信安世纪NSAE全系列产品技术白皮书标准版V13.docx

信安世纪NSAE全系列产品技术白皮书标准版V13.docx

《信安世纪NSAE全系列产品技术白皮书标准版V13.docx》由会员分享，可在线阅读，更多相关《信安世纪NSAE全系列产品技术白皮书标准版V13.docx（39页珍藏版）》请在冰豆网上搜索。

信安世纪NSAE全系列产品技术白皮书标准版V13

信安世纪应用安全网关

NSAE全系列产品

技术白皮书

信安世纪科技有限公司

INFOSECTECHNOLOGIESCO.,LTD

二零零八年

知识产权声明

本白皮书中的内容是信安世纪公司NSAE应用安全网关产品技术说明书。

本材料的相关权利归信安世纪公司所有。

白皮书中的任何部分未经本公司许可，不得转印、影印或复印及传播。

©2007信安世纪科技有限公司

Allrightsreserved.

NSAE应用安全网关

产品技术白皮书

信安世纪科技有限公司

北京市西城区南礼士路二条甲1号月坛理想大厦6层

电话：

（86-10）68025518

传真：

（86-10）68025519

邮编：

100045

网址：

电子信箱：

*******************.cn

前言……………………………………………………………………………………1

前言

当前，无论在政府网、金融网、企业网、校园网还是在广域网如Internet上，业务量的发展都超出了过去最乐观的估计，用户大量的信息请求，不断更新的应用需求以及对业务不间断的持续访问，成为应用服务商解决互联网服务，获得用户认可的关键因素，即使按照当时最优条件配置建设的网络，面对不间断、快速的用户增长，服务器也会无法承担。

原有链路也会因为用户量的不断增大导致用户访问速度过慢，链路拥塞，网络故障频繁，尤其是各个网络的核心部分，其数据流量和计算强度之大，使得单一设备根本无法承担，而如何在完成同样功能的多个链路及网络设备之间实现合理的业务量分配，使之不至于出现一台设备过忙、而别的设备却未充分发挥处理能力的情况，就成为信息提供商及应用服务商必须克服的问题，负载均衡机制也因此应运而生。

负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。

它主要完成以下任务：

解决网络拥塞问题，服务就近提供，实现地理位置无关性；多条链路接入，根据链路响应速度，提供最快的访问方式，针对故障链路进行智能自动切换，保证客户不间断访问；为用户提供更好的访问质量；提高服务器响应速度；提高服务器及其他资源的利用效率；避免了网络关键部位出现单点失故障导致所有服务停止。

针对负载均衡的运行机制及应用策略方面，根据负载均衡的工作原理可以分为链路负载均衡、服务器负载均衡、广域网负载均衡三种负载均衡方式。

三种负载均衡机制，根据用户针对不同环境及应用的负载均衡要求进行服务，满足用户对各个应用层面及网络层次的负载均衡需求。

总之，负载均衡是一种策略，它能让多条链路或多台服务器共同承担一些繁重的计算或I/O任务，从而以较低成本消除网络瓶颈，提高网络的灵活性和可用性。

针对当前形势，信安世纪公司分析各行业多种应用的请求，自主研发了适用于广域网、内部网、独立子网的负载均衡设备NSAE。

解决客户针对链路、服务器、广域网负载均衡的各种需求。

信安世纪推出的NSAE系列产品，采取了ALLINONE的设计策略，把服务器负载均衡、链路负载均衡、广域网负载均衡三种产品集成在一个设备中。

真正实现了链路、服务器、广域网负载均衡三种服务的无缝接入。

在最低成本的控制下满足了客户多方面的应用需求。

并且在无需改变现有网络的情况下，即可进行负载均衡设备的部署及升级，在应用及网络层次增加了客户系统的安全性及稳定性。

第1章产品概述

1.1公司介绍

信安世纪科技有限公司成立于1998年，是中国领先的应用安全产品和解决方案供应商，主要为金融、电信等行业和政府机构提供应用安全的产品、解决方案和服务。

信安世纪作为业内资深的应用安全厂商，有多年的应用安全领域的经验积累和强大的管理和研发团队，不仅有成熟的安全产品为客户提供方便、快速的安全实现；同时针对大量的应用安全需求，提供优质的咨询服务、客户化开发和安全系统维护监控服务。

信安公司现有一支由应用安全领域专业开发人员和资深金融行业专家组成的强大的研发队伍，保证提供先进、可靠、高效的产品；另外还有专业、尽职的技术服务队伍，负责项目实施和售后技术服务，为客户提供专业的技术服务。

信安世纪迄今已经为包括中国工商银行总行、中国农业银行总行、中国交通银行总行、上海浦东发展银行、北京银行在内的二十多家银行提供了网上银行的通讯安全、交易安全保护；中国证券登记结算有限责任公司等金融机构建立了基于PKI体系的证书系统，为业务系统提供了身份认证、加密传输的安全保护；随着电子商务和电子政务的兴起，我公司为国家烟草总局、中国石油、鞍山钢铁公司、沈阳一汽财务公司、上海汽车集团、上海移动通信和首都钢铁集团等多家著名企业提供了保证资金结算、网上交易安全的解决方案。

信安世纪与众多著名企业、优质客户建立了长期、稳定的战略伙伴关系，在技术合作、市场推广和行业发展上开展了卓有成效的工作。

在未来的发展中，公司将加强对客户需求的了解，为客户提供具有创新价值的应用解决方案，更好地为客户提供优质的服务；公司还将致力于与合作伙伴共同发展，加强新技术交流，促进应用安全行业的蓬勃发展。

在新产品NSAE的应用及实施方面，信安公司已经在北京银行、北京农村商业银行、华夏银行、中国烟草总局、中国石化、国家电网通过了严格的性能、压力及应用测试，设备测试结果达到了国际国内先进水平，完全满足客户的需求。

并且成功的部署在多个行业各个应用服务，及核心生产环境中。

完全解决了客户针对链路、服务器负载均衡方面的问题，全方面提高了客户的行业竞争力，以及生产环境设备及链路接入的稳定不间断运行。

1.2产品体系介绍

信息安全是建立在网络安全之上，保证信息的安全。

 在应用层的安全（简称应用安全）解决的是信息安全中的问题，特别是应用层安全系统与应用系统结合过程中遇到的安全问题。

应用层安全主要包括ISO7498-2中提出的五大安全功能，即身份认证、访问控制、数据机密性、数据完整性和抗否认，以及安全审计和安全管理的内容。

根据五大安全功能的要求我们将产品归纳为三个体系：

⏹身份管理：

NetCert（信安通）（CA、RA、OCSP、KMC）、NetPass（动态密码系统）

⏹访问安全：

NetSafe（网安通）、LinkSafe（联安通）、NSAE（应用安全网关）、BiSafe（互联安）、NetGate（密安通）

⏹内容安全：

NetSign（签安通）、DeskSafe（文安通）、TSA（时间戳服务）

1.3产品背景

随着网络通信的发展，网络规模的不断扩大，以及数字接入专线价格的不断下调，客户对业务的需求也随着网络通信的不断发展变得更加多样化，对运营服务的要求也越来越严格，如何充分利用服务资源，平衡链路利用率，提高客户访问速度，确保客户的不间断访问以及链路服务的正常运转和切换，已经成为运营服务商提高服务，争取更多用户认可的首要难题。

目前用户普遍采用电信、网通两条链路接入，实现链路自动切换，为外网及内网用户提供7*24小时的不间断访问、当其中一条链路出现问题后，系统自动切换到正常的链路上工作，保证服务的不间断运行。

由于多链路解决方案能够提供更好的可用性和带宽性能，它正在被越来越多的企业所采用。

可用性的提高来自于多条链路的使用，而性能提高则是因为同时使用多条链路增加了带宽扩充了流量。

多链路方案能够提高企业业务的可用性和性能，但这种方案也面临着特殊的问题和挑战。

在多链路环境的实际应用中，链路没有更好的进行负载分担。

多链路网络解决方案仅仅是“共享”式，而不是真正的负载均衡；由于各个运营商之间存在互联互通的问题，没有实现根据网络就近性的路径判断；对流入的流量没有很好的解决根据网络的就近性来导向用户的访问请求。

使外部的用户能最快的访问对外服务；对流出的流量无法解决自动选择最快链路，达要目标资源的访问策略；对于链路的健康状况也不能实时监测，也解决不了链路容灾，也就是当某一条链路出现故障后，将其流量导向另外链路的策略。

所以基于以上的问题，链路负载均衡的解决方案成为众多服务商、以及多链路接入客户必须解决的问题。

在多服务器环境的实际应用中现有的服务器工作模式一般为Active/Standby,现有的这种架构导致了一台服务器总是处于待机状态，而另一台服务器则总是处于满负荷工作，负责了整个应用的处理及运算。

这种模式的服务器架构必然导致了当现有用户量一旦超出单台服务器的运算能力的时候，整个服务器组会宕掉，用户面对这种情况的时候只有升级服务器才可以解决问题。

但是持续的升级服务器导致了资金大量的浪费，及服务器资源的浪费。

服务器负载均衡机制可以简单的解决这种问题，当用户部署了服务器负载均衡后，所有后台服务器均处于Active状态，根据负载均衡定义的策略，保持服务器进行均衡的工作。

提升了现有服务器70%的工作效率，避免了由于单台服务器出现故障导致的整个业务的终止，并且保证了当用户量持续上升时，无需再次升级服务器。

信安世纪服务器负载均衡还具有完善的健康检查功能，保证了每台服务器工作状态的正常，避免了由于服务器应用软件处于假死状态而导致服务器工作出现问题。

针对后台服务状态类型，信安世纪负载均衡产品提供了最完善的健康检查策略保证了用户所有业务的正常工作状态。

第2章

产品简介

信安世纪应用安全网关系列产品（后简称为NSAE）是一款集成了SSL加速、负载均衡等多种功能于一体的新型应用前端加速负载均衡设备。

不同于以往单纯的负载均衡产品，NSAE不再局限于负载均衡应用，还具有SSL加速、链路负载均衡、广域网负载均衡、集群、应用安全防火墙、高速缓存、HTTP压缩等多种功能可以自由选择，充分考虑了用户的实际需求，可以极大的改善企业应用的可靠性、性能和安全性，同时降低了整体成本和数据中心的复杂度，提高了应用的处理能力，为用户提供了全新的易用、高效、稳定的保障信息安全的屏障。

2.1产品型号

信安世纪NSAE系列产品采取了ALLINONE的设计理念，通过高度集成的模块化设计实现在单台设备中集成了链路负载均衡、服务器负载均衡、防火墙负载均衡、SSL加速、防火墙等功能，面对客户多层次应用的需求只需要增加相应的模块即可。

为满足不同规模用户的需求，我们根据产品功能分为链路负载均衡（NSAE-LT）、服务器负载均衡（NSAE-NL）、SSL应用安全网关（NSAE-NS）、服务器负载均衡&SSL应用安全网关（NSAE-NB）四种产品类型。

服务器负载均衡（NSAE-NL）型号列表

产品型号

范围

NSAE1000-NL

适用于用户数量不多、应用访问较少、负载增长量小的中小型应用，可以降低成本、提高可靠性。

NSAE2000-NL

适用于用户数量较多、应用访问量较大、负载增长量较快的中小型应用，可以降低成本、减小维护风险、提高应用可靠性、避免单台服务器故障。

NSAE10000-NL

适用于用户数量较多且访问量、负载增长较快的中型以上应用项目，可以满足今后应用扩展的需求，并提升性能。

NSAE20000-NL

适用于访问量以及负载量很大的大型应用，提高整个应用平台的处理能力，提供不中断的优质应用服务。

NSAE-NL产品型号表

链路负载均衡（NSAE-LT）型号列表

产品型号

范围

NSAE1000-LT

适用于用户数量不多、链路接入带宽小、应用访问较少的中小型应用，可以降低成本、提高可靠性。

NSAE2000-LT

适用于用户数量较多、链路接入带宽较大、应用访问量较大、访问业务增长较快的中小型应用，可以降低成本、减小维护风险、提高应用可靠性、避免单台服务器故障。

NSAE10000-LT

适用于用户数量较多、链路接入带宽非常大、访问量增长较快的中型以上应用项目，可以充分满足今后应用扩展的需求。

NSAE20000-LT

适用于访问量以及链路负载量很大的大型应用，提高整个应用平台的处理能力，为用户提供不间断链路服务。

NSAE-LT产品型号表

SSL应用安全网关（NSAE-NS）型号列表

产品型号

范围

NSAE1000-NS

适用于用户数量不多、应用访问较少的中小型应用，可以通过SSL加密技术提高现有业务的安全性。

NSAE2000-NS

适用于用户数量较多、应用访问量较大、访问业务增长较快的中小型应用，可以通过SSL加密技术提高现有业务的安全性。

NSAE10000-NS

适用于用户数量较多、访问量增长较快的中型以上应用项目，可以通过SSL加密技术提高现有业务的安全性。

并且充分满足今后应用扩展的需求。

NSAE20000-NS

适用于用户群庞大、访问量很高的大型应用，可以通过SSL加密技术提高现有业务的安全性。

NSAE-NS产品型号表

负载均衡+SSL应用安全网关（NSAE-NB）型号列表

产品型号

范围

NSAE1000-NB

适用于用户数量不多、应用访问较少的中小型应用，为用户提供服务器负载均衡及应用安全网关功能。

NSAE2000-NB

适用于用户数量较多、应用访问量较大、访问业务增长较快的中小型应用为用户提供服务器负载均衡及应用安全网关功能。

NSAE10000-NB

适用于用户数量较多、访问量增长较快的中型以上应用项目为用户提供服务器负载均衡及应用安全网关功能。

并且充分满足今后应用扩展的需求。

NSAE20000-NB

适用于用户群庞大、访问量很高的大型应用为用户提供服务器负载均衡及应用安全网关功能。

NSAE-NB产品型号表

2.2产品应用

产品架构

同类产品往往由多个单一功能设备组成，数据传输延迟大、管理维护困难，用户往往为了实现一个简单的需求需要改变整个网络结构或需要购买其它的网络硬件产品。

而NSAE则集多功能于一体，具备高性能、高可靠性，为客户节省大量的硬件、维护、设置、和人力方面的投入。

第3章产品功能

3.1功能特性

NSAE产品系列提供一个将诸多复杂Web设备化零为整的解决方案，可以完全解决客户系统存在的问题。

它是一个真正的将众多重要的网络功能合为一体的集成化应用系统，这些网络功能包括服务器负载均衡（SLB），全局服务器负载均衡（GSLB），SSL加速，WebWall安全，链路负载平衡（LLB），HTTP压缩等。

3.1.1应用加速（SSL加速）

SSL（安全套接层协议）已经成为发送安全互联网通信的标准协议。

它是一种对用户进行鉴权的公钥加密方案。

首先，服务器向客户机发送承认其可靠性的认证；然后，使用共享密钥来对发送方与接收方之间的数据进行加密，例如，当发送方确认接收方正确无误时，会为数据包加上一个安全的“外壳”（加密），同时通过线缆传输此数据包。

必须在目的地将此“外壳”去掉，才能使用该数据包信息。

其它的步骤还包括：

认证、加密和解密，这极大地增加了Web服务器的流量处理负担，NSAE内置SSL加速功能使问题迎刃而解。

3.1.1.1SSL安全传输

⏹信息加密，建立SSL安全传输信道

加密传输采用了高强度的加密算法对传输的数据内容进行保护，各种如业务账号和口令等敏感的信息被保护起来，杜绝了信息的泄露，同时对接受的数据是否在传输过程中被篡改进行精确检测，保证了接受数据的完整性，确保了所传输的信息不被中途窃取和篡改。

对于没有合法身份的用户，其连接请求将被拒绝，NSAE只允许那些拥有合法数字证书的用户进行网络连接，充分保证用户身份的合法性，从而限制了非法用户对内网的访问。

⏹支持4-7层应用加密传输信道

NSAE的SSL加速功能实现对HTTP应用进行安全加密，可以同时作为普

通资源和安全资源的代理服务器。

此外还能够对TCP协议进行加密，实现TCPS协议下的安全数据传输，提供4-7层应用的加密功能，使客户端的内容由原来的明文传输变为SSL加密传输，大大增加了安全性。

⏹端到端的安全数据转发服务，支持多种C/S应用模式

国内目前大多数的SSL安全代理服务器是针对B/S应用的，部署在需要保护的Web服务器前端，与浏览器建立SSL连接，并转发HTTP协议。

NSAE支持客户端的C/S模式应用，并能够同时支持多种B/S和C/S模式的应用。

应用安全网关服务器监听局域网内的端口，为一个局域网端内服务，无需用户安装配置客户端软件，大大提高系统的易用性，减少部署和维护的难度。

⏹多种后台传递用户信息的方式

以HTTP参数方式向Web服务器传送用户证书信息，例如证书中的主题、序列号等信息，这些HTTP参数以URL、属性、Cookie等多种形式传递到Web应用系统，应用可以根据这些信息进行进一步的管理操作。

⏹资源访问权限控制

NSAE支持三种HTTP连接方式：

HTTP连接、单向SSL连接（客户不需

要提供证书）和双向SSL连接。

HTTP连接是透明信息传递、身份无法识别；单向SSL连接完成了加密信息的传递，保证了信息的保密性和完整性，但是客户身份无法确认；只有双向的SSL连接的安全性最高。

不同的后台应用针对的用户群体不同，通常而言关键的安全应用只提供给有可信身份的用户，NSAE提供的资源访问权限控制功能可以将杜绝低安全性的连接访问该安全性的业务系统。

对Web资源的一般访问控制，基于ACL（访问控制表）方式，实现对认证用户和非认证用户的访问控制，支持以证书主题和时间等要素进行控制，并可以设定拒绝访问的级别。

⏹灵活的证书验证机制

数字证书作为连接双方的电子身份证，保证了传输的可识别性，但是这并不意味着，拥有证书就拥有的所有的权利。

对于每一个业务系统所要求的用户身份必须持有一张可以信任的有效证书，如何保证证书的有效性和合法性就要完成一系列的证书验证步骤。

NSAE的证书验证体系可以确保非可信的证书认证中心（CA）颁发的证书、没有在有效使用期内的证书、已经作废或者注销的证书无法进行含身份确认的操作。

在证书的有效性验证时同时还进行了证书废弃列表（CRL）的验证，确保证书没有被作废或是注销，CRL文件由证书认证中心CA发布在目录服务器上或者是网络链接上。

⏹过滤客户的无用证书

可将NSAE支持的CA证书信息自动发送至连接用户的客户端，在IE浏览

器中完成其它CA证书的过滤操作。

这样用户在建立SSL连接的过程中避免选取NSAE不支持的CA证书。

3.1.1.2SSL加速

NSAE的SSL加速技术不仅能提高服务器性能，同时大幅度缩短响应时间并增强客户交易流量管理。

所有这一切都是从同一地点进行的，无需费钱费力地在每台服务器上安装额外的硬件或软件。

它与InfosecOS紧密结合，支持多种常用的SSL加密算法，保障端到端SSL加密的安全性，结合完整的证书管理特性，保证在进行安全交易和其他应用时，具有快速、可靠的连接，减轻服务器上处理器（CPU）密集型处理的负担，确保快速可靠的完成应用，大幅度缩短响应时间并提高了服务器的性能，增强了客户交易流量管理，以达到出众的SSL加速性能。

3.1.2服务器负载均衡（SLB）

NSAE提供真正面向应用层的HTTP、DNS、Radius、以及基于TCP/UDP等多种应用的负载均衡服务，通过定义灵活多样的负载均衡策略，依据丰富的服务器负载均衡算法（包括轮循算法、最少连接算法、最短响应时间算法、散列算法等），来实现真正的合理流量分配，充分保障了客户应用能够有效、持续的运行。

对于用户而言，访问时延和服务器的可靠性是非常重要的问题。

而随着业务的增长，对拥有多台服务器的用户运营中心来说，不是全部服务器都发挥了其应有的效力。

NSAE的负载均衡服务，使每台服务器的处理能力都能得到充分的发挥，可以实现如下的功能：

⏹提供真正面向应用层的WWW、DNS、FTP，以及基于固定端口的TCP/UDP等应用的负载均衡；

⏹无需改动网络拓扑结构，即可实现功能；

⏹功能强大，支持路由功能-根据实际响应时间的负载平衡算法来实现真正的合理的流量分配。

3.1.2.1工作模式

NSAE的服务器负载均衡可以以两种模式执行：

ReverseProxyMode（反向代理模式）和TransparentMode（透明模式）。

⏹ReverseProxyMode（反向代理模式）

使用NSAE的反向代理服务可以将请求转发给内部的服务器，让NSAE将请求均匀地转发给多台内部服务器之一上，从而达到负载均衡的目的。

这种代理方式与普通的代理方式有所不同，标准代理方式是客户使用代理访问多个外部服务器，而这种代理方式是多个客户使用它访问内部服务器，因此也被称为反向代理模式。

其传输流程如下所示：

反向代理模式的优点：

可以采用One-armed的结构部署；可以通过连接池技术增强系统性能。

　　反向代理模式的局限性：

服务器无法记录哪些IP的客户端曾进行访问。

　　解决办法:

：

NSAE可以在用户的HTTP包头中加入X-Forwarded-For字段，用它记录客户端的IP地址。

⏹TransparentMode（透明模式）

　　NSAE的透明模式是指NSAE在转发用户请求时，透明地将客户端的连接定向到特定的服务器上，即用户的源IP地址对服务器是透明的，服务器可以知道哪个客户对其进行了访问。

其传输流程如下：

透明模式的优点：

服务器可以记录哪些IP的客户端曾进行访问。

　　透明模式的局限性：

　　－结构/路由设计必须保障从源服务器端来的响应必须经过NSAE；

　　－One-armed的结构有可能不能实现；

　　－由于每个请求的源IP地址都不一样，因此无法利用连接池技术改善系统性能。

3.1.2.2负载均衡算法

NSAE支持多种服务器负载均衡算法（持续性的和非持续性的），包括轮循算法、最少连接算法、响应时间算法、散列算法、最少连接失误算法，链路带宽算法等等。

此外实际服务器可以被分配不同的加权值来调整被分配的流量。

比如性能高的大型服务器可配置较大的加权值，而为性能较低的小型服务器设置较小的加权值。

为了避免服务器因过载而崩溃，可为实际服务器指定最大连接阈值来避免该服务器过载。

任何服务器可被指定为另一台服务器的备份服务器或溢出服务器，从而进一步保证了应用可用性。

⏹非持续性算法（Non-Persistent）：

一个客户端的不同的请求可能被分配到一个实服务组中的不同的实服务器上进行处理。

✧轮循算法（RoundRobin）：

每一次来自网络的请求轮流分配给内部中的每台服务器，从1至N然后重新开始。

此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置并且平均服务请求相对均衡的情况；

✧最少连接算法（LeastConnection）：

客户端的每一次请求服务在服务器停留的时间都可能会有较大的差异，随着工作时间的加长，如果采用简单的轮循或随机均衡算法，每一台服务器上的连接进程可能会产生极大的不同，这样的结果并不会达到真正的负载均衡。

最少连接数均衡算法对内部中有负载的每一台服务器都有一个数据记录，记录的内容是当前该服务器正在处理的连接数量，当有新的服务连接请求时，将把当前请求分配给连接数最少的服务器，使均衡更加符合实际情况，负载更加均衡。

此种均衡算法适合长时间处理的请求服务。

✧响应速度算法（ResponseTime）：

负载均衡设备对内部各服务器发出一个探测请求（例如Ping），然后根据内部中各服务器对探测请求的最快响应时间来决定哪一台服务器来响应客户端的服务请求。

此种均衡算法能较好地反映服务器的当前运行状态，但最快响应时间仅仅指的是负载均衡设备与服务器间的最快响应时间，而不是客户端与服务器间的最快响应时间。

⏹持续性算法（Persistent）：

从一个特定的客户端发出的请求都被分配到一个实服务组中的同一个实服务器上进行处理。

主要包括：

✧基于IP的算法

－PersistentIP（pi）：

基于用户IP地址来选择服务器。

－HashIP（hi）：

基