评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
如何为七层负载均衡开放安全策略
七层负载均衡在四层负载均衡的基础上,增加了应用层特征的判断,可以根据应用层特征来选择实服务器,如URL、Host等。在七层负载分担场景中,每个客户端的访问都会在防火墙上建立两个会话。
- 左侧会话:客户端访问虚服务器的会话,需要开放安全策略。安全策略的目的安全区域为实服务器所在的安全区域,目的IP地址为虚服务器地址。
- 右侧会话:客户端访问实服务器的会话,不检查安全策略,直接转发。因此不需要配置安全策略。
表11-2 安全策略示例-七层负载均衡
序号 |
名称 |
源安全区域 |
目的安全区域 |
源地址/地区 |
目的地址/地区 |
服务 |
动作 |
|---|---|---|---|---|---|---|---|
101 |
Allow L7 SLB |
untrust |
dmz |
any |
203.0.113.1/32 |
http |
permit |
102 |
Allow health check |
local |
dmz |
10.1.1.1/32 |
10.10.1.1-10.10.1.3 |
ICMP1 |
permit |
1:为防止业务被分配到不能正常工作的服务器上,需要启用服务健康检查,并为探测报文开放安全策略。此处以ICMP为例,详细说明请参考如何为服务健康检查开放安全策略。 |
|||||||
