信安世紀(jì)NSAE全系列產(chǎn)品技術(shù)白皮書標(biāo)準(zhǔn)版V13

1、信安世紀(jì)NSAE全系列產(chǎn)品技術(shù)白皮書標(biāo)準(zhǔn)版V13信安世紀(jì)應(yīng)用安全網(wǎng)關(guān)NSAE全系列產(chǎn)品技術(shù)白皮書信安世紀(jì)科技有限公司INFOSEC TECHNOLOGIES CO.,LTD二零零八年知識產(chǎn)權(quán)聲明本白皮書中的內(nèi)容是信安世紀(jì)公司 NSAE應(yīng)用安全網(wǎng)關(guān)產(chǎn)品技術(shù)講明 書。本材料的有關(guān)權(quán)益歸信安世紀(jì)公司所有。白皮書中的任何部分未經(jīng)本 公司許可，不得轉(zhuǎn)印、影印或復(fù)印及傳播。? 2007信安世紀(jì)科技有限公司All rights reserved.NSAE應(yīng)用安全網(wǎng)關(guān)產(chǎn)品技術(shù)白皮書刖 1第1章產(chǎn)品概述1公司介紹1產(chǎn)品體系介紹3產(chǎn)品背景3第2章產(chǎn)品簡介5產(chǎn)品型號5產(chǎn)品應(yīng)用7產(chǎn)品功能9功能特性9應(yīng)用加速（SSL加

2、速）9服務(wù)器負(fù)載均衡（SLB）11鏈路負(fù)載均衡（LLB）1619全局服務(wù)負(fù)載分擔(dān)（GSLB）其他功能22部署方式25產(chǎn)品優(yōu)勢26第4章技術(shù)特性28產(chǎn)品特性28硬件特性30性能特性31第5章 總結(jié) 32當(dāng)前，不管在政府網(wǎng)、金融網(wǎng)、企業(yè)網(wǎng)、校園網(wǎng)依舊在廣域網(wǎng)如Internet上，業(yè)務(wù)量的進(jìn)展都超出了過去最樂觀的估量，用戶大量的信息要求， 持續(xù)更新的應(yīng)用需求以及對業(yè)務(wù)不間斷的連續(xù)訪咨詢，成為應(yīng)用服務(wù)商解 決互聯(lián)網(wǎng)服務(wù)，獲得用戶認(rèn)可的關(guān)鍵因素，即使按照當(dāng)時最優(yōu)條件配置建 設(shè)的網(wǎng)絡(luò)，面對不間斷、快速的用戶增長，服務(wù)器也會無法承擔(dān)。原有鏈 路也會因為用戶量的持續(xù)增大導(dǎo)致用戶訪咨詢速度過慢，鏈路擁塞，網(wǎng)絡(luò)

3、故障頻繁，專門是各個網(wǎng)絡(luò)的核心部分，其數(shù)據(jù)流量和運算強度之大，使 得單一設(shè)備全然無法承擔(dān)，而如何在完成同樣功能的多個鏈路及網(wǎng)絡(luò)設(shè)備 之間實現(xiàn)合理的業(yè)務(wù)量分配，使之不至于顯現(xiàn)一臺設(shè)備過忙、而別的設(shè)備 卻未充分發(fā)揮處理能力的情形，就成為信息提供商及應(yīng)用服務(wù)商必須克服 的咨詢題，負(fù)載均衡機(jī)制也因此應(yīng)運而生。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價有效的方法擴(kuò) 展服務(wù)器帶寬和增加吞吐量，加大網(wǎng)絡(luò)數(shù)據(jù)處理能力，提升網(wǎng)絡(luò)的靈活性 和可用性。它要緊完成以下任務(wù)：解決網(wǎng)絡(luò)擁塞咨詢題，服務(wù)就近提供， 實現(xiàn)地理位置無關(guān)性；多條鏈路接入，按照鏈路響應(yīng)速度，提供最快的訪 咨詢方式，針對故障鏈路進(jìn)行智能自動切換

4、，保證客戶不間斷訪咨詢；為 用戶提供更好的訪咨詢質(zhì)量；提升服務(wù)器響應(yīng)速度；提升服務(wù)器及其他資 源的利用效率；幸免了網(wǎng)絡(luò)關(guān)鍵部位顯現(xiàn)單點失故障導(dǎo)致所有服務(wù)停止。針對負(fù)載均衡的運行機(jī)制及應(yīng)用策略方面，按照負(fù)載均衡的工作原理 能夠分為鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡、廣域網(wǎng)負(fù)載均衡三種負(fù)載均衡 方式。三種負(fù)載均衡機(jī)制，按照用戶針對不同環(huán)境及應(yīng)用的負(fù)載均衡要求 進(jìn)行服務(wù)，滿足用戶對各個應(yīng)用層面及網(wǎng)絡(luò)層次的負(fù)載均衡需求?？傊?，負(fù)載均衡是一種策略，它能讓多條鏈路或多臺服務(wù)器共同承擔(dān) 一些繁重的運算或I/O任務(wù)，從而以較低成本排除網(wǎng)絡(luò)瓶頸，提升網(wǎng)絡(luò)的靈 活性和可用性。針對當(dāng)前形勢，信安世紀(jì)公司分析各行業(yè)多種應(yīng)用

5、的要求，自主研發(fā) 了適用于廣域網(wǎng)、內(nèi)部網(wǎng)、獨立子網(wǎng)的負(fù)載均衡設(shè)備 NSAE。解決客戶針對 鏈路、服務(wù)器、廣域網(wǎng)負(fù)載均衡的各種需求。信安世紀(jì)推出的NSAE系列產(chǎn)品，采取了 ALL IN ONE的設(shè)計策略， 把服務(wù)器負(fù)載均衡、鏈路負(fù)載均衡、廣域網(wǎng)負(fù)載均衡三種產(chǎn)品集成在一個 設(shè)備中。真正實現(xiàn)了鏈路、服務(wù)器、廣域網(wǎng)負(fù)載均衡三種服務(wù)的無縫接入。 在最低成本的操縱下滿足了客戶多方面的應(yīng)用需求。同時在無需改變現(xiàn)有 網(wǎng)絡(luò)的情形下，即可進(jìn)行負(fù)載均衡設(shè)備的部署及升級，在應(yīng)用及網(wǎng)絡(luò)層次 增加了客戶系統(tǒng)的安全性及穩(wěn)固性。產(chǎn)品概述公司介紹信安世紀(jì)科技有限公司成立于1998年，是中國領(lǐng)先的應(yīng)用安全產(chǎn)品 和解決方案供應(yīng)商，

6、要緊為金融、電信等行業(yè)和政府機(jī)構(gòu)提供應(yīng)用安全的 產(chǎn)品、解決方案和服務(wù)。信安世紀(jì)作為業(yè)內(nèi)資深的應(yīng)用安全廠商， 有多年的應(yīng)用安全領(lǐng)域的體 會積存和強大的治理和研發(fā)團(tuán)隊，不僅有成熟的安全產(chǎn)品為客戶提供方 便、快速的安全實現(xiàn)；同時針對大量的應(yīng)用安全需求，提供優(yōu)質(zhì)的咨詢服 務(wù)、客戶化開發(fā)和安全系統(tǒng)愛護(hù)監(jiān)控服務(wù)。 信安公司現(xiàn)有一支由應(yīng)用安全 領(lǐng)域?qū)I(yè)開發(fā)人員和資深金融行業(yè)專家組成的強大的研發(fā)隊伍，保證提供先進(jìn)、可靠、高效的產(chǎn)品；另外還有專業(yè)、盡職的技術(shù)服務(wù)隊伍，負(fù)責(zé)項 目實施和售后技術(shù)服務(wù)，為客戶提供專業(yè)的技術(shù)服務(wù)。信安世紀(jì)迄今差不多為包括中國工商銀行總行、中國農(nóng)業(yè)銀行總行、 中國交通銀行總行、上海浦東進(jìn)

7、展銀行、北京銀行在內(nèi)的二十多家銀行提 供了網(wǎng)上銀行的通訊安全、交易安全愛護(hù)；中國證券登記結(jié)算有限責(zé)任公 司等金融機(jī)構(gòu)建立了基于PKI體系的證書系統(tǒng)，為業(yè)務(wù)系統(tǒng)提供了身份認(rèn) 證、加密傳輸?shù)陌踩珢圩o(hù)；隨著電子商務(wù)和電子政務(wù)的興起，我公司為國 家煙草總局、中國石油、鞍山鋼鐵公司、沈陽一汽財務(wù)公司、上海汽車集 團(tuán)、上海移動通信和首都鋼鐵集團(tuán)等多家聞名企業(yè)提供了保證資金結(jié)算、 網(wǎng)上交易安全的解決方案。信安世紀(jì)與眾多聞名企業(yè)、優(yōu)質(zhì)客戶建立了長期、穩(wěn)固的戰(zhàn)略伙伴關(guān) 系，在技術(shù)合作、市場推廣和行業(yè)進(jìn)展上開展了卓有成效的工作。在以后 的進(jìn)展中，公司將加大對客戶需求的了解，為客戶提供具有創(chuàng)新價值的應(yīng) 用解決方案，

8、更好地為客戶提供優(yōu)質(zhì)的服務(wù)；公司還將致力于與合作伙伴 共同進(jìn)展，加大新技術(shù)交流，促進(jìn)應(yīng)用安全行業(yè)的蓬勃進(jìn)展。在新產(chǎn)品NSAE的應(yīng)用及實施方面，信安公司差不多在北京銀行、北 京農(nóng)村商業(yè)銀行、華夏銀行、中國煙草總局、中國石化、國家電網(wǎng)通過了 嚴(yán)格的性能、壓力及應(yīng)用測試，設(shè)備測試結(jié)果達(dá)到了國際國內(nèi)先進(jìn)水平， 完全滿足客戶的需求。同時成功的部署在多個行業(yè)各個應(yīng)用服務(wù)，及核心 生產(chǎn)環(huán)境中。完全解決了客戶針對鏈路、服務(wù)器負(fù)載均衡方面的咨詢題， 全方面提升了客戶的行業(yè)競爭力，以及生產(chǎn)環(huán)境設(shè)備及鏈路接入的穩(wěn)固不 間斷運行。LlnkSafeii忖ale口門身份認(rèn)證網(wǎng)接制紹身份管理按照五大安全共身份治理：N 態(tài)密

9、碼系統(tǒng)）內(nèi)容安全：Ne抗否認(rèn)編WfeN安全網(wǎng)關(guān)）、BiSafeign （簽etSafe （網(wǎng)安通）、NetCertNSAENetSafeNet Pass能的要求我們將產(chǎn)生si k產(chǎn)品背景隨著網(wǎng)絡(luò)通信的進(jìn)展，網(wǎng)絡(luò)規(guī)模的持續(xù)擴(kuò)大，以及數(shù)字接入專線價格 的持續(xù)下調(diào)，客戶對業(yè)務(wù)的需求也隨著網(wǎng)絡(luò)通信的持續(xù)進(jìn)展變得更加多樣 化，對運營服務(wù)的要求也越來越嚴(yán)格，如何充分利用服務(wù)資源，平穩(wěn)鏈路 利用率，提升客戶訪咨詢速度，確保客戶的不間斷訪咨詢以及鏈路服務(wù)的 正常運轉(zhuǎn)和切換，差不多成為運營服務(wù)商提升服務(wù)， 爭取更多用戶認(rèn)可的 首要難題。目前用戶普遍采納電信、網(wǎng)通兩條鏈路接入，實現(xiàn)鏈路自動切換， 為外網(wǎng)及內(nèi)網(wǎng)用戶

10、提供7*24小時的不間斷訪咨詢、當(dāng)其中一條鏈路顯現(xiàn) 咨詢題后，系統(tǒng)自動切換到正常的鏈路上工作，保證服務(wù)的不間斷運行。 由于多鏈路解決方案能夠提供更好的可用性和帶寬性能，它正在被越來越多的企業(yè)所采納?？捎眯缘奶嵘齺碜杂诙鄺l鏈路的使用， 而性能提升則是 因為同時使用多條鏈路增加了帶寬擴(kuò)充了流量。多鏈路方案能夠提升企業(yè)業(yè)務(wù)的可用性和性能，但這種方案也面臨著專門的咨詢題和挑戰(zhàn)。在多鏈路環(huán)境的實際應(yīng)用中，鏈路沒有更好的進(jìn)行負(fù)載分擔(dān)。多鏈路 網(wǎng)絡(luò)解決方案僅僅是“共享”式，而不是真正的負(fù)載均衡；由于各個運營 商之間存在互聯(lián)互通的咨詢題， 沒有實現(xiàn)按照網(wǎng)絡(luò)就近性的路徑判定； 對 流入的流量沒有專門好的解決按照

11、網(wǎng)絡(luò)的就近性來導(dǎo)向用戶的訪咨詢要 求。使外部的用戶能最快的訪咨詢對外服務(wù)； 對流出的流量無法解決自動 選擇最快鏈路，達(dá)要目標(biāo)資源的訪咨詢策略；關(guān)于鏈路的健康狀況也不能 實時監(jiān)測，也解決不了鏈路容災(zāi)，也確實是當(dāng)某一條鏈路顯現(xiàn)故障后，將 其流量導(dǎo)向另外鏈路的策略。因此基于以上的咨詢題，鏈路負(fù)載均衡的解 決方案成為眾多服務(wù)商、以及多鏈路接入客戶必須解決的咨詢題。在多服務(wù)器環(huán)境的實際應(yīng)用中現(xiàn)有的服務(wù)器工作模式一樣為Active/Standby現(xiàn)有的這種架構(gòu)導(dǎo)致了一臺服務(wù)器總是處于待機(jī)狀態(tài)，而另一臺服務(wù)器則總是處于滿負(fù)荷工作，負(fù)責(zé)了整個應(yīng)用的處理及運算。 這種模式的 服務(wù)器架構(gòu)必定導(dǎo)致了當(dāng)現(xiàn)有用戶量一旦

12、超出單臺服務(wù)器的運算能力的 時候，整個服務(wù)器組會宕掉，用戶面對這種情形的時候只有升級服務(wù)器才 能夠解決咨詢題。然而連續(xù)的升級服務(wù)器導(dǎo)致了資金大量的白費，及服務(wù)器資源的白費。服務(wù)器負(fù)載均衡機(jī)制能夠簡單的解決這種咨詢題， 當(dāng)用戶部署了服務(wù) 器負(fù)載均衡后，所有后臺服務(wù)器均處于Active狀態(tài)，按照負(fù)載均衡定義的 策略，保持服務(wù)器進(jìn)行均衡的工作。提升了現(xiàn)有服務(wù)器 70%的工作效率， 幸免了由于單臺服務(wù)器顯現(xiàn)故障導(dǎo)致的整個業(yè)務(wù)的終止， 同時保證了當(dāng)用 戶量連續(xù)上升時，無需再次升級服務(wù)器。信安世紀(jì)服務(wù)器負(fù)載均衡還具有完善的健康檢查功能，保證了每臺服 務(wù)器工作狀態(tài)的正常，幸免了由于服務(wù)器應(yīng)用軟件處于假死狀態(tài)

13、而導(dǎo)致服 務(wù)器工作顯現(xiàn)咨詢題。針對后臺服務(wù)狀態(tài)類型，信安世紀(jì)負(fù)載均衡產(chǎn)品提 供了最完善的健康檢查策略保證了用戶所有業(yè)務(wù)的正常工作狀態(tài)。產(chǎn)品簡介信安世紀(jì)應(yīng)用安全網(wǎng)關(guān)系列產(chǎn)品(后簡稱為 NSAE)是一款集成了 SSL加速、負(fù)載均衡等多種功能于一體的新型應(yīng)用前端加速負(fù)載均衡設(shè)備。不同于以往單純的負(fù)載均衡產(chǎn)品，NSAE不再局限于負(fù)載均衡應(yīng)用， 還具有SSL加速、鏈路負(fù)載均衡、廣域網(wǎng)負(fù)載均衡、集群、應(yīng)用安全防 火墻、高速緩存、HTTP壓縮等多種功能能夠自由選擇，充分考慮了用戶 的實際需求，能夠極大的改善企業(yè)應(yīng)用的可靠性、性能和安全性，同時降 低了整體成本和數(shù)據(jù)中心的復(fù)雜度， 提升了應(yīng)用的處理能力，為用戶

14、提供 了全新的易用、高效、穩(wěn)固的保證信息安全的屏障。產(chǎn)品型號信安世紀(jì)NSAE系列產(chǎn)品采取了 ALL IN ONE的設(shè)計理念，通過高 度集成的模塊化設(shè)計實現(xiàn)在單臺設(shè)備中集成了鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡、防火墻負(fù)載均衡、SSL加速、防火墻等功能，面對客戶多層次應(yīng)用 的需求只需要增加相應(yīng)的模塊即可。為滿足不同規(guī)模用戶的需求，我們按照產(chǎn)品功能分為鏈路負(fù)載均衡(N SAE-LT)、服務(wù)器負(fù)載均衡(NSAE-NL)、SSL應(yīng)用安全網(wǎng)關(guān)(NSAE-NS)、 服務(wù)器負(fù)載均衡&SSL應(yīng)用安全網(wǎng)關(guān)(NSAE-NB)四種產(chǎn)品類型。服務(wù)器負(fù)載均衡(NSAE-NL)型號列表產(chǎn)品型號范疇NSAE1000-NL適用于用戶

15、數(shù)量不多、應(yīng)用訪咨詢較少、負(fù)載增長量小的中小型應(yīng)用， 能夠降低成本、提升可靠性。NSAE2000-NL適用于用戶數(shù)量較多、應(yīng)用訪咨詢量較大、負(fù)載增長量較快的中小型 應(yīng)用，能夠降低成本、減小愛護(hù)風(fēng)險、提升應(yīng)用可靠性、幸免單臺服 務(wù)器故障。NSAE10000-NL適用于用戶數(shù)量較多且訪咨詢量、負(fù)載增長較快的中型以上應(yīng)用項目， 能夠滿足今后應(yīng)用擴(kuò)展的需求，并提升性能。NSAE20000-NL適用于訪咨詢量以及負(fù)載量專門大的大型應(yīng)用，提升整個應(yīng)用平臺的 處理能力，提供不中斷的優(yōu)質(zhì)應(yīng)用服務(wù)。NSAE-NL產(chǎn)品型號表鏈路負(fù)載均衡(NSAE-LT)型號列表產(chǎn)品型號范疇NSAE1000-LT適用于用戶數(shù)量不多

16、、鏈路接入帶寬小、應(yīng)用訪咨詢較少的中小型應(yīng) 用，能夠降低成本、提升可靠性。NSAE2000-LT適用于用戶數(shù)量較多、鏈路接入帶寬較大、應(yīng)用訪咨詢量較大、訪咨 詢業(yè)務(wù)增長較快的中小型應(yīng)用，能夠降低成本、減小愛護(hù)風(fēng)險、提升 應(yīng)用可靠性、幸免單臺服務(wù)器故障。NSAE10000-LT適用于用戶數(shù)量較多、鏈路接入帶寬專門大、訪咨詢量增長較快的中 型以上應(yīng)用項目，能夠充分滿足今后應(yīng)用擴(kuò)展的需求。NSAE20000-LT適用于訪咨詢量以及鏈路負(fù)載量專門大的大型應(yīng)用，提升整個應(yīng)用平 臺的處理能力，為用戶提供不間斷鏈路服務(wù)。NSAE-LT產(chǎn)品型號表SSL應(yīng)用安全網(wǎng)關(guān)(NSAE-NS)型號列表產(chǎn)品型號范疇NSAE

17、1000-NS適用于用戶數(shù)量不多、應(yīng)用訪咨詢較少的中小型應(yīng)用，能夠通過SSL加密技術(shù)提升現(xiàn)有業(yè)務(wù)的安全性。NSAE2000-NS適用于用戶數(shù)量較多、應(yīng)用訪咨詢量較大、訪咨詢業(yè)務(wù)增長較快的中 小型應(yīng)用，能夠通過 SSL加密技術(shù)提升現(xiàn)有業(yè)務(wù)的安全性。NSAE10000-NS適用于用戶數(shù)量較多、訪咨詢量增長較快的中型以上應(yīng)用項目，能夠 通過SSL加密技術(shù)提升現(xiàn)有業(yè)務(wù)的安全性。問時充分滿足今后應(yīng)用擴(kuò) 展的需求。NSAE20000-NS適用于用戶群龐大、訪咨詢量專門高的大型應(yīng)用，能夠通過SSL加密技術(shù)提升現(xiàn)有業(yè)務(wù)的安全性。NSAE-NS產(chǎn)品型號表負(fù)載均衡+SSL應(yīng)用安全網(wǎng)關(guān)（NSAE-NB ）型號列表產(chǎn)

18、品型號范疇NSAE1000-NB適用于用戶數(shù)量不多、應(yīng)用訪咨詢較少的中小型應(yīng)用，為用戶提供服 務(wù)器負(fù)載均衡及應(yīng)用安全網(wǎng)關(guān)功能。NSAE2000-NB適用于用戶數(shù)量較多、應(yīng)用訪咨詢量較大、訪咨詢業(yè)務(wù)增長較快的中 小型應(yīng)用為用戶提供服務(wù)器負(fù)載均衡及應(yīng)用安全網(wǎng)關(guān)功能。NSAE10000-NB適用于用戶數(shù)量較多、訪咨詢量增長較快的中型以上應(yīng)用項目為用戶 提供服務(wù)器負(fù)載均衡及應(yīng)用安全網(wǎng)關(guān)功能。問時充分滿足今后應(yīng)用擴(kuò) 展的需求。NSAE20000-NB適用于用戶群龐大、訪咨詢量專門高的大型應(yīng)用為用戶提供服務(wù)器負(fù) 載均衡及應(yīng)用安全網(wǎng)關(guān)功能。NSAE-NB產(chǎn)品型號表產(chǎn)品應(yīng)用日一 口 1 0 度 Z；D產(chǎn)品架構(gòu)

19、同類產(chǎn)品往往由多個單一功能設(shè)備組成，數(shù)據(jù)傳輸延遲大、治理愛護(hù) 困難，用戶往往為了實現(xiàn)一個簡單的需求需要改變整個網(wǎng)絡(luò)結(jié)構(gòu)或需要購 買其它的網(wǎng)絡(luò)硬件產(chǎn)品。而NSAE則集多功能于一體，具備高性能、高可 靠性，為客戶節(jié)約大量的硬件、愛護(hù)、設(shè)置、和人力方面的投入。產(chǎn)品功能功能特性NSAE產(chǎn)品系列提供一個將諸多復(fù)雜 Web設(shè)備化零為整的解決方案， 能夠完全解決客戶系統(tǒng)存在的咨詢題。 它是一個真正的將眾多重要的網(wǎng)絡(luò) 功能合為一體的集成化應(yīng)用系統(tǒng)，這些網(wǎng)絡(luò)功能包括服務(wù)器負(fù)載均衡（ S LB）,全局服務(wù)器負(fù)載均衡（GSLB）, SSL加速， WebWall安全，鏈路 負(fù)載平穩(wěn)（LLB ）, HTTP壓縮等。應(yīng)用

20、加速（SSL加速）SSL （安全套接層協(xié)議）差不多成為發(fā)送安全互聯(lián)網(wǎng)通信的標(biāo)準(zhǔn)協(xié)議。 它是一種對用戶進(jìn)行鑒權(quán)的公鑰加密方案。 第一，服務(wù)器向客戶機(jī)發(fā)送承 認(rèn)其可靠性的認(rèn)證；然后，使用共享密鑰來對發(fā)送方與接收方之間的數(shù)據(jù) 進(jìn)行加密，例如，當(dāng)發(fā)送方確認(rèn)接收方正確無誤時，會為數(shù)據(jù)包加上一個 安全的“外殼”（加密），同時通過線纜傳輸此數(shù)據(jù)包。必須在目的地將此 “外殼”去掉，才能使用該數(shù)據(jù)包信息。其它的步驟還包括：認(rèn)證、加密 和解密，這極大地增加了 Web服務(wù)器的流量處理負(fù)擔(dān)，NSAE內(nèi)置SSL 加速功能使咨詢題迎刃而解。SSL安全傳輸信息加密，建立SSL安全傳輸信道加密傳輸采納了高強度的加密算法對傳輸

21、的數(shù)據(jù)內(nèi)容進(jìn)行愛護(hù)，各種如業(yè)務(wù)賬號和口令等敏銳的信息被愛護(hù)起來， 杜絕了信息的泄露，同時對 同意的數(shù)據(jù)是否在傳輸過程中被篡改進(jìn)行精確檢測，保證了同意數(shù)據(jù)的完整性，確保了所傳輸?shù)男畔⒉槐恢型靖`取和篡改。 關(guān)于沒有合法身份的用 戶，其連接要求將被拒絕，NSAE只承諾那些擁有合法數(shù)字證書的用戶進(jìn) 行網(wǎng)絡(luò)連接，充分保證用戶身份的合法性，從而限制了非法用戶對內(nèi)網(wǎng)的 訪咨詢。支持4-7層應(yīng)用加密傳輸信道NSAE的SSL加速功能實現(xiàn)對HTTP應(yīng)用進(jìn)行安全加密，能夠同時作為普通資源和安全資源的代理服務(wù)器。此外還能夠?qū)?TCP協(xié)議進(jìn)行加密， 實現(xiàn)TCPS協(xié)議下的安全數(shù)據(jù)傳輸，提供4-7層應(yīng)用的加密功能，使客戶

22、端的內(nèi)容由原先的明文傳輸變?yōu)?SSL加密傳輸，大大增加了安全性。端到端的安全數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)，支持多種 C/S應(yīng)用模式國內(nèi)目前大多數(shù)的SSL安全代理服務(wù)器是針對B/S應(yīng)用的，部署在 需要愛護(hù)的Web服務(wù)器前端，與掃瞄器建立 SSL連接，并轉(zhuǎn)發(fā)HTTP協(xié) 議。NSAE支持客戶端的C/S模式應(yīng)用，并能夠同時支持多種 B/S和C/S 模式的應(yīng)用。應(yīng)用安全網(wǎng)關(guān)服務(wù)器監(jiān)聽局域網(wǎng)內(nèi)的端口，為一個局域網(wǎng)端內(nèi)服務(wù)， 無需用戶安裝配置客戶端軟件，大大提升系統(tǒng)的易用性，減少部署和愛護(hù) 的難度。多種后臺傳遞用戶信息的方式以HTTP參數(shù)方式向Web服務(wù)器傳送用戶證書信息，例如證書中的 主題、序列號等信息，這些 HTTP參

23、數(shù)以URL、屬性、Cookie等多種形 式傳遞到Web應(yīng)用系統(tǒng)，應(yīng)用能夠按照這些信息進(jìn)行進(jìn)一步的治理操作。資源訪咨詢權(quán)限操縱NSAE支持三種HTTP連接方式：HTTP連接、單向SSL連接（客戶不需 要提供證書）和雙向SSL連接。HTTP連接是透亮信息傳遞、身份無 法識別；單向SSL連接完成了加密信息的傳遞，保證了信息的保密性和 完整性，然而客戶身份無法確認(rèn)；只有雙向的 SSL連接的安全性最高。 不同的后臺應(yīng)用針對的用戶群體不同， 通常而言關(guān)鍵的安全應(yīng)用只提供給 有可信身份的用戶，NSAE提供的資源訪咨詢權(quán)限操縱功能能夠?qū)⒍沤^低 安全性的連接訪咨詢該安全性的業(yè)務(wù)系統(tǒng)。對Web資源的一樣訪咨詢操縱

24、，基于 ACL （訪咨詢操縱表）方式， 實現(xiàn)對認(rèn)證用戶和非認(rèn)證用戶的訪咨詢操縱，支持以證書主題和時刻等要素進(jìn)行操縱，并能夠設(shè)定拒絕訪咨詢的級別。靈活的證書驗證機(jī)制數(shù)字證書作為連接雙方的電子身份證， 保證了傳輸?shù)目勺R別性，然而 這并不意味著，擁有證書就擁有的所有的權(quán)益。關(guān)于每一個業(yè)務(wù)系統(tǒng)所要 求的用戶身份必須持有一張能夠信任的有效證書，如何保證證書的有效性和合法性就要完成一系列的證書驗證步驟。NSAE的證書驗證體系能夠確 保非可信的證書認(rèn)證中心（CA）頒發(fā)的證書、沒有在有效使用期內(nèi)的證 書、差不多作廢或者注銷的證書無法進(jìn)行含身份確認(rèn)的操作。在證書的有效性驗證時同時還進(jìn)行了證書廢棄列表（ CRL）

25、的驗證， 確保證書沒有被作廢或是注銷，CRL文件由證書認(rèn)證中心 CA公布在名目 服務(wù)器上或者是網(wǎng)絡(luò)鏈接上。過濾客戶的無用證書可將NSAE支持的CA證書信息自動發(fā)送至連接用戶的客戶端，在 IE掃 瞄器中完成其它CA證書的過濾操作。如此用戶在建立SSL連接的過程 中幸免選取NSAE不支持的CA證書。SSL加速NSAE的SSL加速技術(shù)不僅能提升服務(wù)器性能，同時大幅度縮短響應(yīng) 時刻并增強客戶交易流量治理。所有這一切差不多上從同一地點進(jìn)行的， 無需費鈔票費勁地在每臺服務(wù)器上安裝額外的硬件或軟件。它與Infosec OS緊密結(jié)合，支持多種常用的 SSL加密算法，保證端 到端SSL加密的安全性，結(jié)合完整的證

26、書治理特性，保證在進(jìn)行安全交 易和其他應(yīng)用時，具有快速、可靠的連接，減輕服務(wù)器上處理器（ CPU） 密集型處理的負(fù)擔(dān)，確?？焖倏煽康耐瓿蓱?yīng)用，大幅度縮短響應(yīng)時刻并提 升了服務(wù)器的性能，增強了客戶交易流量治理，以達(dá)到出眾的SSL加速性能。服務(wù)器負(fù)載均衡（SLB）NSAE提供真正面向應(yīng)用層的 HTTP、DNS、Radius、以及基于TCP/UDP等多種應(yīng)用的負(fù)載均衡服務(wù)，通過定義靈活多樣的負(fù)載均衡策略， 依據(jù)豐富的服務(wù)器負(fù)載均衡算法（包括輪循算法、最少連接算法、最短響 應(yīng)時刻算法、散列算法等），來實現(xiàn)真正的合理流量分配，充分保證了客 戶應(yīng)用能夠有效、連續(xù)的運行。關(guān)于用戶而言，訪咨詢時延和服務(wù)器的可

27、靠性是專門重要的咨詢題。 而隨著業(yè)務(wù)的增長，對擁有多臺服務(wù)器的用戶運營中心來講，不是全部服 務(wù)器都發(fā)揮了其應(yīng)有的效力。 理能力都能得到充分的發(fā)揮, 提供真正面向應(yīng)用層的CP/UDP等應(yīng)用的負(fù)載均衡; 無需改動網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),NSAE的負(fù)載均衡服務(wù)，使每臺服務(wù)器的處能夠?qū)崿F(xiàn)如下的功能：WWW、DNS、FTP,以及基于固定端口的 T即可實現(xiàn)功能;真正的合理的流量分配ON（反n terneReverse ProxrNSAEIInsideAE擅工用服片器負(fù)載均衡能夠以兩種模式執(zhí)行：里模用I和Transparent Mode （透亮模式）Reverse Proxy臺前部修餐紗生從而達(dá)到負(fù)載均衡的目Mode

28、NS的。這種代理方式與二般的代理方增治辨笨肉產(chǎn)標(biāo)準(zhǔn)代理方式是客戶使用代理邊咨詢多個處覆服務(wù)器，而這種代理方式是多個客戶使用它訪咨詢 內(nèi)反向代理模式。其傳輸流程如下所示：功能強大，支持路由功能-按照實際響應(yīng)時刻的負(fù)載平穩(wěn)算法來實現(xiàn)反向代理模式的優(yōu)點：能夠采納One-armed的結(jié)構(gòu)部署；能夠通 過連接池技術(shù)增強系統(tǒng)性能。反向代理模式的局限性：服務(wù)器無法記錄哪些IP的客戶端曾進(jìn)行訪解則第不呼A*育節(jié)多在用戶泮餅TP談州?7貝贊FOrwarded-For 字段，尾空篝石端4 Ip地址*3 NSAE打理儕。曲葦?shù)?并發(fā)髓件眼*i力士匚L建通呢N/A匚/|號、ZE1曰 NSA匚干，衣L/fl廠女刁、口,

29、 也冗兒”寸占廠 端的多投fi而設(shè)，4器上，育即甫行號稿用IP地址對服務(wù)器是透亮的, 服簾洞明白哪除戶斗其進(jìn)行了訪咨詢。其傳輸流程如下：SaverlServer2 /透亮模式的優(yōu)點：服務(wù)器能夠記錄哪些IP的客戶端曾進(jìn)行訪咨透亮模式的局限性：-結(jié)構(gòu)/路由設(shè)計必須保證從源服務(wù)器端來的響應(yīng)必須通過NSAE ;一One-armed的結(jié)構(gòu)有可能不能實現(xiàn)；-由于每個要求的源IP地址都不一樣，因此無法利用連接池技術(shù)改 善系統(tǒng)性能。負(fù)載均衡算法NSAE支持多種服務(wù)器負(fù)載均衡算法(連續(xù)性的和非連續(xù)性的)，包 括輪循算法、最少連接算法、響應(yīng)時刻算法、散列算法、最少連接失誤算 法，鏈路帶寬算法等等。此外實際服務(wù)器能

30、夠被分配不同的加權(quán)值來調(diào)整 被分配的流量。例如性能高的大型服務(wù)器可配置較大的加權(quán)值，而為性能較低的小型服務(wù)器設(shè)置較小的加權(quán)值。 為了幸免服務(wù)器因過載而崩潰，可 為實際服務(wù)器指定最大連接閾值來幸免該服務(wù)器過載。任何服務(wù)器可被指定為另一臺服務(wù)器的備份服務(wù)器或溢出服務(wù)器，從而進(jìn)一步保證了應(yīng)用可用性。非連續(xù)性算法(Non-Persistent): 一個客戶端的不同的要求可能被分 配到一個實服務(wù)組中的不同的實服務(wù)器上進(jìn)行處理輪循算法(Round Robin)：每一次來自網(wǎng)絡(luò)的要求輪番分配給內(nèi)部中 的每臺服務(wù)器，從1至N然后重新開始。此種均衡算法適合于服務(wù)器組 中的所有服務(wù)器都有相同的軟硬件配置同時平均服

31、務(wù)要求相對均衡的情 形；最少連接算法(Least Connection):客戶端的每一次要求服務(wù)在服務(wù) 器停留的時刻都可能會有較大的差異，隨著工作時刻的加長，如果采納簡單的輪循或隨機(jī)均衡算法，每一臺服務(wù)器上的連接進(jìn)程可能會產(chǎn)生極大的 不同，如此的結(jié)果并可不能達(dá)到真正的負(fù)載均衡。最少連接數(shù)均衡算法對內(nèi)部中有負(fù)載的每一臺服務(wù)器都有一個數(shù)據(jù)記錄，記錄的內(nèi)容是當(dāng)前該服務(wù)器正在處理的連接數(shù)量，當(dāng)有新的服務(wù)連接要求時，將把當(dāng)前要求分配 給連接數(shù)最少的服務(wù)器，使均衡更加符合實際情形，負(fù)載更加均衡。此種 均衡算法適合長時刻處理的要求服務(wù)。響應(yīng)速度算法(Response Time):負(fù)載均衡設(shè)備對內(nèi)部各服務(wù)器發(fā)

32、出 一個探測要求(例如Ping),然后按照內(nèi)部中各服務(wù)器對探測要求的最快 響應(yīng)時刻來決定哪一臺服務(wù)器來響應(yīng)客戶端的服務(wù)要求。此種均衡算法能較好地反映服務(wù)器的當(dāng)前運行狀態(tài)，但最快響應(yīng)時刻僅僅指的是負(fù)載均衡 設(shè)備與服務(wù)器間的最快響應(yīng)時刻，而不是客戶端與服務(wù)器間的最快響應(yīng)時 刻。連續(xù)性算法(Persistent)：從一個特定的客戶端發(fā)出的要求都被分配 到一個實服務(wù)組中的同一個實服務(wù)器上進(jìn)行處理。要緊包括：基于IP的算法Persistent IP (pi)：基于用戶IP地址來選擇服務(wù)器。Hash IP (hi):基于用戶IP地址的HASH值，來選擇服務(wù)器Consistent Hash IP (chi)

33、:基于報頭/要求的算法Hash Header (hh):基于用戶要求報中HTTP報頭來選擇服務(wù)器；-Persistent Hostname (ph):基于用戶要求報中 HTTP 報頭的 Hostname 的HASH值，來選擇服務(wù)器；-Persistent URL (pu):基于對URI Tag和值的靜態(tài)對應(yīng)關(guān)系來選擇服務(wù) 器。-SSL Session ID (sslsid):基于SSL會話ID來選擇服務(wù)器?；贑ookie的算法-Persistent Cookie (pc):選擇服務(wù)器基于用戶要求包用 Cookie Name/ Value的靜態(tài)對應(yīng)關(guān)系；一Hash Cookie (hc):選擇

34、服務(wù)器基于用戶要求包用 Cookie Name / Val ue的Hash值對應(yīng)關(guān)系；-Insert Cookie (ic):選擇服務(wù)器基于NSAE向服務(wù)器響應(yīng)包中插入 Co okie;-Re-write Cookie (rc)：選擇服務(wù)器基于NSAE向服務(wù)器響應(yīng)包中重寫 C ookie值。(必須為重寫指定Cookie值的偏移量)負(fù)載均衡策略NSAE的負(fù)載均衡策略要緊有：基礎(chǔ)性策略、保持性策略、QOS策略。基礎(chǔ)性策略一Static Default Backup保持性策略一Persistent URL一Persistent Cookie一Rewrite Cookie一Insert Cookie一

35、HeaderQOS策略QOS CookieQOS HostnameQOS URLQoS Network一Regular Expression一Header負(fù)載均衡健康檢查NSAE通過對服務(wù)器的實時健康檢查，保證數(shù)據(jù)流量會自動繞過故障 服務(wù)器或不可用服務(wù)器。當(dāng)NSAE的健康檢測機(jī)制，檢測到服務(wù)重視新復(fù) 原正常以后，將使該服務(wù)器能夠自動回到服務(wù)器群之中， 所有這些服務(wù)器 故障的處理，對進(jìn)行操作的用戶是完全透亮的。NSAE對服務(wù)器的健康檢查，可采納三種方式：ICMP檢查：利用ICMP可檢查服務(wù)器的網(wǎng)絡(luò)工作是否正常。TCP檢查：NSAE可與服務(wù)器之間，利用服務(wù)器的服務(wù)端口建立 TCP 連接，檢查服務(wù)器

36、的服務(wù)是否正常。HTTP檢查：NSAE采納HTTP的檢查，來驗證服務(wù)器提供的服務(wù)是 否正常。通過這三種機(jī)制，確保服務(wù)器為用戶提供正確可靠的服務(wù)。用戶再也可不能得到如此要求的響應(yīng) “404 Object Not Found，或響應(yīng)內(nèi)容不正確。鏈路負(fù)載均衡（LLB ）鏈路負(fù)載均衡能夠解決多鏈路下流量分擔(dān)的咨詢題，為用戶的多鏈路的網(wǎng)絡(luò)應(yīng)用提供了專門好的解決方案。通過NSAE的鏈路負(fù)載分擔(dān)功能，能夠?qū)τ脩舻亩噫溌返木W(wǎng)絡(luò)應(yīng)用提 供基于Inbound和Outbound的鏈路負(fù)載分擔(dān)功能，解決多鏈路下流量分擔(dān) 的咨詢題，無法采納BGP的方式實現(xiàn)鏈路的自動切換，保持對終端用戶 的透亮。InboundInbou

37、nd:從互聯(lián)網(wǎng)通過多條專線鏈路連接的 NSAE訪咨詢內(nèi)網(wǎng)當(dāng)有Internet用戶訪咨詢時，DNS服務(wù)器回應(yīng)給用戶由NS AE來完成最終地址解析，NSAE按照具體設(shè)置來選定適當(dāng)?shù)腎SP線路，如果選擇ISP1,則將地址解析為0。同樣，如果選擇ISP2,則 將地址解析為0,從而完成流入流量的負(fù)載均衡。采納SmartDNS時，LLB支持的負(fù)載均衡算法包括：Round RobinNSAE順序的將多個ISP的IP地址作為每次用戶解析要求的返回值。Weighting Round RobbingNSAE為每個ISP的IP地址設(shè)定一個加權(quán)值，并按照加權(quán)值順序的選擇多個ISP的IP地址作為每次用戶解析要求的返回值

38、，權(quán)值大的ISP的IP地址被選擇的次數(shù)多。通過此算法，企業(yè)能夠在多條帶寬不同 的鏈路間合理分配流量，帶寬高的鏈路權(quán)值大，因此承載的流量就高。Shortest Response Time關(guān)于流入的流量，NSAE使用與流出流量相同的最短響應(yīng)時刻判定 機(jī)制，選擇最佳的流入流量傳輸路徑，進(jìn)行最終的解析地址。Source IP-Based Routing按照企業(yè)網(wǎng)絡(luò)的特點，NSAE還提供基于每個數(shù)據(jù)流的源IP地址 的路由選擇算法。NSAE會檢查每個用戶解析要求的源IP地址是否屬于預(yù)先設(shè)定的一個地址范疇，若是，則選擇某一個ISP的IP地址作為該次用戶解析要求的返回值。通過此算法，企業(yè)能夠設(shè)定源IP地址屬于

39、教育網(wǎng)范疇的，通過教育網(wǎng)的鏈路流入，其他流量則通過另一條 鏈路流入。OutboundOutbound:從內(nèi)部網(wǎng)通過多條專線鏈路連接的 NSAE訪咨詢互聯(lián)網(wǎng)關(guān)于流出流量的智能地址治理，NSAE使用了稱為SmartNAT的算法。 當(dāng)選定一個路由器（某一個ISP）傳送流出流量時，NSAE將選擇該ISP 提供的地址。如果NSAE選擇ISP1作為流出流量的路徑，則它將把內(nèi)部 的主機(jī)地址192.168.1.A/24翻譯為0/24,并作為流出數(shù)據(jù)包的源 地址。同樣，如果NSAE選擇ISP2作為流出流量的路徑，則它將把內(nèi)部 的主機(jī)地址192.168.1.A/24翻譯為0/24,并作為流出數(shù)據(jù)包的源 地址。采納

40、SmartNAT時，NSAE支持的負(fù)載均衡算法包括：Round RobinNSAE順序的選擇多個出口鏈路作為每個數(shù)據(jù)流的流出路徑。Weighting Round RobbingNSAE為每個出口鏈路設(shè)定一個加權(quán)值，并按照加權(quán)值順序的選擇多個出口鏈路作為每個數(shù)據(jù)流的流出路徑，權(quán)值大的鏈路被選擇的次數(shù) 多。通過此算法，企業(yè)能夠在多條帶寬不同的鏈路間合理分配流量，帶寬高的鏈路權(quán)值大，因此承載的流量就高。Shortest Response Time為了優(yōu)化流出的流量，NSAE還為流出的流量實施最快響應(yīng)時刻運 算。如果內(nèi)部主機(jī)要訪咨詢某一 Internet站點，可能通過一個ISP的路徑 比通過其他ISP

41、的路徑有效。因此，NSAE能夠提供最短響應(yīng)時刻算法， 為流出到某一個站點的流量選擇最佳的ISP路徑，保證所需內(nèi)容最快到 達(dá)目的地，提升服務(wù)的品質(zhì)。Destination IP-Based Routing按照企業(yè)網(wǎng)絡(luò)的特點，NSAE還提供基于每個數(shù)據(jù)流的目標(biāo)IP地址 的路由選擇算法。NSAE會檢查每個流的目標(biāo)IP地址是否屬于預(yù)先設(shè)定的一Internet Clients個地址師，若是，則二卷作為該數(shù)據(jù)流卜流出路徑。 通過此算法，企業(yè)能夠期患科標(biāo)IP金加屬于教育網(wǎng)范疇的，通過教一條特定年乍為該數(shù)據(jù)流的流出路徑。育網(wǎng) 巴罔日的鏈路流出，|其他流量貝憤it另一條鏈路標(biāo)出NSAE通過5：M支持各種速Mne

42、t或VLAN 啞牌里.能夠同時支持128條鏈率的鏈j，例如一 ：DSL,Cable Modem, T1/E1乂:j、j綏裕+的結(jié)構(gòu)；負(fù)載坨衡算事能夠和爆曲:RR、WRR、SRT、PBR;Inside Client同時通過策略路由（Eroute）功能，能夠更好的滿足用戶對路由功能 的要求。全局服務(wù)負(fù)載分擔(dān)（GSLB）前面提到的SLB （服務(wù)器負(fù)載均衡）是指能夠在性能不同的服務(wù)器之 間進(jìn)行任務(wù)分配，既能保證性能差的服務(wù)器不成為系統(tǒng)的瓶頸，又能保證性能高的服務(wù)器的資源得到充分利用。NSAE的全局服務(wù)負(fù)載分擔(dān)（GSLB）技術(shù)解決異地容災(zāi)咨詢題。GS LB承諾Web網(wǎng)絡(luò)托管商、門戶站點和企業(yè)按照地理位置

43、分配內(nèi)容和服務(wù)， 通過使用多站點內(nèi)容和服務(wù)來提升容錯性和可用性，防止因本地網(wǎng)或區(qū)域網(wǎng)絡(luò)中斷、斷電或自然災(zāi)難而導(dǎo)致的故障。用戶期望其資產(chǎn)能夠全天候為其工作。關(guān)于要確保提供IP服務(wù)的企業(yè)資產(chǎn)能夠隨時可用的產(chǎn)品來講，必須要同時提供基于服務(wù)質(zhì)量的高可用 性和完善的負(fù)載平穩(wěn)功能。采納不能提供高可用性的負(fù)載平穩(wěn)產(chǎn)品將會阻 礙對您IP服務(wù)的投資帶來最大收益。因此，用戶必須要同時提供基于服務(wù)質(zhì)量的高可用性和完善的負(fù)載平 穩(wěn)功能。NSAE的GLSB可提供基于服務(wù)質(zhì)量的高可用性，從而確保用戶站點連續(xù)運行，并使其IP服務(wù)基礎(chǔ)設(shè)施投資獲得最大回報。NSAE的GLSB用以向用戶提供分布于不同地理位置的用戶總部和營 業(yè)部

44、的高可用性和智能化業(yè)務(wù)及流量分擔(dān)解決方案。GSLB的工作方式NSAE GSLB的工作方式如下：DNS把要求送到NSAE上授權(quán)SDNS;NSAE選擇合適VIP地址響應(yīng)要求；用戶利用VIP建立TCP連接，再通過SLB, NSAE把用戶的要求送 給服務(wù)器。NSAE GSLB的目的是在多個可提供相同服務(wù)的站點之間，按照相應(yīng)的分配策略將用戶要求“路由”到合適的站點上。對 GSLB而言，最 重要的一點是每一個NSAE設(shè)備需要明白其他NSAE設(shè)備所把握服務(wù)、 鏈路、系統(tǒng)狀態(tài)信息，這一點通過 NSAE狀態(tài)信息通信協(xié)議（SICP）來 完成的。SICP是NSAE公司的私有協(xié)議，要緊完成 GSLB組中狀態(tài)信息 的交

45、換，需要利用SLB、LLB的健康檢查和狀態(tài)監(jiān)測功能。在GSLB中的NSAE每2秒（可配置）互相交換健康狀態(tài)信息， 每30秒（可配置）互相交換本地服務(wù)器負(fù)載、鏈路負(fù)載、網(wǎng)絡(luò)狀況信息。這 些狀態(tài)信息要緊包括：鏈路可用性LLB、實服務(wù)可用性SLB、虛服務(wù) 可用性、集群狀態(tài)。GSLB的負(fù)載平穩(wěn)算法GSLB的核心是負(fù)載均衡算法，它支持專門豐富的算法，包括以下三 大類：一樣性算法、基于（鏈路、網(wǎng)絡(luò)、系統(tǒng)、服務(wù)）負(fù)載的算法、基于與 用戶距離的算法等。一樣性算法-Round Robin Load Balance：輪詢負(fù)載平穩(wěn)算法?；冢ㄦ溌?、網(wǎng)絡(luò)、系統(tǒng)、服務(wù)）負(fù)載的算法Global Link Load Bal

46、ance一Member-based Weighted Round Robin Load BalanceSite-based Weighted Round Robin Load BalanceConnection Overflow Load Balance一Member-based Volume Overflow Load Balance Site-based Volume Overflow Load Balance一Member-based Hit Overflow Load Balance一Site-based Hit OverfloLflad BalanceResponse Time ba

47、sed Load Balance一Proximity Loadnce一Least Hoad Balance一LeastLateScrwci基于與用戶距離的算法ancy Load Balanc的 Smart 哈。一 i Smart DNS通過其內(nèi)置的IP地址/地域/網(wǎng)絡(luò)對應(yīng)表來實現(xiàn)用戶的 就近訪咨詢策略，當(dāng)位于不同位置的 Local DNS要求到達(dá)的時候，Smart DNS按照對用戶的Local DNS策略判定用戶所處的位置，返回距離用戶 最近的鏡像站點的IP地址。SmartDNS通過智能狀態(tài)檢測功能實現(xiàn)對鏈路、服務(wù)器健康狀態(tài)的檢 測。檢測的策略能夠為ping、TCP端口檢測和內(nèi)容檢測，真正的檢

48、測服務(wù) 器和鏈路的健康狀態(tài)。關(guān)于因故障或檢修而停止服務(wù)的服務(wù)器和鏈路從負(fù) 載均衡組中摘除，并連續(xù)檢測鏈路和服務(wù)器的狀態(tài)，一旦該鏈路或服務(wù)器 復(fù)原健康，則將其連續(xù)加入負(fù)載均衡組。在網(wǎng)絡(luò)狀況復(fù)雜，用戶要求較高的狀況下， SmartDNS可通過在鏡像 站點安裝Probe探針軟件來檢測從各鏡像站點到達(dá)用戶 Local DNS的速 度，通過自我學(xué)習(xí)建立全網(wǎng)網(wǎng)絡(luò)狀況表， 配合智能檢測功能來實現(xiàn)用戶的 最快訪咨詢策略。在SmartDNS的內(nèi)部，采納矩陣算法，對服務(wù)器健康狀態(tài)、網(wǎng)絡(luò)健康狀態(tài)、用戶Disaster使用港終最佳的網(wǎng)絡(luò)服二NSAE的災(zāi)難復(fù)原是指在兩個地理上分離的站點之間提供服務(wù)可靠 性的策略。其中一

49、個站點作為主站點（Primary Site）,另一個作為備份站 點（Backup Site）。當(dāng)主站點工作正常時，所有流量通過主站點；當(dāng)主站 點發(fā)生故障時，NSAE的災(zāi)難復(fù)原功能就會把所有要求轉(zhuǎn)到備份站點，備 份站點來處理主站點所有的網(wǎng)絡(luò)要求；當(dāng)主站點故障復(fù)原時，NSAE會把所有的要求轉(zhuǎn)回到主站 點上。其他功能內(nèi)置防火墻（Webwall）內(nèi)建基于狀態(tài)檢測的的防火墻一 Webwall,對比其他基于ACL的防火 墻產(chǎn)品，NSAE的Webwall具有專門的加速算法，使得 ACL條目的增加 可不能阻礙整個系統(tǒng)的性能。基于NSAE強大的處理性能（每秒可支持1, 000,000并發(fā)連接），Webwall

50、可抵御 DOS、SYNC Flood、Buffer Overflo w Attacks Parser Evasion Attacks Directory Traversal Attacks 等惡意攻 擊。來自Client端的任何連接要求都可不能直截了當(dāng)發(fā)到后臺服務(wù)器，從 而保證了整個系統(tǒng)的高安全性。Webwall可從以下幾方面有效愛護(hù)您的服務(wù)器：支持應(yīng)用層URL的過濾；基于包狀態(tài)檢測的防火墻；支持NAT的功能，使內(nèi)部用戶能訪咨詢Internet的資源；端口的Forward功能，使用戶能遠(yuǎn)端對服務(wù)器進(jìn)行治理，能把常用 的端口映射到服務(wù)器的任意端口 （端口映射）。常用的端口，例如80, 443,

51、20, 21能映射到服務(wù)器任何端口。那個能提供更高的安全性，讓闖入者專門難明白哪些服務(wù)運轉(zhuǎn)在哪個端口 ；WebWall功能啟動后，它將關(guān)閉所有的訪咨詢，除非用戶顯式地打開；NSAE支持多達(dá)1000個訪咨詢操縱列表，僅消耗1%的CPU資源；通過HTTPS或SSL遠(yuǎn)端治理，使用SSH命令行或以HTTPS來做掃 瞄器界面治理；支持SSL的安全訪咨詢集群(Cluster)傳統(tǒng)的四層設(shè)備，僅支持二臺設(shè)備工作在 HA方式下，支持Active/ Active Active/Standby工作方式，因此四層設(shè)備可靠性，可擴(kuò)展性，網(wǎng)絡(luò) 吞吐量都受到限制。但四層設(shè)備是關(guān)鍵設(shè)備，許多四層設(shè)備廠家都沒有專門好解決這些

52、咨詢題。NSAE提供1 + 1和dby方式。臉Active/Standby 方熱?Web Cli cats的冗余配置模式!也夠工作在 Active/StanInternet強Activ礴taPdbH最 二個Cluster中某但NSAE遢蠢的斯磨盤出差不削壁2用淤嚴(yán)J時,備份設(shè)1T-轉(zhuǎn)換為主設(shè)備。如圖所4；d陽鰥Vip嚏不P也寫調(diào)端師章圖中，Infosec1為主設(shè)備，處理SLB流量，Infosec2為備份設(shè)備， 監(jiān)聽Infosec1的廣播，當(dāng)Infosec1發(fā)生故障時，Infosec2就會接管Infosec 1上的所有流量。Clustering工作原理利用IP Multicast (8)進(jìn)行廣播

53、，默認(rèn)值：每 3秒一次；具有最高優(yōu)先級的成為Master,若一個備份的NSAE具有最高優(yōu)先 級，它就成為Master;一個備份NSAE在3秒內(nèi)，沒在聽到Master的廣播，它宣布成為 M aster；只在Master的NSAE的VIP響應(yīng)ARP要求；每個設(shè)備獨立的流量的處理，同時又監(jiān)視本 Cluster中其它設(shè)備的工 作狀態(tài)；利用VRRP的技術(shù)實現(xiàn)（VRRP 虛擬路由冗余協(xié)議，RFC 2338）?？焖倬彺妫–ache）Cache技術(shù)-解決訪咨詢速度緩慢咨詢題基于內(nèi)存的反響代理 Cache功能。通過Cache功能的應(yīng)用，NSAE產(chǎn) 品能夠在內(nèi)存中以數(shù)據(jù)包的形式 Cache住網(wǎng)站頁面中所有能夠被C

54、ache住 的內(nèi)容。當(dāng)用戶訪咨詢要求發(fā)送到 NSAE時，如果Cache中的內(nèi)容能夠匹 配用戶的訪咨詢要求則直截了當(dāng)由 NSAE來響應(yīng)用戶的訪咨詢，從而幸免 了對后臺服務(wù)器的負(fù)載壓力，在減小了后臺服務(wù)器負(fù)載的同時，提升了對 用戶的響應(yīng)速度和整體網(wǎng)站的處理能力。Reverse Proxy Cache兼容 HTTP 1.0 和 HTTP 1.1;被Cache的內(nèi)容以“Frame”格式存貯，而不是以文件存貯，從而 快速存取，僅僅數(shù)據(jù)以“ Frame”格式儲存；（剝?nèi)チ?Etherent, IP&TCP 的報頭）內(nèi)容儲存于RAM ,具有更快的存取速度；Cache內(nèi)容能手動刪除；內(nèi)容能容預(yù)先裝入 （rec

55、ursive pre-load）;利用“GET if modified:要求，在后臺對內(nèi)容進(jìn)行有效性驗證；僅 HTTP GET要求由Cache Engine處理，其它要求Forward至U SL B處理；要求含有Cookies由SLB處理。響應(yīng)含有Cookies的按照報頭的Ca che操縱信息處理；HTTP無Cache操縱報頭，自動Cache,通過人工刪除Cache的內(nèi)容； 支持 LOG Squid 格式 （messagessent via Syslog）。Re-use連接為了提升NSAE和服務(wù)器的性能，在NSAE與服務(wù)器之間建立連續(xù) 的TCP連接，從而NSAE不用為每個需要與 WEB服務(wù)器連

56、接的要求，建 立新的連接；NSAE與Web服務(wù)器之間，預(yù)先建立20個TCP連接，用于轉(zhuǎn)發(fā)用戶 的要求到WEB服務(wù)器，一個連接能轉(zhuǎn)發(fā)95個用戶要求。Cache功能在加速用戶叫融解1時加盛的服務(wù)器的負(fù)擔(dān)。壓縮（Http壓縮）25000通過NSAE產(chǎn)品中HTTP壓縮功能擴(kuò)大用戶嘲喀詢所急待解決的咨詢題 w在向窄帶寬用戶提供專門高的窄帶訪咨詢應(yīng)用的訪咨詢速度和服務(wù)質(zhì)量的保證一直是網(wǎng)站推廣和 的應(yīng)噂，熊夠提升網(wǎng)站訪咨詢的通信質(zhì)量，通信喝量的同時，還能夠極大的節(jié)約網(wǎng)站互聯(lián)網(wǎng)接入帶寬消耗忌評Http壓縮的優(yōu)勢:縮短用戶下載內(nèi)容的時刻；在Web Server上不需要鹿縮功能，減輕了 Web Server的負(fù)擔(dān)

57、。下圖是采納HTTP壓縮前后的捕鬻WM量花較Ccmpression On Compression Off由圖能夠看出，在15.1Mbps帶寬下:沒有采納HP壓縮時，每秒能夠處理2000個HTTP要求; 采索SHTTp時，出立 口能夠處理20000個HTTP要求。NSAE產(chǎn)品迎圖方式靈活能棒察細(xì)臂及雙臂部署方式。能夠靈活的按照客戶現(xiàn)有網(wǎng):勾進(jìn)行部署了客戶現(xiàn)有網(wǎng)絡(luò)的變動，保證了整個網(wǎng)絡(luò)的安考性忸穩(wěn)固性。優(yōu)化關(guān)設(shè)備,NAE具有本公司優(yōu)化、定*J的Infosec操作系鄉(xiāng)J/、II /口、級的應(yīng)用處理從LtiwOS全然*潛在的應(yīng)礙,最大程度發(fā)韓其最高也整個系統(tǒng)的性能I/O Me-nar/ PCI使整個厚

58、I/O Memory PCI用性能障 從市提升其它廠家系統(tǒng)架構(gòu)信安世紀(jì)系統(tǒng)架構(gòu)連接復(fù)用連接復(fù)用的要緊作用是為了改善現(xiàn)有系統(tǒng)的總體性能，其技術(shù)原理是自動實現(xiàn)HTTP 1.0到HTTP 1.1的轉(zhuǎn)換；TCP/IP協(xié)議棧在處理長連接時 具有更好的性能；將 Web流量的多個短連接合并為一個長連接，改善了 服務(wù)器的性能。安全性內(nèi)建的應(yīng)用安全防火墻確保網(wǎng)絡(luò)真正的安全，高性能的訪咨詢操縱列表（ACL）,網(wǎng)絡(luò)地址翻譯（NAT）以及基于狀態(tài)的數(shù)據(jù)包檢測，使來自 客戶端的任何連接要求都可不能直截了當(dāng)發(fā)到后臺服務(wù)器，不僅抵御了非法訪咨詢和Dos攻擊，而且能夠阻止某些解決方案無法發(fā)覺的應(yīng)用層攻 擊，從而保證了整個系統(tǒng)

59、的高安全性。原始數(shù)據(jù)均進(jìn)行了加密處理，關(guān)鍵信息無法被第三方竊取或篡改， 有 效地愛護(hù)服務(wù)器和應(yīng)用的安全，同時還支持 1024位的非對稱加密算法和 128位的對稱加密算法，應(yīng)用數(shù)據(jù)傳輸更加安全可靠。功能豐富，滿足不同用戶的多種應(yīng)用需求NSAE是集多種功能于一體的新型應(yīng)用設(shè)備，不同于以往單純的應(yīng)用 安全網(wǎng)關(guān)，不再僅僅局限于應(yīng)用安全代理，還有負(fù)載均衡、集群、應(yīng)用安 全防火墻、高速緩存等多種功能，用戶能夠按照需要靈活定制，以獲得最 佳的解決方案，來最大程度滿足多種應(yīng)用的需要，改善、優(yōu)化企業(yè)應(yīng)用服 務(wù)，從而保證其可靠性和安全性。降低成本和復(fù)雜性NSAE 一個產(chǎn)品提供用戶所需的諸多功能，通過集成化的服務(wù)系

60、統(tǒng)， 減少了用戶的投入，節(jié)約了日后擴(kuò)展功能所需的各項投資；不必為多個產(chǎn)品帶來的復(fù)雜配置，增加客戶的治理成本，并能夠幸免多產(chǎn)品引發(fā)的兼容 性咨詢題；同時也降低了整體成本和數(shù)據(jù)中心的復(fù)雜度， 提升了應(yīng)用的處 理能力，為用戶提供了全新的易用、高效、穩(wěn)固的保證信息安全的屏障。良好的開放性支持標(biāo)準(zhǔn)的HTTP/SSL/TLS協(xié)議和標(biāo)準(zhǔn)的PKCS10證書要求、X509 V3證書，能夠進(jìn)行HTTP代理、HTTPS代理和C/S代理，同時能夠同時 建立以上三種安全連接，使得應(yīng)用更方便。易用性NSAE安裝簡單，能夠通過 Web圖形治理界面或者人性化的命令行 界面進(jìn)行直觀的配置和治理?？蛻糁恍枰ㄟ^支持SSL/TLS