终止安全加速企业级的Web安全应用.doc

　　终止 安全 加速 企业级的Web安全应用～教育资源库 　　概述 　　公司投入重多资源来研发应用程序和基础结构向员工，客户和生意上的伙伴传递所制定的经营模式。数据中心有责任确保绝对的安全性，快速响应时间，和这些企业级重要应用程序的高可用性。要全面保护企业级应用程序免受潜在威胁的攻击，就需要一个既能应用于网络层，又能应用于应用层安全保护的平台。基于反向代理技术的应用层控制器代表了一种新的产品，在此基础上设计的基于安全和控制的p; OZ区，配置在服务器的前端。 　　这个文档介绍了NetContinuum 应用防火墙产品系列。一个架构上的最优方法，NetContinuum 产品通过以下几点让你配置一个更快、更可靠、更安全和性能更高的应用程序： 　　全面控制所有用户到每个应用程序的连接 　　保护应用程序的安全完整的方案，包括确保执行密码系统，防攻击和身份和访问管理(IAM/ AAA) 　　完整的可用性方案来增强响应时间和确保正常运转时间 　　在任何网络环境中展开迅速的自身部署 　　快速的定义应用和适当的策略来保护他们 　　当应用程序开始服务后，对应用程序进行简便、灵活和持续的管理 　　强大的代理功能 　　全面保护 提供了世界上最强大的应用控制防火墙产品线。基于NetContinuum专利的NCOS系统，产品对p; O 应用控制防火墙是世界上唯一被ICSA在网络层和应用层上通过认证的产品。核心功能的介绍，包括终止，保护和加速将会在下面做详细的介绍。 　　体系结构和性能 　　NetContinuum已经建立并构造了一个完全由自己研发操作系统和协议栈。图2有做详细的介绍，NCOS (NetContinuum 操作系统)直接和x86 还有Cavium SSL处理器相连，以保证低延迟率和独一无二的连接传输率。所有应用的终止和执行都在NCOS(NetContinuum 操作系统)中进行。Linux 是用来做为管理框架和日志记录。 　　很多厂商试图通过同时报告TCP连接数和高带宽利用率来改进应用控制器的结构。这是一种对于安全应用的错误说法。重要的是应该把重点放在第七层HTTP应用的处理性能上。同时，更重要的是要明白延迟是由于现实的处理负荷和数据的大小所引起的。 　　NetContinuum 根据现实的重负荷应用环境生产出应用控制器，因此对于这点信心十足。从另一方面说，这个性能指标能够反映设备真正运行时的情况。更加详细的数据统计可以在以下功能都开启的情况下获得，它们包 　　括：第2层ACL、第7层ACL、 操作系统 　　NetContinuum 应用防火墙功能 　　全面完善的功能力是NetContinuum产品的最重要的一个方面。 　　NetContinuum努力研发对于全面保护、加速和管理应用流量所需要的功能。我们将这些功能集中描述为终止、保护和加速。图3 对应用流量的管理控制做了概略的描述。 　　 1234下一页 友情提醒：，特别！ 　　图3: 您可以选择是否应用会话控制, 安全保证和可用性保证等功能 　　终止 　　所有NetContinuum 产品都有一个基本原则: 所有用户浏览器和应用程序服务器的连接会话都在此终止。这个技术的思路就是对应用流量(内向和外向)进行全面的检查和管理每一个会话。履行TCP握手同样可以切断任何基于TCP的DOS攻击。在终止会话的同时，应用防火墙可以提供网络层的NAT、PAT 、ACL 策略和SSL 密码系统。系统对于HTTP内容有着完全的访问权和控制权，检查所有的HTTP 内容，解释和建立规则。要特别指出的是，终止包含了以下一些功能: 　　TCP 会话终止 　　NetContinuum 应用防火墙进行完整的TCP 会话终止。TCP会话终止是唯一为私有网络来提供完全的安全性的方法, 因为它将隔所有用户(包括攻击者)都隔离在外网。唯一连接到服务器的数据都是来自于应用防火墙本身的。应用防火墙收集所有的数据包并重写每个用户的HTTP 会话。这样HTTP会话可以被进行安全筛选和加速并且可以进行内容交换和内容处理。 　　状态信息网络防火墙 　　NetContinuum 应用防火墙包含了一个基于状态信息的网络防火墙。网络管理员可以设置策略，NAT, PAT 和网络ACL的规定. 应用防火墙监控每个TCP连接的状况(IP 地址, 端口,3次握手等) 并在一个状态表中编辑信息。过滤决定不仅仅依靠管理员设置的规则(比如静态包过滤)，同时也取决于之前已经通过防火墙的数据的状态记录。这个过程能够严格确保符合TCP/IP RFCs 规则，阻止大量的网络层攻击。NetContinuum应用防火墙的网络层安全性已经得到了ICSA的认证。 　　SSL 终止 　　Net