CITRIX云基础架构之一基于NetScaler的网络应用交付.ppt

1、Citrix NetScaler 应用交付解决方案,思杰系统（Citrix Systems） 全球领先的云计算和虚拟化厂商,成立于：1989 NASDAQ 代码：CTXS FY10 营业收入：18+ 亿美元 员工数目：5,000+，分布于 35 个国家 合作伙伴：10,000+，遍布100 多个国家 客户：23 万，遍布全球,XenDesktop XenApp XenServer NetScaler,应用交付网络,思杰系统应用交付中心架构,NetScaler 一直位于应用交付的领导者象限（Gartner Group 评测）,NetScaler 每天在全球帮助大量用户实现应用交付,全球超过75%

2、互联网用户通过NetScaler访问后端的站点,全球超过10,000家企业用户通过NetScaler实现应用交付,中国大陆互联网行业客户,Citrix NetScaler在中国为众多金融客户提供了满意的产品和服务。例如， 【银行】：中国建设银行总行, 中国农业银行总行，中国金融认证中心(CFCA)，深圳发展银行，国家开发银行，广东省农信，浦发银行，交通银行，东亚银行，中国银联 【保险】：人保财险, 长安保险，阳光保险 【证券公司】：招商证券, 申银万国，英大证券 【基金公司】：嘉实基金，工银瑞信，中邮创业等 【金融服务】：中国投资有限责任公司 【在线交易】：支付宝，淘宝，阿里巴巴，eBay易趣

3、等 在全球,NetScaler产品还应用在Merrill Lynch, RBS, Danske Bank, E*Trade, N2N等金融系统中,中国大陆金融行业客户,【中国移动】 北京移动 上海移动 河北移动 陕西移动 云南移动 广西移动 BI 经营分析系统 海南移动 【中国联通】 江苏联通,【中国电信】 上海电信 上海热线 互联星空网站 IDC 邮箱系统 网上营业厅 南京电信 甘肃电信 企业信息化部 福建电信 Data Center 浙江电信 计费,中国大陆运营商客户,【华为技术有限公司】,NetScaler 功能模块,负载均衡,压缩,缓存,SSL 加速, ,AppExpert 策略引擎,

4、应用交换引擎,NetScaler 系统架构,无缝集成各功能模块,500Mbps 50Gbps 7层吞吐 所有功能模块可同时启用 各模块公用策略引擎 统一的管理接口与界面,高性能,资源卸载,应用安全,高可靠性,4-7层本地服务器负载均衡 全局多站点（链路）负载均衡 可自定义的健康检测技术 高峰流量控制 ,动静态缓存技术 HTTP压缩技术 ,TCP卸载与TCP连接复用技术 SSL加速 Web2.0推送技术 Cache重定向 ,SSL VPN功能 4-7层DOS/DDOS攻击防护 基于访问速率控制 内置应用防火墙 ,NetScaler 应用交付平台功能模块,B2C,B2B,服务器负载均衡功能增强,P

5、2P,Web服务器,POST -: - Cookie: JSESSIONID=acIck92mZc3hpZjcBf; -: - PAGE=LOGON_PROMPT_PRECART&OPTION=PREEDITCART&zoi_save=1&zoi_id-1=&zoi_description-1=FRAME%3A+Pegoretti+Responsorium&zoi_price-1=3500.00&zoi_ins_by-1=GUEST&zoi_sku- ,基于多核并行处理技术的硬件架构帮助消除应用层数据处理的性能瓶颈,4X Performance,7X Scalability,Core3,Cor

6、e4,Core5,Core6,Core7,Core2,Core1,从Web 应用层负载均衡扩展到数据层,SQL TCP连接复用 SQL 服务器负载均衡 SQL 内容交换（区分读写操作） SQL 特有的健康检查,传统全局负载均衡的作用： 多数据中心或多链路的冗余与灾备； 用户就近性访问； 增强的多数据中心流量分配方法： 客户端连接数 已消耗的带宽 站点的健康程度 作为“云爆发流量”解决方案,全局负载均衡功能增强,NetScaler 为某用户实现桌面云交付的智能选择,Cloud Layer,Cell Layer,Service Block Layer,Pool Layer,NetScaler 降低

7、后端服务器的压力,可减少服务器达到60% SSL 加速 TCP 连接复用 动静态内容缓存 HTTP 压缩,使用后,客户端,TCP 连接复用技术原理,NetScaler 终结客户端TCP连接 客户传输HTTP请求 NetScaler 建立服务器连接,NetScaler 发送客户端HTTP请求 对所有并发访问的客户端TCP连接做相同的操作 复用客户TCP连接到服务器,Web服务器,增强应用安全性 4/7 层DOS攻击防护,用户访问,Web 服务器,用户请求,NetScaler 置入Javascript,服务器响应,请求送往Web 服务器,服务器响应,再次请求 携带Javascript运算结果,用户

8、执行Javascript,4层DoS攻击防护 NetScaler Kernel 内置DoS防护机制 CPU随攻击线性增长 多核并行处理攻击流量,NetScaler,7层DoS攻击防护 引入客户端检测机制 智能判断客户端是否脚本行为,NetScaler 不仅提供传统安全控制，也提供TCP/HTTP/DNS的动态控制,访问者,IP Address IP Range/Subnet Cookie Value Wildcards Any headeror payload,对象,Vserver IP URL/URI Image File Any headeror payload,时间,速率,Request

9、s Packets Bandwidth,Measured in milliseconds,Throttle Invoke Policy Responder Rewrite Cache etc. Alert Log Trap,策略动作,针对不同的应用和资源配置访问策略,NetScaler 应用层防火墙保护Web应用逻辑,Citrix NetScaler 应用层防火墙 经过加固的安全设备 为Web和Web Services提供高性能的安全性 主动安全模型不依赖于特征码！ 高级的应用层学习能力 简单的基于浏览器的策略管理,应用系统代码审计与修复成本高、时间长,每1000行代码平均发现15个安全漏洞

10、平均每个安全漏洞需要75分钟诊断和6小时修复 平均每个商业Web应用需要15万25万行代码 - 美国国防部,发现所有安全漏洞：15*1.25hrs*150k/40 = 70周 解决所有安全漏洞：15*6hrs*250k/40 = 560周,Web 应用防火墙采用混合安全模型,Positive Learn Application Environment,Negative Apply Signatures,Negative,Positive,Hybrid,混合模型 防护已知和未知的安全威胁,应用防火墙与OWASP Top 10 安全风险,OWASP The Open Web Application

11、 Security Project (开放Web软件安全项目),实例：SQL注入攻击防护,如何实现攻击 ：案例1 - 绕过登录界面 常见的登录页面有两个输入框，一个用户名，一个密码，后台的SQL语句为：select * from Users where username=用户名 and password=密码 其中用户名和密码分别为在两个输入框中输入的内容，如果恶意用户在用户名中输入x or 1=1,密码随便输，那么后台的SQL查询语句就会变为： select * from Users where username= x or 1=1 and password=密码,实例：Cross-site

12、 Scripting (XSS) 跨站脚本攻击防护,攻击基于信任关系,实例：HTML 页面表单防护,Client completes and returns form,Application sends form to client,阻止非法的表单参数,For each user session AppFw ensures that: Each field is returned No fields were added by client Read-only and hidden fields are unaltered Data in drop-down list or radio but

13、ton field conforms Max length of form fields is adhered to,集成HTML和XML安全防护,Start URL Deny URL Cookie Consistency Buffer Overflow Credit Card Safe Object Form Field Consistency Field Formats HTML Cross-Site Scripting HTML SQL injection XML Format XML Denial of Service XML Cross-Site Scripting XML SQL

14、injection XML Attachment Web Services Interoperability XML Message Validation,Common (HTML + XML),HTML,XML,管理和自学习功能,Web应用安全防护报告,命令行接口 Web管理配置页面 内置历史报表 实时监控仪表板 XML API,NetScaler 本地管理与监控,NetScaler 集中管理与监控,支持的系统 Windows Server 2008 Windows Server 2003 with SP2 Red Hat Linux ES 4.0/5.x 支持的功能 设备自动发现 错误告警

15、和事件管理 历史报告和性能视图 实时性能监控 集中配置管理 告警阈值设定 支持任务回退,系列可视化工具,NetScaler 策略引擎无需程序语言,when CLIENT_ACCEPTED TCP:collect 2 when CLIENT_DATA binary scan TCP:payload cc socksver numauthmethods if $socksver != 5 log local0. Got non-socks connection from client IP:remote_addr reject return set offset expr 2 + $numauth

16、methods if TCP:payload length = $offset TCP:respond binary format H2H2 05 86 TCP:collect expr $offset + 1 return if TCP:payload length $offset binary scan TCP:payload xexpr $offset + 5cx41ch32 sslversion sessionlength hexid if $sslversion != 3 log local0. Received wrong SSL version in header from cl

17、ient IP:remote_addr reject return if $sessionlength = 0 return else persist universal $hexid return if TCP:payload length $offset TCP:collect $offset return ,RIGHT WAY,WRONG WAY,虚拟设备 任何基于X86的服务器 支持如下虚拟化环境 Citrix XenServer Vmware ESX Microsoft Hyper-V 快速、灵活、简便部署 移植硬件设备100%功能,NetScaler VPX 系列产品,企业已将NetScaler VPX作为可在线租用资源,NetScaler SDX 系列产品,单一硬件设备运行