概述
公司投入重多資源來研發(fā)應(yīng)用程序和基礎(chǔ)結(jié)構(gòu)向員工,客戶和生意上的伙伴傳遞所制定的經(jīng)營模式。數(shù)據(jù)中心有責(zé)任確保絕對(duì)的安全性,快速響應(yīng)時(shí)間,和這些企業(yè)級(jí)重要應(yīng)用程序的高可用性。要全面保護(hù)企業(yè)級(jí)應(yīng)用程序免受潛在威脅的攻擊,就需要一個(gè)既能應(yīng)用于網(wǎng)絡(luò)層,又能應(yīng)用于應(yīng)用層安全保護(hù)的平臺(tái)。基于反向代理技術(shù)的應(yīng)用層控制器代表了一種新的產(chǎn)品,在此基礎(chǔ)上設(shè)計(jì)的基于安全和控制的web 應(yīng)用程序。代理可以保護(hù)那些傳統(tǒng)的防火墻和基于數(shù)據(jù)信息包的入侵檢測得系統(tǒng)不能保護(hù)的內(nèi)容。不可思議的是,它同時(shí)還可以加快應(yīng)用程序的響應(yīng)時(shí)間和可用性。應(yīng)用程序控制器已經(jīng)成為一個(gè)當(dāng)今web DMZ 結(jié)構(gòu)和web 應(yīng)用程序保護(hù)的一個(gè)基本組成部分。數(shù)據(jù)中心有責(zé)任確保數(shù)據(jù)的正確性。保護(hù)應(yīng)用和高可用性的技術(shù)在企業(yè)級(jí)的DMZ結(jié)構(gòu)已經(jīng)成為一種“最優(yōu)方法”。
評(píng)估最好的應(yīng)用控制防火墻應(yīng)該包括的保準(zhǔn):
安全
應(yīng)用控制防火墻的體系結(jié)構(gòu)是基于連接的代理還是基于數(shù)據(jù)包的阻斷控制?
安全性能是否符合應(yīng)用安全的標(biāo)準(zhǔn),比如說WAFEC & OWASP?
真實(shí)性能
應(yīng)用控制防火墻可以加快應(yīng)用程序的響應(yīng)時(shí)間嗎?
應(yīng)用控制防火墻有足夠的吞吐量和處理空間來處理你的連接數(shù)嗎?
部署簡便
應(yīng)用控制防火墻有靈活的選項(xiàng)來方便地部署在一個(gè)網(wǎng)絡(luò)布局和環(huán)境中?
應(yīng)用控制防火墻是否有向?qū)У墓δ軄砜焖侔惭b,保護(hù)和操作?
管理簡便
應(yīng)用控制防火墻是否有諸如自動(dòng)和手動(dòng)等多種方法來應(yīng)付應(yīng)用程序的改變?
應(yīng)用控制防火墻是否有能力來支持100s 應(yīng)用程序?
應(yīng)用控制防火墻是否有容錯(cuò)設(shè)計(jì)和fail-over 的能力?
應(yīng)用控制防火墻是否有fail-open 的選項(xiàng)?
NetContinuum 提供了世界上最強(qiáng)大的應(yīng)用控制防火墻,它是建立在NCOS所有的軟件基礎(chǔ)上。NetContinuum的產(chǎn)品終止,安全和加速HTTP(S) 功能基于應(yīng)用程序的數(shù)據(jù)來給數(shù)據(jù)中心一個(gè)新的配置、保護(hù)和管理企業(yè)級(jí)應(yīng)用程序的工具。如圖1所示,應(yīng)用控制防火墻處于DMZ區(qū),配置在服務(wù)器的前端。
這個(gè)文檔介紹了NetContinuum 應(yīng)用防火墻產(chǎn)品系列。一個(gè)架構(gòu)上的最優(yōu)方法,NetContinuum 產(chǎn)品通過以下幾點(diǎn)讓你配置一個(gè)更快、更可靠、更安全和性能更高的應(yīng)用程序:
全面控制所有用戶到每個(gè)應(yīng)用程序的連接
保護(hù)應(yīng)用程序的安全完整的方案,包括確保執(zhí)行密碼系統(tǒng),防攻擊和身份和訪問管理(IAM/ AAA)
完整的可用性方案來增強(qiáng)響應(yīng)時(shí)間和確保正常運(yùn)轉(zhuǎn)時(shí)間
在任何網(wǎng)絡(luò)環(huán)境中展開迅速的自身部署
快速的定義應(yīng)用和適當(dāng)?shù)牟呗詠肀Wo(hù)他們
當(dāng)應(yīng)用程序開始服務(wù)后,對(duì)應(yīng)用程序進(jìn)行簡便、靈活和持續(xù)的管理
強(qiáng)大的代理功能
全面保護(hù)web 應(yīng)用程序免受所有潛在的威脅攻擊,需要一個(gè)不僅能應(yīng)用在網(wǎng)絡(luò)層,同時(shí)還能應(yīng)用在HTTP和應(yīng)用會(huì)話內(nèi)容的安全平臺(tái)。只有基于會(huì)話的雙向代理才能在不將內(nèi)部服務(wù)器操作系統(tǒng)和TCP堆棧直接暴露在Internet的情況下提供這種安全功能。
圖1: 應(yīng)用控制防火墻配置在用戶和應(yīng)用程序服務(wù)器的中間
NetContinuum 提供了世界上最強(qiáng)大的應(yīng)用控制防火墻產(chǎn)品線。基于NetContinuum專利的NCOS系統(tǒng),產(chǎn)品對(duì)Web應(yīng)用進(jìn)行終止、保護(hù)和加速。集中化的GUI 控制界面可以讓系統(tǒng)的配置和管理變得十分簡單。最重要的是,
應(yīng)用控制防火墻可以完全符合WAFEC & OWASP提出的標(biāo)準(zhǔn)。NetContinuum 應(yīng)用控制防火墻是世界上唯一被ICSA在網(wǎng)絡(luò)層和應(yīng)用層上通過認(rèn)證的產(chǎn)品。核心功能的介紹,包括終止,保護(hù)和加速將會(huì)在下面做詳細(xì)的介紹。
體系結(jié)構(gòu)和性能
NetContinuum已經(jīng)建立并構(gòu)造了一個(gè)完全由自己研發(fā)操作系統(tǒng)和協(xié)議棧。圖2有做詳細(xì)的介紹,NCOS (NetContinuum 操作系統(tǒng))直接和x86 還有Cavium SSL處理器相連,以保證低延遲率和獨(dú)一無二的連接傳輸率。所有應(yīng)用的終止和執(zhí)行都在NCOS(NetContinuum 操作系統(tǒng))中進(jìn)行。Linux 是用來做為管理框架和日志記錄。
很多廠商試圖通過同時(shí)報(bào)告TCP連接數(shù)和高帶寬利用率來改進(jìn)應(yīng)用控制器的結(jié)構(gòu)。這是一種對(duì)于安全應(yīng)用的錯(cuò)誤說法。重要的是應(yīng)該把重點(diǎn)放在第七層HTTP應(yīng)用的處理性能上。同時(shí),更重要的是要明白延遲是由于現(xiàn)實(shí)的處理負(fù)荷和數(shù)據(jù)的大小所引起的。
NetContinuum 根據(jù)現(xiàn)實(shí)的“重負(fù)荷”應(yīng)用環(huán)境生產(chǎn)出應(yīng)用控制器,因此對(duì)于這點(diǎn)信心十足。從另一方面說,這個(gè)性能指標(biāo)能夠反映設(shè)備真正運(yùn)行時(shí)的情況。更加詳細(xì)的數(shù)據(jù)統(tǒng)計(jì)可以在以下功能都開啟的情況下獲得,它們包
括:第2層ACL、第7層ACL、Web地址轉(zhuǎn)換、URL請(qǐng)求和響應(yīng)、重寫功能、實(shí)時(shí)動(dòng)態(tài)應(yīng)用調(diào)試和執(zhí)行(DAP)、SSL、內(nèi)容壓縮、內(nèi)容緩存、內(nèi)容交換、負(fù)載均衡和TCP復(fù)用。
圖2: NCOS高性能和高安全性的NetContinuum 操作系統(tǒng)
NetContinuum 應(yīng)用防火墻功能
全面完善的功能力是NetContinuum產(chǎn)品的最重要的一個(gè)方面。
NetContinuum努力研發(fā)對(duì)于全面保護(hù)、加速和管理應(yīng)用流量所需要的功能。我們將這些功能集中描述為“終止、保護(hù)和加速”。圖3 對(duì)應(yīng)用流量的管理控制做了概略的描述。
圖3: 您可以選擇是否應(yīng)用會(huì)話控制, 安全保證和可用性保證等功能#p#副標(biāo)題#e#
終止
所有NetContinuum 產(chǎn)品都有一個(gè)基本原則: 所有用戶瀏覽器和應(yīng)用程序服務(wù)器的連接會(huì)話都在此終止。這個(gè)技術(shù)的思路就是對(duì)應(yīng)用流量(內(nèi)向和外向)進(jìn)行全面的檢查和管理每一個(gè)會(huì)話。履行TCP握手同樣可以切斷任何基于TCP的DOS攻擊。在終止會(huì)話的同時(shí),應(yīng)用防火墻可以提供網(wǎng)絡(luò)層的NAT、PAT 、ACL 策略和SSL 密碼系統(tǒng)。系統(tǒng)對(duì)于HTTP內(nèi)容有著完全的訪問權(quán)和控制權(quán),檢查所有的HTTP 內(nèi)容,解釋和建立規(guī)則。要特別指出的是,“終止”包含了以下一些功能:
TCP 會(huì)話終止
NetContinuum 應(yīng)用防火墻進(jìn)行完整的TCP 會(huì)話終止。TCP會(huì)話終止是唯一為私有網(wǎng)絡(luò)來提供完全的安全性的方法, 因?yàn)樗鼘⒏羲杏脩?包括攻擊者)都隔離在外網(wǎng)。唯一連接到服務(wù)器的數(shù)據(jù)都是來自于應(yīng)用防火墻本身的。應(yīng)用防火墻收集所有的數(shù)據(jù)包并重寫每個(gè)用戶的HTTP 會(huì)話。這樣HTTP會(huì)話可以被進(jìn)行安全篩選和加速并且可以進(jìn)行內(nèi)容交換和內(nèi)容處理。
狀態(tài)信息網(wǎng)絡(luò)防火墻
NetContinuum 應(yīng)用防火墻包含了一個(gè)基于狀態(tài)信息的網(wǎng)絡(luò)防火墻。網(wǎng)絡(luò)管理員可以設(shè)置策略,NAT, PAT 和網(wǎng)絡(luò)ACL的規(guī)定. 應(yīng)用防火墻監(jiān)控每個(gè)TCP連接的狀況(IP 地址, 端口,3次握手等) 并在一個(gè)狀態(tài)表中編輯信息。過濾決定不僅僅依靠管理員設(shè)置的規(guī)則(比如靜態(tài)包過濾),同時(shí)也取決于之前已經(jīng)通過防火墻的數(shù)據(jù)的狀態(tài)記錄。這個(gè)過程能夠嚴(yán)格確保符合TCP/IP RFCs 規(guī)則,阻止大量的網(wǎng)絡(luò)層攻擊。NetContinuum應(yīng)用防火墻的網(wǎng)絡(luò)層安全性已經(jīng)得到了ICSA的認(rèn)證。
SSL 終止
NetContinuum應(yīng)用控制防火墻有專利的ASIC 處理芯片來建立和加速用戶的SSL會(huì)話,因此能夠卸載應(yīng)用服務(wù)器上的密碼處理。應(yīng)用防火墻提供了一套完善的SSL和傳輸層安全協(xié)議(TLS) 的功能。SSL可以用在任何應(yīng)用層協(xié)議上(HTTP, SOAP, XML, FTP, SMTP, POP3,IMAP, 或自定義)。完全支持PKI管理和密鑰管理。系統(tǒng)可以重新加密發(fā)送到后端服務(wù)器的流量,詳細(xì)描述如下。
HTTP 協(xié)議符合和標(biāo)準(zhǔn)化
NetContinuum 應(yīng)用防火墻應(yīng)用一個(gè)全面的HTTP 標(biāo)準(zhǔn)化引擎來規(guī)范所有應(yīng)用流量.。隱藏在HTTP 數(shù)據(jù)編碼和國際編碼字符后的攻擊在到達(dá)真實(shí)服務(wù)器之前就會(huì)被這個(gè)進(jìn)程識(shí)別和阻擋掉。
在世界不通的地方有很多不同的字符串和字符編碼。在美國, 基于拉丁文的字母表, 所有的數(shù)字、標(biāo)點(diǎn)符號(hào)使用7位ASCII 編碼標(biāo)準(zhǔn)。相反,亞洲的語言包含很多書面的字節(jié)是16 bits 的數(shù)據(jù),這些數(shù)據(jù)必須包含全部的字形。錯(cuò)誤的處理國際編碼字符見的細(xì)微差別可能導(dǎo)致安全漏洞,因?yàn)楹诳涂梢詫⒆约?ldquo;隱藏”在國際編碼字符后面。將所有輸入簡化為規(guī)范的字符串,用于準(zhǔn)確的評(píng)判,這個(gè)過程就叫做標(biāo)準(zhǔn)化。
標(biāo)準(zhǔn)化還有第二個(gè)解釋,它來自管理WEB應(yīng)用的HTTP協(xié)議。一些字節(jié)對(duì)于web服務(wù)器、底層操作系統(tǒng)或HTTP協(xié)議有著特別的含義。為了區(qū)別這些字符的正常使用和特殊含義,于是就開發(fā)了不同的字節(jié)編碼方案,比如“URL 編碼”和“基于64位編碼”。攻擊者可以通過一回或多回隱藏編碼來進(jìn)行攻擊。應(yīng)用防火墻可以識(shí)別這些陰謀并將HTTP 協(xié)議元素標(biāo)準(zhǔn)化。
F T P 協(xié)議符合
FTP 生來就是一個(gè)脆弱的協(xié)議。
NetContinuum 的產(chǎn)品同樣可以作到對(duì)文件傳輸協(xié)議(FTP)的終止。系統(tǒng)可以被配置在現(xiàn)有FTP 服務(wù)器的前端來代理進(jìn)出的FTP流量。FTP 訪問控制列表(ACL)可以封閉進(jìn)來的FTP 端口, 阻擋某些FTP 命令和為FTP流量提供SSL 加密。此外, 也可以使用不同的算法在后端服務(wù)器之間進(jìn)行FTP流量的負(fù)載均衡。
HTTP 報(bào)頭重寫
報(bào)頭的請(qǐng)求和回應(yīng)重寫加深和更加細(xì)密的提供了安全構(gòu)造。NetContinuum 應(yīng)用防火墻可以在數(shù)據(jù)到達(dá)用戶端前對(duì)HTTP 報(bào)頭中的敏感內(nèi)容進(jìn)行重寫或刪除。報(bào)頭重寫技術(shù)可以更好的管理流量,或者為應(yīng)用程序加入一些獨(dú)特的功能. 比如說, 設(shè)置生成新報(bào)頭來覆蓋用戶的一些驗(yàn)證信息、授權(quán)信息等敏感信息。另外一個(gè)比較常用的方法是移除瀏覽器插入的“Accept-Encoding:gzip”標(biāo)記,這樣可以避免服務(wù)器在壓縮內(nèi)容上花費(fèi)太多的CPU處理時(shí)間。
URL 轉(zhuǎn)換
將外部世界如何訪問WEB應(yīng)用與其物理構(gòu)架分離開來是非常有用的。同時(shí)也叫Web 地址轉(zhuǎn)換(WAT), URL轉(zhuǎn)換本質(zhì)上從內(nèi)部到外部的DNS地址域名的轉(zhuǎn)換。WAT 允許管理員在簡單的外部名稱規(guī)則后隱藏一個(gè)復(fù)雜并切變化快速的網(wǎng)絡(luò)。
URL 速率控制
NetContinuum 應(yīng)用防火墻可以識(shí)別某些URL并控制發(fā)送到應(yīng)用程序的請(qǐng)求的速率。當(dāng)應(yīng)用結(jié)構(gòu)因?yàn)槌?fù)荷而易于崩潰的情況,這種保護(hù)服務(wù)器免受超載的技術(shù)是至關(guān)緊要的。
安全
一旦一個(gè)會(huì)話被NetCont inuum應(yīng)用防火墻終止并被控制,多種檢查就會(huì)應(yīng)用于進(jìn)來和出去的會(huì)話和內(nèi)容,以此阻止內(nèi)嵌的攻擊、數(shù)據(jù)竊取和身份竊取。精確的策略也可以應(yīng)用于URL、參數(shù)和格式區(qū)域的檢查。這個(gè)“確保安全”的功能在應(yīng)用防火墻上提供了以下功能:
應(yīng)用程序隱藏
NetContinuum 應(yīng)用防火墻使用應(yīng)用遮掩技術(shù)來使應(yīng)用程序架構(gòu)對(duì)于掃描服務(wù)器漏洞的黑客和蠕蟲不可見。因?yàn)閼?yīng)用防火墻有一個(gè)全面的終止結(jié)構(gòu), 對(duì)于web服務(wù)器類型、應(yīng)用服務(wù)器類型、操作系統(tǒng)和補(bǔ)丁的版本都是不可見的。NAT 和WAT 隱藏所有網(wǎng)路的URL 地址信息。最后, 通過隱藏URL 響應(yīng)代碼和HTTP 報(bào)頭, 隱藏機(jī)制可以有效地隱蔽所有可能會(huì)被用于攻擊應(yīng)用程序和應(yīng)用服務(wù)器的信息。
AAA—身份和訪問管理
By virtue of sheer proximity,應(yīng)用防火墻處在一個(gè)執(zhí)行AAA服務(wù)的絕佳位置。應(yīng)用防火墻可以進(jìn)行驗(yàn)證和單點(diǎn)登陸服務(wù),因?yàn)樗梢耘cRADIUS, LDAP,Active Directory 和CA SiteminderTM(Netegrity)掛鉤。其他方式的認(rèn)證包括客戶端證書、基本HTTP Web驗(yàn)證、源IP地址驗(yàn)證等方式。控制器能夠執(zhí)行已授權(quán)用戶在應(yīng)用和URL級(jí)別發(fā)起的訪問。最后,控制器記錄所有認(rèn)證信息和訪問時(shí)間,這些內(nèi)容同時(shí)提供全面的內(nèi)部監(jiān)控的審計(jì)和安全規(guī)則的符合。
白名單
NetContinuum控制器使用一個(gè)絕對(duì)安全的模型來對(duì)訪問進(jìn)行定義并判斷其是否為惡意連接。任何違背正常行為的會(huì)話會(huì)被認(rèn)為是潛在的惡意連接并自動(dòng)將其阻斷。系統(tǒng)為每個(gè)應(yīng)用創(chuàng)建并管理獨(dú)立的白名單。白名單可以被動(dòng)態(tài)創(chuàng)建,或在實(shí)時(shí)策略推薦向?qū)У膸椭峦ㄟ^安全組手動(dòng)設(shè)置。控制器使用訪問控制列表(ACL)來設(shè)置和執(zhí)行具有良好粒度的安全策略和特殊頁面。
窗體保護(hù)
程序員常見的錯(cuò)誤理解就是以為Web的形式是不變的,至少對(duì)于用戶來說是如此。也就是說,如果一個(gè)區(qū)域被定義為單選按鈕,來自用戶的輸入只能是事先規(guī)定的值,并且能夠依靠用戶的瀏覽器來執(zhí)行這種約束。這種理解是錯(cuò)誤的。瀏覽器確實(shí)會(huì)試圖將用戶輸入限制在正常范圍之內(nèi),但是一個(gè)惡意的用戶能夠在瀏覽器和應(yīng)用程序之間放置一個(gè)攻擊性的代理,在瀏覽器的可見范圍之外徹頭徹尾地修改區(qū)域的類型。這樣單選按扭區(qū)域很有可能返回一個(gè)帶有可執(zhí)行的緩沖溢出代碼。這就是臭名昭著窗口篡改。控制器記住針對(duì)每個(gè)用戶會(huì)話所創(chuàng)建的區(qū)域類型,并且確保在程序員定義它們的時(shí)候?qū)⑺鼈儽A粝聛怼?/p>
Cookie保護(hù)
在cookie代碼的處理過程中對(duì)其弱點(diǎn)進(jìn)行開發(fā)是另一種黑客常用的手段。因?yàn)閏ookies是對(duì)用戶進(jìn)行身份識(shí)別的最常用的方法,如果黑客能夠猜到用戶的cookie信息,那么這個(gè)黑客就從根本上化身為那個(gè)用戶。許多應(yīng)用程序仍然在使用易猜中的cookie。兩種防止此攻擊的技術(shù)是:cookie標(biāo)記和cookie加密。(有兩個(gè)步驟:控制器必須在cookie被創(chuàng)建時(shí)對(duì)其進(jìn)行標(biāo)記和加密。這樣在下次請(qǐng)求到來時(shí)能夠?qū)ζ溥M(jìn)行識(shí)別。如果cookie標(biāo)記被激活,控制器就能夠檢查進(jìn)來的cookie,防止被篡改。
篡改通過對(duì)兩個(gè)cookie的比較進(jìn)行判斷。如果兩個(gè)cookie一致,則沒有篡改的行為,會(huì)話被允許進(jìn)入。如果不匹配,則會(huì)話被認(rèn)為是攻擊性的,被控制器阻斷。Cookie加密是一種萬無一失的阻止身份竊取的方法,因?yàn)閏ookie是不可讀的。
數(shù)據(jù)竊取保護(hù)
NetContinuum 控制器對(duì)于保密數(shù)據(jù)的竊取提供全面的保護(hù),比如信用卡號(hào),社保卡號(hào)等其他預(yù)先定義好的保密的數(shù)據(jù)結(jié)構(gòu)。控制器掃描出去的數(shù)據(jù),與用正則表達(dá)式定義好的數(shù)據(jù)模式進(jìn)行匹配。這個(gè)技術(shù)對(duì)敏感的數(shù)據(jù)在離開Web服務(wù)器時(shí)進(jìn)行鑒別并強(qiáng)制執(zhí)行相應(yīng)的策略:部分遮掩數(shù)據(jù)、完全遮掩數(shù)據(jù)或直接阻斷會(huì)話。
動(dòng)態(tài)學(xué)習(xí)/動(dòng)態(tài)應(yīng)用調(diào)試
NetContinuum的DAP能夠自動(dòng)學(xué)習(xí)應(yīng)用程序的行為并“實(shí)時(shí)”執(zhí)行策略。實(shí)時(shí)動(dòng)態(tài)應(yīng)用調(diào)試和策略執(zhí)行(DAP)增加了強(qiáng)大的窗口保護(hù)機(jī)制。它能學(xué)習(xí)在用戶訪問WEB界面時(shí)應(yīng)用程序創(chuàng)建的窗口,這樣就能防止黑客的篡改行為。它保存每一個(gè)頁面的鏈接,以此來確保用戶僅在訪問應(yīng)用程序提供的合法的頁面。
DAP跟蹤單獨(dú)的URL和參數(shù),這些URL和參數(shù)被系統(tǒng)學(xué)習(xí)。用來有效阻斷緩沖區(qū)溢出和參數(shù)篡改的攻擊。
SQL & OS 命令注入,跨站腳本(XSS)攻擊的保護(hù)
SQL 注入攻擊和跨站腳本攻擊(XSS或釣魚攻擊)是基于Java腳本的注入攻擊。這些攻擊危害性極大,因?yàn)樗鼈冋嬲匚<钡絎eb站點(diǎn)的程序代碼的安全,以此來竊取數(shù)據(jù)或誘騙用戶泄露他們的身份。最終,攻擊來自與程序的錯(cuò)誤;忘記對(duì)用戶的輸入進(jìn)行驗(yàn)證。
NetContinuum控制器時(shí)刻保持警惕并監(jiān)控所有用戶的SQL和Java腳本語法的輸入。即使程序員忘記對(duì)輸入進(jìn)行驗(yàn)證,控制器也能夠通過對(duì)異常數(shù)據(jù)正常化來自動(dòng)保護(hù)應(yīng)用程序。
自定義黑名單: 正則表達(dá)式
NetContinuum控制器同樣提供自定義訪問控制列表和正則表達(dá)式來匹配規(guī)則。任何模式匹配可以被存入控制器,用來掃描HTTP會(huì)話的任何部分。自定義數(shù)據(jù)類型同樣能夠被加入NetContinuum設(shè)備,利用諸如URL的ACL,參數(shù)ACL和/或報(bào)頭ACL來阻斷惡意流量。自定義數(shù)據(jù)類型也能夠用來掃描外出流量,從而創(chuàng)建一個(gè)強(qiáng)大的防御體系。
加速
除了WEB應(yīng)用的安全性,數(shù)據(jù)中心還負(fù)責(zé)應(yīng)用的可用性和響應(yīng)時(shí)間。將加速功能(TCP 池,緩存,GZIP壓縮)和可用性功能(負(fù)載均衡,內(nèi)容交換,健康檢查)在一個(gè)單一的節(jié)點(diǎn)處結(jié)合起來會(huì)顯著地簡化數(shù)據(jù)中心的體系結(jié)構(gòu),以此來降低成本。“可用性保證”功能提供以下功能:
緩存
應(yīng)用器的Web緩存功能為應(yīng)用的提供者和使用者提供雙贏的效果。當(dāng)進(jìn)入的流量通過掃描并未發(fā)現(xiàn)任何惡意行為時(shí),NetContinuum控制器將這些流量轉(zhuǎn)發(fā)到合適的Web服務(wù)器。然而,如果請(qǐng)求的內(nèi)容能夠從緩存中得到,控制器就會(huì)從緩存中給予相應(yīng)的回應(yīng)。內(nèi)容緩存充分地提高響應(yīng)的時(shí)間,同時(shí)又降低服務(wù)器的負(fù)荷。
GZIP 壓縮
NetContinuum控制器支持當(dāng)今先進(jìn)的GZIP壓縮技術(shù)并且能夠卸載服務(wù)器CPU高強(qiáng)度的處理。GZIP能夠提供90%的文本壓縮率并降低30%的延遲。
TCP 連接池
通過在打開的TCP連接和后端服務(wù)器之間對(duì)TCP連接進(jìn)行復(fù)用,應(yīng)用控制器能夠通過減少服務(wù)器的TCP握手次數(shù)來節(jié)省大量的時(shí)間。這個(gè)TCP連接池技術(shù)在降低服務(wù)器CPU負(fù)荷的同時(shí)大大縮減了客戶端的響應(yīng)時(shí)間。
SSL 加速和后端重加密
許多數(shù)據(jù)中心采用嚴(yán)格的要求,傳輸?shù)臄?shù)據(jù)必須被加密。這就要求控制器必須有解密會(huì)話、檢查有效負(fù)荷,并在與應(yīng)用程序連接前重新加密那個(gè)會(huì)話。
NetContinuum控制器可以為后端服務(wù)器重新加密會(huì)話。控制器提供完善的SSL設(shè)置和TLS功能。如果客戶端證書在使用中,可以選擇通過HTTP報(bào)頭來通過后端服務(wù)器。同樣支持PKI管理、安全密鑰存儲(chǔ)和管理。
第7層內(nèi)容交換
NetContinuum控制器允許您設(shè)置規(guī)則來通過URL報(bào)頭信息智能地將流量指向合適的服務(wù)器:Status-Code,Response-Header, Client-IP, Method, WEB-Dav,HTTP-Version, URI, Parameter, Pathinfo, 和Header value 等字段都能被檢查出和匹配。負(fù)載均衡能夠當(dāng)會(huì)話被交換時(shí)執(zhí)行相應(yīng)的動(dòng)作。
負(fù)載均衡
NetContinuum控制器的負(fù)載均衡功能配置十分簡單。流量通過設(shè)置好的負(fù)載均衡算法被轉(zhuǎn)發(fā)到指定的服務(wù)器。轉(zhuǎn)發(fā)算法包括了輪加權(quán)輪訊和最少請(qǐng)求數(shù)。其他的到“不工作服務(wù)器”連接的重定向和粘滯連接同樣支持。通過對(duì)流量的行為進(jìn)行預(yù)先定義,負(fù)載均衡能夠提高應(yīng)用的可用性。控制器也讓管理員輕松實(shí)現(xiàn)對(duì)服務(wù)器的使用和停用,以此來安排服務(wù)器的維護(hù)工作。
服務(wù)器& 應(yīng)用程序健康檢查
Out Of Band (OOB) 帶外數(shù)據(jù)健康檢查是監(jiān)控服務(wù)器和應(yīng)用程序健康度,獨(dú)立于數(shù)據(jù)流量。可以設(shè)置規(guī)則在后端服務(wù)器不可用時(shí)將流量重定向。NetContinuum控制器可以在第4層和第7層對(duì)應(yīng)用程序進(jìn)行測試。第4層OOB默認(rèn)開啟,可以被禁用。第7層HTTP監(jiān)控是根據(jù)Method 和URL實(shí)現(xiàn)的。
NetContinuum部署簡單,詳細(xì)信息下載《NetContinuum 技術(shù)白皮書》
