梭子鱼安全负载均衡机一般采用下边两种部署方式:

路由模式（推荐）

——这种模式部署灵活，约60%的用户采用这种方式部署 路由模式的部署方式如上图。服务器的网关必须设置成梭子鱼负载均衡机的LAN口地址，且与WAN口分署不同的逻辑网络。因此所有返回的流量也都经过梭子鱼。这种方式对网络的改动小，能均衡任何下行流量。

服务直接返回模式（DSR）

——这种模式比较适合吞吐量大特别是内容分发的网络应用。约30%的用户采用这种模式。

1.服务器负载均衡

梭子鱼负载均衡机利用虚拟IP地址（VIP由IP地址和TCP/UDP应用的端口组成，它是一个地址）来为用户的一个或多个目标服务器（称为节点，即真实服务器Real Server的IP地址和TCP/UDP应用的端口组成，它可以是私网地址）提供服务。因此，它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。梭子鱼负载均衡机连续地对目标服务器进行L4到L7合理性检查，当用户通过VIP请求目标服务器服务时，梭子鱼负载均衡机根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求。能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器，我们就可以有效地避免“不平衡”现象的发生。梭子鱼负载均衡机是一台对流量和内容进行管理分配的设备。它提供7种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被梭子鱼负载均衡机灵活地均衡到所有的服务器。
这7种算法包括：

轮询算法( Round Robin )
加权轮询算法（Weighted Round-Robin）
最小连接算法(Least-Connection Scheduling)
加权最小连接算法（Weighted Least-Connection Scheduling）
观察模式
CPU动态性能分配
URL测试动态性能分配

2.服务器健康检查

梭子鱼负载均衡机支持真实服务器和服务的自动发现，从而方便部署新的服务器。对常用的服务，用户不需要手动设置端口，梭子鱼能自动检测在指定的服务器上有哪些服务正在运行，节省部署和配置的时间。梭子鱼还支持OSI模型二到七层的health checking。特别是EAV和ECV功能：
基础网络检查  Ping
四层应用检查  TCP/UDP port
扩展内容查证 ECV
扩展应用验证 EAV

3.会话保持

梭子鱼负载均衡机经过专门设计，可以为关键业务站点提供高可用性和智能负载平衡。除这些能力外，还可以识别用户固定访问特定服务器的要求，以支持用户重新建立到特定服务器的连接。在这些条件下，梭子鱼负载均衡机会放弃负载平衡算法以支持对话持续性。
此外，会话保持的功能将减少新建连接的数量，这将有助于减小负载均衡机系统开销。

源持续性模式
在这一模式下，只要持续性计数器尚未到时，指定流向某虚拟服务器的特定用户流量就会持续流向同一台服务器。每条连接都有其各自的持续性计数器。

Cookie保持
Cookie持续性利用客户机存储的coockie信息来把客户机连接到合适的服务器上。其原理如下：

首次命中
HTTP请求（不带有cookie）进入BIG-IP应用交换机
BIG-IP应用交换机任选一台服务器，将请求发送至该服务器
来自该服务器的HTTP回复此时包括一个空白的cookie
BIG-IP应用交换机重写cookie，并在粘贴一个特殊的cookie后将HTTP回复发送回去。

再次命中
HTTP请求（带有与上面同样的cookie）进入BIG-IP应用交换机
BIG-IP应用交换机借助cookie信息确定合适的服务器
HTTP请求（带有与上面同样的cookie）进入服务器
HTTP回复（带有空白cookie）返回BIG-IP应用交换机，后者将向客户机提供更新后的Cookie。Cookie保持与SSL保持之间的主要区别在于：对于Cookie保持而言，数据存储在客户机上，而不是BIG-IP应用交换机上，因此可充分使用客户机上的无限资源。即Cookie保持体现在HTTP Cookie上，而信息则存储于客户机的磁盘驱动器上。

带有对话ID的SSL持续性的优势
当SSL对话首次建立时，用户与服务器进行首次信息交换以：1) 交换安全证书，2）商议加密和压缩方法，3）为每条对话建立对话ID。该对话ID可能会再次用到。当用户想与该服务器再次建立连接时，它可以通过提供上次会话中的对话ID来随意指定希望继续以前的某条SSL对话。在服务器同意之后，双方即可跳过信息交换建立起新的会话，该会话将使用与上次会话同样的加密方法，并继续上次的数据包排序，就好象上次会话从未结束一样。通常情况下，服务器将某条SSL对话的详细资料存储一段给定的时限，之后，服务器将删除这些对话信息。

改善总体吞吐能力
延续先前的SSL对话使服务器无需再次对用户进行鉴权，而这一处理是一项计算密集型任务，执行的次数越多，服务器的总体吞吐能力下降幅度就越大。如果能够跳过SSL信息交换，消除网络流量上的额外负载，那么吞吐能力也将因为持续性而大为提高。这将为诸如HTTP等协议带来显著改进，它们往往需要向同一台服务器几次建立连接就只是为了传输一个网页。因此，SSL持续性将通过避免单台服务器过载而使您的网络大为受益。

需要SSL持续性的环境
乍一看来，源持续性似乎与SSL持续性的有着相容的工作模式。但是，当用户希望与同一台服务器重新建立会话，但两次连接中用户的IP地址又有所不同时，情况就不一样了。在这种情形中，梭子鱼将无法把流量引导至合适的服务器。您可能会发出疑问：那么我们为什么一定要讨论在与同一台服务器进行的两次会话中用户IP地址发生变化的情形呢？许多网络都会定期更改用户的IP地址，当用户与BIG-IP应用交换机之间部署有防火墙时更是如此。

当用户的IP地址发生变化时
许多防火墙都会将网络所用的网络地址转换为一个或多个由防火墙管理的IP地址。使用这种方式，防火墙可以在不暴露网络内部实际使用的IP地址的前提下将流量引导至互联网，这时流量上的返回地址就是防火墙地址。反之，防火墙也可把地址转回用户地址，然后发送回受保护网络。同时再通过端口号转换，防火墙即可以在多个用户之间使用相同的IP地址了。这有时被称为地址重载，可支持网络（位于防火墙之后）使用一个IP地址与互联网建立上千条连接。
    然而，在大型网络中，防火墙可能需要多个IP地址来分配流量。在使用一个以上防火墙来处理网络流量的情形中，每个防火墙都可以为通过的流量分配一个不同的IP地址。在这种情形中，防火墙或防火墙阵列可将用户IP地址转换为针对各条TCP对话的不同地址。
    在需要持续性的情形中，地址重载会引发各种问题。如果持续性仅由源地址决定，那么许多个人用户将被引导至一台服务器上，从而导致流量汇集在一台服务器上而不是分散到多台服务器上。最终结果就是一台服务器过载而其它服务器未得到充分利用，最终用户得到极差的响应体验。
   使用SSL对话ID持续性可以确保流量的平均分配，即使流量源使用IP地址重载也同样如此。SSL对话ID持续性的实现可以确保用户从关键SSL流量上得到最佳的响应。
    总之,源持续性不适用于用户IP地址改变的使用情形，例如在用户与互联网间部署有使用多个IP地址的服务器或服务器阵列。

使用带有源持续性的SSL持续性
您可以同时使用SSL持续性和基于IP地址的源持续性，因为SSL持续性比基于IP地址的持续性拥有更高的优先级。当自上一次连接后过去的时间超过SSL持续性的时限时，梭子鱼可能会删除该SSL对话ID。或者，也许用户的客户机没有对话ID记忆机制，也删除了该ID。在这些情形中，梭子鱼仍可根据基于用户IP地址的源持续性来将用户引导至同一台服务器。在这种模式中，源持续性用作SSL持续性的后备。

SSL时限
当建立起一条SSL对话之后，BIG-IP应用交换机将为该连接选定的服务器指定对话ID。但当时限过后，这一指定关系将“被遗忘”。时限长短在定义虚拟服务器时予以规定（请注意时限长短以空载时间计算）。

4.内建IPS防御攻击

防御攻击包括两个层面，第一个层面如前述服务器健康检查，负载均衡设备通过精确探测服务器的健康状态，再服务器处理能力达到饱和前可以自动的屏蔽新建链接，以免服务器可能由于在瞬间接受超过服务器吞吐能力的数据流而直接导致系统崩溃，甚至导致数据丢失或客户资料遗失。从而达到以下目的：
·  确保所有IP应用的高可用性和正常运行时间
·  创建一个可控的执行点以对所有流量进行前瞻性安全控制
·  使服务器和应用能够及时准确地做出响应
·  无需额外硬件、软件或其它IT资源
·  轻松适应未来不断变化的业务需求
第二个层面是在负载均衡设备上建立相应的安全机制。首先是端口的屏蔽。采用负载均衡设备后，用户无法直接于服务器联系，必须与负载均衡设备上建立的虚拟服务器建立链接，所以黑客无法获得服务器的真实地址，增加了黑客攻击的难度。同时，由于虚拟服务器对外只提供应用服务端口，其余端口负载均衡机均不响应且直接Drop Packet，从而有效地屏蔽了黑客攻击的第一步——端口扫描。甚至可以将虚拟服务器的ARP响应屏蔽，从而使黑客无法PING通虚拟服务器。由于对外只提供必须的应用端口，因而可以有效地屏蔽常用黑客攻击手段。其次是对于DoS/DDoS攻击，梭子鱼能从内核级就予以屏蔽，具体实施如下：
(1)．Synflood:
该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。
梭子鱼的策略：
梭子鱼采用特有的SYN proxy功能，所有与虚拟服务器建立HTTP SYN的请求均由梭子鱼代替服务器响应，梭子鱼并不将SYN请求发送到服务器。对方响应了梭子鱼的ACK，并真正发送HTTP GET请求时，梭子鱼才与服务器建立链接并发送HTTP GET请求。所以普通的Synflood只会和梭子鱼通讯，无法攻击到服务器。
(2)．Ping of Death 
根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。
梭子鱼的策略：
如前所述，在梭子鱼上可以将虚拟服务器的ARP屏蔽，ICMP包系统根本不响应。其次，虚拟服务器的ICMP响应是由梭子鱼的管理进程提供响应，当管理进程繁忙时，系统会自动降低虚拟服务器的ICMP响应的优先级甚至不响应，而管理进程与服务器负载均衡是两个完全不同的进程，在梭子鱼上其内存和CPU使用时间是严格分离的，所以Ping of Death丝毫不会影响服务器负载均衡，也就是不会影响真正对外的服务响应端口。
(3)．IP欺骗DoS攻击
这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1.1.1.1再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。 攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。
梭子鱼的策略：
如前所述，梭子鱼的SYN proxy功能，将TCP的SYN/ACK/SYN ACK三段握手作为判断合法用户的依据，同时所有的SYN/ACK/SYN ACK均不通服务器链接，只有当用户发送HTTP GET请求时再与选定的服务器建立链接，所以RST只是拆除与梭子鱼建立链接，并不影响合法用户访问服务器。
(4)．带宽DoS攻击 
如果黑客的连接带宽足够大而服务器又不是很大，黑客可以通过发送大量请求，来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了，配合上SYN一起实施DoS，威力巨大。
梭子鱼的策略：
    这种攻击发生时，从站点的路由器、交换机、防火墙到服务器的带宽均有可能被占满。所以如果发生该种攻击，首要的任务是通过EAV/ECV保护服务器不要溢出或崩溃。其次，内置的IPS能有效地抵御攻击。
上述功能是负载均衡设备防攻击的基本功能。除此之外，内置IPS的梭子鱼还具备以下功能：
   (1). 防止病毒：如NIMDA 、Code Red等。
   (2). 防止针对协议的攻击: 梭子鱼有特定协议攻击防护，保护真实服务器免遭以SMTP, DNS和 LDAP为目的的攻击。
   (3). 针对应用程序的攻击：梭子鱼保护那些对外部攻击特别脆弱的应用程序。这些程序包括：IIS, Websphere, Cold Fusion, Exchange和许多其它程序。
   (4). 针对操作系统的攻击：梭子鱼有针对检测Microsoft和UNIX操作系统，标记那些与系统相关的可疑的活动。
梭子鱼动态更新示意图。
博威特网络公司建立了一个强大的运营中心Barracuda Central，7x24小时日以继夜地工作，监控互联网上最新的攻击、漏洞及病毒发展趋势，并制作出最新的升级文件。梭子鱼垃圾邮件防火墙将自动接收这些文件，实现IPS的动态更新。

5.梭子鱼的高可用性

梭子鱼负载均衡机允许连接一个次梭子鱼设备作为主设备的后备。所有会话通过Active 的设备的同时，会把会话信息通过同步数据线同步到Backup的设备上，保证在Backup 设备内也有所有的用户访问会话信息；另外每台设备中的watchdog芯片通过心跳线监控对方设备的电频，当Active设备发生故障时， watchdog会首先发现，并通知Backup 设备接管Shared IP，VIP等，完成A=>B的切换过程，因为Backup设备中有事先同步好的会话信息，所以可以保持访问的畅通和在线会话的数据。
梭子鱼使用8001和8002端口来同步相连系统的配置。每一个连接的梭子鱼都会发送一个“心跳信号”给其它使用SNMP的梭子鱼设备，让彼此通知对方处于开启和正常运行状态。在路由模式部署中，次梭子鱼设备在主系统5秒内仍未发送心跳信号时，自动冗余为主系统的IP地址。在桥接模式部署模式中，次梭子鱼设备在主系统30秒内仍未发送心跳信号时，自动冗余为主系统的IP地址。

方案优势阐述

拓扑结构的优点
1. 全冗余连接方法, 保证网络没有单点故障的存在。
2. 比较少的网络层次，避免运行维护时面对的大批网络设备。
3. 灵活的扩展空间，用户可以根据实际的网络流量和压力增加链路带宽，添加防火墙或增加服务器来提高整体的服务水平。

安全机制方面
1.  HTTPS、SSH等加密的网络管理，避免明码通讯对网络设备控制时的安全隐患。
2.  梭子鱼的Virtual Server一旦规定成功,服务的TCP/UDP端口也就同时确认，除特定服务外，其他的端口就全部被封闭了，保护服务器避免被端口扫描。
3.  在防止DOS攻击方面，梭子鱼提供免费的防护，特别对于Ping of Death， 梭子鱼的VIP一旦规定成功就对Ping包做中继处理，避免攻击对服务器的压力。
4.  所有关键业务都可以采用SSL加速，保障了用户隐私和安全。