Citrix NetScaler应用交付解决方案

CitrixNetScaler应用交付解决方案思杰系统(CitrixSystems)

–

全球领先的应用交付专家市场上唯一提供完整应用交付方案的厂商分别占据虚拟化及七层网络技术市场的领先地位NASDAQ100及

标准普尔500指数成份股(CTXS)，2009年营业收入17亿美金全球35个国家6000+员工，在100多个国家有超过8000的代理商合作伙伴至今为止：100%财富100强（北美）企业，98%财富500强（北美）企业100%财富100强（全球）企业，99%财富500强（全球）企业全球1亿个用户的使用量覆盖全球75%的互联网用户访问完善的售后体系，SA专享升级服务Verizon1044%3Com948%CitrixSystems854%McAfee761%Symantec664%Dell570%HP471%IBM374%Microsoft281%Cisco1战略性基础设施供应商48%CitrixSystems8近年来在对(北美)CIO的数次调查中，Citrix已被不断重复地放置在十大战略性IT基础设施供应商之列强大的行业用户群金融服务业：全美前20位的商业银行，全球前50位商业及储蓄银行电信业：全美前10位及全球前20位的电信运营商制造业：全球前20位的汽车制造商，前15位的电子制造商，前10位的制药公司，全美前10位的高技术制造商，及前15位的化工企业政府：200+各类美国政府机构医疗业：全球前5位的医疗机构，全美前15位的医疗机构思杰强大的行业用户群XenDesktopWSAGXenAppNetScalerXenServerPVSESCitrix一体化应用交付架构IT基础架构的发展历史IT基础架构的发展历史HeadOfficeIT基础架构的发展历史RemoteBranchInternetCafePartnerMachineCorporateLaptopHomeComputerExternalUsersSAPSAPSAPSAPCRMCitrix应用交付思路：构筑大集中模式业务对IT的需求远程用户需要使用各种终端安全接入网络、网上办理的业务需要安全访问应用、合作伙伴需要安全访问我们部分资源分支机构需要与总部快速交换数据提供高性能的WEB服务服务器需要保护，并提高利用效率用户的体验需要“可视化”服务器端的问题AppServerWebServerLoadBalancerInternetWebApplicationInfrastructure购买更多的服务器SecurityCachingCompressionSSLAcceleration购买更多的单个产品ExcessiveBandwidth买更多的带宽古法结果:

昂贵·复杂·慢·扩展性很差SecurityCachingCompressionSSLAccelerationWebApplicationInfrastructure减少后台服务器数量减少带宽要求应用:

可靠

优化

安全Citrix新法

XenDesktopWSAGXenAppNetScalerXenServerPVSESCitrix一体化应用交付架构加速应用性能服务器卸载应用安全LANMobileUserWorld-classL4-L7loadbalancingIntelligentservicehealthmonitoringCachingCompressionConnectionpoolingSSLprocessingAccessGatewaySSLVPNApplicationfirewall应用高可用性BranchNetScaler

概览UsersAppsClientFlowServerFlowAppExpertTM

策略引擎NetScaler软件架构Acceleration Availability SecurityAppCompressTMEdgeSightTMAppCacheTMSSLAccelerationContentSwitchingLoadBalancingGSLBContentRewriteApplicationSecurityAccessGatewayTMSmartAccessTMAppExpertAPIs应用交付网络平台AppExpert策略框架应用交换引擎AppExpertVisualPolicyBuilder2)解密/认证/分析每一个请求3)应用策略并分发有效的请求1)接收并终结连接4)交换请求并对固定连接加以复用应用交换引擎（请求交换）AppExpert策略引擎Application1UsersApplication2客户端TCP连接复用NetScaler终结客户端TCP连接客户传输HTTP请求NetScaler建立服务器连接NetScaler发送客户端HTTP请求对所有并发访问的客户端TCP连接做相同的操作复用客户TCP连接到服务器Web服务器NetScaler/服务器TCP连接HTTP请求使用NetScaler以前服务器负载使用NetScaler以后服务器负载将Web应用服务器从处理TCP连接中释放出来改善服务器利用率CustomerServerCPUSavingsOtherBenefitsdRemate50%Improvedresponsetimeby110%40%savingsonmgmt.costsLiveNation50%Capacitytosupport100XtrafficspikesSINA66%Significantdecreasesinapplicationlatencyandmgmt.costsTransportforLondon95%10Ximprovementinapplicationperformance60%reductioninapplicationlatency通过连接复用节省计算资源TCP连接复用技术由NetScaler发明，并拥有专利（专利细节，可以参见美国国家专利局网站）/netacgi/nph-Parser?Sect1=PTO2&Sect2=HITOFF&u=%2Fnetahtml%2FPTO%2Fsearch-adv.htm&r=0&f=S&l=50&d=PTXT&RS=AN%2Fcitrix&Refine=Refine+Search&Query=an%2FnetscalerNetScaler帮助完善多级缓存架构源服务器Cache服务器扩展再次加速CDN对静态内容再次扩展并改善就近性BeforeNetScalerAfterNetScalerNetScaler如果您提供动态内容给访问者

服务器在同一个URL/act/playcfg/flv_info.jsp上为超过1000个Flash文件提供服务http:///act/playcfg/flv_info.jsp?id=1000id=987id=124URLURL参数减少了服务器99%的动态运算NetScalerHTTP压缩为什么压缩应用数据?最小化数据包中的载荷降低应用响应时间所有主流的浏览器支持GZIP压缩对应用用户完全透明基于User-Agent头决定压缩NetScaler策略根据User-Agent和MIME-Type决定不增加服务器负载，提高用户响应速度3-5倍11011111001110010010010111001100101011101100100001001100110111110011100100100101110011001010111011001000011010011001110010000011110001110011000110000010011110000001101111010010000110110100101111100110100111011010011010011110010000000000001110010111001011011011010010101100101100010100100101010101010100010111NetScalerSSL加速专门的芯片加速所有SSL处理支持全部Layer7(HTTP)策略支持FIPS-140-2Level2规范重新加密实现端到端安全高性能加解密安全性与性能无需取舍安全性+高性能fNetScaler支持全部4层负载均衡功能SourceIPCookieSSLSessionIDServer-IDinURLQueryCustomerServer-IDToken(headerorbody)会话保持分配流量监控服务器健康度LeastConnectionsLowestResponseTimeSNMP-basedIBMSASPHash-basedManymore…TCPConnectionHTTPSConnectionExtendedContentVerificationScriptableHealthChecksTCP与UDP客户请求NetScalerNetScaler提供完整的7层内容交换HTTP请求

AnythinginrequestbodyDeviceTypeLanguageCookieBrowserCapability客户端属性

AnyTCPRequestHTTPGetHTTPPost请求协议请求方法AnyTCPpayloadvalueAnyHTTPpayloadvalueDomainWildcardURL如果您有在Internet上的Web应用根据User-Agent减缓蜘蛛爬网应用层策略L4可见性L7有效载荷可见性L7报头可见性金牌用户银牌用户一般用户交易额>$3,000NetScaler用请求交换实现差异性服务交易额＝$5,000NetScalerZoi_price-1>3000

High_value_TXPOST/za/CCY…:Cookie:JSESSIONID=acIck92mZc3hpZjcBf;……:PAGE=LOGON_PROMPT_PRECART&OPTION=PREEDITCART&zoi_save=1&zoi_id-1=&zoi_description-1=FRAME%3A++Pegoretti+Responsorium&zoi_price-1=3500.00&zoi_ins_by-1=GUEST&zoi_sku-…AppExpert可视化策略生成器基于速率的策略扩展(NetScalerv9.0

)访问者IPAddressIPRange/SubnetCookieValueWildcardsAnyheader

orpayload…对象VserverIPURL/URIImageFileAnyheader

orpayload…时间速率RequestsPacketsBandwidthMeasuredinmillisecondsThrottleInvokePolicyResponderRewriteCacheetc.AlertLogTrap策略动作ü针对不同的应用和资源配置访问策略全局负载均衡(GSLB)北京广州上海互联网用户多站点间分布流量站点选择减少应用交付的延时无缝的站点间灾难恢复ApplicationCommunicationGLSBCommunicationNetScalerNetScalerNetScaler全局负载均衡＋服务器负载均衡=更加智能北京广州上海1000访问用户ApplicationCommunicationGLSBCommunicationNetScalerNetScalerNetScaler服务器负载均衡服务器负载均衡服务器负载均衡30%访问者30％访问者40%访问者高峰业务流量带来的安全隐患无法避免重载下服务器出現“雪崩”式瘫痪业务高峰客户端Web服务器传统负载均衡设备NetScaler提供服务器过载保护CitrixNetScaler过载队列把发送给服务器的流量速率控制在合理范围不丢弃合法流量提供最佳的最终用户响应时间NetScaler熟悉用户访问网站的行为使用NetScaler前使用NetScaler后消除不愉快的长时间等待…内嵌的4层防DoS特性高速的处理引擎大量的攻击每秒200万次SYN(吞吐量1.3Gbps)CPU使用率随攻击线性增长不影响其他功能用户访问Web服务器用户请求NetScaler置入Javascript服务器响应请求送往Web服务器服务器响应再次请求携带Javascript运算结果用户执行Javascript7层DoS攻击防护NetScalerNetScaler应用层防火墙保护Web应用逻辑阻挡应用层攻击100多家企业客户的信赖荣获多项“年度最佳产品”奖CitrixNetScaler应用层防火墙经过加固的安全设备为Web和WebServices提供高性能的安全性主动安全模型－－不依赖于特征码！高级的应用层学习能力简单的基于浏览器的策略管理110010110000011011001000000011111001100001000111110001HTMLXML

财务记录信用卡信息客户身份证号码客户记录雇员数据数据当我们在Internet部署Web应用…SQL注入攻击跨站脚本攻击

Cookie盗用表单篡改

……Web应用与服务器应用数据恶意访问用户

4层DoS攻击

7层DoS攻击InternetNetScaler应用防火墙Web应用防火墙安全防护功能Web应用单一入口点Cookie一致性检查表单一致性检查缓冲区溢出防护表单输入内容检查URL攻击防护跨站脚本/SQL注入攻击防护信用卡信息保护特定Web对象保护Web应用防火墙内部防护流程用户请求自定义安全对象检查Web服务器响应缓冲区溢出防护单一入口点防护Cookie一致性检查表单一致性检查输入内容检查SQL注入检查XSS检查信用卡信息检查110010110000011011001000000011111001100001000111110001强行浏览–动态URL关闭防护仅允许用户访问授权的URL并且阻止非法的URL请求URLClosureList(session-based)/exec/obidos/flex-sign-in/gp/browse.html/exec/obidos/shopping-basket/exec/obidos/account/gp/browse.html/?node=3760901

应用防火墙仅仅允许用户访问授权的URLs跨站脚本攻击(XSS)AttackingtrustrelationshipsHackerposts<maliciousscript>tovulnerableWebapplicationInnocentuserdownloadsscriptandexecutesCrossSiteScripting:InsertingamaliciousscriptthatcompromisesthetrustrelationshipbetweenauserandaWebapplication,resultinginsendinganattackerconfidentialinformationthatcanbeusedtostealthatuser’sidentity.321ScriptcapturescredentialinfoandsendstohackerSQL注入攻击SQLInjectionAttacks:SendingSQLcommandstoaWebapplicationthatwhenpassedtodatabasesexecuteandallowhackertogainaccessorchangecustomerandsensitiveinformation.SQLInjectionAttackhttp://shop/index.asp?category=books'or‘1=1AccessingdatabasesviaWebapplicationsCookie盗用与篡改防护防止身份盗用和Cookie篡改Web服务器送客户端cookie应用防火墙核实cookie是否被修改客户端返回cookie给服务器HTML表单一致性保护ClientcompletesandreturnsformApplicationsendsformtoclientProtectapplicationsbyblockingmaliciousandillegalinputparametersForeachusersessionCitrixApplicationFirewallensuresthat:-Eachfieldisreturned-Nofieldswereaddedbyclient-Read-onlyandhiddenfieldsareunaltered-Dataindrop-downlistorradiobuttonfieldconforms-Maxlengthofformfieldsisadheredto商业对象保护模块防止针对企业财务信息的攻击可配置的保护对象用户信用卡信息用户自行定义的数据保护对象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:Msg547,Level16,State1,Procedureerror_demo_sp,Line2UPDATEstatementconflictedwithCOLUMNFOREIGNKEYconstraint'fk7_acc_cur'.Theconflictoccurredindatabase'bos_sommar',table'currencies',column'curcode'.Thestatementhasbeenterminated.Netscaler硬件SSL加速提供FIPS140-2Level2SSL密钥管理重新用SSL加密到服务器的连接，实现完全端到端保密IPS/IDS无法看到SSL流内部！Citrix应用防火墙终结SSL检查流内部高级SSL支持－应用检查＋SSL加密可以兼得AppCompressTMEdgeSightTMAppCacheTMSSLOffloadContentSwitchingLoadBalancingGSLBContentRewriteApplicationSecurityAccessGatewayTMSmartAccessTM应用交付网络平台AppExpert策略框架应用交换引擎Web应用防火墙日志与自学习功能通过适当的学习应用行为，对Web应用执行严格的安全策略自动策略学习RecommendationsfromtrafficpatternsReducesfalsepositivesEasilytailorprofilesfordynamicapplicationsWeb应用防火墙部署部署在Web应用服务器前端与传统安全设备构成多层防护网络层防护应用层防护NetScaler提供最终用户体验的可见性CitrixEdgeSight用户应用NetScaler管理和报告ComprehensiveEndUserandServerperformancereportingDetailedNetScalersystemreportingCitrixCommandCenterforcentralConfigurationandmanagementEdgeSightForNetScalerServerComponentsReportingServicesEdgeSightDatabaseWebConsoleDataCollectionPlatformComponentsWindowsServer2003SQLServer2005ReportingServicesASP.Net2.0EdgeSight——重要的Citrix特定度量数据详细的客户端登录信息——完成登录的各个进程的时间，包括登录脚本执行、用户档案载入和验证ICA往返时间——ICA数据包往返于客户端和服务器所耗费的时间。内存使用率——总的内存使用率以及每个会话和每个进程的内存使用率CPU使用率——总的CPU使用率以及每个会话和每个进程的CPU使用率会话持续时间——用户登录到Citrix服务器的时长。活动和非活动会话数——在特定Citrix服务器上的登录用户会话数。ICA用户会话延时——ICA客户端和Citrix服务器之间的延时。

高性能服务器压力卸载

安全高可用Citrix为用户提供更智能的动态数据中心CitrixNetScalerCitrix

Workflow

StudioCitrixXenServerUnpowered,bareMetalserversXenServerABBBBAAAAXenServerAAAAABAACitrix

云计算解决方案VirtualServerContainersWorkloadDistributionSystem(gridengine)InfrastructureServicesAPIsWorkloadmanagementreporting!andbilling$/CPU/hr$/GB$GbpsCloudBridge

(Repeater)关键需求

动态扩展

多租户的考量EssentialsforXenServerXenServerNetScalerMPXISVPartnersXenAppXenDesktopNetScaler

VPXNetScaler

VPXNetScaler

VPXNetScaler

VPXNetScalerVPX组群博客个人WIKI组群日历列表与清单社区内容共享NetScalerv9.0增强互联网Web应用交付NetScalerV9.0增强企业Web应用交付企业应用部署指导企业应用策略模板策略模板共享社区TemplatespostedandsharedPostedtemplatescanbeimportedintoNetScalerCommunityencouragedtopostextensionstopostedtemplatesDocumentcertifiedNSconfigsCreatedinconjunctionw/ISVsProvidebaselineconfigurationsEasiestwaytoinstantiateadeploymentguidePutsentireappconfiginonevieww/inNSconfigTemplatescanbeimported/exportedEasiestwaytoshare/distributedapp-specificconfigurationsNetScaler将帮助您把应用更加智能的交付给用户

财务记录信用卡信息客户身份证号码客户记录雇员数据数据当NetScaler部署在Web应用前端…企业内部员工恶意访问用户Internet4层DoS攻击7层DoS攻击SQL注入攻击跨站脚本攻击

Cookie盗用表单篡改

……Web应用与服务器应用数据

企业内部员工从Internet安全接入尽管您可能第一次听说CitrixAGEESource:ForresterResearchSource:Forrester(December2006)Source:Gartner(November2007)理想的资源访问控制不允许访问全部访问权限合作伙伴远程访问开发外包人员任务工作者事务工作者高级别用户系统与网络维护SSLVPN虚拟策略生成中心SSLVPN访问策略生成器根据不同员工组定制的内部资源主页CitrixVPN企业版用户体验用户访问哪些资源取决于端点扫描结果AGEE通过NetScalerGSLB功能实现多站点备份AGEE与XenApp无缝结合自动跳转到WebInterface用户访问WebInterfaceAGEEXenApp架构加速应用性能服务器卸载应用安全LANMobileUserWorld-classL4-L7loadbalancingIntelligentservicehealthmonitoringCachingCompressionConnectionpoolingSSLprocessingAccessGatewaySSLVPNApplicationfirewall应用高可用性BranchNetScaler总结CitrixNetscaler能满足各种丰富的应用，应用于不同行业SP领域基于电信行业数据中心宽带计费DNSEmail服务器负载均衡基于MBOSS应用服务器负载均衡CRM，callcenter解决方案MSS/Portal解决方案SSLVPNBOSS营业厅上连，供应商ERP查询，办公系统BOSS容灾TEMSolutions,WAP网关解决方案SMS和MMS解决方案RingTone解决方案中国移动ADC新电信增值应用手机游戏支持平台解决方案GIS系统解决方案LocationBasedServicesManagedservicesWebaccelerationpackagedmanagedserviceMSMpackagedmanagedservicesCitylevelCDNforchinatelecommediarelatedbusinessTrippleplayIPTVVOIPCDNformediacontentdelivery其他领域电力系统营销系统负载均衡证券公司网上交易安全网银业务安全…直辖市地税网上征收平台省级国税-CTAIS系统流量管理社保系统流量管理公安出入境管理信息系统服务器负载均衡公安系统内网核心应用流量管理房地局网上房地产流量管理

财务记录信用卡信息客户身份证号码客户记录雇员数据数据您可以通过仅用一个硬件平台来实现恶意访问用户Internet4层DoS攻击7层DoS攻击SQL注入攻击跨站脚本攻击

Cookie盗用表单篡改

……Web应用与服务器应用数据企业内部员工

企业内部员工从Internet安全接入75%OfInternetUsersCitrixNetscaler每天处理全世界75%的互联网流量7000+DeploymentsWorldwide每天Citrix帮助超过7000家的企业进行应用交付全球企业对思杰所代表的集中管控安全体系的广泛采纳在2007年9月美国顶尖调查机构完成的对财富1000企业信息安全主管的调查显示：虽然Citrix(思杰)不是传统意义上的安全厂商，但却被最多的企业推为其2008年首选安全方案供应商！Citrix的全球战略联盟广泛的用户与媒体奖项GlobalMarketLeadershipAward

#1inWebApplicationSecurity客户举例（制造与ICP行业以外）国外主要