本发明专利技术涉及基于负载均衡的高级访问控制系统及方法,该系统是由负载均衡设备硬件、操作系统和系统应用模块及其内含的高级访问控制模块等部分组成。本发明专利技术方法是根据预先定义高级访问控制规则;当收到服务连接的请求后,将服务数据包送至高级访问控制模块;高级访问控制模块应用预先定义的高级访问规则,生成该服务数据包的高级访问控制数据,并据此判断是否允许该服务连接的访问。本发明专利技术可灵活地应用于多种网络服务的访问控制,并可在保护交易完整性的基础上对HTTP的连接数和连接速度加以限制。
【技术实现步骤摘要】
基于负载均衡的高级访问控制系统及方法
本专利技术涉及网络应用领域,特别涉及一种基于负载均衡的高级访问控制系统及方法。
技术介绍
目前有两类方式来实现对客户端的访问控制。一类是QoS(QualityofService服务质量),它是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术,QoS一般工作在网络层,是在以整个服务器为上下文的基础上,对带宽、流量做访问限制。该方式实现的短处显而易见,首先,由于其工作在网络层,只能对带宽加以限制,而不能限制传输层的连接。其次,它只能对客户端到整个主机的访问加以限制,而在实际负载均衡环境中,一台主机通常提供了多个虚拟服务,比如有两个HTTP的虚拟服务,一个FTP的虚拟服务,一个TCP虚拟服务。这时候,用户更多的是想对具体的虚拟服务加以限制。比如限制HTTP虚拟服务上的客户端,每个客户端最多同时拥有5个TCP连接,这对QoS来说都难于做到。另一类是TCP连接访问控制,该控制工作在传输层,可以实现对某个客户端IP的可拥有最大并发连接数以及新建连接速度给予控制。基于TCP的访问控制,很多防火墙会提供这样的功能,比如让一个客户端的并发连接数不能多于限定值,或者一个客户端的新建连接速度不能多于限定值。但这类方式对于提供HTTP服务的主机来说,很难保证交易的完整性,为什么呢,因为一个HTTP的交易(Transaction)很可能由多个请求和多个响应来构成,而这些请求和响应是很可能基于多个连接的基础上的。如果在一个交易内的前某些个请求可以被服务,而其他的请求不能被服务,那么就很难保证该交易的完整性。从而引起不好的用户体验。图1示例了一般基于QoS或者TCP进行访问控制的系统结构图,在这里能看到上述两类访问控制,都是工作在操作系统内部,这种系统结构只能以整个系统为目标做连接数限制,同时不了解系统提供的各种系统服务的逻辑,不能保证HTTP交易的完整性。
技术实现思路
针对上述已有技术的不足,本专利技术的目的是提供一种基于负载均衡的高级访问控制系统,该系统在控制TCP连接数以及新建连接速度的同时,保证HTTP交易的完整性。本专利技术的另一目的是在本专利技术系统的基础上提供一种基于负载均衡的高级访问控制方法,该方法在控制TCP连接数以及新建连接速度的同时,保证HTTP交易的完整性。为实现上述目的,本专利技术提供一种基于负载均衡的高级访问控制系统,它包括负载均衡设备硬件、操作系统和系统应用模块,其中系统应用模块包含有独立于操作系统的高级访问控制模块,所述的高级访问模块中有预先定义的高级访问控制规则,所述的高级访问控制模块用于接收来自操作系统的服务数据包,并应用预先定义的高级访问规则,生成该服务数据包的高级访问控制数据,所述的高级访问控制模块据此判断是否允许该服务数据包的访问。所述的高级访问控制模块可以工作在虚拟服务、全局服务及NAT网络(网络地址转换)上。在本专利技术系统基础上,本专利技术还提供了一种基于负载均衡的高级访问控制方法,包括以下步骤:步骤一,搭建系统网络,并根据系统需求在高级访问模块中预先定义高级访问控制规则;步骤二,当操作系统模块收到来自客户端的服务连接的请求后,将服务数据包送至高级访问控制模块;步骤三,高级访问控制模块应用上述预先定义的高级访问规则,生成该服务数据包的高级访问控制数据,并据此判断是否允许该服务连接的访问。进一步地,上述定义高级访问规则包括以下步骤:步骤四,预先定义对用户范围的限制规则;步骤五,预先定义在并发连接数和新建连接速度之间二选一的连接类型限制规则;步骤六,预先定义逐IP限制和子网限制规则;进一步地,对于HTTP服务的高级访问控制,还包括以下步骤:步骤七,当并发连接数和新建连接速度超载时,通过解析HTTP交易的完整性标识判断哪些连接是“基于已有交易的后续新建连接”,是则直接通过,否则被告知拒绝访问。本专利技术系统及方法可灵活地应用于多种网络服务的高级访问控制,例如,虚拟服务、全局服务(即所有虚拟服务共享访问控制规则限制)以及NAT网络。本专利技术高级访问控制系统和方法使得被应用网络服务可以有能力让网络连接数量和速度可控,从而保障网络安全。对于已有技术的访问控制,其主要是限制并发连接数以及新建连接速度,而本专利技术中提到的高级访问控制,除了能完成上述基本功能外,更注重强调对HTTP服务的访问控制,因为基于HTTP服务的特殊性,直接用特定的TCP规则限制其并发连接数和新建连接速度是过于鲁莽的。本专利技术是在保护交易完整性的基础上对HTTP的连接数和连接速度加以限制。附图说明图1是已有技术基于负载均衡网络访问控制的系统结构图;图2是本专利技术基于负载均衡的高级访问控制系统结构图;图3是本专利技术高级访问控制模块工作流程第一实施例示意图;图4是本专利技术高级访问控制模块工作流程第二实施例示意图;图5是本专利技术系统及方法在某项目中应用的网络结构示意图。具体实施方式在以下的阐述中,为了使读者更好地理解本申请而提出了许多技术细节。但是,本领域的普通技术人员可以理解,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请各权利要求所要求保护的技术方案。为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术的实施方式作进一步地详细描述。如图2所示,本专利技术提供一种基于负载均衡的高级访问控制系统,它包括负载均衡设备硬件101、操作系统102和系统应用模块103,其中系统应用模块103包含有独立于操作系统的高级访问控制模块201,所述的高级访问模块201中有预先定义的高级访问控制规则,所述的高级访问控制模块用于接收来自操作系统的服务数据包,并应用预先定义的高级访问规则,生成该服务数据包的高级访问控制数据301、302和303等,所述的高级访问控制模块根据高级访问控制数据301、302和303等判断是否允许该服务数据包与后台服务器401、402、403等连接访问。本专利技术系统的工作原理是,当操作系统收到来自客户端的服务数据包后,并不马上交由对应的服务器来为客户端提供服务,而是先交由高级访问控制模块来判断是否可以为当前客户端提供服务,若是,则交给对应的服务处理,否,则拒绝为该客户端提供服务。通常判断的准则有下面几个:a.该客户端IP在目标服务上拥有的连接数是否超过上限;b.该客户端IP在目标服务上的新建连接的速度是否超过上限;c.该客户端IP所在子网在目标服务上拥有的连接数是否超过上限;d.该客户端IP所在子网在目标服务上的新建连接的速度是否超过上限e.该客户端IP在整个服务器上拥有的连接数是否超过上限;f.该客户端IP在整个服务器上新建连接的速度是否超过上限;g.该客户端IP所在子网在整个服务器上拥有的连接数是否超过上限;h.该客户端IP所在子网在整个服务器上的新建连接速度是否超过上限。图2中高级访问控制模块201是独立于操作系统的,高级访问模块201中有预先定义的高级访问控制规则,例如,一个用于负载均衡的虚拟服务,需要设定高级访问控制,且在系统搭建时,在高级访问模块中已预先定义了相应的高级访问规则,那么当一个连接到来的时候,高级访问控制模块首先从操作系统获知访问哪个虚拟服务,然后所述高级访问模块将应用预先定义的高级访问规则生成该虚拟服务的高级访问控制数据,比如标识新建连接的速度限制是多少本文档来自技高网...
【技术保护点】
一种基于负载均衡的高级访问控制系统,它包括负载均衡设备硬件、操作系统和系统应用模块,其特征是系统应用模块包含有独立于操作系统的高级访问控制模块,所述的高级访问模块中有预先定义的高级访问控制规则,所述的高级访问控制模块用于接收来自操作系统的服务数据包,并应用预先定义的高级访问规则,生成该服务数据包的高级访问控制数据,所述的高级访问控制模块据此判断是否允许该服务数据包的访问。
【技术特征摘要】
1.一种基于负载均衡的高级访问控制系统,它包括负载均衡设备硬件、操作系统和系统应用模块,其中系统应用模块包含有独立于操作系统的高级访问控制模块,所述的高级访问控制模块中有预先定义的高级访问控制规则,其特征是所述的高级访问控制模块工作在虚拟服务、全局服务及NAT网络上,用于接收来自操作系统的服务数据包,预先定义在并发连接数和新建连接速度之间二选一的限制规则,并根据高级访问控制数据记录的当前的状态来判断是否允许该连接的访问。2.一种基于负载均衡的高级访问控制方法,适用虚拟服务共享访问控制规则限制以及NAT网络,包括以下步骤:步骤一,搭建系统网络,并根据系统需求在高级访问控制模块中预先定义高级访问控制规则;步骤二,当操作系统模块收到来自客户端的服务连接的请求后,将服务数据包送至高级访问控制模块;步骤三,高级...
【专利技术属性】
技术研发人员:周清志,贝少锋,张俊政,
申请(专利权)人:华耀中国科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。