信安世纪NSAE全系列产品技术白皮书标准版V13文档格式.docx
《信安世纪NSAE全系列产品技术白皮书标准版V13文档格式.docx》由会员分享,可在线阅读,更多相关《信安世纪NSAE全系列产品技术白皮书标准版V13文档格式.docx(32页珍藏版)》请在冰豆网上搜索。
电子信箱:
support@infosec.cn
前言……………………………………………………………………………………1
前言
当前,不管在政府网、金融网、企业网、校园网依旧在广域网如Internet上,业务量的进展都超出了过去最乐观的估量,用户大量的信息要求,不断更新的应用需求以及对业务不间断的连续访问,成为应用服务商解决互联网服务,获得用户认可的关键因素,即使按照当时最优条件配置建设的网络,面对不间断、快速的用户增长,服务器也会无法承担。
原有链路也会因为用户量的不断增大导致用户访问速度过慢,链路拥塞,网络故障频繁,专门是各个网络的核心部分,其数据流量和运算强度之大,使得单一设备全然无法承担,而如何在完成同样功能的多个链路及网络设备之间实现合理的业务量分配,使之不至于显现一台设备过忙、而别的设备却未充分发挥处理能力的情形,就成为信息提供商及应用服务商必须克服的问题,负载均衡机制也因此应运而生。
负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。
它要紧完成以下任务:
解决网络拥塞问题,服务就近提供,实现地理位置无关性;
多条链路接入,依照链路响应速度,提供最快的访问方式,针对故障链路进行智能自动切换,保证客户不间断访问;
为用户提供更好的访问质量;
提高服务器响应速度;
提高服务器及其他资源的利用效率;
幸免了网络关键部位显现单点失故障导致所有服务停止。
针对负载均衡的运行机制及应用策略方面,依照负载均衡的工作原理能够分为链路负载均衡、服务器负载均衡、广域网负载均衡三种负载均衡方式。
三种负载均衡机制,依照用户针对不同环境及应用的负载均衡要求进行服务,满足用户对各个应用层面及网络层次的负载均衡需求。
总之,负载均衡是一种策略,它能让多条链路或多台服务器共同承担一些繁重的运算或I/O任务,从而以较低成本排除网络瓶颈,提高网络的灵活性和可用性。
针对当前形势,信安世纪公司分析各行业多种应用的要求,自主研发了适用于广域网、内部网、独立子网的负载均衡设备NSAE。
解决客户针对链路、服务器、广域网负载均衡的各种需求。
信安世纪推出的NSAE系列产品,采取了ALLINONE的设计策略,把服务器负载均衡、链路负载均衡、广域网负载均衡三种产品集成在一个设备中。
真正实现了链路、服务器、广域网负载均衡三种服务的无缝接入。
在最低成本的操纵下满足了客户多方面的应用需求。
同时在无需改变现有网络的情形下,即可进行负载均衡设备的部署及升级,在应用及网络层次增加了客户系统的安全性及稳固性。
第1章产品概述
1.1公司介绍
信安世纪科技成立于1998年,是中国领先的应用安全产品和解决方案供应商,要紧为金融、电信等行业和政府机构提供应用安全的产品、解决方案和服务。
信安世纪作为业内资深的应用安全厂商,有多年的应用安全领域的体会积存和强大的治理和研发团队,不仅有成熟的安全产品为客户提供方便、快速的安全实现;
同时针对大量的应用安全需求,提供优质的咨询服务、客户化开发和安全系统爱护监控服务。
信安公司现有一支由应用安全领域专业开发人员和资深金融行业专家组成的强大的研发队伍,保证提供先进、可靠、高效的产品;
另外还有专业、尽职的技术服务队伍,负责项目实施和售后技术服务,为客户提供专业的技术服务。
信安世纪迄今差不多为包括中国工商银行总行、中国农业银行总行、中国交通银行总行、上海浦东进展银行、北京银行在内的二十多家银行提供了网上银行的通讯安全、交易安全爱护;
中国证券登记结算有限责任公司等金融机构建立了基于PKI体系的证书系统,为业务系统提供了身份认证、加密传输的安全爱护;
随着电子商务和电子政务的兴起,我公司为国家烟草总局、中国石油、鞍山钢铁公司、沈阳一汽财务公司、上海汽车集团、上海移动通信和首都钢铁集团等多家闻名企业提供了保证资金结算、网上交易安全的解决方案。
信安世纪与众多闻名企业、优质客户建立了长期、稳固的战略伙伴关系,在技术合作、市场推广和行业进展上开展了卓有成效的工作。
在以后的进展中,公司将加强对客户需求的了解,为客户提供具有创新价值的应用解决方案,更好地为客户提供优质的服务;
公司还将致力于与合作伙伴共同进展,加强新技术交流,促进应用安全行业的蓬勃进展。
在新产品NSAE的应用及实施方面,信安公司差不多在北京银行、北京农村商业银行、华夏银行、中国烟草总局、中国石化、国家电网通过了严格的性能、压力及应用测试,设备测试结果达到了国际国内先进水平,完全满足客户的需求。
同时成功的部署在多个行业各个应用服务,及核心生产环境中。
完全解决了客户针对链路、服务器负载均衡方面的问题,全方面提高了客户的行业竞争力,以及生产环境设备及链路接入的稳固不间断运行。
1.2产品体系介绍
信息安全是建立在网络安全之上,保证信息的安全。
在应用层的安全〔简称应用安全〕解决的是信息安全中的问题,专门是应用层安全系统与应用系统结合过程中遇到的安全问题。
应用层安全要紧包括ISO7498-2中提出的五大安全功能,即身份认证、访问操纵、数据隐秘性、数据完整性和抗否认,以及安全审计和安全治理的内容。
依照五大安全功能的要求我们将产品归纳为三个体系:
⏹身份治理:
NetCert〔信安通〕〔CA、RA、OCSP、KMC〕、NetPass〔动态密码系统〕
⏹访问安全:
NetSafe〔网安通〕、LinkSafe〔联安通〕、NSAE〔应用安全网关〕、BiSafe〔互联安〕、NetGate〔密安通〕
⏹内容安全:
NetSign〔签安通〕、DeskSafe〔文安通〕、TSA〔时刻戳服务〕
1.3产品背景
随着网络通信的进展,网络规模的不断扩大,以及数字接入专线价格的不断下调,客户对业务的需求也随着网络通信的不断进展变得更加多样化,对运营服务的要求也越来越严格,如何充分利用服务资源,平稳链路利用率,提高客户访问速度,确保客户的不间断访问以及链路服务的正常运转和切换,差不多成为运营服务商提高服务,争取更多用户认可的首要难题。
目前用户普遍采纳电信、网通两条链路接入,实现链路自动切换,为外网及内网用户提供7*24小时的不间断访问、当其中一条链路显现问题后,系统自动切换到正常的链路上工作,保证服务的不间断运行。
由于多链路解决方案能够提供更好的可用性和带宽性能,它正在被越来越多的企业所采纳。
可用性的提高来自于多条链路的使用,而性能提高那么是因为同时使用多条链路增加了带宽扩充了流量。
多链路方案能够提高企业业务的可用性和性能,但这种方案也面临着专门的问题和挑战。
在多链路环境的实际应用中,链路没有更好的进行负载分担。
多链路网络解决方案仅仅是〝共享〞式,而不是真正的负载均衡;
由于各个运营商之间存在互联互通的问题,没有实现依照网络就近性的路径判定;
对流入的流量没有专门好的解决依照网络的就近性来导向用户的访问要求。
使外部的用户能最快的访问对外服务;
对流出的流量无法解决自动选择最快链路,达要目标资源的访问策略;
关于链路的健康状况也不能实时监测,也解决不了链路容灾,也确实是当某一条链路显现故障后,将其流量导向另外链路的策略。
因此基于以上的问题,链路负载均衡的解决方案成为众多服务商、以及多链路接入客户必须解决的问题。
在多服务器环境的实际应用中现有的服务器工作模式一样为Active/Standby,现有的这种架构导致了一台服务器总是处于待机状态,而另一台服务器那么总是处于满负荷工作,负责了整个应用的处理及运算。
这种模式的服务器架构必定导致了当现有用户量一旦超出单台服务器的运算能力的时候,整个服务器组会宕掉,用户面对这种情形的时候只有升级服务器才能够解决问题。
然而连续的升级服务器导致了资金大量的白费,及服务器资源的白费。
服务器负载均衡机制能够简单的解决这种问题,当用户部署了服务器负载均衡后,所有后台服务器均处于Active状态,依照负载均衡定义的策略,保持服务器进行均衡的工作。
提升了现有服务器70%的工作效率,幸免了由于单台服务器显现故障导致的整个业务的终止,同时保证了当用户量连续上升时,无需再次升级服务器。
信安世纪服务器负载均衡还具有完善的健康检查功能,保证了每台服务器工作状态的正常,幸免了由于服务器应用软件处于假死状态而导致服务器工作显现问题。
针对后台服务状态类型,信安世纪负载均衡产品提供了最完善的健康检查策略保证了用户所有业务的正常工作状态。
第2章
产品简介
信安世纪应用安全网关系列产品〔后简称为NSAE〕是一款集成了SSL加速、负载均衡等多种功能于一体的新型应用前端加速负载均衡设备。
不同于以往单纯的负载均衡产品,NSAE不再局限于负载均衡应用,还具有SSL加速、链路负载均衡、广域网负载均衡、集群、应用安全防火墙、高速缓存、压缩等多种功能能够自由选择,充分考虑了用户的实际需求,能够极大的改善企业应用的可靠性、性能和安全性,同时降低了整体成本和数据中心的复杂度,提高了应用的处理能力,为用户提供了全新的易用、高效、稳固的保证信息安全的屏障。
2.1产品型号
信安世纪NSAE系列产品采取了ALLINONE的设计理念,通过高度集成的模块化设计实现在单台设备中集成了链路负载均衡、服务器负载均衡、防火墙负载均衡、SSL加速、防火墙等功能,面对客户多层次应用的需求只需要增加相应的模块即可。
为满足不同规模用户的需求,我们依照产品功能分为链路负载均衡(NSAE-LT)、服务器负载均衡(NSAE-NL)、SSL应用安全网关〔NSAE-NS〕、服务器负载均衡&
SSL应用安全网关(NSAE-NB)四种产品类型。
服务器负载均衡(NSAE-NL)型号列表
产品型号
范畴
NSAE1000-NL
适用于用户数量不多、应用访问较少、负载增长量小的中小型应用,能够降低成本、提高可靠性。
NSAE2000-NL
适用于用户数量较多、应用访问量较大、负载增长量较快的中小型应用,能够降低成本、减小爱护风险、提高应用可靠性、幸免单台服务器故障。
NSAE10000-NL
适用于用户数量较多且访问量、负载增长较快的中型以上应用项目,能够满足今后应用扩展的需求,并提升性能。
NSAE20000-NL
适用于访问量以及负载量专门大的大型应用,提高整个应用平台的处理能力,提供不中断的优质应用服务。
NSAE-NL产品型号表
链路负载均衡(NSAE-LT)型号列表
NSAE1000-LT
适用于用户数量不多、链路接入带宽小、应用访问较少的中小型应用,能够降低成本、提高可靠性。
NSAE2000-LT
适用于用户数量较多、链路接入带宽较大、应用访问量较大、访问业务增长较快的中小型应用,能够降低成本、减小爱护风险、提高应用可靠性、幸免单台服务器故障。
NSAE10000-LT
适用于用户数量较多、链路接入带宽专门大、访问量增长较快的中型以上应用项目,能够充分满足今后应用扩展的需求。
NSAE20000-LT
适用于访问量以及链路负载量专门大的大型应用,提高整个应用平台的处理能力,为用户提供不间断链路服务。
NSAE-LT产品型号表
SSL应用安全网关〔NSAE-NS〕型号列表
NSAE1000-NS
适用于用户数量不多、应用访问较少的中小型应用,能够通过SSL加密技术提高现有业务的安全性。
NSAE2000-NS
适用于用户数量较多、应用访问量较大、访问业务增长较快的中小型应用,能够通过SSL加密技术提高现有业务的安全性。
NSAE10000-NS
适用于用户数量较多、访问量增长较快的中型以上应用项目,能够通过SSL加密技术提高现有业务的安全性。
同时充分满足今后应用扩展的需求。
NSAE20000-NS
适用于用户群庞大、访问量专门高的大型应用,能够通过SSL加密技术提高现有业务的安全性。
NSAE-NS产品型号表
负载均衡+SSL应用安全网关〔NSAE-NB〕型号列表
NSAE1000-NB
适用于用户数量不多、应用访问较少的中小型应用,为用户提供服务器负载均衡及应用安全网关功能。
NSAE2000-NB
适用于用户数量较多、应用访问量较大、访问业务增长较快的中小型应用为用户提供服务器负载均衡及应用安全网关功能。
NSAE10000-NB
适用于用户数量较多、访问量增长较快的中型以上应用项目为用户提供服务器负载均衡及应用安全网关功能。
NSAE20000-NB
适用于用户群庞大、访问量专门高的大型应用为用户提供服务器负载均衡及应用安全网关功能。
NSAE-NB产品型号表
2.2产品应用
产品架构
同类产品往往由多个单一功能设备组成,数据传输延迟大、治理爱护困难,用户往往为了实现一个简单的需求需要改变整个网络结构或需要购买其它的网络硬件产品。
而NSAE那么集多功能于一体,具备高性能、高可靠性,为客户节约大量的硬件、爱护、设置、和人力方面的投入。
第3章产品功能
3.1功能特性
NSAE产品系列提供一个将诸多复杂Web设备化零为整的解决方案,能够完全解决客户系统存在的问题。
它是一个真正的将众多重要的网络功能合为一体的集成化应用系统,这些网络功能包括服务器负载均衡〔SLB〕,全局服务器负载均衡〔GSLB〕,SSL加速,WebWall安全,链路负载平稳〔LLB〕,压缩等。
3.1.1应用加速〔SSL加速〕
SSL〔安全套接层协议〕差不多成为发送安全互联网通信的标准协议。
它是一种对用户进行鉴权的公钥加密方案。
第一,服务器向客户机发送承认其可靠性的认证;
然后,使用共享密钥来对发送方与接收方之间的数据进行加密,例如,当发送方确认接收方正确无误时,会为数据包加上一个安全的〝外壳〞〔加密〕,同时通过线缆传输此数据包。
必须在目的地将此〝外壳〞去掉,才能使用该数据包信息。
其它的步骤还包括:
认证、加密和解密,这极大地增加了Web服务器的流量处理负担,NSAE内置SSL加速功能使问题迎刃而解。
3.1.1.1SSL安全传输
⏹信息加密,建立SSL安全传输信道
加密传输采纳了高强度的加密算法对传输的数据内容进行爱护,各种如业务账号和口令等敏锐的信息被爱护起来,杜绝了信息的泄露,同时对同意的数据是否在传输过程中被篡改进行精确检测,保证了同意数据的完整性,确保了所传输的信息不被中途窃取和篡改。
关于没有合法身份的用户,其连接要求将被拒绝,NSAE只承诺那些拥有合法数字证书的用户进行网络连接,充分保证用户身份的合法性,从而限制了非法用户对内网的访问。
⏹支持4-7层应用加密传输信道
NSAE的SSL加速功能实现对应用进行安全加密,能够同时作为普
通资源和安全资源的代理服务器。
此外还能够对TCP协议进行加密,实现TCPS协议下的安全数据传输,提供4-7层应用的加密功能,使客户端的内容由原先的明文传输变为SSL加密传输,大大增加了安全性。
⏹端到端的安全数据转发服务,支持多种C/S应用模式
国内目前大多数的SSL安全代理服务器是针对B/S应用的,部署在需要爱护的Web服务器前端,与扫瞄器建立SSL连接,并转发协议。
NSAE支持客户端的C/S模式应用,并能够同时支持多种B/S和C/S模式的应用。
应用安全网关服务器监听局域网内的端口,为一个局域网端内服务,无需用户安装配置客户端软件,大大提高系统的易用性,减少部署和爱护的难度。
⏹多种后台传递用户信息的方式
以参数方式向Web服务器传送用户证书信息,例如证书中的主题、序列号等信息,这些参数以URL、属性、Cookie等多种形式传递到Web应用系统,应用能够依照这些信息进行进一步的治理操作。
⏹资源访问权限操纵
NSAE支持三种连接方式:
连接、单向SSL连接〔客户不需
要提供证书〕和双向SSL连接。
连接是透亮信息传递、身份无法识别;
单向SSL连接完成了加密信息的传递,保证了信息的保密性和完整性,然而客户身份无法确认;
只有双向的SSL连接的安全性最高。
不同的后台应用针对的用户群体不同,通常而言关键的安全应用只提供给有可信身份的用户,NSAE提供的资源访问权限操纵功能能够将杜绝低安全性的连接访问该安全性的业务系统。
对Web资源的一样访问操纵,基于ACL〔访问操纵表〕方式,实现对认证用户和非认证用户的访问操纵,支持以证书主题和时刻等要素进行操纵,并能够设定拒绝访问的级别。
⏹灵活的证书验证机制
数字证书作为连接双方的电子身份证,保证了传输的可识别性,然而这并不意味着,拥有证书就拥有的所有的权益。
关于每一个业务系统所要求的用户身份必须持有一张能够信任的有效证书,如何保证证书的有效性和合法性就要完成一系列的证书验证步骤。
NSAE的证书验证体系能够确保非可信的证书认证中心〔CA〕颁发的证书、没有在有效使用期内的证书、差不多作废或者注销的证书无法进行含身份确认的操作。
在证书的有效性验证时同时还进行了证书废弃列表〔CRL〕的验证,确保证书没有被作废或是注销,CRL文件由证书认证中心CA公布在名目服务器上或者是网络链接上。
⏹过滤客户的无用证书
可将NSAE支持的CA证书信息自动发送至连接用户的客户端,在IE扫瞄
器中完成其它CA证书的过滤操作。
如此用户在建立SSL连接的过程中幸免选取NSAE不支持的CA证书。
3.1.1.2SSL加速
NSAE的SSL加速技术不仅能提高服务器性能,同时大幅度缩短响应时刻并增强客户交易流量治理。
所有这一切差不多上从同一地点进行的,无需费钱费劲地在每台服务器上安装额外的硬件或软件。
它与InfosecOS紧密结合,支持多种常用的SSL加密算法,保证端到端SSL加密的安全性,结合完整的证书治理特性,保证在进行安全交易和其他应用时,具有快速、可靠的连接,减轻服务器上处理器〔CPU〕密集型处理的负担,确保快速可靠的完成应用,大幅度缩短响应时刻并提高了服务器的性能,增强了客户交易流量治理,以达到出众的SSL加速性能。
3.1.2服务器负载均衡〔SLB〕
NSAE提供真正面向应用层的、DNS、Radius、以及基于TCP/UDP等多种应用的负载均衡服务,通过定义灵活多样的负载均衡策略,依据丰富的服务器负载均衡算法〔包括轮循算法、最少连接算法、最短响应时刻算法、散列算法等〕,来实现真正的合理流量分配,充分保证了客户应用能够有效、连续的运行。
关于用户而言,访问时延和服务器的可靠性是专门重要的问题。
而随着业务的增长,对拥有多台服务器的用户运营中心来说,不是全部服务器都发挥了其应有的效力。
NSAE的负载均衡服务,使每台服务器的处理能力都能得到充分的发挥,能够实现如下的功能:
⏹提供真正面向应用层的WWW、DNS、FTP,以及基于固定端口的TCP/UDP等应用的负载均衡;
⏹无需改动网络拓扑结构,即可实现功能;
⏹功能强大,支持路由功能-依照实际响应时刻的负载平稳算法来实现真正的合理的流量分配。
3.1.2.1工作模式
NSAE的服务器负载均衡能够以两种模式执行:
ReverseProxyMode〔反向代理模式〕和TransparentMode〔透亮模式〕。
⏹ReverseProxyMode〔反向代理模式〕
使用NSAE的反向代理服务能够将要求转发给内部的服务器,让NSAE将要求平均地转发给多台内部服务器之一上,从而达到负载均衡的目的。
这种代理方式与一般的代理方式有所不同,标准代理方式是客户使用代理访问多个外部服务器,而这种代理方式是多个客户使用它访问内部服务器,因此也被称为反向代理模式。
其传输流程如下所示:
反向代理模式的优点:
能够采纳One-armed的结构部署;
能够通过连接池技术增强系统性能。
反向代理模式的局限性:
服务器无法记录哪些IP的客户端曾进行访问。
解决方法:
:
NSAE能够在用户的包头中加入X-Forwarded-For字段,用它记录客户端的IP地址。
⏹TransparentMode〔透亮模式〕
NSAE的透亮模式是指NSAE在转发用户要求时,透亮地将客户端的连接定向到特定的服务器上,即用户的源IP地址对服务器是透亮的,服务器能够明白哪个客户对其进行了访问。
其传输流程如下:
透亮模式的优点:
服务器能够记录哪些IP的客户端曾进行访问。
透亮模式的局限性:
-结构/路由设计必须保证从源服务器端来的响应必须通过NSAE;
-One-armed的结构有可能不能实现;
-由于每个要求的源IP地址都不一样,因此无法利用连接池技术改善系统性能。
3.1.2.2负载均衡算法
NSAE支持多种服务器负载均衡算法〔连续性的和非连续性的〕,包括轮循算法、最少连接算法、响应时刻算法、散列算法、最少连接失误算法,链路带宽算法等等。
此外实际服务器能够被分配不同的加权值来调整被分配的流量。
比如性能高的大型服务器可配置较大的加权值,而为性能较低的小型服务器设置较小的加权值。
为了幸免服务器因过载而崩溃,可为实际服务器指定最大连接阈值来幸免该服务器过载。
任何服务器可被指定为另一台服务器的备份服务器或溢出服务器,从而进一步保证了应用可用性。
⏹非连续性算法〔Non-Persistent〕:
一个客户端的不同的要求可能被分配到一个实服务组中的不同的实服务器上进行处理。
✧轮循算法〔RoundRobin〕:
每一次来自网络的要求轮番分配给内部中的每台服务器,从1至N然后重新开始。
此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置同时平均服务要求相对均衡的情形;
✧最少连接算法〔LeastConnection〕:
客户端的每一次要求服务在服务器停留的时刻都可能会有较大的差异,随着工作时刻的加长,假如采纳简单的轮循或随机均衡算法,每一台服务器上的连接进程可能会产生极大的不同,如此的结果并可不能达到真正的负载均衡。
最少连接数均衡算法对内部中有负载的每一台服务器都有一个数据记录,记录的内容是当前该服务器正在处理的连接数量,当有新的服务连接要求时,将把当前要求分配给连接数最少的服务器,使均衡更加符合实际情形,负载更加均衡。
此种均衡算法适合长时刻处理的要求服务。
✧响应速度算法〔ResponseTime〕:
负载均衡设备对内部各服务器发出一个探测要求〔例如Ping〕,然后依照内部中各服务器对探测要求的最快响应时刻来决定哪一台服务器来响应客户端的服务要求。
此种均衡算法能较好地反映服务器的当前运行状态,但最快响应时刻仅仅指的是负载均衡设备与服务器间的最快响应时刻,而不是客户端与服务器间的最快响应时刻。
⏹连续性算法〔Persistent〕:
从一个特定的客户端发出的要求都被分配到一个实服务组中的同一个实服务器上进行处理。
要紧包括:
✧基于IP的算法
-PersistentIP(pi):
基于用户IP地址来选择服务器。
-HashIP(hi):
基于用户IP地址的HASH值,来选择
升级会员 