客戶(hù)需求分析
對(duì)于一般的互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō)�,基本都會(huì)采用混合架構(gòu)來(lái)對(duì)外提供服務(wù)�。對(duì)公眾提供主要業(yè)務(wù)響應(yīng)的系統(tǒng)部署在公有云上�,但關(guān)鍵
的用戶(hù)鑒權(quán)信息保留在企業(yè)內(nèi)部�,只有通過(guò)公有云和企業(yè)內(nèi)部數(shù)據(jù)庫(kù)聯(lián)動(dòng)完成用戶(hù)認(rèn)證后�,再由公有云提供涉及和用戶(hù)相關(guān)的具體操
作業(yè)務(wù)。
對(duì)于此種現(xiàn)狀�,互聯(lián)網(wǎng)企業(yè)將采用多運(yùn)營(yíng)商線(xiàn)路接入方式,來(lái)提升應(yīng)用系統(tǒng)的穩(wěn)定性和可靠性��,提升用戶(hù)體驗(yàn)����。但實(shí)際建設(shè)過(guò)程中�����,
效果并不理想����,主要表現(xiàn)為以下幾個(gè)方面:
◆ 當(dāng)某一運(yùn)營(yíng)商線(xiàn)路故障時(shí)����,業(yè)務(wù)恢復(fù)時(shí)間長(zhǎng),業(yè)務(wù)很難實(shí)現(xiàn)秒級(jí)切換��。
◆ 帶寬出現(xiàn)嚴(yán)重浪費(fèi)現(xiàn)象����,帶寬利用分配不均,經(jīng)常出現(xiàn)某一運(yùn)營(yíng)商線(xiàn)路已滿(mǎn)載了����,而其它運(yùn)營(yíng)商線(xiàn)路基本處于閑置狀態(tài)�。
◆ 入向流量調(diào)度手段匱乏?�;ヂ?lián)網(wǎng)外部用戶(hù)在外部訪問(wèn)對(duì)外發(fā)布的應(yīng)用系統(tǒng)時(shí)如何夠動(dòng)態(tài)的在各家運(yùn)營(yíng)商鏈路上合理優(yōu)化分配,且在
一條鏈路中斷時(shí)能夠智能地自動(dòng)切換到另外一條鏈路���。
◆ 內(nèi)網(wǎng)訪問(wèn)外網(wǎng)時(shí)���,不能智能識(shí)別不同的運(yùn)營(yíng)商網(wǎng)絡(luò)資源,需要人為手工來(lái)分配����,靈活性不夠,不智能����。未能實(shí)現(xiàn)基于特定域名的訪
問(wèn)流量調(diào)度。
◆ 基于Web層的SQL注入�、XSS、CC攻擊等多種Web層安全威脅問(wèn)題�����。
解決方案
齊杉科技互聯(lián)網(wǎng)企業(yè)安全解決方案:
◆ 在互聯(lián)網(wǎng)企業(yè)出口部署齊杉Cedar ADC產(chǎn)品����,負(fù)責(zé)多家運(yùn)營(yíng)商線(xiàn)路的接入,主要解決出站(局域網(wǎng)用戶(hù)和服務(wù)器主動(dòng)訪問(wèn)互聯(lián)網(wǎng)的
流量)和入站(公有云或其它主動(dòng)對(duì)發(fā)部業(yè)務(wù)的訪問(wèn))的流量調(diào)度問(wèn)題���;
◆ 在出口Cedar ADC之下部署齊杉Cedar NGFW產(chǎn)品����,過(guò)慮來(lái)自互聯(lián)網(wǎng)對(duì)內(nèi)部的安全威脅,為企業(yè)外地員工提供VPN訪問(wèn)業(yè)務(wù)��。
◆ 部局域網(wǎng)與數(shù)據(jù)中心間部署齊杉Cedar NGFW產(chǎn)品��,對(duì)訪問(wèn)數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行深度安全檢測(cè)��,安全控制����,安全過(guò)濾等。
◆ 在數(shù)據(jù)中心部署齊杉Cedar ADC產(chǎn)品��,對(duì)關(guān)鍵服務(wù)器流量進(jìn)行高可用調(diào)度��、應(yīng)用優(yōu)化與加速����,保障業(yè)務(wù)可持續(xù)服務(wù)的同時(shí),提升用
戶(hù)的訪問(wèn)體驗(yàn)��。
◆ 在數(shù)據(jù)中心部署齊杉Cedar WAF產(chǎn)品�����,負(fù)責(zé)處理訪問(wèn)流量中攜帶的基于Web層的攻擊威脅��。
■入站流量調(diào)度
智能DNS功能是解決入站流量調(diào)度方面的問(wèn)題�,首先將對(duì)發(fā)部業(yè)務(wù)的域名解析功能指向齊杉科技Cedar ADC設(shè)備,由Cedar ADC設(shè)
備來(lái)進(jìn)行域名A記錄的解析�。舉個(gè)例子來(lái)說(shuō),當(dāng)公有云或外網(wǎng)用戶(hù)遠(yuǎn)程通過(guò)域名訪問(wèn)對(duì)外發(fā)布業(yè)務(wù)系統(tǒng)時(shí)��,逐步通過(guò)公有云或外網(wǎng)用戶(hù)
的本地DNS服務(wù)器����、根DNS服務(wù)器,最終由Cedar ADC設(shè)備來(lái)進(jìn)行域名的A記錄解析��。然后Cedar ADC設(shè)備就會(huì)通過(guò)智能DNS模塊進(jìn)行
發(fā)起訪問(wèn)公有云或外網(wǎng)用戶(hù)的運(yùn)營(yíng)商歸屬分析����,給公有云或外網(wǎng)用戶(hù)返回對(duì)應(yīng)的運(yùn)營(yíng)商訪問(wèn)地址,同時(shí)實(shí)現(xiàn)多條線(xiàn)路冗余�����,讓公有云或
外網(wǎng)用戶(hù)得到最佳的訪問(wèn)IP地址����,提高訪問(wèn)效率�����,詳細(xì)實(shí)現(xiàn)如下:
◆ 公有云或外網(wǎng)用戶(hù)通過(guò)Cedar ADC訪問(wèn)后臺(tái)業(yè)務(wù)服務(wù)器��。
◆ 公有云或外網(wǎng)用戶(hù)請(qǐng)求到達(dá)設(shè)備的路徑有多條�,設(shè)備的每個(gè)外網(wǎng)接口分別對(duì)應(yīng)著不同運(yùn)營(yíng)商的鏈路�����。
◆ 公有云或外網(wǎng)用戶(hù)訪問(wèn)域名時(shí)�����,設(shè)備對(duì)域名進(jìn)行智能DNS解析����,通過(guò)將域名解析為所屬的運(yùn)營(yíng)商IP地址,返回給公有云或外網(wǎng)用戶(hù)
訪問(wèn)同屬性運(yùn)營(yíng)商的IP地址�����,通過(guò)智能DNS技術(shù)讓所屬不同運(yùn)營(yíng)商網(wǎng)絡(luò)的外網(wǎng)用戶(hù)能通過(guò)相對(duì)應(yīng)的路徑完成業(yè)務(wù)請(qǐng)求的功能����。
■出站流量調(diào)度
出口鏈路調(diào)度對(duì)應(yīng)的功能是解決出站流量調(diào)度方面的問(wèn)題��。主要是由企業(yè)內(nèi)部用戶(hù)和服務(wù)器主動(dòng)發(fā)起的對(duì)公網(wǎng)的訪問(wèn),當(dāng)這部分流
量到達(dá)Cedar ADC設(shè)備時(shí)���,Cedar ADC設(shè)備會(huì)通過(guò)預(yù)先設(shè)定的好策略判斷每條鏈路的健康狀況����、響應(yīng)時(shí)延��,并決定將流量調(diào)度到哪條鏈
路���,然后數(shù)據(jù)包的源地址轉(zhuǎn)換成對(duì)應(yīng)運(yùn)營(yíng)商的公網(wǎng)地址�����,再將該數(shù)據(jù)包發(fā)出�����,響應(yīng)數(shù)據(jù)包返回到設(shè)備時(shí)�����,設(shè)備將目的地址進(jìn)行轉(zhuǎn)換之后
將數(shù)據(jù)包發(fā)給內(nèi)部的用戶(hù)或服務(wù)器��。
■DNS透明代理
DNS透明代理實(shí)現(xiàn)方式����,即內(nèi)網(wǎng)用戶(hù)在對(duì)外網(wǎng)的域名進(jìn)行訪問(wèn)時(shí),Cedar ADC設(shè)備針對(duì)DNS流量進(jìn)行劫持后�,再通過(guò)Cedar ADC設(shè)
備配合調(diào)度算法進(jìn)行DNS解析調(diào)度,將域名解析成對(duì)應(yīng)的對(duì)應(yīng)運(yùn)營(yíng)商的服務(wù)器地址��,以實(shí)現(xiàn)達(dá)到最優(yōu)訪問(wèn)速度�����。
企業(yè)內(nèi)部用戶(hù)訪問(wèn)外網(wǎng)域名時(shí)��,設(shè)備對(duì)域名進(jìn)行解析�,并保證解析的服務(wù)器地址所屬的運(yùn)營(yíng)商類(lèi)型,與當(dāng)前連接外網(wǎng)的鏈路所屬的
運(yùn)營(yíng)商類(lèi)型相同�����。同時(shí)確保在內(nèi)網(wǎng)與外網(wǎng)連接的鏈路發(fā)生切換時(shí)��,內(nèi)網(wǎng)的客戶(hù)端仍能以最優(yōu)速度訪問(wèn)外網(wǎng)���。
■虛擬化技術(shù)
互聯(lián)網(wǎng)業(yè)務(wù)數(shù)據(jù)成爆炸式的增長(zhǎng)���,為保證部署的Cedar系列安全設(shè)備穩(wěn)定性����、可靠性���、高性能,在方案中�,齊杉科技Cedar系列安
全產(chǎn)品通過(guò)虛擬化進(jìn)行部署, 可根據(jù)用戶(hù)的需要靈活地將多臺(tái)物理Cedar系列安全設(shè)備虛擬成一臺(tái)邏輯設(shè)備��,也可以將一臺(tái)物理Cedar
系列安全設(shè)備虛擬成多臺(tái)虛擬安全設(shè)備����,當(dāng)其中任意一臺(tái)物理或虛擬安全設(shè)備出現(xiàn)故障時(shí),能夠?qū)崿F(xiàn)業(yè)務(wù)系統(tǒng)無(wú)縫切換�,同時(shí)可實(shí)現(xiàn)
與業(yè)務(wù)系統(tǒng)的虛擬化進(jìn)行無(wú)縫對(duì)接,有效提供運(yùn)維效率���,也方便了用戶(hù)業(yè)務(wù)的靈活擴(kuò)展�。
■全面安全防御技術(shù)
通過(guò)Cedar NGFW把數(shù)據(jù)中心與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離�,通過(guò)基于狀態(tài)的包過(guò)濾技術(shù)����,根據(jù)設(shè)定的安全策略�����,過(guò)濾位于TCP/IP協(xié)議棧數(shù)
據(jù)鏈路層��、網(wǎng)絡(luò)層�����、應(yīng)用層中隱藏的安全威脅�。Cedar NGFW可以根據(jù)每個(gè)數(shù)據(jù)包的源MAC地址、目的MAC地址�����、源IP地址��、目的IP地
址���、協(xié)議���、源端口���、目的端口、時(shí)間����、安全特征庫(kù)等為過(guò)濾依據(jù),決定是否對(duì)這個(gè)數(shù)據(jù)包給予放行或阻斷����。
■Web深度檢測(cè)
通過(guò)Cedar WAF的完整TCP協(xié)議棧解析引擎,可以準(zhǔn)確的對(duì)TCP/IP棧數(shù)據(jù)包進(jìn)行重組還原����,能完整識(shí)別HTTP協(xié)議框架, 實(shí)現(xiàn)HTTP/
HTTPS協(xié)議完整解析和還原��,從根源上避免繞過(guò)及穿透攻擊�����。通過(guò)指紋識(shí)別及行為分析引擎�,能對(duì)TCP協(xié)議掃描、UDP協(xié)議掃描��、Ping
掃描和異常探測(cè)行為及時(shí)發(fā)現(xiàn)并進(jìn)行及時(shí)阻斷。通過(guò)特有的并行流過(guò)濾處理引擎��,滿(mǎn)足在靈活定制各種復(fù)雜WEB防護(hù)策略�、開(kāi)啟各種
WEB行為攻擊檢測(cè)的同時(shí),實(shí)現(xiàn)萬(wàn)兆高并發(fā)低延遲處理�。通過(guò)敏感信息檢測(cè)引擎,對(duì)服務(wù)器返回信息的HTTP頭域�����、URI字段�、Cookie、
服務(wù)器信息等進(jìn)行有效識(shí)別��,完成對(duì)敏感信息泄露過(guò)濾��。
Cedar WAF針對(duì)SQL注入攻擊�、跨站攻擊、腳本木馬�����、緩沖區(qū)溢出����、信息泄露���、CC攻擊等攻擊全面防御,讓對(duì)門(mén)戶(hù)網(wǎng)站系統(tǒng)的信息
泄露��、偽造和破壞風(fēng)險(xiǎn)降到最低�,IT人員針對(duì)Web系統(tǒng)的安全憂(yōu)慮迎刃而解。
■應(yīng)用調(diào)度
Cedar ADC應(yīng)用調(diào)度主要針對(duì)企業(yè)內(nèi)部��,同一業(yè)務(wù)部署在多臺(tái)服務(wù)器上提供高可靠的一種解決方案�,應(yīng)用調(diào)度功能通過(guò)豐富的調(diào)度
算法,結(jié)合健康檢查��、會(huì)話(huà)保持策略���,動(dòng)態(tài)的將每一次業(yè)務(wù)請(qǐng)求調(diào)度到性能最優(yōu)服務(wù)器成員上��,確保每一次用戶(hù)的訪問(wèn)體驗(yàn)都最佳。
■豐富的調(diào)度算法
Cedar ADC通過(guò)多種靜態(tài)和動(dòng)態(tài)調(diào)度算法�,確保訪問(wèn)數(shù)據(jù)中心服務(wù)器的流量智能的分發(fā)給最佳服務(wù)成員。
◆ 輪詢(xún):把來(lái)自用戶(hù)的請(qǐng)求輪流分配給內(nèi)部的服務(wù)器:從服務(wù)器1開(kāi)始��,直到服務(wù)器N����,然后重新開(kāi)始循環(huán)。
◆ 加權(quán)輪詢(xún):根據(jù)服務(wù)器的不同處理能力,給每個(gè)服務(wù)器分配不同的權(quán)值�,使其能夠接受相應(yīng)權(quán)值數(shù)的服務(wù)請(qǐng)求。
◆ 最小連接:根據(jù)當(dāng)前各服務(wù)器或鏈路的連接數(shù)來(lái)估計(jì)服務(wù)器或鏈路的負(fù)載情況�,把新的連接分配給連接數(shù)最小的服務(wù)器或鏈路。
◆ 加權(quán)最小連接:調(diào)度新連接時(shí)盡可能使服務(wù)器或鏈路的已建立活動(dòng)連接數(shù)和服務(wù)器或鏈路權(quán)值成比例���,權(quán)值表明了服務(wù)器處理性能
或鏈路實(shí)際帶寬���。
◆ 動(dòng)態(tài)反饋:設(shè)備根據(jù)不同鏈路的實(shí)際剩余帶寬及權(quán)值,將新連接分發(fā)到剩余帶寬最大的鏈路上����。
◆ 源IP哈希:通過(guò)一個(gè)散列(Hash)函數(shù)將來(lái)自同一個(gè)源IP的請(qǐng)求映射到一臺(tái)服務(wù)器或鏈路上。
◆ 源和端口IP哈希:通過(guò)一個(gè)散列函數(shù)將來(lái)自同一個(gè)源IP和源端口號(hào)的請(qǐng)求映射到一臺(tái)服務(wù)器或鏈路上�����。
◆ 基于目的IP哈希:通過(guò)一個(gè)散列函數(shù)將去往同一個(gè)目的IP的請(qǐng)求映射到一臺(tái)服務(wù)器或鏈路上
◆ 最快響應(yīng)時(shí)間:設(shè)備根據(jù)不同鏈路或服務(wù)器的實(shí)際響應(yīng)時(shí)間�,將新連接分發(fā)到響應(yīng)時(shí)間最短的鏈路或服務(wù)器上。
■完善的會(huì)話(huà)保持策略
◆ 基于源IP地址的會(huì)話(huà)保持功能
基于源IP地址的持續(xù)性功能常用于應(yīng)用調(diào)度中��,用以確保同一個(gè)客戶(hù)端的業(yè)務(wù)能分配到同一個(gè)服務(wù)器中���。Cedar ADC接收到某一客
戶(hù)端的某一業(yè)務(wù)的首次請(qǐng)求時(shí)���,建立持續(xù)性表項(xiàng)�,記錄為該客戶(hù)分配的服務(wù)器情況�����,在會(huì)話(huà)表項(xiàng)生存周期內(nèi)���,后續(xù)相同源IP地址的業(yè)務(wù)
報(bào)文都將發(fā)往該服務(wù)器處理�����。
◆ 基于目的IP地址的會(huì)話(huà)保持功能
基于目的IP地址的持續(xù)性功能常用于鏈路調(diào)度應(yīng)用中��,用以確保去往同一個(gè)目的地址的業(yè)務(wù)能分配到同一條鏈路上�����。Cedar ADC接
收到某一客戶(hù)端的某一業(yè)務(wù)的首次請(qǐng)求時(shí)�,建立持續(xù)性表項(xiàng)���,記錄為該客戶(hù)分配的鏈路情況,在會(huì)話(huà)表項(xiàng)生存周期內(nèi)����,后續(xù)相同目的IP
地址的業(yè)務(wù)報(bào)文都將分發(fā)到該鏈路轉(zhuǎn)發(fā)���。
◆ 基于Cookie、頭域�、Session的會(huì)話(huà)保持功能常用于web服務(wù)器需要用戶(hù)攜帶私有信息或某些特定信息的應(yīng)用調(diào)度中,用來(lái)確保同
一個(gè)用戶(hù)能夠去往同一個(gè)目的地址��。Cookie支持4種持續(xù)性方式����,包括插入模式,重寫(xiě)模式���,被動(dòng)模式��,HASH模式�����。
■多種健康檢查方法
所謂健康檢測(cè)��,就是Cedar ADC定期對(duì)真實(shí)服務(wù)器服務(wù)狀態(tài)進(jìn)行探測(cè)����,收集相應(yīng)信息,及時(shí)隔離工作異常的服務(wù)器成員���。Cedar ADC
設(shè)備通過(guò)17種健康檢測(cè)的結(jié)果標(biāo)識(shí)服務(wù)器健康情況��,統(tǒng)計(jì)出服務(wù)器的響應(yīng)時(shí)間����,作為選擇服務(wù)器的依據(jù)�。
■多種應(yīng)用優(yōu)化技術(shù)
通過(guò)Cedar ADC的連接復(fù)用、SSL卸載�����、緩存���、內(nèi)容壓縮等優(yōu)化技術(shù)�����,為數(shù)據(jù)中心業(yè)務(wù)訪問(wèn)提速���。連接復(fù)用就是將多個(gè)連接合并為一
個(gè)連接來(lái)與服務(wù)器進(jìn)行通信,減少與服務(wù)器三次握手的次數(shù),提交數(shù)據(jù)交換的效率����,達(dá)到提升用戶(hù)訪問(wèn)的效果�。SSL卸載是通過(guò)高性能硬
件加速芯片,對(duì)SSL協(xié)議進(jìn)行加解密處理�,從而減輕服務(wù)器的壓力,提升服務(wù)器對(duì)請(qǐng)求的響應(yīng)速度�。緩存是通過(guò)緩存空間將一些常被訪問(wèn)
的靜態(tài)文件,如圖片��、文檔�、視頻等進(jìn)行本地緩存,客戶(hù)請(qǐng)求時(shí)�,直接由Cedar ADC設(shè)備進(jìn)行響應(yīng),提升請(qǐng)求響應(yīng)效能�。壓縮是通過(guò)
HTTP壓縮算法,提升帶寬利用率����,縮短下載時(shí)間,從而提升用戶(hù)體驗(yàn)。
客戶(hù)價(jià)值
◆ 安全性:實(shí)現(xiàn)L2~7層的立體安全防護(hù)�����,讓數(shù)據(jù)中心固若金湯���。
◆ 高可靠:關(guān)鍵業(yè)務(wù)7*24的可持續(xù)性提升服務(wù)��,并同時(shí)升級(jí)用戶(hù)的訪問(wèn)體驗(yàn)����。
◆ 虛擬化:業(yè)務(wù)級(jí)虛擬化���,提升數(shù)據(jù)中心安全的同時(shí)�����,讓業(yè)務(wù)擴(kuò)展��、性能提升更靈活性����。
◆ 高可用:提升用戶(hù)安全體驗(yàn)的同時(shí)�,提升了故障的自愈能力,大大提升用戶(hù)的滿(mǎn)意度��。
