CITRIX云基礎(chǔ)架構(gòu)之一基于NetScaler的網(wǎng)絡(luò)應(yīng)用交付.ppt

1、Citrix NetScaler 應(yīng)用交付解決方案,思杰系統(tǒng)（Citrix Systems） 全球領(lǐng)先的云計(jì)算和虛擬化廠商,成立于：1989 NASDAQ 代碼：CTXS FY10 營(yíng)業(yè)收入：18+ 億美元 員工數(shù)目：5,000+，分布于 35 個(gè)國(guó)家 合作伙伴：10,000+，遍布100 多個(gè)國(guó)家 客戶：23 萬(wàn)，遍布全球,XenDesktop XenApp XenServer NetScaler,應(yīng)用交付網(wǎng)絡(luò),思杰系統(tǒng)應(yīng)用交付中心架構(gòu),NetScaler 一直位于應(yīng)用交付的領(lǐng)導(dǎo)者象限（Gartner Group 評(píng)測(cè)）,NetScaler 每天在全球幫助大量用戶實(shí)現(xiàn)應(yīng)用交付,全球超過75%

2、互聯(lián)網(wǎng)用戶通過NetScaler訪問后端的站點(diǎn),全球超過10,000家企業(yè)用戶通過NetScaler實(shí)現(xiàn)應(yīng)用交付,中國(guó)大陸互聯(lián)網(wǎng)行業(yè)客戶,Citrix NetScaler在中國(guó)為眾多金融客戶提供了滿意的產(chǎn)品和服務(wù)。例如， 【銀行】：中國(guó)建設(shè)銀行總行, 中國(guó)農(nóng)業(yè)銀行總行，中國(guó)金融認(rèn)證中心(CFCA)，深圳發(fā)展銀行，國(guó)家開發(fā)銀行，廣東省農(nóng)信，浦發(fā)銀行，交通銀行，東亞銀行，中國(guó)銀聯(lián) 【保險(xiǎn)】：人保財(cái)險(xiǎn), 長(zhǎng)安保險(xiǎn)，陽(yáng)光保險(xiǎn) 【證券公司】：招商證券, 申銀萬(wàn)國(guó)，英大證券 【基金公司】：嘉實(shí)基金，工銀瑞信，中郵創(chuàng)業(yè)等 【金融服務(wù)】：中國(guó)投資有限責(zé)任公司 【在線交易】：支付寶，淘寶，阿里巴巴，eBay易趣

3、等 在全球,NetScaler產(chǎn)品還應(yīng)用在Merrill Lynch, RBS, Danske Bank, E*Trade, N2N等金融系統(tǒng)中,中國(guó)大陸金融行業(yè)客戶,【中國(guó)移動(dòng)】 北京移動(dòng) 上海移動(dòng) 河北移動(dòng) 陜西移動(dòng) 云南移動(dòng) 廣西移動(dòng) BI 經(jīng)營(yíng)分析系統(tǒng) 海南移動(dòng) 【中國(guó)聯(lián)通】 江蘇聯(lián)通,【中國(guó)電信】 上海電信 上海熱線 互聯(lián)星空網(wǎng)站 IDC 郵箱系統(tǒng) 網(wǎng)上營(yíng)業(yè)廳 南京電信 甘肅電信 企業(yè)信息化部 福建電信 Data Center 浙江電信 計(jì)費(fèi),中國(guó)大陸運(yùn)營(yíng)商客戶,【華為技術(shù)有限公司】,NetScaler 功能模塊,負(fù)載均衡,壓縮,緩存,SSL 加速, ,AppExpert 策略引擎,

4、應(yīng)用交換引擎,NetScaler 系統(tǒng)架構(gòu),無(wú)縫集成各功能模塊,500Mbps 50Gbps 7層吞吐 所有功能模塊可同時(shí)啟用 各模塊公用策略引擎 統(tǒng)一的管理接口與界面,高性能,資源卸載,應(yīng)用安全,高可靠性,4-7層本地服務(wù)器負(fù)載均衡 全局多站點(diǎn)（鏈路）負(fù)載均衡 可自定義的健康檢測(cè)技術(shù) 高峰流量控制 ,動(dòng)靜態(tài)緩存技術(shù) HTTP壓縮技術(shù) ,TCP卸載與TCP連接復(fù)用技術(shù) SSL加速 Web2.0推送技術(shù) Cache重定向 ,SSL VPN功能 4-7層DOS/DDOS攻擊防護(hù) 基于訪問速率控制 內(nèi)置應(yīng)用防火墻 ,NetScaler 應(yīng)用交付平臺(tái)功能模塊,B2C,B2B,服務(wù)器負(fù)載均衡功能增強(qiáng),P

5、2P,Web服務(wù)器,POST -: - Cookie: JSESSIONID=acIck92mZc3hpZjcBf; -: - PAGE=LOGON_PROMPT_PRECART&OPTION=PREEDITCART&zoi_save=1&zoi_id-1=&zoi_description-1=FRAME%3A+Pegoretti+Responsorium&zoi_price-1=3500.00&zoi_ins_by-1=GUEST&zoi_sku- ,基于多核并行處理技術(shù)的硬件架構(gòu)幫助消除應(yīng)用層數(shù)據(jù)處理的性能瓶頸,4X Performance,7X Scalability,Core3,Cor

6、e4,Core5,Core6,Core7,Core2,Core1,從Web 應(yīng)用層負(fù)載均衡擴(kuò)展到數(shù)據(jù)層,SQL TCP連接復(fù)用 SQL 服務(wù)器負(fù)載均衡 SQL 內(nèi)容交換（區(qū)分讀寫操作） SQL 特有的健康檢查,傳統(tǒng)全局負(fù)載均衡的作用： 多數(shù)據(jù)中心或多鏈路的冗余與災(zāi)備； 用戶就近性訪問； 增強(qiáng)的多數(shù)據(jù)中心流量分配方法： 客戶端連接數(shù) 已消耗的帶寬 站點(diǎn)的健康程度 作為“云爆發(fā)流量”解決方案,全局負(fù)載均衡功能增強(qiáng),NetScaler 為某用戶實(shí)現(xiàn)桌面云交付的智能選擇,Cloud Layer,Cell Layer,Service Block Layer,Pool Layer,NetScaler 降低

7、后端服務(wù)器的壓力,可減少服務(wù)器達(dá)到60% SSL 加速 TCP 連接復(fù)用 動(dòng)靜態(tài)內(nèi)容緩存 HTTP 壓縮,使用后,客戶端,TCP 連接復(fù)用技術(shù)原理,NetScaler 終結(jié)客戶端TCP連接 客戶傳輸HTTP請(qǐng)求 NetScaler 建立服務(wù)器連接,NetScaler 發(fā)送客戶端HTTP請(qǐng)求 對(duì)所有并發(fā)訪問的客戶端TCP連接做相同的操作 復(fù)用客戶TCP連接到服務(wù)器,Web服務(wù)器,增強(qiáng)應(yīng)用安全性 4/7 層DOS攻擊防護(hù),用戶訪問,Web 服務(wù)器,用戶請(qǐng)求,NetScaler 置入Javascript,服務(wù)器響應(yīng),請(qǐng)求送往Web 服務(wù)器,服務(wù)器響應(yīng),再次請(qǐng)求 攜帶Javascript運(yùn)算結(jié)果,用戶

8、執(zhí)行Javascript,4層DoS攻擊防護(hù) NetScaler Kernel 內(nèi)置DoS防護(hù)機(jī)制 CPU隨攻擊線性增長(zhǎng) 多核并行處理攻擊流量,NetScaler,7層DoS攻擊防護(hù) 引入客戶端檢測(cè)機(jī)制 智能判斷客戶端是否腳本行為,NetScaler 不僅提供傳統(tǒng)安全控制，也提供TCP/HTTP/DNS的動(dòng)態(tài)控制,訪問者,IP Address IP Range/Subnet Cookie Value Wildcards Any headeror payload,對(duì)象,Vserver IP URL/URI Image File Any headeror payload,時(shí)間,速率,Request

9、s Packets Bandwidth,Measured in milliseconds,Throttle Invoke Policy Responder Rewrite Cache etc. Alert Log Trap,策略動(dòng)作,針對(duì)不同的應(yīng)用和資源配置訪問策略,NetScaler 應(yīng)用層防火墻保護(hù)Web應(yīng)用邏輯,Citrix NetScaler 應(yīng)用層防火墻 經(jīng)過加固的安全設(shè)備 為Web和Web Services提供高性能的安全性 主動(dòng)安全模型不依賴于特征碼！ 高級(jí)的應(yīng)用層學(xué)習(xí)能力 簡(jiǎn)單的基于瀏覽器的策略管理,應(yīng)用系統(tǒng)代碼審計(jì)與修復(fù)成本高、時(shí)間長(zhǎng),每1000行代碼平均發(fā)現(xiàn)15個(gè)安全漏洞

10、平均每個(gè)安全漏洞需要75分鐘診斷和6小時(shí)修復(fù) 平均每個(gè)商業(yè)Web應(yīng)用需要15萬(wàn)25萬(wàn)行代碼 - 美國(guó)國(guó)防部,發(fā)現(xiàn)所有安全漏洞：15*1.25hrs*150k/40 = 70周 解決所有安全漏洞：15*6hrs*250k/40 = 560周,Web 應(yīng)用防火墻采用混合安全模型,Positive Learn Application Environment,Negative Apply Signatures,Negative,Positive,Hybrid,混合模型 防護(hù)已知和未知的安全威脅,應(yīng)用防火墻與OWASP Top 10 安全風(fēng)險(xiǎn),OWASP The Open Web Application

11、 Security Project (開放Web軟件安全項(xiàng)目),實(shí)例：SQL注入攻擊防護(hù),如何實(shí)現(xiàn)攻擊 ：案例1 - 繞過登錄界面 常見的登錄頁(yè)面有兩個(gè)輸入框，一個(gè)用戶名，一個(gè)密碼，后臺(tái)的SQL語(yǔ)句為：select * from Users where username=用戶名 and password=密碼 其中用戶名和密碼分別為在兩個(gè)輸入框中輸入的內(nèi)容，如果惡意用戶在用戶名中輸入x or 1=1,密碼隨便輸，那么后臺(tái)的SQL查詢語(yǔ)句就會(huì)變?yōu)椋?select * from Users where username= x or 1=1 and password=密碼,實(shí)例：Cross-site

12、 Scripting (XSS) 跨站腳本攻擊防護(hù),攻擊基于信任關(guān)系,實(shí)例：HTML 頁(yè)面表單防護(hù),Client completes and returns form,Application sends form to client,阻止非法的表單參數(shù),For each user session AppFw ensures that: Each field is returned No fields were added by client Read-only and hidden fields are unaltered Data in drop-down list or radio but

13、ton field conforms Max length of form fields is adhered to,集成HTML和XML安全防護(hù),Start URL Deny URL Cookie Consistency Buffer Overflow Credit Card Safe Object Form Field Consistency Field Formats HTML Cross-Site Scripting HTML SQL injection XML Format XML Denial of Service XML Cross-Site Scripting XML SQL

14、injection XML Attachment Web Services Interoperability XML Message Validation,Common (HTML + XML),HTML,XML,管理和自學(xué)習(xí)功能,Web應(yīng)用安全防護(hù)報(bào)告,命令行接口 Web管理配置頁(yè)面 內(nèi)置歷史報(bào)表 實(shí)時(shí)監(jiān)控儀表板 XML API,NetScaler 本地管理與監(jiān)控,NetScaler 集中管理與監(jiān)控,支持的系統(tǒng) Windows Server 2008 Windows Server 2003 with SP2 Red Hat Linux ES 4.0/5.x 支持的功能 設(shè)備自動(dòng)發(fā)現(xiàn) 錯(cuò)誤告警

15、和事件管理 歷史報(bào)告和性能視圖 實(shí)時(shí)性能監(jiān)控 集中配置管理 告警閾值設(shè)定 支持任務(wù)回退,系列可視化工具,NetScaler 策略引擎無(wú)需程序語(yǔ)言,when CLIENT_ACCEPTED TCP:collect 2 when CLIENT_DATA binary scan TCP:payload cc socksver numauthmethods if $socksver != 5 log local0. Got non-socks connection from client IP:remote_addr reject return set offset expr 2 + $numauth

16、methods if TCP:payload length = $offset TCP:respond binary format H2H2 05 86 TCP:collect expr $offset + 1 return if TCP:payload length $offset binary scan TCP:payload xexpr $offset + 5cx41ch32 sslversion sessionlength hexid if $sslversion != 3 log local0. Received wrong SSL version in header from cl

17、ient IP:remote_addr reject return if $sessionlength = 0 return else persist universal $hexid return if TCP:payload length $offset TCP:collect $offset return ,RIGHT WAY,WRONG WAY,虛擬設(shè)備 任何基于X86的服務(wù)器 支持如下虛擬化環(huán)境 Citrix XenServer Vmware ESX Microsoft Hyper-V 快速、靈活、簡(jiǎn)便部署 移植硬件設(shè)備100%功能,NetScaler VPX 系列產(chǎn)品,企業(yè)已將NetScaler VPX作為可在線租用資源,NetScaler SDX 系列產(chǎn)品,單一硬件設(shè)備運(yùn)行