[发明专利]应用于网络隔离区的负载均衡方法和系统

说明书

本公开提供了一种应用于网络隔离区的负载均衡系统。所述系统包括接入层、安全层以及功能层。所述接入层用于接收到达所述网络隔离区的访问数据流，并将所述访问数据流分发给所述安全层，以对所述安全层中的设备进行负载均衡；所述安全层用于对所述访问数据流进行安全检查，并将通过安全检查的数据流转发给所述功能层；以及所述功能层用于将接收到的所述通过安全检查的数据流分发给后台服务器，以对所述后台服务器进行负载均衡。本公开还提供了一种应用于网络隔离区的负载均衡方法。

技术领域

本公开涉及互联网技术领域，更具体地，涉及一种应用于网络隔离区的负载均衡方法和系统。

背景技术

网络隔离区(DMZ，demilitarized zone)是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。来自外网的访问流量需要经过该网络隔离区之后才能达到后台真实服务器，从而可以更加有效地保护内部网络，对来自外网的攻击者来说又多了一道关卡。

相关技术中，网络隔离区通常采用单层主备模式来实现负载均衡架构，尤其是当在网络隔离区中部署诸如web应用防护系统(WAF，web application Firewall)等安全层设备后，网络隔离区带来的流量翻倍或业务增长引起的流量增加会全部叠加到单层负载均衡设备上。例如，首先来自外网的访问流量先经过单层负载均衡设备接入网络隔离区，然后该单层负载均衡设备将该访问流量分发给安全层设备进行安检检查，接着安全层设备将通过安全检查的访问流量又转发回该单层负载均衡设备，最后再由该单层负载均衡设备分发给后台真实的服务器。这个过程中，该单层负载均衡设备收发的流量包括来自外网的访问流量、分发给安全层设备的访问流量、安全层设备反馈的通过安全检查的访问流量、以及分发给后台真实服务器的访问流量四部分。该四部分流量会导致网络隔离区的流量翻倍。而且，网络隔离区采用单层主备模式来实现负载均衡架构时，性能上限就是单台负载均衡设备性能容量的上限，性能扩容时必须更换设备硬件。

发明内容

有鉴于此，本公开提供了一种对网络隔离区的负载均衡进行功能性分层的负载均衡系统和负载均衡方法。

本公开的一个方面，提供了一种应用于网络隔离区的负载均衡系统，其中，所述系统包括接入层、安全层以及功能层。所述接入层用于接收到达所述网络隔离区的访问数据流，并将所述访问数据流分发给所述安全层，以对所述安全层中的设备进行负载均衡。所述安全层用于对所述访问数据流进行安全检查，并将通过安全检查的数据流转发给所述功能层。所述功能层用于将接收到的所述通过安全检查的数据流分发给后台服务器，以对所述后台服务器进行负载均衡。

根据本公开的实施例，所述系统还包括交换机。所述交换机用于：将所述接入层和所述安全层进行二层网络互联；将所述安全层和所述功能层进行二层网络互联；以及将所述功能层和所述后台服务器通过三层网络和路由转发互联。

根据本公开的实施例，所述交换机还用于：将所述接入层和所述功能层进行二层网络互联，以在所述安全层故障时使得所述接入层将接收到的访问数据流转发给所述功能层。

根据本公开的实施例，所述功能层包括多个功能层负载均衡设备，所述多个功能层负载均衡设备被设置为以集群模式运行。

根据本公开的实施例，所述功能层被设置为对应于包括所述网络隔离区在内的多个网络隔离区，用于接收由与所述多个网络隔离区分别对应的多个安全层转发而来的数据流。

根据本公开的实施例，所述功能层还用于：当所述多个功能层负载均衡设备中的第一功能层负载均衡设备接收到的数据流超过所述第一功能层负载均衡设备的流量阈值时，将所述功能层接收到的数据流按照访问的web应用的不同进行拆分；以及将拆分后的数据流的至少一部分切换至所述多个功能层负载均衡设备中的至少一个其他功能层负载均衡设备。其中，所述第一功能层负载均衡设备为所述多个功能层负载均衡设备中的任意一个，所述其他功能层负载均衡设备为述多个功能层负载均衡设备中除所述第一功能层负载均衡设备之外的任意一个。