基于負載均衡的高級訪問控制系統(tǒng)及方法
【專利摘要】本發(fā)明涉及基于負載均衡的高級訪問控制系統(tǒng)及方法���,該系統(tǒng)是由負載均衡設備硬件、操作系統(tǒng)和系統(tǒng)應用模塊及其內(nèi)含的高級訪問控制模塊等部分組成����。本發(fā)明方法是根據(jù)預先定義高級訪問控制規(guī)則;當收到服務連接的請求后��,將服務數(shù)據(jù)包送至高級訪問控制模塊��;高級訪問控制模塊應用預先定義的高級訪問規(guī)則��,生成該服務數(shù)據(jù)包的高級訪問控制數(shù)據(jù)����,并據(jù)此判斷是否允許該服務連接的訪問。本發(fā)明可靈活地應用于多種網(wǎng)絡服務的訪問控制����,并可在保護交易完整性的基礎上對HTTP的連接數(shù)和連接速度加以限制�����。
【專利說明】基于負載均衡的高級訪問控制系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡應用領(lǐng)域�����,特別涉及一種基于負載均衡的高級訪問控制系統(tǒng)及方法�����。
【背景技術(shù)】
[0002]目前有兩類方式來實現(xiàn)對客戶端的訪問控制���。一類是QoS(Quality ofService服務質(zhì)量),它是網(wǎng)絡的一種安全機制��,是用來解決網(wǎng)絡延遲和阻塞等問題的一種技術(shù)��,QoS一般工作在網(wǎng)絡層�����,是在以整個服務器為上下文的基礎上�,對帶寬、流量做訪問限制。該方式實現(xiàn)的短處顯而易見�,首先,由于其工作在網(wǎng)絡層��,只能對帶寬加以限制�����,而不能限制傳輸層的連接���。其次,它只能對客戶端到整個主機的訪問加以限制��,而在實際負載均衡環(huán)境中���,一臺主機通常提供了多個虛擬服務���,比如有兩個HTTP的虛擬服務,一個FTP的虛擬服務�,一個TCP虛擬服務。這時候���,用戶更多的是想對具體的虛擬服務加以限制����。比如限制HTTP虛擬服務上的客戶端,每個客戶端最多同時擁有5個TCP連接�����,這對QoS來說都難于做到���。
[0003]另一類是TCP連接訪問控制����,該控制工作在傳輸層��,可以實現(xiàn)對某個客戶端IP的可擁有最大并發(fā)連接數(shù)以及新建連接速度給予控制����。基于TCP的訪問控制���,很多防火墻會提供這樣的功能�,比如讓一個客戶端的并發(fā)連接數(shù)不能多于限定值�,或者一個客戶端的新建連接速度不能多于限定值。但這類方式對于提供HTTP服務的主機來說�,很難保證交易的完整性�����,為什么呢���,因為一個HTTP的交易(Transaction)很可能由多個請求和多個響應來構(gòu)成,而這些請求和響應是很可能基于多個連接的基礎上的�����。如果在一個交易內(nèi)的前某些個請求可以被服務�,而其他的請求不能被服務����,那么就很難保證該交易的完整性。從而引起不好的用戶體驗��。
[0004]圖1示例了一般基于QoS或者TCP進行訪問控制的系統(tǒng)結(jié)構(gòu)圖�����,在這里能看到上述兩類訪問控制����,都是工作在操作系統(tǒng)內(nèi)部����,這種系統(tǒng)結(jié)構(gòu)只能以整個系統(tǒng)為目標做連接數(shù)限制�����,同時不了解系統(tǒng)提供的各種系統(tǒng)服務的邏輯�,不能保證HTTP交易的完整性。
【發(fā)明內(nèi)容】
[0005]針對上述已有技術(shù)的不足�,本發(fā)明的目的是提供一種基于負載均衡的高級訪問控制系統(tǒng),該系統(tǒng)在控制TCP連接數(shù)以及新建連接速度的同時��,保證HTTP交易的完整性��。
[0006]本發(fā)明的另一目的是在本發(fā)明系統(tǒng)的基礎上提供一種基于負載均衡的高級訪問控制方法��,該方法在控制TCP連接數(shù)以及新建連接速度的同時����,保證HTTP交易的完整性。
[0007]為實現(xiàn)上述目的�����,本發(fā)明提供一種基于負載均衡的高級訪問控制系統(tǒng)�,它包括負載均衡設備硬件����、操作系統(tǒng)和系統(tǒng)應用模塊��,其中系統(tǒng)應用模塊包含有獨立于操作系統(tǒng)的高級訪問控制模塊���,所述的高級訪問模塊中有預先定義的高級訪問控制規(guī)則���,所述的高級訪問控制模塊用于接收來自操作系統(tǒng)的服務數(shù)據(jù)包,并應用預先定義的高級訪問規(guī)則�����,生成該服務數(shù)據(jù)包的高級訪問控制數(shù)據(jù)���,所述的高級訪問控制模塊據(jù)此判斷是否允許該服務數(shù)據(jù)包的訪問。
[0008]所述的高級訪問控制模塊可以工作在虛擬服務�、全局服務及NAT網(wǎng)絡(網(wǎng)絡地址轉(zhuǎn)換)上。
[0009]在本發(fā)明系統(tǒng)基礎上�,本發(fā)明還提供了一種基于負載均衡的高級訪問控制方法,包括以下步驟:
[0010]步驟一��,搭建系統(tǒng)網(wǎng)絡����,并根據(jù)系統(tǒng)需求在高級訪問模塊中預先定義高級訪問控制規(guī)則�����;
[0011]步驟二���,當操作系統(tǒng)模塊收到來自客戶端的服務連接的請求后,將服務數(shù)據(jù)包送至高級訪問控制模塊�;
[0012]步驟三,高級訪問控制模塊應用上述預先定義的高級訪問規(guī)則��,生成該服務數(shù)據(jù)包的高級訪問控制數(shù)據(jù)�,并據(jù)此判斷是否允許該服務連接的訪問。
[0013]進一步地����,上述定義高級訪問規(guī)則包括以下步驟:
[0014]步驟四,預先定義對用戶范圍的限制規(guī)則���;
[0015]步驟五���,預先定義在并發(fā)連接數(shù)和新建連接速度之間二選一的連接類型限制規(guī)則;
[0016]步驟六��,預先定義逐I P限制和子網(wǎng)限制規(guī)則;
[0017]進一步地�,對于HTTP服務的高級訪問控制,還包括以下步驟:
[0018]步驟七�����,當并發(fā)連接數(shù)和新建連接速度超載時�����,通過解析HTTP交易的完整性標識判斷哪些連接是“基于已有交易的后續(xù)新建連接”���,是則直接通過����,否則被告知拒絕訪問����。
[0019]本發(fā)明系統(tǒng)及方法可靈活地應用于多種網(wǎng)絡服務的高級訪問控制�����,例如��,虛擬服務、全局服務(即所有虛擬服務共享訪問控制規(guī)則限制)以及NAT網(wǎng)絡���。本發(fā)明高級訪問控制系統(tǒng)和方法使得被應用網(wǎng)絡服務可以有能力讓網(wǎng)絡連接數(shù)量和速度可控�,從而保障網(wǎng)絡安全��。對于已有技術(shù)的訪問控制�����,其主要是限制并發(fā)連接數(shù)以及新建連接速度���,而本發(fā)明中提到的高級訪問控制��,除了能完成上述基本功能外�,更注重強調(diào)對HTTP服務的訪問控制���,因為基于HTTP服務的特殊性�����,直接用特定的TCP規(guī)則限制其并發(fā)連接數(shù)和新建連接速度是過于魯莽的��。本發(fā)明是在保護交易完整性的基礎上對HTTP的連接數(shù)和連接速度加以限制�����。
【專利附圖】
【附圖說明】
[0020]圖1是已有技術(shù)基于負載均衡網(wǎng)絡訪問控制的系統(tǒng)結(jié)構(gòu)圖�����;
[0021]圖2是本發(fā)明基于負載均衡的高級訪問控制系統(tǒng)結(jié)構(gòu)圖�;
[0022]圖3是本發(fā)明高級訪問控制模塊工作流程第一實施例示意圖;
[0023]圖4是本發(fā)明高級訪問控制模塊工作流程第二實施例示意圖�����;
[0024]圖5是本發(fā)明系統(tǒng)及方法在某項目中應用的網(wǎng)絡結(jié)構(gòu)示意圖�����。
【具體實施方式】
[0025]在以下的闡述中��,為了使讀者更好地理解本申請而提出了許多技術(shù)細節(jié)��。但是��,本領(lǐng)域的普通技術(shù)人員可以理解���,即使沒有這些技術(shù)細節(jié)和基于以下各實施方式的種種變化和修改����,也可以實現(xiàn)本申請各權(quán)利要求所要求保護的技術(shù)方案���。
[0026]為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點更加清楚����,下面將結(jié)合附圖對本發(fā)明的實施方式作進一步地詳細描述。
[0027]如圖2所示�����,本發(fā)明提供一種基于負載均衡的高級訪問控制系統(tǒng)����,它包括負載均衡設備硬件101、操作系統(tǒng)102和系統(tǒng)應用模塊103����,其中系統(tǒng)應用模塊103包含有獨立于操作系統(tǒng)的高級訪問控制模塊201,所述的高級訪問模塊201中有預先定義的高級訪問控制規(guī)則,所述的高級訪問控制模塊用于接收來自操作系統(tǒng)的服務數(shù)據(jù)包����,并應用預先定義的高級訪問規(guī)則,生成該服務數(shù)據(jù)包的高級訪問控制數(shù)據(jù)301�����、302和303等�,所述的高級訪問控制模塊根據(jù)高級訪問控制數(shù)據(jù)301、302和303等判斷是否允許該服務數(shù)據(jù)包與后臺服務器401����、402、403等連接訪問����。本發(fā)明系統(tǒng)的工作原理是,當操作系統(tǒng)收到來自客戶端的服務數(shù)據(jù)包后����,并不馬上交由對應的服務器來為客戶端提供服務,而是先交由高級訪問控制模塊來判斷是否可以為當前客戶端提供服務���,若是���,則交給對應的服務處理��,否,則拒絕為該客戶端提供服務�����。通常判斷的準則有下面幾個:
[0028]a.該客戶端IP在目標服務上擁有的連接數(shù)是否超過上限�����;
[0029]b.該客戶端IP在目標服務上的新建連接的速度是否超過上限��;
[0030]c.該客戶端I P所在子網(wǎng)在目標服務上擁有的連接數(shù)是否超過上限��;
[0031]d.該客戶端IP所在子網(wǎng)在目標服務上的新建連接的速度是否超過上限
[0032]e.該客戶端IP在整個服務器上擁有的連接數(shù)是否超過上限���;
[0033]f.該客戶端IP在整個服務器上新建連接的速度是否超過上限��;
[0034]g.該客戶端IP所在子網(wǎng)在整個服務器上擁有的連接數(shù)是否超過上限����;
[0035]h.該客戶端IP所在子網(wǎng)在整個服務器上的新建連接速度是否超過上限�����。
[0036]圖2中高級訪問控制模塊201是獨立于操作系統(tǒng)的,高級訪問模塊201中有預先定義的高級訪問控制規(guī)則�,例如,一個用于負載均衡的虛擬服務�����,需要設定高級訪問控制���,且在系統(tǒng)搭建時�����,在高級訪問模塊中已預先定義了相應的高級訪問規(guī)則�����,那么當一個連接到來的時候�,高級訪問控制模塊首先從操作系統(tǒng)獲知訪問哪個虛擬服務��,然后所述高級訪問模塊將應用預先定義的高級訪問規(guī)則生成該虛擬服務的高級訪問控制數(shù)據(jù)�����,比如標識新建連接的速度限制是多少,并發(fā)的連接數(shù)限制是多少���,當前狀態(tài)如何等等���,最后根據(jù)高級訪問控制數(shù)據(jù)記錄的當前的狀態(tài)來判斷是否允許該連接的訪問。
[0037]在本發(fā)明系統(tǒng)基礎上�,本發(fā)明提供一種基于負載均衡的高級訪問控制方法���,包括以下步驟:
[0038]步驟一��,搭建系統(tǒng)網(wǎng)絡�,并根據(jù)系統(tǒng)需求在高級訪問模塊中預先定義高級訪問控制規(guī)則���。進一步地�����,所述的預先定義高級訪問控制規(guī)則��,規(guī)則里面通常包含三個限制要素:
a.限制范圍��,即哪些網(wǎng)段的客戶端需要限制����,也可通過設置白名單或黑名單進行限制;
b.限制類型�,在限制并發(fā)連接數(shù)和新建連接速度之間二選一;c.限制方式���,第一種方式是逐I P限制���,也就是每個在限制范圍提到的網(wǎng)段內(nèi)的所有I P都要遵循限制類型的限制,第二種方式是子網(wǎng)限制��,也就是在限制范圍提到的子網(wǎng)內(nèi)的所有客戶端的總的并發(fā)連接數(shù)和總的新建連接速度不能超過限制類型的限制���。這樣��,通過規(guī)則的不同組合實現(xiàn)不同的目標訪問鏈接��。
[0039]步驟二���,當操作系統(tǒng)模塊收到來自客戶端的服務連接的請求后,將服務數(shù)據(jù)包送至高級訪問控制模塊����;
[0040]步驟三����,高級訪問控制模塊收到操作系統(tǒng)發(fā)過來的服務數(shù)據(jù)包���,首先將上述預先定義的高級訪問規(guī)則應用到所接收的不同服務數(shù)據(jù)包中去��,使得每一個服務數(shù)據(jù)包根據(jù)訪問規(guī)則生成該服務數(shù)據(jù)包的一組高級訪問控制數(shù)據(jù)��,然后根據(jù)每一個服務的高級訪問控制數(shù)據(jù)判斷是否允許該服務連接的訪問���。
[0041]上面所述是基本的高級訪問控制的步驟��,例如����,TCP服務、FTP服務等均可在基于負載均衡的高級訪問控制系統(tǒng)中通過虛擬服務采用如上的步驟實現(xiàn)高級訪問控制���,達到限制并發(fā)連接數(shù)以及新建連接速度的預定值�����。上述高級訪問控制不僅可以應用在虛擬服務中����,也可應用在全局服務,即所有虛擬服務共享訪問控制規(guī)則限制以及NAT網(wǎng)絡等應用目標中��。例如��,使用Array系列負載均衡設備�,如圖3所示,高級訪問控制模塊收到操作系統(tǒng)發(fā)過來的服務數(shù)據(jù)包501并生成該服務數(shù)據(jù)包的一組高級訪問控制數(shù)據(jù)后�����,可根據(jù)上述步驟一中預先定義的高級訪問規(guī)則以及應用目標進行綜合判斷��,比如將預先擬定客戶白名單502�、目標服務是否拒絕503、全局服務是否拒絕504等步驟順序判斷�,每個服務應滿足條件之一,這樣便實現(xiàn)多種應用目標的高級訪問控制�。
[0042]除上述外,在實際應用中�����,我們經(jīng)常會遇到對于HTTP這類特殊服務請求的處理。前面已經(jīng)提到過�,HTTP的一個完整的交易(Transaction)可能需要多個請求以及多個響應完成,而這些個請求與響應基本上是跨多個連接來完成的�����。在繁忙的網(wǎng)絡環(huán)境中��,如果高級訪問規(guī)則允許HTTP的一個服務交易的前幾個連接通過���,而拒絕了該服務交易的后續(xù)連接請求���,則會破壞服務的完整性,從而大大的降低了用戶體檢��。這對于現(xiàn)代的電子商務�����,電子政務以及其他任何應用都是不能容忍的����。所以對基于HTTP類型的服務要提供更進一步地高級訪問控制步驟�����。
[0043]如圖4所示,展示了當并發(fā)連接數(shù)和新建連接速度超載時�����,一個HTTP連接請求到來時的判斷過程�����。當并發(fā)連接數(shù)和新建連接速度不超載的時候可以直接通過����,但如果超載,先暫時允許通過����,如圖4中步驟508,然后通過HTTP解析模塊判斷該服務連接是否有交易的完整性標識509再決定是否拒絕�,因為通過HTTP解析模塊后我們能獲得HTTP請求中的HEADER (請求頭)以及COOKIE (網(wǎng)站為了辨別用戶身份而儲存在用戶本地終端上的數(shù)據(jù))。根據(jù)用戶的配置��,高級訪問控制可以靈活的決定哪些連接屬于“純新建連接”����,哪些連接屬于“基于已有交易的后續(xù)新建連接”�,后者則直接通過505�,此后結(jié)束流程507,前者則被告知拒絕訪問506���,此后結(jié)束流程507���。
[0044]所以高級訪問控制對于HTTP應用來說,有一個延后的過程�����,不能在建立連接的時候發(fā)現(xiàn)是否已經(jīng)過載�,這時候必須標識為通過或者假通過(當前已經(jīng)過載,但由于是HTTP�,所以假通過),推遲到具體做HTTP請求解析的時候�,就可以知道這個連接請求是否為已有交易的一個部分,如果不是�,且前面標識的是假通過,那么這時需要告知客戶端�����,暫時因為過載而不能提供服務�����。
[0045]在實際的應用中��,大多是通過HTTP請求頭中的cookie字段的值來標識一個交易�。例如,用戶可以通過Array系統(tǒng)的客戶端來對特定的HTTP虛擬服務進行配置���,比如可以指定,在cookie中�����,如果有sessionid這個域,那么這個連接可以認為是已有交易的一部分����,直接通過��。而如果一個連接屬于新的交易是不會有sessionid這個字段的����,則會被拒絕服務。
[0046]如上概括起來就是對于HTTP服務的高級訪問控制���,是在完成上述基本步驟的基礎上��,當并發(fā)連接數(shù)和新建連接速度超載時����,通過解析HTTP服務交易的完整性標識判斷哪些連接是“基于已有交易的后續(xù)新建連接”,是則直接通過��,否則被告知拒絕訪問�。
[0047]現(xiàn)以某單位基于負載均衡的高級訪問控制系統(tǒng)項目為例,說明本發(fā)明的實施過程���。如圖5所示為該項目的網(wǎng)絡結(jié)構(gòu)圖��,該項目已有條件是=Internet 601,虛擬服務602的IP地址是220.57.54.88��,有三個HTTP服務器604��、605����、606�����,服務器的IP分別是10.3.1.20,10.3.1.21和10.3.1.22����,基于負載均衡的高級訪問控制系統(tǒng)603,其I P是
10.301.10��,使用Array APV 8600設備實現(xiàn)�。該項目的需求如下:
[0048]a.實現(xiàn)到這個三個HTTP服務器的請求負載均衡;
[0049]b.所有客戶端的擁有的并發(fā)連接數(shù)不能超過10;
[0050]c.所有客戶端新建連接的速度不能超過5;
[0051]d.已經(jīng)訪問過的客戶端不能因為過載原因被拒絕服務���。
[0052]首先可以定義HTTP的虛擬服務�����,下面涉及到的命令是在Array APV 8600設備操作系統(tǒng)里運行的�。
[0053]定義一個虛擬服務�,該虛擬服務類型為HTTP類型,IP地址是220.57.54.88��,端口是80���。
[0054]sib virtual http httpvs 220.57.54.88 80
[0055]定義三個真實服務����,類型都為http�,IP分別為:
[0056]10.3.1.20����,
[0057]10.3.1.21��,
[0058]10.3.1.22��,
[0059]端口均為80 (由于是標準端口�����,可以略去不寫)
[0060]sib real http httprl 10.3.1.20
[0061]sib real http httpr2 10.3.1.21
[0062]sib real http httpr3 10.3.1.22
[0063]定義一個真實服務組�,組是真實服務的集合,一般來講到一個組的服務請求會均勻的分配到該組內(nèi)的所有真實服務上去�。方法是ic (insert cookie)這樣一個交易里后續(xù)所有請求都會帶有Array APV 8600設備產(chǎn)生的cookie。且cookie里記錄了本次為該請求服務的真實服務的標識�。下次帶相同cookie值的請求會被分配到想到的真實服務上去。
[0064]sib group method httpgl ic
[0065]把真實服務加入到剛剛建立的組內(nèi)��。這時該組內(nèi)有三個真實服務���。
[0066]sib group member httpgl httprl
[0067]sib group member httpgl httpr2
[0068]sib group member httpgl httpr3
[0069]使用策略關(guān)聯(lián)虛擬服務和服務組�,Array的負載均衡設備提供了很多負載均衡的策略�����,虛擬服務根據(jù)不同的策略把請求分配給不同的服務組。這里為了和前面提到的ic方法配置���,策略需要使用icookie。當指定的cookie名字出現(xiàn)后��,則交給前面定義的服務組處理����。同時定義一個default (默認)策略,這樣第一次來訪問的都會通過default策略交給服務組,之后的訪問會通過icookie策略��。
[0070]sib policy icookie ic-policy httpvs httpgl I
[0071]sib policy default httpvs httpgl[0072]基礎虛擬服務已經(jīng)搭建好了����,下面開始設置高級訪問控制。首先定義兩個高級訪問規(guī)則�����,rulel是規(guī)則的名字���,限制范圍是全網(wǎng)(0.0.0.0/0.0.0.0)���,類型為逐IP限制�,最大并發(fā)連接數(shù)10個�����。rule2也是全網(wǎng)限制���,每個IP最大連接速度是每秒5個�����。
[0073]acl rule rulel 0.0.0.00.0.0.0 per—ip concurrent 10
[0074]acl rule rule2 0.0.0.00.0.0.0 per—ip cps 5
[0075]但這只是定義了高級訪問規(guī)則��,并沒有生效�,如果想生效����,則執(zhí)行下面的CU (command-line interface,命令行界面),把這兩個高級訪問規(guī)則應用到虛擬服務httpvs 上去�。
[0076]acl apply rule virtual rulelhttpvs
[0077]acl apply rule virtual rule2httpvs
[0078]至此,就完成了用戶的所有需求�����。對HTTP能特殊處理是由于i cook i e的策略和ic這種方法的配合使用。由于cookie是APV設備插入的,所以下次請求到來的時候,能分辨出該客戶端已經(jīng)訪問過��,所以能據(jù)此做出接受或者拒絕服務的決定�。
[0079]雖然通過參照本發(fā)明的某些優(yōu)選實施方式,已經(jīng)對本發(fā)明進行了圖示和描述��,但本領(lǐng)域的普通技術(shù)人員應該明白�,可以在形式上和細節(jié)上對其作各種改變,而不偏離本發(fā)明的精神和范圍����。
【權(quán)利要求】
1.一種基于負載均衡的高級訪問控制系統(tǒng)�,它包括負載均衡設備硬件、操作系統(tǒng)和系統(tǒng)應用模塊�,其特征是系統(tǒng)應用模塊包含有獨立于操作系統(tǒng)的高級訪問控制模塊,所述的高級訪問模塊中有預先定義的高級訪問控制規(guī)則���,所述的高級訪問控制模塊用于接收來自操作系統(tǒng)的服務數(shù)據(jù)包���,并應用預先定義的高級訪問規(guī)則,生成該服務數(shù)據(jù)包的高級訪問控制數(shù)據(jù)��,所述的高級訪問控制模塊據(jù)此判斷是否允許該服務數(shù)據(jù)包的訪問���。
2.一種基于負載均衡的高級訪問控制方法����,包括以下步驟: 步驟一,搭建系統(tǒng)網(wǎng)絡��,并根據(jù)系統(tǒng)需求在高級訪問模塊中預先定義高級訪問控制規(guī)則����; 步驟二,當操作系統(tǒng)模塊收到來自客戶端的服務連接的請求后���,將服務數(shù)據(jù)包送至高級訪問控制模塊��; 步驟三�,高級訪問控制模塊應用上述預先定義的高級訪問規(guī)則�,生成該服務數(shù)據(jù)包的高級訪問控制數(shù)據(jù),并據(jù)此判斷是否允許該服務連接的訪問�����。
3.根據(jù)權(quán)利要求2所述的一種基于負載均衡的高級訪問控制方法����,其特征在于����,上述步驟一中預先定義高級訪問規(guī)則包括以下步驟: 步驟四���,預先定義對用戶范圍的限制規(guī)則�����,包括設置白名單的步驟�。
4.根據(jù)權(quán)利要求2所述的一種基于負載均衡的高級訪問控制方法�����,其特征在于�����,上述預先定義高級訪問規(guī)則還包括: 步驟五��,預先定義在并發(fā)連接數(shù)和新建連接速度之間二選一的限制規(guī)則�����。
5.根據(jù)權(quán)利要求2所述的一種基于負載均衡的高級訪問控制方法����,其特征在于,上述預先定義高級訪問規(guī)則還包括: 步驟六��,預先定義逐IP限制與子網(wǎng)限制的規(guī)則�。
6.根據(jù)權(quán)利要求2所述的一種基于負載均衡的高級訪問控制方法,其特征在于����,對于HTTP服務的高級訪問控制,還包括以下步驟: 步驟七��,當并發(fā)連接數(shù)和新建連接速度超載時��,高級訪問控制模塊通過解析HTTP交易的完整性標識判斷哪些連接是“基于已有交易的后續(xù)新建連接”�����,是則直接通過�����,否則被告知拒絕訪問���。
【文檔編號】H04L29/08GK103685329SQ201210317104
【公開日】2014年3月26日 申請日期:2012年8月30日 優(yōu)先權(quán)日:2012年8月30日
【發(fā)明者】周清志, 貝少鋒, 張俊政 申請人:華耀(中國)科技有限公司