信安世纪NSAE课件

北京信安世纪企业信安世纪NSAE1/73提要公司介绍安全挑战产品简介产品优势成功案例2/73提要公司介绍安全挑战产品简介产品优势成功案例3/73企业概况公司成立于1998年1月，是中国最早从事并专注于应用安全产品开发和技术的专业厂商中科院信息安全国家重点实验室的技术背景，拥有一批国内资深的应用安全相关专业人才中国领先的应用安全产品和解决方案供应商，在PKI领域拥有国内最成功，最广泛的商业应用案例总部设在北京，在上海和深圳设有分支机构4/73公司资质高新技术企业、软件企业商用密码产品定点生产单位商用密码产品销售许可单位国家信息安全服务资质证书……产品资质商用密码产品技术鉴定证书计算机信息系统安全专用产品销售许可证计算机软件著作权登记证书商用密码产品型号证书……全方面资质5/73高新技术企业和软件企业6/73商密定点单位7/73信息安全服务资质8/73技术判定证书9/73质量管理体系10/73业界地位国家信息安全标准化委员会密码工作组（WG3）成员国家信息安全标准化委员会PKI/PMI工作组（WG4）成员国家密码局电子交易应用安全体系专项组成员国家密码局知识产权专项组成员《XML签名语法与处理规范》国家标准制订者国家发改委《桥CA系统应用接口程序规范》制定者国家密码局《数字证书认证中心和密钥管理中心的技术标准》制订的主要参与者国家密码局《证书认证系统和密钥管理系统检测规范》制订的主要参与者国家密码局《证书认证系统密码技术及其协议规范》制订的主要参与者11/73行业经验（1/2）国内最早为金融行业提供服务的PKI厂商超过11年为金融提供PKI和相关应用安全产品和服务的经验在金融行业拥有广泛的成功案例超过30家银行客户、50家非银行金融机构产品支撑全球最大的数字证书中心农业银行CA中心活跃证书数量超过800万工商银行的CA中心活跃证书数量超过790万产品支撑全球最大的动态密码系统工商银行的动态密码系统活跃用户超过2000万12/73行业经验（2/2）行业CA体系建立烟草行业CA体系及其证书应用体系、标准SSL领先厂商支持工商银行、交通银行等大型用户负载均衡在金融领域部署多套服务器负载均衡器在金融领域部署多套链路负载均衡器SSLVPN13/73主要案例–银行

中国工商银行中国农业银行中国建设银行交通银行中国银行天津分行上海浦东发展银行恒丰银行银行卡信息交换总中心北京银行青岛市商业银行重庆市商业银行无锡市商业银行厦门市商业银行乌鲁木齐商业银行金华市商业银行邯郸市商业银行温州市商业银行北京市农村商业银行顺德市农村信用合作社我们目前服务的银行用户超过30家14/73主要案例–非银行金融机构

中国平安保险集团CA系统中国人寿电子保单及身分认证项目太平洋保险集团电子保单项目太平人寿集团财务安全系统中国证券登记结算有限责任公司PKI中心系统中国海洋石油集团财务公司资金安全系统三峡财务公司资金结算安全系统济南钢铁集团财务资金安全系统中国华能集团财务公司资金安全系统万向集团财务公司资金结算安全系统攀枝花钢铁集团财务资金安全系统中国石油集团财务公司资金安全系统首都钢铁集团财务公司资金安全系统中国石油股份财务公司资金安全系统国航财务公司资金结算安全系统一汽财务公司资金结算安全系统上海汽车集团财务公司资金安全系统鞍山钢铁集团财务公司资金安全系统三江航天集团财务公司资金安全系统中国远洋集团财务公司资金安全系统双汇集团财务公司资金结算安全系统非银行金融机构用户超出50家15/73主要案例–政府

国家烟草专卖局PKI安全系统国家电网SG186工程教育部高校招生应用安全系统国家财政部应用安全集成系统国家监察部网上举报安全系统公安部移动警务通应用安全系统北京国税网上报税安全系统北京市密钥管理中心（KMC）深圳地税网上报税安全系统深圳财政厅金财工程16/73经典客户强大的系统性能支撑

工行庞大的业务量

CA系统设计能力超过2000万客户证书

截至2007年末，工行网上银行企业客户数已达98万户，个人客户数累计达到3908万户，网上银行交易额已超过89万亿元。

市场份额稳居国内各家网上银行之首

荣誉分享

2002年，《银行家》（TheBanker）将2002年度唯一一个关于商业银行网站的大奖－－“全球最佳银行网站”（BestBankWebsite）奖项颁给中国工商银行网站。2003年－2007年，《环球金融》（GlobalFinance）杂志连续5年授予中国工商银行“中国最佳个人网上银行”（BestPersonalBankofChina）奖项。2007年，工商银行还被《环球金融》评为“全球最佳存款服务网上银行”和“亚洲最佳存款服务网上银行”，充分展现了工商银行的国际影响力，同时也确立了中国工商银行电子银行国内领先并达到国际先进水平的地位。17/73经典客户实施时间：2005年起产品：NetCert证书系统（含CA、RA、KMC）证书已实施的应用面向集团内部员工签发数字证书，实现AD域登录功能。文档安全加密系统财务资金结算应用安全系统……后期规划安全企业门户系统等网上银行应用安全系统网上证券业务电子保单保险经纪人的网上业务……18/73实施时间：2003年起产品：NetCert证书系统（包含CA、RA、KMC）数字签名服务器NetSign全面支持证券登记结算业务网络投票系统股东名册系统股东资金查询系统其它投资人服务系统……面向中国证券市场服务超过3000万股民5000家多家机构1370家上市公司经典客户19/73经典客户实施时间：2007年产品：数字证书管理系统：NetCert系统（包含NetCertCA、NetCertKMC、NetCertOCSP、NetCertTSA、NetCertRA）SSL安全代理系统：NSAE硬件服务器数字签名系统：NetSign签名服务器建立烟草行业CA安全认证体系。应用于：生产经营决策管理系统办公自动化系统卷烟交易系统专卖准运证系统内网门户网站系统电子邮件系统公文安全传输等20/73信安世纪产品与技术理念应用身份认证审计通信保密访问控制完整性不可否认身份管理NetCertNetPass远程访问NSAENetGate内容安全NetSign信安应用安全基础平台ISFCISFJISFW21/73提要公司介绍安全挑战产品简介产品优势成功案例22/73互联网信息流如此混乱,如何保证用户进行业务的安全访问?业务快速发展,服务器不断扩容,应用服务器如何胜任企业信息化快速发展的要求?多链路接入,如何才可以更完善保护用户接入访问?如何真正实现应用服务加速?应用需求23/73NSAE轻松面对安全、接入、加速解决网络拥塞问题，服务就近提供，实现地理位置无关性(链路负载,广域网负载)；应用服务快速扩容,应用全面健康检查,提高服务器响应速度(服务器负载)；应用加速,全面改善用户访问速度(连接复用,HTTP压缩,高速Cache)SSL安全接入,保障用户信息交互安全(SSL加速);防火墙,集群……24/73在基础网络架构中产品应用层次智能应用智能客户端RoutersSwitchesFirewalls网络管件WebWall防火墙服务器负载均衡链路负载均衡&QoSSSL加速快速缓存HTTP压缩集群全局负载均衡25/73数据中心对ADC需求点产品可用性ADC支持的应用类型系统可靠性ADC产品自身的可靠性HA配置服务器DOWN机对业务的影响系统安全性网络攻击安全泄漏用户体验响应速度，使用便捷系统成本控制规范安全成本控制(功率，空调)IT＝服务(服务虚拟化)灾难恢复/业务连续性26/73应用交付类产品正在发生演变L4SLB&SwitchL7SLB&ADC/AFE27/73提要公司介绍安全挑战产品简介产品优势成功案例28/73产品外观29/73NSAE系列产品功效及特点服务器负载均衡集群快速缓存链路负载均衡&QosSSL加速HTTP压缩WebWall全局负责均衡30/73Webwall应用层防火墙WebWall–状态检测防火墙DenialOfService(DoS)攻击防护功能通过ISSX-Force安全认证每秒能够处理80,000SYN连接更多…ACLs(Layer4).URL过滤(Layer7)详细日志记录PhysicalLayerDataLinkLayerNetworkLayerTransportLayerYYDropPacketNNPermitCheck:IsthedestinationIPAddress&PortNumberinPermittable?DenyCheck:IsthesourceIPAddressIntheDenyTable?

性能表现支持的ACL数量:100031/73应用环境固定端口或端口的TCP或UDP应用（L4－L7负载均衡）固定端口范围的TCP或UDP应用（L4－L7负载均衡）固定Mac地址、IP地址的应用（L2－L3负载均衡）SNMP支持下的SLB功能Radius、SIP、RTSP应用SLB功能实现功能特性每一SLB应用均可独立配置处理模式（Reverse、Transparent）全面的负载均衡算法（L2－L7）可以利用连接复用技术提供系统整体性能与SSL加速、快速缓存等功能紧密集成，使用户投资获益最大化多种健康检测方法，保障业务的永久可用服务负载均衡（ServiceLoadBalance)32/73SLB术语RealService(“Real”)能够真实处理并响应用户的访问请求的设备。RealServiceGroup(“Group”)RealService的集合，同一个group中的RealService所处理的服务服务相同VirtualService(“Virtual”)在NSAE上配置的，对外提供服务的IP地址和端口的组合。相同的IP地址组合不同的端口也称为不同的VirtualServicePolicy将VirtualService和Group联系起来的处理规则，分4层policy和7层policy两类。Method将RealService和RealServiceGroup联系起来的处理规则按处理效果可分为保持性method和非保持性method按所不同的处理深度，分为4层method和7层methodservice1service5service4service3service2Real1Real3Real4Real5Real2Group1Group2Virtual1Virtual2Internet33/73One-Arm结构Two-Arm结构产品布署34/73反向代理模式（reverse)虚拟服务Internet服务器1服务器2内部端口外部端口1234步骤源IP源端口目标IP目标端口1客户端IP客户端端口VirtualIPVirtual端口2NSAE内部IPNSAE内部端口RealIPReal端口3RealIPReal端口NSAE内部IPNSAE内部端口4VirtualIPVirtual端口客户端IP客户端端口优点可以采用One-armed的结构部署可以通过连接池技术增强系统性能.可单独针对某特定应用VirtualServices实现局限性服务器无法记录哪些IP的客户端曾进行访问解决办法:NSAENSAE可以在用户的HTTP包头中加入X-Forwarded-For字段，用它记录客户端的IP地址35/73透明模式(transparent)优点服务器可以记录哪些IP的客户端曾进行访问也可采用one-arm架构可单独针对某特定VirtualService实现）局限性结构/路由设计必须保障从源服务器端来的响应必须经过NSAE由于每个请求的源IP地址都不一样，因此无法利用连接池技术改善系统性能虚拟IPInternet服务器1服务器2235461步骤源IP源端口目标IP目标端口1客户端IP客户端端口VirtualIPVirtual端口23客户端IP客户端端口RealIPReal端口4RealIPReal端口客户端IP客户端端口56VirtualIPVirtual端口客户端IP客户端端口36/73策略和算法Layer4LoadBalancingMethodsLeastConnections(lc)ShortestResponseTime(sr)RoundRobin(rr)WeightedRoundRobinClientNetworkPersistence(HashIP)Persistent/ConstantHashIPConfigurableFirstChoiceforPersistentMethodsStaticPolicySupportLayer-7HTTPContentRoutingMethodsQoSURLQoSCookieQoSHostnameQoSNetworkQoSNetwork+PortRangeQoSClientPortInsertCookieRewriteCookiePersistentCookiePersistentURLPersistentHostnameiModeSupportHashCookieHashHeaderSSLSessionIDArbitrayHeaderContentRoutingSOAPHeaderContentRoutingCombinedWithsr/lc/rrLoadBalancingMethodsVirtualServiceRealServicePolicyMethodServiceGroup37/73健康检验类型ICMP向后台的RealIP发送ICMPecho请求，并根据是否收到响应判断健康状况网络层检查TCP与后台的服务器尝试建立一个特定端口的TCP连接，根据能否建立连接来判断健康状态传输层检查HTTP请求/响应向后台服务器发送一个预先配置的HTTP请求，将接收到的响应与预先配置的内容进行比较，以此来判断健康状态应用层检查服务器1服务器3服务器2Internet38/73健康检验类型特定应用类型的检查Radius应用DNS应用TCP-Script,UDP-Script定制模拟用户访问请求，向RealServer发送符合特定个性化需求的检查定制模拟服务器端相应，通过比对服务器端真实相应判断应用健康状况Web应用中，针对关键字的健康检查（keyWordHC）针对Web应用针对WebRealServer返回的Web页面中的特定关键字39/73连接复用技术加快了与后台服务器之间的TCP连接处理速度NSAE预先与后台服务器之间建立多个连接，并保持它们(每个服务器最多预建立20个连接)如果有客户端的请求根据负载分担算法被分配到某个后台服务器上，NSAE从预先建立的该服务器的连接池中选择一个连接，在此连接上发送客户端的请求，一个连接可以被用来传送多个请求(每个连接最多可以同时处理90个请求)显著的减少了后台服务器需要处理的用户端连接数(减少量可能达90%)改善了服务器的性能服务器不需要花费更多的时间处理TCP连接建立和拆除的工作服务器不需要耗费更多的资源保持多个客户端连接40/73连接复用技术Before:服务器一侧和客户端一侧的连接数是1:1的关系，服务器消耗80％的资源在处理TCP连接建立和拆除的工作没有采取连接复用After：将客户端一侧大量短连接转换成少量的高吞吐量的长连接，可以减少100倍的后台连接数采取连接复用41/73NSAE21000性能表现每秒可处理的HTTP请求数:100,000

最大吞吐量:1.5Gbps

最大缓存容量:3Gigabytes

应用环境提供Web服务的系统改善现有系统的响应速度和服务质量在不增加昂贵的服务器的情况下，扩展现有系统的处理能力功能特性基于内存缓存的架构数据以数据包，而不是文件的形式存储完全符合RFC2616动态调整缓存空间DNSCache功能快速反向代理缓存（MemoryCache）42/73HardDriveRequestMemory00011100110101100110010110101010101000111...ResponseServingFromHardDriveMemory:

RequestMemory00011100110101100110010110101010101000111...ResponseServingFromRAM-BasedMemory:

MillisecondsNanosecondsNSAECaching服务器或传统的硬盘Cache基于内存的Cache功能避免了长时间的硬盘数据查找和读写所造成消耗查找和响应时间比传统的硬盘Cache降低了快速反向代理缓存（MemoryCache）43/73应用环境需要减少带宽消耗使终端用户由更快的网上冲浪的体验功能特性基于RFC1950,RFC1951,RFC1952等标准实现可自动检查浏览器端是否识别压缩后的内容支持的压缩类型HNSAELfilesPlainTextfilesXMLfilesMicrosoftWorddocumentsJavaScriptfilesCSS(CascadingStyleSheet)filesPDFfilesHTTP内容压缩(HttpCompression)44/73HTTP

压缩功效CNN.com主页约50KB未经压缩的传输时间为20秒NSAE以5:1的比例对主页进行压缩压缩结果为10K，传输时间为3秒Effective传输是未经压缩的结果Actual为经过压缩后的结果结果带宽消耗近为71Mbps（节省了74.7%的带宽消耗45/73SSL加速功效多种加速技术提供业界最快的双向SSL握手速度内核穿透技术证书快速解析技术FastCRL技术端到端的SSL加密在客户端和NSAE之间实现SSL加密传输在NSAE和后台服务器之间可以选择配置明文传输或者SSL加密传输支持多种证书撤销列表（CRL）策略支持多CA信任域支持客户端证书过滤支持J2EE标准向后台应用传递证书Infosec

OSHardwareBulkEncryption&RSAKeyExchangeAFESSLAccelerationOpenSSLApacheLinuxOSHardwareBulkEncryptionRSAKeyExchange传统SSLAcceleration46/73应用环境解决多链路下流量分担的问题无法采用BGP的方式实现链路的自动切换，保持对终端用户的透明功能特性支持各种速率的链路，(DSL/Cable等）支持多宿主的结构对入流量和出流量都提供负载分担的功能负载均衡算法:RR、WRR、SRT、PBR可以和NAT一起工作性能表现持的最大链路数:256链路负载均衡功效47/73Eroute（策略路由）功效Eroute优先级高于static路由和default路由协议Eroute命令行格式：iperoute<name><priority><srcip><srcmask><srcport><dstip><dstmask><dstport><proto><gatewayip>[<weight>]48/73全局服务器负载均衡（GSLB）功效目的：在多个可提供相同服务的站点之间，根据相应的分配策略将用户请求“路由”到合适的站点上GSLB的优点实现内容的高可用性，高扩展性实现对用户请求最快/最近的响应实现全局系统负载的合理分担NSAE提供高性能的GSLB功能－SmartDNSSICPNSAE在站点内和站点之间交换健康信息和状态信息SiteA1234SiteCSiteBLDNSRankSite %Traffic1 B 702 C 203 A 1049/73支持SDNS功能，实现Web服务层的容灾多种智能算法：GlobalRoundRobinMember-basedGlobalWeightedRoundRobinVIP-basedGlobalWeightedRoundRobinGlobalLeastConnectionGlobalConnectionOverflowGlobalLinkLoadBalanceSiteAvailabilityServiceAvailabilityIPOPrimary/BackupforDRSupportProximityBandwidth每秒可以处理超过6万个DNS请求与本地负载均衡功能紧密集成全局服务器负载均衡（GSLB）50/73应用环境线性增加系统的总体处理能力增加系统的高可靠性实现自动的故障切换功能特性支持Active/Active和Active/Standby两种方式NSAE21000/11000/2100支持每个集群32个节点NSAE1100支持每个集群2个节点协议标准－VRRP SLBVIP1–BackupSLBVIP2–MasterSLBVIP1–MasterSLBVIP2-BackupWeb服务器InternetWeb客户端NSAE1NSAE2集群功效（Cluster）51/73链路汇聚功效（LinkAggregation）符合IEEE802.3ad标准帮定两个或两个以上端口链路为一个高带宽的逻辑端口链路被绑定的多个物理端口链路之间同时提供冗余和故障检测功能极大的提高系统的性能和应用的稳定性52/73设备管理实时管理手段:类似Cisco的CLI基于WEB的用户接口(WebUI)连接到NSAE产品的手段：ConsoleCLI连接通过RS-232串行接口直接连接SSHCLI连接（SSHV2）通过一个SSH客户端实现与一个已分配IP地址的NSAE系统的安全连接WebUI连接通过一个WEB客户端（例如IE或NetscapeNavigator）实现与一个已分配IP地址的NSAE系统的安全连接.53/73命令行接口类似IOS的CLI54/73WEBUI

接口55/73NSAEWebUI导航界面基于WEB的用户界面56/73日志与监视系统日志支持8级可配置的log消息Emergency,Alert,Critical,Error,Warning,Notice,Info,DebugSNMPV2可将SNMPTraps发送到一个已定义的Trap主机支持SNMPGET，允许实时地监测系统参数，如服务器健康状况，CPU利用率，Cache/SLB统计,等.由于安全问题不支持SNMPSET邮件报警功能日志中的关键字将自动激活邮件报警功能，向指定的邮箱发送邮件57/73NSAE21000NSAE11000NSAE2100NSAE1100尺寸2U1U1U1U内存4GB4GB2GB1GB吞吐量3Gbps2Gbps1.5Gbps1GpsHTTPRequest/Sec100,00050,00050,00020,000SSLTrans/Sec20,00010,0004,4003,000MaxPorts10Ports10Ports6Ports4Ports端口2x10/100/10004x10/100/10002x1000Base-SX2x10GBase-SXBase:4x10/100/1000Option:4x10/100/10002x1000Base-SXBase:4x10/100/1000Option:2x1000Base-SXBase:4x10/100/1000电源功率167122.0112.2103.4性能指标58/73布署方式单臂部署双臂部署59/73提要公司介绍安全挑战产品简介产品优势成功案例60/73为何选择NSAE系列产品NSAE产品性能价格比最高GSLB＋LLB功能优势明显SLB＋Cache功能强大，适用范围广本地技术支持力量各应用平台/系统典型应用案例产品细分适应不同应用需求61/73应用响应时间所需要的服务器数量服务器CPU和内存使用70%50%75%减少5家部署了NSAE应用前端的企业的平均应用效果NSAE布署之后平均效果62/73支持的用户和服务器的服务能力投资回报和企业生产力应用可用性服务器:290%99.999%提高$$用户:85%NSAE布署之后平均效果63/73NSAE安全性64/73安全快捷简单管理NSAECLI命令行及中，英文管理界面，方便维护人员进行管理维护。65/73LoadBalancing&ADC负载均衡的实现技术Route/DNS：仅支持round-robin算法MidwareLoadBalancing：占用服务器资源，系统复制度高，不易排错L4Switch：缺乏应用加速功能ADC(AppDeliveryController)：使用ADC的优势负载均衡算法策略丰富，可用性高简化系统复制度，维护性高可集群配置（HA），可靠性高应用加速功能，用户体验良好66/73提要公司介绍安全挑战产品简介产品优势成功案例67/73NSAE流量管理和加速处理方案当地可靠性/扩展性业务连续性保持应用加速异地容灾和备份应用交付解决方案68/73Web应用交付和应用加速NSAE功能作用：服务器负载均衡：Web服务器负载均衡，App服务器负载均衡；灵活的、可定制的应用分发策略；应用加速：SSL加速、HTTP压缩、MemoryCache、TCP优化；SSL加密通信方案优势：大幅度提高系统整体可支持并发用户数，提高系统整体性能；NSAE隔离了公网到服务器的直接连接，屏蔽了网络攻击，以及大并发连