信安世纪NSAE全系列产品技术白皮书标准版V13

1、信安世纪NSAE全系列产品技术白皮书标准版V13信安世纪应用安全网关NSAE全系列产品技术白皮书信安世纪科技有限公司INFOSEC TECHNOLOGIES CO.,LTD二零零八年知识产权声明本白皮书中的内容是信安世纪公司 NSAE应用安全网关产品技术讲明 书。本材料的有关权益归信安世纪公司所有。白皮书中的任何部分未经本 公司许可，不得转印、影印或复印及传播。? 2007信安世纪科技有限公司All rights reserved.NSAE应用安全网关产品技术白皮书刖 1第1章产品概述1公司介绍1产品体系介绍3产品背景3第2章产品简介5产品型号5产品应用7产品功能9功能特性9应用加速（SSL加

2、速）9服务器负载均衡（SLB）11链路负载均衡（LLB）1619全局服务负载分担（GSLB）其他功能22部署方式25产品优势26第4章技术特性28产品特性28硬件特性30性能特性31第5章 总结 32当前，不管在政府网、金融网、企业网、校园网依旧在广域网如Internet上，业务量的进展都超出了过去最乐观的估量，用户大量的信息要求， 持续更新的应用需求以及对业务不间断的连续访咨询，成为应用服务商解 决互联网服务，获得用户认可的关键因素，即使按照当时最优条件配置建 设的网络，面对不间断、快速的用户增长，服务器也会无法承担。原有链 路也会因为用户量的持续增大导致用户访咨询速度过慢，链路拥塞，网络

3、故障频繁，专门是各个网络的核心部分，其数据流量和运算强度之大，使 得单一设备全然无法承担，而如何在完成同样功能的多个链路及网络设备 之间实现合理的业务量分配，使之不至于显现一台设备过忙、而别的设备 却未充分发挥处理能力的情形，就成为信息提供商及应用服务商必须克服 的咨询题，负载均衡机制也因此应运而生。负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩 展服务器带宽和增加吞吐量，加大网络数据处理能力，提升网络的灵活性 和可用性。它要紧完成以下任务：解决网络拥塞咨询题，服务就近提供， 实现地理位置无关性；多条链路接入，按照链路响应速度，提供最快的访 咨询方式，针对故障链路进行智能自动切换

4、，保证客户不间断访咨询；为 用户提供更好的访咨询质量；提升服务器响应速度；提升服务器及其他资 源的利用效率；幸免了网络关键部位显现单点失故障导致所有服务停止。针对负载均衡的运行机制及应用策略方面，按照负载均衡的工作原理 能够分为链路负载均衡、服务器负载均衡、广域网负载均衡三种负载均衡 方式。三种负载均衡机制，按照用户针对不同环境及应用的负载均衡要求 进行服务，满足用户对各个应用层面及网络层次的负载均衡需求。总之，负载均衡是一种策略，它能让多条链路或多台服务器共同承担 一些繁重的运算或I/O任务，从而以较低成本排除网络瓶颈，提升网络的灵 活性和可用性。针对当前形势，信安世纪公司分析各行业多种应用

5、的要求，自主研发 了适用于广域网、内部网、独立子网的负载均衡设备 NSAE。解决客户针对 链路、服务器、广域网负载均衡的各种需求。信安世纪推出的NSAE系列产品，采取了 ALL IN ONE的设计策略， 把服务器负载均衡、链路负载均衡、广域网负载均衡三种产品集成在一个 设备中。真正实现了链路、服务器、广域网负载均衡三种服务的无缝接入。 在最低成本的操纵下满足了客户多方面的应用需求。同时在无需改变现有 网络的情形下，即可进行负载均衡设备的部署及升级，在应用及网络层次 增加了客户系统的安全性及稳固性。产品概述公司介绍信安世纪科技有限公司成立于1998年，是中国领先的应用安全产品 和解决方案供应商，

6、要紧为金融、电信等行业和政府机构提供应用安全的 产品、解决方案和服务。信安世纪作为业内资深的应用安全厂商， 有多年的应用安全领域的体 会积存和强大的治理和研发团队，不仅有成熟的安全产品为客户提供方 便、快速的安全实现；同时针对大量的应用安全需求，提供优质的咨询服 务、客户化开发和安全系统爱护监控服务。 信安公司现有一支由应用安全 领域专业开发人员和资深金融行业专家组成的强大的研发队伍，保证提供先进、可靠、高效的产品；另外还有专业、尽职的技术服务队伍，负责项 目实施和售后技术服务，为客户提供专业的技术服务。信安世纪迄今差不多为包括中国工商银行总行、中国农业银行总行、 中国交通银行总行、上海浦东进

7、展银行、北京银行在内的二十多家银行提 供了网上银行的通讯安全、交易安全爱护；中国证券登记结算有限责任公 司等金融机构建立了基于PKI体系的证书系统，为业务系统提供了身份认 证、加密传输的安全爱护；随着电子商务和电子政务的兴起，我公司为国 家烟草总局、中国石油、鞍山钢铁公司、沈阳一汽财务公司、上海汽车集 团、上海移动通信和首都钢铁集团等多家闻名企业提供了保证资金结算、 网上交易安全的解决方案。信安世纪与众多闻名企业、优质客户建立了长期、稳固的战略伙伴关 系，在技术合作、市场推广和行业进展上开展了卓有成效的工作。在以后 的进展中，公司将加大对客户需求的了解，为客户提供具有创新价值的应 用解决方案，

8、更好地为客户提供优质的服务；公司还将致力于与合作伙伴 共同进展，加大新技术交流，促进应用安全行业的蓬勃进展。在新产品NSAE的应用及实施方面，信安公司差不多在北京银行、北 京农村商业银行、华夏银行、中国烟草总局、中国石化、国家电网通过了 严格的性能、压力及应用测试，设备测试结果达到了国际国内先进水平， 完全满足客户的需求。同时成功的部署在多个行业各个应用服务，及核心 生产环境中。完全解决了客户针对链路、服务器负载均衡方面的咨询题， 全方面提升了客户的行业竞争力，以及生产环境设备及链路接入的稳固不 间断运行。LlnkSafeii忖ale口门身份认证网接制绍身份管理按照五大安全共身份治理：N 态密

9、码系统）内容安全：Ne抗否认编WfeN安全网关）、BiSafeign （签etSafe （网安通）、NetCertNSAENetSafeNet Pass能的要求我们将产生si k产品背景随着网络通信的进展，网络规模的持续扩大，以及数字接入专线价格 的持续下调，客户对业务的需求也随着网络通信的持续进展变得更加多样 化，对运营服务的要求也越来越严格，如何充分利用服务资源，平稳链路 利用率，提升客户访咨询速度，确保客户的不间断访咨询以及链路服务的 正常运转和切换，差不多成为运营服务商提升服务， 争取更多用户认可的 首要难题。目前用户普遍采纳电信、网通两条链路接入，实现链路自动切换， 为外网及内网用户

10、提供7*24小时的不间断访咨询、当其中一条链路显现 咨询题后，系统自动切换到正常的链路上工作，保证服务的不间断运行。 由于多链路解决方案能够提供更好的可用性和带宽性能，它正在被越来越多的企业所采纳。可用性的提升来自于多条链路的使用， 而性能提升则是 因为同时使用多条链路增加了带宽扩充了流量。多链路方案能够提升企业业务的可用性和性能，但这种方案也面临着专门的咨询题和挑战。在多链路环境的实际应用中，链路没有更好的进行负载分担。多链路 网络解决方案仅仅是“共享”式，而不是真正的负载均衡；由于各个运营 商之间存在互联互通的咨询题， 没有实现按照网络就近性的路径判定； 对 流入的流量没有专门好的解决按照

11、网络的就近性来导向用户的访咨询要 求。使外部的用户能最快的访咨询对外服务； 对流出的流量无法解决自动 选择最快链路，达要目标资源的访咨询策略；关于链路的健康状况也不能 实时监测，也解决不了链路容灾，也确实是当某一条链路显现故障后，将 其流量导向另外链路的策略。因此基于以上的咨询题，链路负载均衡的解 决方案成为众多服务商、以及多链路接入客户必须解决的咨询题。在多服务器环境的实际应用中现有的服务器工作模式一样为Active/Standby现有的这种架构导致了一台服务器总是处于待机状态，而另一台服务器则总是处于满负荷工作，负责了整个应用的处理及运算。 这种模式的 服务器架构必定导致了当现有用户量一旦

12、超出单台服务器的运算能力的 时候，整个服务器组会宕掉，用户面对这种情形的时候只有升级服务器才 能够解决咨询题。然而连续的升级服务器导致了资金大量的白费，及服务器资源的白费。服务器负载均衡机制能够简单的解决这种咨询题， 当用户部署了服务 器负载均衡后，所有后台服务器均处于Active状态，按照负载均衡定义的 策略，保持服务器进行均衡的工作。提升了现有服务器 70%的工作效率， 幸免了由于单台服务器显现故障导致的整个业务的终止， 同时保证了当用 户量连续上升时，无需再次升级服务器。信安世纪服务器负载均衡还具有完善的健康检查功能，保证了每台服 务器工作状态的正常，幸免了由于服务器应用软件处于假死状态

13、而导致服 务器工作显现咨询题。针对后台服务状态类型，信安世纪负载均衡产品提 供了最完善的健康检查策略保证了用户所有业务的正常工作状态。产品简介信安世纪应用安全网关系列产品(后简称为 NSAE)是一款集成了 SSL加速、负载均衡等多种功能于一体的新型应用前端加速负载均衡设备。不同于以往单纯的负载均衡产品，NSAE不再局限于负载均衡应用， 还具有SSL加速、链路负载均衡、广域网负载均衡、集群、应用安全防 火墙、高速缓存、HTTP压缩等多种功能能够自由选择，充分考虑了用户 的实际需求，能够极大的改善企业应用的可靠性、性能和安全性，同时降 低了整体成本和数据中心的复杂度， 提升了应用的处理能力，为用户

14、提供 了全新的易用、高效、稳固的保证信息安全的屏障。产品型号信安世纪NSAE系列产品采取了 ALL IN ONE的设计理念，通过高 度集成的模块化设计实现在单台设备中集成了链路负载均衡、服务器负载均衡、防火墙负载均衡、SSL加速、防火墙等功能，面对客户多层次应用 的需求只需要增加相应的模块即可。为满足不同规模用户的需求，我们按照产品功能分为链路负载均衡(N SAE-LT)、服务器负载均衡(NSAE-NL)、SSL应用安全网关(NSAE-NS)、 服务器负载均衡&SSL应用安全网关(NSAE-NB)四种产品类型。服务器负载均衡(NSAE-NL)型号列表产品型号范畴NSAE1000-NL适用于用户

15、数量不多、应用访咨询较少、负载增长量小的中小型应用， 能够降低成本、提升可靠性。NSAE2000-NL适用于用户数量较多、应用访咨询量较大、负载增长量较快的中小型 应用，能够降低成本、减小爱护风险、提升应用可靠性、幸免单台服 务器故障。NSAE10000-NL适用于用户数量较多且访咨询量、负载增长较快的中型以上应用项目， 能够满足今后应用扩展的需求，并提升性能。NSAE20000-NL适用于访咨询量以及负载量专门大的大型应用，提升整个应用平台的 处理能力，提供不中断的优质应用服务。NSAE-NL产品型号表链路负载均衡(NSAE-LT)型号列表产品型号范畴NSAE1000-LT适用于用户数量不多

16、、链路接入带宽小、应用访咨询较少的中小型应 用，能够降低成本、提升可靠性。NSAE2000-LT适用于用户数量较多、链路接入带宽较大、应用访咨询量较大、访咨 询业务增长较快的中小型应用，能够降低成本、减小爱护风险、提升 应用可靠性、幸免单台服务器故障。NSAE10000-LT适用于用户数量较多、链路接入带宽专门大、访咨询量增长较快的中 型以上应用项目，能够充分满足今后应用扩展的需求。NSAE20000-LT适用于访咨询量以及链路负载量专门大的大型应用，提升整个应用平 台的处理能力，为用户提供不间断链路服务。NSAE-LT产品型号表SSL应用安全网关(NSAE-NS)型号列表产品型号范畴NSAE

17、1000-NS适用于用户数量不多、应用访咨询较少的中小型应用，能够通过SSL加密技术提升现有业务的安全性。NSAE2000-NS适用于用户数量较多、应用访咨询量较大、访咨询业务增长较快的中 小型应用，能够通过 SSL加密技术提升现有业务的安全性。NSAE10000-NS适用于用户数量较多、访咨询量增长较快的中型以上应用项目，能够 通过SSL加密技术提升现有业务的安全性。问时充分满足今后应用扩 展的需求。NSAE20000-NS适用于用户群庞大、访咨询量专门高的大型应用，能够通过SSL加密技术提升现有业务的安全性。NSAE-NS产品型号表负载均衡+SSL应用安全网关（NSAE-NB ）型号列表产

18、品型号范畴NSAE1000-NB适用于用户数量不多、应用访咨询较少的中小型应用，为用户提供服 务器负载均衡及应用安全网关功能。NSAE2000-NB适用于用户数量较多、应用访咨询量较大、访咨询业务增长较快的中 小型应用为用户提供服务器负载均衡及应用安全网关功能。NSAE10000-NB适用于用户数量较多、访咨询量增长较快的中型以上应用项目为用户 提供服务器负载均衡及应用安全网关功能。问时充分满足今后应用扩 展的需求。NSAE20000-NB适用于用户群庞大、访咨询量专门高的大型应用为用户提供服务器负 载均衡及应用安全网关功能。NSAE-NB产品型号表产品应用日一 口 1 0 度 Z；D产品架构

19、同类产品往往由多个单一功能设备组成，数据传输延迟大、治理爱护 困难，用户往往为了实现一个简单的需求需要改变整个网络结构或需要购 买其它的网络硬件产品。而NSAE则集多功能于一体，具备高性能、高可 靠性，为客户节约大量的硬件、爱护、设置、和人力方面的投入。产品功能功能特性NSAE产品系列提供一个将诸多复杂 Web设备化零为整的解决方案， 能够完全解决客户系统存在的咨询题。 它是一个真正的将众多重要的网络 功能合为一体的集成化应用系统，这些网络功能包括服务器负载均衡（ S LB）,全局服务器负载均衡（GSLB）, SSL加速， WebWall安全，链路 负载平稳（LLB ）, HTTP压缩等。应用

20、加速（SSL加速）SSL （安全套接层协议）差不多成为发送安全互联网通信的标准协议。 它是一种对用户进行鉴权的公钥加密方案。 第一，服务器向客户机发送承 认其可靠性的认证；然后，使用共享密钥来对发送方与接收方之间的数据 进行加密，例如，当发送方确认接收方正确无误时，会为数据包加上一个 安全的“外壳”（加密），同时通过线缆传输此数据包。必须在目的地将此 “外壳”去掉，才能使用该数据包信息。其它的步骤还包括：认证、加密 和解密，这极大地增加了 Web服务器的流量处理负担，NSAE内置SSL 加速功能使咨询题迎刃而解。SSL安全传输信息加密，建立SSL安全传输信道加密传输采纳了高强度的加密算法对传输

21、的数据内容进行爱护，各种如业务账号和口令等敏锐的信息被爱护起来， 杜绝了信息的泄露，同时对 同意的数据是否在传输过程中被篡改进行精确检测，保证了同意数据的完整性，确保了所传输的信息不被中途窃取和篡改。 关于没有合法身份的用 户，其连接要求将被拒绝，NSAE只承诺那些拥有合法数字证书的用户进 行网络连接，充分保证用户身份的合法性，从而限制了非法用户对内网的 访咨询。支持4-7层应用加密传输信道NSAE的SSL加速功能实现对HTTP应用进行安全加密，能够同时作为普通资源和安全资源的代理服务器。此外还能够对 TCP协议进行加密， 实现TCPS协议下的安全数据传输，提供4-7层应用的加密功能，使客户

22、端的内容由原先的明文传输变为 SSL加密传输，大大增加了安全性。端到端的安全数据转发服务，支持多种 C/S应用模式国内目前大多数的SSL安全代理服务器是针对B/S应用的，部署在 需要爱护的Web服务器前端，与扫瞄器建立 SSL连接，并转发HTTP协 议。NSAE支持客户端的C/S模式应用，并能够同时支持多种 B/S和C/S 模式的应用。应用安全网关服务器监听局域网内的端口，为一个局域网端内服务， 无需用户安装配置客户端软件，大大提升系统的易用性，减少部署和爱护 的难度。多种后台传递用户信息的方式以HTTP参数方式向Web服务器传送用户证书信息，例如证书中的 主题、序列号等信息，这些 HTTP参

23、数以URL、属性、Cookie等多种形 式传递到Web应用系统，应用能够按照这些信息进行进一步的治理操作。资源访咨询权限操纵NSAE支持三种HTTP连接方式：HTTP连接、单向SSL连接（客户不需 要提供证书）和双向SSL连接。HTTP连接是透亮信息传递、身份无 法识别；单向SSL连接完成了加密信息的传递，保证了信息的保密性和 完整性，然而客户身份无法确认；只有双向的 SSL连接的安全性最高。 不同的后台应用针对的用户群体不同， 通常而言关键的安全应用只提供给 有可信身份的用户，NSAE提供的资源访咨询权限操纵功能能够将杜绝低 安全性的连接访咨询该安全性的业务系统。对Web资源的一样访咨询操纵

24、，基于 ACL （访咨询操纵表）方式， 实现对认证用户和非认证用户的访咨询操纵，支持以证书主题和时刻等要素进行操纵，并能够设定拒绝访咨询的级别。灵活的证书验证机制数字证书作为连接双方的电子身份证， 保证了传输的可识别性，然而 这并不意味着，拥有证书就拥有的所有的权益。关于每一个业务系统所要 求的用户身份必须持有一张能够信任的有效证书，如何保证证书的有效性和合法性就要完成一系列的证书验证步骤。NSAE的证书验证体系能够确 保非可信的证书认证中心（CA）颁发的证书、没有在有效使用期内的证 书、差不多作废或者注销的证书无法进行含身份确认的操作。在证书的有效性验证时同时还进行了证书废弃列表（ CRL）

25、的验证， 确保证书没有被作废或是注销，CRL文件由证书认证中心 CA公布在名目 服务器上或者是网络链接上。过滤客户的无用证书可将NSAE支持的CA证书信息自动发送至连接用户的客户端，在 IE扫 瞄器中完成其它CA证书的过滤操作。如此用户在建立SSL连接的过程 中幸免选取NSAE不支持的CA证书。SSL加速NSAE的SSL加速技术不仅能提升服务器性能，同时大幅度缩短响应 时刻并增强客户交易流量治理。所有这一切差不多上从同一地点进行的， 无需费钞票费劲地在每台服务器上安装额外的硬件或软件。它与Infosec OS紧密结合，支持多种常用的 SSL加密算法，保证端 到端SSL加密的安全性，结合完整的证

26、书治理特性，保证在进行安全交 易和其他应用时，具有快速、可靠的连接，减轻服务器上处理器（ CPU） 密集型处理的负担，确保快速可靠的完成应用，大幅度缩短响应时刻并提 升了服务器的性能，增强了客户交易流量治理，以达到出众的SSL加速性能。服务器负载均衡（SLB）NSAE提供真正面向应用层的 HTTP、DNS、Radius、以及基于TCP/UDP等多种应用的负载均衡服务，通过定义灵活多样的负载均衡策略， 依据丰富的服务器负载均衡算法（包括轮循算法、最少连接算法、最短响 应时刻算法、散列算法等），来实现真正的合理流量分配，充分保证了客 户应用能够有效、连续的运行。关于用户而言，访咨询时延和服务器的可

27、靠性是专门重要的咨询题。 而随着业务的增长，对拥有多台服务器的用户运营中心来讲，不是全部服 务器都发挥了其应有的效力。 理能力都能得到充分的发挥, 提供真正面向应用层的CP/UDP等应用的负载均衡; 无需改动网络拓扑结构,NSAE的负载均衡服务，使每台服务器的处能够实现如下的功能：WWW、DNS、FTP,以及基于固定端口的 T即可实现功能;真正的合理的流量分配ON（反n terneReverse ProxrNSAEIInsideAE擅工用服片器负载均衡能够以两种模式执行：里模用I和Transparent Mode （透亮模式）Reverse Proxy台前部修餐纱生从而达到负载均衡的目Mode

28、NS的。这种代理方式与二般的代理方增治辨笨肉产标准代理方式是客户使用代理边咨询多个处覆服务器，而这种代理方式是多个客户使用它访咨询 内反向代理模式。其传输流程如下所示：功能强大，支持路由功能-按照实际响应时刻的负载平稳算法来实现反向代理模式的优点：能够采纳One-armed的结构部署；能够通 过连接池技术增强系统性能。反向代理模式的局限性：服务器无法记录哪些IP的客户端曾进行访解则第不呼A*育节多在用户泮饼TP谈州?7贝赞FOrwarded-For 字段，尾空篝石端4 Ip地址*3 NSAE打理侪。曲苇德 并发髓件眼*i力士匚L建通呢N/A匚/|号、ZE1曰 NSA匚干，衣L/fl厂女刁、口,

29、 也冗儿”寸占厂 端的多投fi而设，4器上，育即甫行号稿用IP地址对服务器是透亮的, 服帘洞明白哪除户斗其进行了访咨询。其传输流程如下：SaverlServer2 /透亮模式的优点：服务器能够记录哪些IP的客户端曾进行访咨透亮模式的局限性：-结构/路由设计必须保证从源服务器端来的响应必须通过NSAE ;一One-armed的结构有可能不能实现；-由于每个要求的源IP地址都不一样，因此无法利用连接池技术改 善系统性能。负载均衡算法NSAE支持多种服务器负载均衡算法(连续性的和非连续性的)，包 括轮循算法、最少连接算法、响应时刻算法、散列算法、最少连接失误算 法，链路带宽算法等等。此外实际服务器能

30、够被分配不同的加权值来调整 被分配的流量。例如性能高的大型服务器可配置较大的加权值，而为性能较低的小型服务器设置较小的加权值。 为了幸免服务器因过载而崩溃，可 为实际服务器指定最大连接阈值来幸免该服务器过载。任何服务器可被指定为另一台服务器的备份服务器或溢出服务器，从而进一步保证了应用可用性。非连续性算法(Non-Persistent): 一个客户端的不同的要求可能被分 配到一个实服务组中的不同的实服务器上进行处理轮循算法(Round Robin)：每一次来自网络的要求轮番分配给内部中 的每台服务器，从1至N然后重新开始。此种均衡算法适合于服务器组 中的所有服务器都有相同的软硬件配置同时平均服

31、务要求相对均衡的情 形；最少连接算法(Least Connection):客户端的每一次要求服务在服务 器停留的时刻都可能会有较大的差异，随着工作时刻的加长，如果采纳简单的轮循或随机均衡算法，每一台服务器上的连接进程可能会产生极大的 不同，如此的结果并可不能达到真正的负载均衡。最少连接数均衡算法对内部中有负载的每一台服务器都有一个数据记录，记录的内容是当前该服务器正在处理的连接数量，当有新的服务连接要求时，将把当前要求分配 给连接数最少的服务器，使均衡更加符合实际情形，负载更加均衡。此种 均衡算法适合长时刻处理的要求服务。响应速度算法(Response Time):负载均衡设备对内部各服务器发

32、出 一个探测要求(例如Ping),然后按照内部中各服务器对探测要求的最快 响应时刻来决定哪一台服务器来响应客户端的服务要求。此种均衡算法能较好地反映服务器的当前运行状态，但最快响应时刻仅仅指的是负载均衡 设备与服务器间的最快响应时刻，而不是客户端与服务器间的最快响应时 刻。连续性算法(Persistent)：从一个特定的客户端发出的要求都被分配 到一个实服务组中的同一个实服务器上进行处理。要紧包括：基于IP的算法Persistent IP (pi)：基于用户IP地址来选择服务器。Hash IP (hi):基于用户IP地址的HASH值，来选择服务器Consistent Hash IP (chi)

33、:基于报头/要求的算法Hash Header (hh):基于用户要求报中HTTP报头来选择服务器；-Persistent Hostname (ph):基于用户要求报中 HTTP 报头的 Hostname 的HASH值，来选择服务器；-Persistent URL (pu):基于对URI Tag和值的静态对应关系来选择服务 器。-SSL Session ID (sslsid):基于SSL会话ID来选择服务器。基于Cookie的算法-Persistent Cookie (pc):选择服务器基于用户要求包用 Cookie Name/ Value的静态对应关系；一Hash Cookie (hc):选择

34、服务器基于用户要求包用 Cookie Name / Val ue的Hash值对应关系；-Insert Cookie (ic):选择服务器基于NSAE向服务器响应包中插入 Co okie;-Re-write Cookie (rc)：选择服务器基于NSAE向服务器响应包中重写 C ookie值。(必须为重写指定Cookie值的偏移量)负载均衡策略NSAE的负载均衡策略要紧有：基础性策略、保持性策略、QOS策略。基础性策略一Static Default Backup保持性策略一Persistent URL一Persistent Cookie一Rewrite Cookie一Insert Cookie一

35、HeaderQOS策略QOS CookieQOS HostnameQOS URLQoS Network一Regular Expression一Header负载均衡健康检查NSAE通过对服务器的实时健康检查，保证数据流量会自动绕过故障 服务器或不可用服务器。当NSAE的健康检测机制，检测到服务重视新复 原正常以后，将使该服务器能够自动回到服务器群之中， 所有这些服务器 故障的处理，对进行操作的用户是完全透亮的。NSAE对服务器的健康检查，可采纳三种方式：ICMP检查：利用ICMP可检查服务器的网络工作是否正常。TCP检查：NSAE可与服务器之间，利用服务器的服务端口建立 TCP 连接，检查服务器

36、的服务是否正常。HTTP检查：NSAE采纳HTTP的检查，来验证服务器提供的服务是 否正常。通过这三种机制，确保服务器为用户提供正确可靠的服务。用户再也可不能得到如此要求的响应 “404 Object Not Found，或响应内容不正确。链路负载均衡（LLB ）链路负载均衡能够解决多链路下流量分担的咨询题，为用户的多链路的网络应用提供了专门好的解决方案。通过NSAE的链路负载分担功能，能够对用户的多链路的网络应用提 供基于Inbound和Outbound的链路负载分担功能，解决多链路下流量分担 的咨询题，无法采纳BGP的方式实现链路的自动切换，保持对终端用户 的透亮。InboundInbou

37、nd:从互联网通过多条专线链路连接的 NSAE访咨询内网当有Internet用户访咨询时，DNS服务器回应给用户由NS AE来完成最终地址解析，NSAE按照具体设置来选定适当的ISP线路，如果选择ISP1,则将地址解析为0。同样，如果选择ISP2,则 将地址解析为0,从而完成流入流量的负载均衡。采纳SmartDNS时，LLB支持的负载均衡算法包括：Round RobinNSAE顺序的将多个ISP的IP地址作为每次用户解析要求的返回值。Weighting Round RobbingNSAE为每个ISP的IP地址设定一个加权值，并按照加权值顺序的选择多个ISP的IP地址作为每次用户解析要求的返回值

38、，权值大的ISP的IP地址被选择的次数多。通过此算法，企业能够在多条带宽不同 的链路间合理分配流量，带宽高的链路权值大，因此承载的流量就高。Shortest Response Time关于流入的流量，NSAE使用与流出流量相同的最短响应时刻判定 机制，选择最佳的流入流量传输路径，进行最终的解析地址。Source IP-Based Routing按照企业网络的特点，NSAE还提供基于每个数据流的源IP地址 的路由选择算法。NSAE会检查每个用户解析要求的源IP地址是否属于预先设定的一个地址范畴，若是，则选择某一个ISP的IP地址作为该次用户解析要求的返回值。通过此算法，企业能够设定源IP地址属于

39、教育网范畴的，通过教育网的链路流入，其他流量则通过另一条 链路流入。OutboundOutbound:从内部网通过多条专线链路连接的 NSAE访咨询互联网关于流出流量的智能地址治理，NSAE使用了称为SmartNAT的算法。 当选定一个路由器（某一个ISP）传送流出流量时，NSAE将选择该ISP 提供的地址。如果NSAE选择ISP1作为流出流量的路径，则它将把内部 的主机地址192.168.1.A/24翻译为0/24,并作为流出数据包的源 地址。同样，如果NSAE选择ISP2作为流出流量的路径，则它将把内部 的主机地址192.168.1.A/24翻译为0/24,并作为流出数据包的源 地址。采纳

40、SmartNAT时，NSAE支持的负载均衡算法包括：Round RobinNSAE顺序的选择多个出口链路作为每个数据流的流出路径。Weighting Round RobbingNSAE为每个出口链路设定一个加权值，并按照加权值顺序的选择多个出口链路作为每个数据流的流出路径，权值大的链路被选择的次数 多。通过此算法，企业能够在多条带宽不同的链路间合理分配流量，带宽高的链路权值大，因此承载的流量就高。Shortest Response Time为了优化流出的流量，NSAE还为流出的流量实施最快响应时刻运 算。如果内部主机要访咨询某一 Internet站点，可能通过一个ISP的路径 比通过其他ISP

41、的路径有效。因此，NSAE能够提供最短响应时刻算法， 为流出到某一个站点的流量选择最佳的ISP路径，保证所需内容最快到 达目的地，提升服务的品质。Destination IP-Based Routing按照企业网络的特点，NSAE还提供基于每个数据流的目标IP地址 的路由选择算法。NSAE会检查每个流的目标IP地址是否属于预先设定的一Internet Clients个地址师，若是，则二卷作为该数据流卜流出路径。 通过此算法，企业能够期患科标IP金加属于教育网范畴的，通过教一条特定年乍为该数据流的流出路径。育网 巴罔日的链路流出，|其他流量贝愤it另一条链路标出NSAE通过5：M支持各种速Mne

42、t或VLAN 哑牌里.能够同时支持128条链率的链j，例如一 ：DSL,Cable Modem, T1/E1乂:j、j绥裕+的结构；负载坨衡算事能够和爆曲:RR、WRR、SRT、PBR;Inside Client同时通过策略路由（Eroute）功能，能够更好的满足用户对路由功能 的要求。全局服务负载分担（GSLB）前面提到的SLB （服务器负载均衡）是指能够在性能不同的服务器之 间进行任务分配，既能保证性能差的服务器不成为系统的瓶颈，又能保证性能高的服务器的资源得到充分利用。NSAE的全局服务负载分担（GSLB）技术解决异地容灾咨询题。GS LB承诺Web网络托管商、门户站点和企业按照地理位置

43、分配内容和服务， 通过使用多站点内容和服务来提升容错性和可用性，防止因本地网或区域网络中断、断电或自然灾难而导致的故障。用户期望其资产能够全天候为其工作。关于要确保提供IP服务的企业资产能够随时可用的产品来讲，必须要同时提供基于服务质量的高可用 性和完善的负载平稳功能。采纳不能提供高可用性的负载平稳产品将会阻 碍对您IP服务的投资带来最大收益。因此，用户必须要同时提供基于服务质量的高可用性和完善的负载平 稳功能。NSAE的GLSB可提供基于服务质量的高可用性，从而确保用户站点连续运行，并使其IP服务基础设施投资获得最大回报。NSAE的GLSB用以向用户提供分布于不同地理位置的用户总部和营 业部

44、的高可用性和智能化业务及流量分担解决方案。GSLB的工作方式NSAE GSLB的工作方式如下：DNS把要求送到NSAE上授权SDNS;NSAE选择合适VIP地址响应要求；用户利用VIP建立TCP连接，再通过SLB, NSAE把用户的要求送 给服务器。NSAE GSLB的目的是在多个可提供相同服务的站点之间，按照相应的分配策略将用户要求“路由”到合适的站点上。对 GSLB而言，最 重要的一点是每一个NSAE设备需要明白其他NSAE设备所把握服务、 链路、系统状态信息，这一点通过 NSAE状态信息通信协议（SICP）来 完成的。SICP是NSAE公司的私有协议，要紧完成 GSLB组中状态信息 的交

45、换，需要利用SLB、LLB的健康检查和状态监测功能。在GSLB中的NSAE每2秒（可配置）互相交换健康状态信息， 每30秒（可配置）互相交换本地服务器负载、链路负载、网络状况信息。这 些状态信息要紧包括：链路可用性LLB、实服务可用性SLB、虚服务 可用性、集群状态。GSLB的负载平稳算法GSLB的核心是负载均衡算法，它支持专门丰富的算法，包括以下三 大类：一样性算法、基于（链路、网络、系统、服务）负载的算法、基于与 用户距离的算法等。一样性算法-Round Robin Load Balance：轮询负载平稳算法。基于（链路、网络、系统、服务）负载的算法Global Link Load Bal

46、ance一Member-based Weighted Round Robin Load BalanceSite-based Weighted Round Robin Load BalanceConnection Overflow Load Balance一Member-based Volume Overflow Load Balance Site-based Volume Overflow Load Balance一Member-based Hit Overflow Load Balance一Site-based Hit OverfloLflad BalanceResponse Time ba

47、sed Load Balance一Proximity Loadnce一Least Hoad Balance一LeastLateScrwci基于与用户距离的算法ancy Load Balanc的 Smart 哈。一 i Smart DNS通过其内置的IP地址/地域/网络对应表来实现用户的 就近访咨询策略，当位于不同位置的 Local DNS要求到达的时候，Smart DNS按照对用户的Local DNS策略判定用户所处的位置，返回距离用户 最近的镜像站点的IP地址。SmartDNS通过智能状态检测功能实现对链路、服务器健康状态的检 测。检测的策略能够为ping、TCP端口检测和内容检测，真正的检

48、测服务 器和链路的健康状态。关于因故障或检修而停止服务的服务器和链路从负 载均衡组中摘除，并连续检测链路和服务器的状态，一旦该链路或服务器 复原健康，则将其连续加入负载均衡组。在网络状况复杂，用户要求较高的状况下， SmartDNS可通过在镜像 站点安装Probe探针软件来检测从各镜像站点到达用户 Local DNS的速 度，通过自我学习建立全网网络状况表， 配合智能检测功能来实现用户的 最快访咨询策略。在SmartDNS的内部，采纳矩阵算法，对服务器健康状态、网络健康状态、用户Disaster使用港终最佳的网络服二NSAE的灾难复原是指在两个地理上分离的站点之间提供服务可靠 性的策略。其中一

49、个站点作为主站点（Primary Site）,另一个作为备份站 点（Backup Site）。当主站点工作正常时，所有流量通过主站点；当主站 点发生故障时，NSAE的灾难复原功能就会把所有要求转到备份站点，备 份站点来处理主站点所有的网络要求；当主站点故障复原时，NSAE会把所有的要求转回到主站 点上。其他功能内置防火墙（Webwall）内建基于状态检测的的防火墙一 Webwall,对比其他基于ACL的防火 墙产品，NSAE的Webwall具有专门的加速算法，使得 ACL条目的增加 可不能阻碍整个系统的性能。基于NSAE强大的处理性能（每秒可支持1, 000,000并发连接），Webwall

50、可抵御 DOS、SYNC Flood、Buffer Overflo w Attacks Parser Evasion Attacks Directory Traversal Attacks 等恶意攻 击。来自Client端的任何连接要求都可不能直截了当发到后台服务器，从 而保证了整个系统的高安全性。Webwall可从以下几方面有效爱护您的服务器：支持应用层URL的过滤；基于包状态检测的防火墙；支持NAT的功能，使内部用户能访咨询Internet的资源；端口的Forward功能，使用户能远端对服务器进行治理，能把常用 的端口映射到服务器的任意端口 （端口映射）。常用的端口，例如80, 443,

51、20, 21能映射到服务器任何端口。那个能提供更高的安全性，让闯入者专门难明白哪些服务运转在哪个端口 ；WebWall功能启动后，它将关闭所有的访咨询，除非用户显式地打开；NSAE支持多达1000个访咨询操纵列表，仅消耗1%的CPU资源；通过HTTPS或SSL远端治理，使用SSH命令行或以HTTPS来做扫 瞄器界面治理；支持SSL的安全访咨询集群(Cluster)传统的四层设备，仅支持二台设备工作在 HA方式下，支持Active/ Active Active/Standby工作方式，因此四层设备可靠性，可扩展性，网络 吞吐量都受到限制。但四层设备是关键设备，许多四层设备厂家都没有专门好解决这些

52、咨询题。NSAE提供1 + 1和dby方式。脸Active/Standby 方热?Web Cli cats的冗余配置模式!也够工作在 Active/StanInternet强Activ礴taPdbH最 二个Cluster中某但NSAE遢蠢的斯磨盘出差不削壁2用淤严J时,备份设1T-转换为主设备。如图所4；d阳鳏Vip嚏不P也写调端师章图中，Infosec1为主设备，处理SLB流量，Infosec2为备份设备， 监听Infosec1的广播，当Infosec1发生故障时，Infosec2就会接管Infosec 1上的所有流量。Clustering工作原理利用IP Multicast (8)进行广播

53、，默认值：每 3秒一次；具有最高优先级的成为Master,若一个备份的NSAE具有最高优先 级，它就成为Master;一个备份NSAE在3秒内，没在听到Master的广播，它宣布成为 M aster；只在Master的NSAE的VIP响应ARP要求；每个设备独立的流量的处理，同时又监视本 Cluster中其它设备的工 作状态；利用VRRP的技术实现（VRRP 虚拟路由冗余协议，RFC 2338）。快速缓存（Cache）Cache技术-解决访咨询速度缓慢咨询题基于内存的反响代理 Cache功能。通过Cache功能的应用，NSAE产 品能够在内存中以数据包的形式 Cache住网站页面中所有能够被C

54、ache住 的内容。当用户访咨询要求发送到 NSAE时，如果Cache中的内容能够匹 配用户的访咨询要求则直截了当由 NSAE来响应用户的访咨询，从而幸免 了对后台服务器的负载压力，在减小了后台服务器负载的同时，提升了对 用户的响应速度和整体网站的处理能力。Reverse Proxy Cache兼容 HTTP 1.0 和 HTTP 1.1;被Cache的内容以“Frame”格式存贮，而不是以文件存贮，从而 快速存取，仅仅数据以“ Frame”格式储存；（剥去了 Etherent, IP&TCP 的报头）内容储存于RAM ,具有更快的存取速度；Cache内容能手动删除；内容能容预先装入 （rec

55、ursive pre-load）;利用“GET if modified:要求，在后台对内容进行有效性验证；仅 HTTP GET要求由Cache Engine处理，其它要求Forward至U SL B处理；要求含有Cookies由SLB处理。响应含有Cookies的按照报头的Ca che操纵信息处理；HTTP无Cache操纵报头，自动Cache,通过人工删除Cache的内容； 支持 LOG Squid 格式 （messagessent via Syslog）。Re-use连接为了提升NSAE和服务器的性能，在NSAE与服务器之间建立连续 的TCP连接，从而NSAE不用为每个需要与 WEB服务器连

56、接的要求，建 立新的连接；NSAE与Web服务器之间，预先建立20个TCP连接，用于转发用户 的要求到WEB服务器，一个连接能转发95个用户要求。Cache功能在加速用户叫融解1时加盛的服务器的负担。压缩（Http压缩）25000通过NSAE产品中HTTP压缩功能扩大用户嘲喀询所急待解决的咨询题 w在向窄带宽用户提供专门高的窄带访咨询应用的访咨询速度和服务质量的保证一直是网站推广和 的应噂，熊够提升网站访咨询的通信质量，通信喝量的同时，还能够极大的节约网站互联网接入带宽消耗忌评Http压缩的优势:缩短用户下载内容的时刻；在Web Server上不需要鹿缩功能，减轻了 Web Server的负担

57、。下图是采纳HTTP压缩前后的捕鬻WM量花较Ccmpression On Compression Off由图能够看出，在15.1Mbps带宽下:没有采纳HP压缩时，每秒能够处理2000个HTTP要求; 采索SHTTp时，出立 口能够处理20000个HTTP要求。NSAE产品迎图方式灵活能棒察细臂及双臂部署方式。能够灵活的按照客户现有网:勾进行部署了客户现有网络的变动，保证了整个网络的安考性忸稳固性。优化关设备,NAE具有本公司优化、定*J的Infosec操作系乡J/、II /口、级的应用处理从LtiwOS全然*潜在的应碍,最大程度发韩其最高也整个系统的性能I/O Me-nar/ PCI使整个厚

58、I/O Memory PCI用性能障 从市提升其它厂家系统架构信安世纪系统架构连接复用连接复用的要紧作用是为了改善现有系统的总体性能，其技术原理是自动实现HTTP 1.0到HTTP 1.1的转换；TCP/IP协议栈在处理长连接时 具有更好的性能；将 Web流量的多个短连接合并为一个长连接，改善了 服务器的性能。安全性内建的应用安全防火墙确保网络真正的安全，高性能的访咨询操纵列表（ACL）,网络地址翻译（NAT）以及基于状态的数据包检测，使来自 客户端的任何连接要求都可不能直截了当发到后台服务器，不仅抵御了非法访咨询和Dos攻击，而且能够阻止某些解决方案无法发觉的应用层攻 击，从而保证了整个系统

59、的高安全性。原始数据均进行了加密处理，关键信息无法被第三方窃取或篡改， 有 效地爱护服务器和应用的安全，同时还支持 1024位的非对称加密算法和 128位的对称加密算法，应用数据传输更加安全可靠。功能丰富，满足不同用户的多种应用需求NSAE是集多种功能于一体的新型应用设备，不同于以往单纯的应用 安全网关，不再仅仅局限于应用安全代理，还有负载均衡、集群、应用安 全防火墙、高速缓存等多种功能，用户能够按照需要灵活定制，以获得最 佳的解决方案，来最大程度满足多种应用的需要，改善、优化企业应用服 务，从而保证其可靠性和安全性。降低成本和复杂性NSAE 一个产品提供用户所需的诸多功能，通过集成化的服务系

60、统， 减少了用户的投入，节约了日后扩展功能所需的各项投资；不必为多个产品带来的复杂配置，增加客户的治理成本，并能够幸免多产品引发的兼容 性咨询题；同时也降低了整体成本和数据中心的复杂度， 提升了应用的处 理能力，为用户提供了全新的易用、高效、稳固的保证信息安全的屏障。良好的开放性支持标准的HTTP/SSL/TLS协议和标准的PKCS10证书要求、X509 V3证书，能够进行HTTP代理、HTTPS代理和C/S代理，同时能够同时 建立以上三种安全连接，使得应用更方便。易用性NSAE安装简单，能够通过 Web图形治理界面或者人性化的命令行 界面进行直观的配置和治理。客户只需要通过支持SSL/TLS