싱 디바이스는 방화벽을 통해 트래픽을 처리하는 방식보다 이러한 애플리케이션을 보호하는 방법을 더 잘 알고 있으므로 가상 IP 및 백엔드 서버에 정책을 적용하는 데 자연스럽게 적합합니다. 로드 밸런싱 장치 외부에 방화벽을 설치하는 것은 일부 사용자의 기존 관리 이유 때문입니다. 진정한 트래픽 높은 인터넷 어플리케이션의 경우 로드 밸런싱 장치 외부에 방화벽을 배포하는 경우는 거의 없습니다. 다음은 A 10 네트워크의 AX 제품에 대한 다양한 공격 방어 방법입니다. 1. 첫째, 로드 밸런싱 디바이스는 가장 일반적인 SYN Flooding 공격에 대해 널리 사용되는 syn 쿠키 메커니즘을 사용하여 방어합니다. 사용자는 syn 쿠키 성능에 관심이 있습니다. A 10 의 하이엔드 디바이스는 하드웨어 처리 syn-쿠키를 사용하여 최대 50M SYN/Sec 의 DDoS 공격 (약 30M +3 기가비트 포트는 모두 공격 트래픽) 을 방지하고 CPU 에 미치는 영향은 0.2 입니다. ICMP 속도 제한. Smurf 와 같은 대량의 핑 기반 공격의 경우 로드 밸런싱 장치는 초당 처리되는 ICMP 패킷 수를 제한할 수 있습니다. 3. 소스 IP 기반 접속 속도 제한은 TCP 및 UDP 에 적용됩니다. 점점 더 많은 분산 DoS 공격은 효과적인 TCP 연결 또는 UDP 공격입니다. 단일 IP 의 접속 속도가 설정을 초과하면 로드 밸런싱 디바이스는 IP 주소 폐기, 로그 경고 전송, 일정 기간 잠금 등 다양한 조치를 취할 수 있습니다. 4.IP 이상 공격 방어. 육지 공격 및 Ping-of-Death 와 같은 일반적인 공격 유형의 경우 A 10 로드 밸런싱 장치가 이를 감지하고 폐기할 수 있습니다. 5. IP 5 튜플 필터링을 기반으로 한 액세스 제어 목록 (ACL) 은 여기서 더 이상 자세히 설명하지 않습니다. 정책 기반 서버 로드 밸런싱 (PBSLB). A 10 로드 밸런싱 장치는 최대 800 만 개의 호스트 레코드의 흑백 목록을 지원하며 TFTP 서버를 통해 정기적으로 자동 업데이트할 수 있으며 업데이트 중 전환 취약점이 없습니다. 라우터의 ACL 또는 방화벽 정책보다 수십 배 더 많습니다. 목록에 있는 주소의 연결 수를 제한하고, 여러 그룹으로 나누고, 다른 서버 그룹으로 버리거나 전달하도록 선택할 수 있습니다. 이 기능은 A 10 의 다른 공격 방지 기능과 함께 사용하여 흑백 목록을 동적으로 생성할 수 있습니다. 7. 가상 서버/서버 연결 수를 제한합니다. 서버의 기능에 따라 단일 서버 또는 전체 가상 서버에 할당되는 연결 수를 제한합니다. 과도한 연결로 인해 서버가 마비되는 것을 방지합니다. 이 제한은 서버 또는 해당 서비스 포트 중 하나에 적용될 수 있습니다. 8. 가상 서버/서버 연결 속도 제한. 이전에는 동시에 유지할 수 있는 정적 연결 수가 제한되었고, 이는 새 연결의 속도를 제한했습니다. 대량의 짧은 연결 공격이나 돌발 트래픽의 경우 동시 연결 수는 많지 않지만, 대량의 새로운 연결로 인해 서버가 마비될 수도 있습니다. 9.HTTP 동시작업 요청 제한 및 요청 속도 제한. 많은 수의 CC 공격을 감안할 때, CC 공격은 종종 단일 TCP 연결에서 대량의 HTTP 요청을 전송하기 때문에 이러한 접속 및 접속 속도 기반 제한은 무력합니다. A 10 로드 밸런싱 장치는 7 계층 요청 기반 공격 방어와 강력한 흑백 목록 기능을 결합하여 총 동시 접속 수, 새 접속 속도, 동시 요청 수 및 단일 IP 소스의 요청 비율을 제한합니다. 사용자 IP 에 따라 여러 그룹으로 나누어 다양한 매개 변수를 설정할 수 있습니다. DNS 준수 검사. 첫 번째 응용 프로그램인 DNS 에게 공격 방어는 무시할 수 없다. A 10 로드 밸런싱 장치는 위에서 설명한 일반적인 기능 외에도 DNS 패킷의 준수 여부를 확인하고 DNS 프로토콜 표준을 준수하지 않는 형식의 패킷을 필터링하거나 특수 보안 장치로 전달할 수 있습니다. 1 1. 동적 DNS 캐싱 기능. DNS 서버의 용량이 제한되어 있기 때문에 비정상적인 트래픽이 발생할 때 DNS 서버를 보호하고 DNS 서비스를 정상적으로 작동시키는 방법은 사용자가 시급히 해결해야 할 문제입니다. A 10 의 동적 DNS 캐싱 기능은 백엔드 DNS 서버의 기능에 따라 임계값을 설정할 수 있습니다. 도메인 이름에 대한 요청 수가 일정 수에 도달하면 해당 도메인의 캐싱 기능을 동적으로 활성화하여 로드 밸런싱 장치가 DNS 요청에 응답할 수 있습니다. 이 기능의 전제는 로드 밸런싱 장치의 DNS 처리 능력이 충분히 높다는 것이다. A 10 의 엔트리 레벨 64 비트 제품은 1.5 백만 건의 DNS QPS (초당 DNS 요청 수) 를 처리할 수 있습니다. 12. 사용자 정의 스크립트. Tcl 언어 기반 맞춤형 스크립트를 통해 필요에 따라 보다 유연한 보안 정책을 정의할 수 있습니다. 특히 A 10 의 맞춤형 스크립트는 위에서 언급한 최대 800 만 개의 흑백 목록을 호출할 수 있습니다. 각 보안 특성에 대한 간단한 설명일 뿐, 각 보안 기능에는 여러 사용자가 겪는 보안 문제를 해결할 수 있는 상세한 기능이 있습니다. 나중에 몇 가지 기능을 선택하여 자세히 설명하겠습니다.上篇: Samsung S6의 배터리 충전 횟수와 실제 남은 전력을 확인하는 방법下篇: 딱정벌레는 어떻게 키우나요?