概述

　　公司投入重多資源來研發(fā)應(yīng)用程序和基礎(chǔ)結(jié)構(gòu)向員工，客戶和生意上的伙伴傳遞所制定的經(jīng)營(yíng)模式。數(shù)據(jù)中心有責(zé)任確保絕對(duì)的安全性，快速響應(yīng)時(shí)間，和這些企業(yè)級(jí)重要應(yīng)用程序的高可用性。要全面保護(hù)企業(yè)級(jí)應(yīng)用程序免受潛在威脅的攻擊，就需要一個(gè)既能應(yīng)用于網(wǎng)絡(luò)層，又能應(yīng)用于應(yīng)用層安全保護(hù)的平臺(tái)?；诜聪虼砑夹g(shù)的應(yīng)用層控制器代表了一種新的產(chǎn)品，在此基礎(chǔ)上設(shè)計(jì)的基于安全和控制的web 應(yīng)用程序。代理可以保護(hù)那些傳統(tǒng)的防火墻和基于數(shù)據(jù)信息包的入侵檢測(cè)得系統(tǒng)不能保護(hù)的內(nèi)容。不可思議的是，它同時(shí)還可以加快應(yīng)用程序的響應(yīng)時(shí)間和可用性。應(yīng)用程序控制器已經(jīng)成為一個(gè)當(dāng)今web DMZ 結(jié)構(gòu)和web 應(yīng)用程序保護(hù)的一個(gè)基本組成部分。數(shù)據(jù)中心有責(zé)任確保數(shù)據(jù)的正確性。保護(hù)應(yīng)用和高可用性的技術(shù)在企業(yè)級(jí)的DMZ結(jié)構(gòu)已經(jīng)成為一種“最優(yōu)方法”。

　　評(píng)估最好的應(yīng)用控制防火墻應(yīng)該包括的保準(zhǔn)：

　　安全

　　應(yīng)用控制防火墻的體系結(jié)構(gòu)是基于連接的代理還是基于數(shù)據(jù)包的阻斷控制?

　　安全性能是否符合應(yīng)用安全的標(biāo)準(zhǔn)，比如說WAFEC & OWASP?

　　真實(shí)性能

　　應(yīng)用控制防火墻可以加快應(yīng)用程序的響應(yīng)時(shí)間嗎?

　　應(yīng)用控制防火墻有足夠的吞吐量和處理空間來處理你的連接數(shù)嗎?

　　部署簡(jiǎn)便

　　應(yīng)用控制防火墻有靈活的選項(xiàng)來方便地部署在一個(gè)網(wǎng)絡(luò)布局和環(huán)境中?

　　應(yīng)用控制防火墻是否有向?qū)У墓δ軄砜焖侔惭b，保護(hù)和操作?

　　管理簡(jiǎn)便

　　應(yīng)用控制防火墻是否有諸如自動(dòng)和手動(dòng)等多種方法來應(yīng)付應(yīng)用程序的改變?

　　應(yīng)用控制防火墻是否有能力來支持100s 應(yīng)用程序?

　　應(yīng)用控制防火墻是否有容錯(cuò)設(shè)計(jì)和fail-over 的能力?

　　應(yīng)用控制防火墻是否有fail-open 的選項(xiàng)?

　　NetContinuum 提供了世界上最強(qiáng)大的應(yīng)用控制防火墻，它是建立在NCOS所有的軟件基礎(chǔ)上。NetContinuum的產(chǎn)品終止，安全和加速HTTP(S) 功能基于應(yīng)用程序的數(shù)據(jù)來給數(shù)據(jù)中心一個(gè)新的配置、保護(hù)和管理企業(yè)級(jí)應(yīng)用程序的工具。如圖1所示，應(yīng)用控制防火墻處于DMZ區(qū)，配置在服務(wù)器的前端。

　　這個(gè)文檔介紹了NetContinuum 應(yīng)用防火墻產(chǎn)品系列。一個(gè)架構(gòu)上的最優(yōu)方法，NetContinuum 產(chǎn)品通過以下幾點(diǎn)讓你配置一個(gè)更快、更可靠、更安全和性能更高的應(yīng)用程序：

　　全面控制所有用戶到每個(gè)應(yīng)用程序的連接

　　保護(hù)應(yīng)用程序的安全完整的方案，包括確保執(zhí)行密碼系統(tǒng)，防攻擊和身份和訪問管理(IAM/ AAA)

　　完整的可用性方案來增強(qiáng)響應(yīng)時(shí)間和確保正常運(yùn)轉(zhuǎn)時(shí)間

　　在任何網(wǎng)絡(luò)環(huán)境中展開迅速的自身部署

　　快速的定義應(yīng)用和適當(dāng)?shù)牟呗詠肀Ｗo(hù)他們

　　當(dāng)應(yīng)用程序開始服務(wù)后，對(duì)應(yīng)用程序進(jìn)行簡(jiǎn)便、靈活和持續(xù)的管理

　　強(qiáng)大的代理功能

　　全面保護(hù)web 應(yīng)用程序免受所有潛在的威脅攻擊，需要一個(gè)不僅能應(yīng)用在網(wǎng)絡(luò)層，同時(shí)還能應(yīng)用在HTTP和應(yīng)用會(huì)話內(nèi)容的安全平臺(tái)。只有基于會(huì)話的雙向代理才能在不將內(nèi)部服務(wù)器操作系統(tǒng)和TCP堆棧直接暴露在Internet的情況下提供這種安全功能。

　　圖1: 應(yīng)用控制防火墻配置在用戶和應(yīng)用程序服務(wù)器的中間

　　NetContinuum 提供了世界上最強(qiáng)大的應(yīng)用控制防火墻產(chǎn)品線?；贜etContinuum專利的NCOS系統(tǒng)，產(chǎn)品對(duì)Web應(yīng)用進(jìn)行終止、保護(hù)和加速。集中化的GUI 控制界面可以讓系統(tǒng)的配置和管理變得十分簡(jiǎn)單。最重要的是,

　　應(yīng)用控制防火墻可以完全符合WAFEC & OWASP提出的標(biāo)準(zhǔn)。NetContinuum 應(yīng)用控制防火墻是世界上唯一被ICSA在網(wǎng)絡(luò)層和應(yīng)用層上通過認(rèn)證的產(chǎn)品。核心功能的介紹，包括終止，保護(hù)和加速將會(huì)在下面做詳細(xì)的介紹。

　　體系結(jié)構(gòu)和性能

　　NetContinuum已經(jīng)建立并構(gòu)造了一個(gè)完全由自己研發(fā)操作系統(tǒng)和協(xié)議棧。圖2有做詳細(xì)的介紹，NCOS (NetContinuum 操作系統(tǒng))直接和x86 還有Cavium SSL處理器相連，以保證低延遲率和獨(dú)一無二的連接傳輸率。所有應(yīng)用的終止和執(zhí)行都在NCOS(NetContinuum 操作系統(tǒng))中進(jìn)行。Linux 是用來做為管理框架和日志記錄。

　　很多廠商試圖通過同時(shí)報(bào)告TCP連接數(shù)和高帶寬利用率來改進(jìn)應(yīng)用控制器的結(jié)構(gòu)。這是一種對(duì)于安全應(yīng)用的錯(cuò)誤說法。重要的是應(yīng)該把重點(diǎn)放在第七層HTTP應(yīng)用的處理性能上。同時(shí)，更重要的是要明白延遲是由于現(xiàn)實(shí)的處理負(fù)荷和數(shù)據(jù)的大小所引起的。

　　NetContinuum 根據(jù)現(xiàn)實(shí)的“重負(fù)荷”應(yīng)用環(huán)境生產(chǎn)出應(yīng)用控制器，因此對(duì)于這點(diǎn)信心十足。從另一方面說，這個(gè)性能指標(biāo)能夠反映設(shè)備真正運(yùn)行時(shí)的情況。更加詳細(xì)的數(shù)據(jù)統(tǒng)計(jì)可以在以下功能都開啟的情況下獲得，它們包

　　括：第2層ACL、第7層ACL、Web地址轉(zhuǎn)換、URL請(qǐng)求和響應(yīng)、重寫功能、實(shí)時(shí)動(dòng)態(tài)應(yīng)用調(diào)試和執(zhí)行(DAP)、SSL、內(nèi)容壓縮、內(nèi)容緩存、內(nèi)容交換、負(fù)載均衡和TCP復(fù)用。

　　圖2: NCOS高性能和高安全性的NetContinuum 操作系統(tǒng)

　　NetContinuum 應(yīng)用防火墻功能

　　全面完善的功能力是NetContinuum產(chǎn)品的最重要的一個(gè)方面。

　　NetContinuum努力研發(fā)對(duì)于全面保護(hù)、加速和管理應(yīng)用流量所需要的功能。我們將這些功能集中描述為“終止、保護(hù)和加速”。圖3 對(duì)應(yīng)用流量的管理控制做了概略的描述。

　　圖3: 您可以選擇是否應(yīng)用會(huì)話控制, 安全保證和可用性保證等功能#p#副標(biāo)題#e#

　　終止

　　所有NetContinuum 產(chǎn)品都有一個(gè)基本原則: 所有用戶瀏覽器和應(yīng)用程序服務(wù)器的連接會(huì)話都在此終止。這個(gè)技術(shù)的思路就是對(duì)應(yīng)用流量(內(nèi)向和外向)進(jìn)行全面的檢查和管理每一個(gè)會(huì)話。履行TCP握手同樣可以切斷任何基于TCP的DOS攻擊。在終止會(huì)話的同時(shí)，應(yīng)用防火墻可以提供網(wǎng)絡(luò)層的NAT、PAT 、ACL 策略和SSL 密碼系統(tǒng)。系統(tǒng)對(duì)于HTTP內(nèi)容有著完全的訪問權(quán)和控制權(quán)，檢查所有的HTTP 內(nèi)容，解釋和建立規(guī)則。要特別指出的是，“終止”包含了以下一些功能:

　　TCP 會(huì)話終止

　　NetContinuum 應(yīng)用防火墻進(jìn)行完整的TCP 會(huì)話終止。TCP會(huì)話終止是唯一為私有網(wǎng)絡(luò)來提供完全的安全性的方法, 因?yàn)樗鼘⒏羲杏脩?包括攻擊者)都隔離在外網(wǎng)。唯一連接到服務(wù)器的數(shù)據(jù)都是來自于應(yīng)用防火墻本身的。應(yīng)用防火墻收集所有的數(shù)據(jù)包并重寫每個(gè)用戶的HTTP 會(huì)話。這樣HTTP會(huì)話可以被進(jìn)行安全篩選和加速并且可以進(jìn)行內(nèi)容交換和內(nèi)容處理。

　　狀態(tài)信息網(wǎng)絡(luò)防火墻

　　NetContinuum 應(yīng)用防火墻包含了一個(gè)基于狀態(tài)信息的網(wǎng)絡(luò)防火墻。網(wǎng)絡(luò)管理員可以設(shè)置策略，NAT, PAT 和網(wǎng)絡(luò)ACL的規(guī)定. 應(yīng)用防火墻監(jiān)控每個(gè)TCP連接的狀況(IP 地址, 端口,3次握手等) 并在一個(gè)狀態(tài)表中編輯信息。過濾決定不僅僅依靠管理員設(shè)置的規(guī)則(比如靜態(tài)包過濾)，同時(shí)也取決于之前已經(jīng)通過防火墻的數(shù)據(jù)的狀態(tài)記錄。這個(gè)過程能夠嚴(yán)格確保符合TCP/IP RFCs 規(guī)則，阻止大量的網(wǎng)絡(luò)層攻擊。NetContinuum應(yīng)用防火墻的網(wǎng)絡(luò)層安全性已經(jīng)得到了ICSA的認(rèn)證。

　　SSL 終止

　　NetContinuum應(yīng)用控制防火墻有專利的ASIC 處理芯片來建立和加速用戶的SSL會(huì)話，因此能夠卸載應(yīng)用服務(wù)器上的密碼處理。應(yīng)用防火墻提供了一套完善的SSL和傳輸層安全協(xié)議(TLS) 的功能。SSL可以用在任何應(yīng)用層協(xié)議上(HTTP, SOAP, XML, FTP, SMTP, POP3,IMAP, 或自定義)。完全支持PKI管理和密鑰管理。系統(tǒng)可以重新加密發(fā)送到后端服務(wù)器的流量，詳細(xì)描述如下。

　　HTTP 協(xié)議符合和標(biāo)準(zhǔn)化

　　NetContinuum 應(yīng)用防火墻應(yīng)用一個(gè)全面的HTTP 標(biāo)準(zhǔn)化引擎來規(guī)范所有應(yīng)用流量.。隱藏在HTTP 數(shù)據(jù)編碼和國(guó)際編碼字符后的攻擊在到達(dá)真實(shí)服務(wù)器之前就會(huì)被這個(gè)進(jìn)程識(shí)別和阻擋掉。

　　在世界不通的地方有很多不同的字符串和字符編碼。在美國(guó), 基于拉丁文的字母表, 所有的數(shù)字、標(biāo)點(diǎn)符號(hào)使用7位ASCII 編碼標(biāo)準(zhǔn)。相反，亞洲的語言包含很多書面的字節(jié)是16 bits 的數(shù)據(jù)，這些數(shù)據(jù)必須包含全部的字形。錯(cuò)誤的處理國(guó)際編碼字符見的細(xì)微差別可能導(dǎo)致安全漏洞，因?yàn)楹诳涂梢詫⒆约?ldquo;隱藏”在國(guó)際編碼字符后面。將所有輸入簡(jiǎn)化為規(guī)范的字符串，用于準(zhǔn)確的評(píng)判，這個(gè)過程就叫做標(biāo)準(zhǔn)化。

　　標(biāo)準(zhǔn)化還有第二個(gè)解釋，它來自管理WEB應(yīng)用的HTTP協(xié)議。一些字節(jié)對(duì)于web服務(wù)器、底層操作系統(tǒng)或HTTP協(xié)議有著特別的含義。為了區(qū)別這些字符的正常使用和特殊含義，于是就開發(fā)了不同的字節(jié)編碼方案，比如“URL 編碼”和“基于64位編碼”。攻擊者可以通過一回或多回隱藏編碼來進(jìn)行攻擊。應(yīng)用防火墻可以識(shí)別這些陰謀并將HTTP 協(xié)議元素標(biāo)準(zhǔn)化。

　   F T P 協(xié)議符合

　　FTP 生來就是一個(gè)脆弱的協(xié)議。

　　NetContinuum 的產(chǎn)品同樣可以作到對(duì)文件傳輸協(xié)議(FTP)的終止。系統(tǒng)可以被配置在現(xiàn)有FTP 服務(wù)器的前端來代理進(jìn)出的FTP流量。FTP 訪問控制列表(ACL)可以封閉進(jìn)來的FTP 端口, 阻擋某些FTP 命令和為FTP流量提供SSL 加密。此外, 也可以使用不同的算法在后端服務(wù)器之間進(jìn)行FTP流量的負(fù)載均衡。

　　HTTP 報(bào)頭重寫

　　報(bào)頭的請(qǐng)求和回應(yīng)重寫加深和更加細(xì)密的提供了安全構(gòu)造。NetContinuum 應(yīng)用防火墻可以在數(shù)據(jù)到達(dá)用戶端前對(duì)HTTP 報(bào)頭中的敏感內(nèi)容進(jìn)行重寫或刪除。報(bào)頭重寫技術(shù)可以更好的管理流量,或者為應(yīng)用程序加入一些獨(dú)特的功能. 比如說, 設(shè)置生成新報(bào)頭來覆蓋用戶的一些驗(yàn)證信息、授權(quán)信息等敏感信息。另外一個(gè)比較常用的方法是移除瀏覽器插入的“Accept-Encoding:gzip”標(biāo)記，這樣可以避免服務(wù)器在壓縮內(nèi)容上花費(fèi)太多的CPU處理時(shí)間。

　　URL 轉(zhuǎn)換

　　將外部世界如何訪問WEB應(yīng)用與其物理構(gòu)架分離開來是非常有用的。同時(shí)也叫Web 地址轉(zhuǎn)換(WAT), URL轉(zhuǎn)換本質(zhì)上從內(nèi)部到外部的DNS地址域名的轉(zhuǎn)換。WAT 允許管理員在簡(jiǎn)單的外部名稱規(guī)則后隱藏一個(gè)復(fù)雜并切變化快速的網(wǎng)絡(luò)。

　　URL 速率控制

　　NetContinuum 應(yīng)用防火墻可以識(shí)別某些URL并控制發(fā)送到應(yīng)用程序的請(qǐng)求的速率。當(dāng)應(yīng)用結(jié)構(gòu)因?yàn)槌?fù)荷而易于崩潰的情況，這種保護(hù)服務(wù)器免受超載的技術(shù)是至關(guān)緊要的。

　　安全

　　一旦一個(gè)會(huì)話被NetCont inuum應(yīng)用防火墻終止并被控制，多種檢查就會(huì)應(yīng)用于進(jìn)來和出去的會(huì)話和內(nèi)容，以此阻止內(nèi)嵌的攻擊、數(shù)據(jù)竊取和身份竊取。精確的策略也可以應(yīng)用于URL、參數(shù)和格式區(qū)域的檢查。這個(gè)“確保安全”的功能在應(yīng)用防火墻上提供了以下功能:

　　應(yīng)用程序隱藏

　　NetContinuum 應(yīng)用防火墻使用應(yīng)用遮掩技術(shù)來使應(yīng)用程序架構(gòu)對(duì)于掃描服務(wù)器漏洞的黑客和蠕蟲不可見。因?yàn)閼?yīng)用防火墻有一個(gè)全面的終止結(jié)構(gòu), 對(duì)于web服務(wù)器類型、應(yīng)用服務(wù)器類型、操作系統(tǒng)和補(bǔ)丁的版本都是不可見的。NAT 和WAT 隱藏所有網(wǎng)路的URL 地址信息。最后, 通過隱藏URL 響應(yīng)代碼和HTTP 報(bào)頭, 隱藏機(jī)制可以有效地隱蔽所有可能會(huì)被用于攻擊應(yīng)用程序和應(yīng)用服務(wù)器的信息。

　　AAA—身份和訪問管理

　　By virtue of sheer proximity,應(yīng)用防火墻處在一個(gè)執(zhí)行AAA服務(wù)的絕佳位置。應(yīng)用防火墻可以進(jìn)行驗(yàn)證和單點(diǎn)登陸服務(wù)，因?yàn)樗梢耘cRADIUS, LDAP,Active Directory 和CA SiteminderTM(Netegrity)掛鉤。其他方式的認(rèn)證包括客戶端證書、基本HTTP Web驗(yàn)證、源IP地址驗(yàn)證等方式。控制器能夠執(zhí)行已授權(quán)用戶在應(yīng)用和URL級(jí)別發(fā)起的訪問。最后，控制器記錄所有認(rèn)證信息和訪問時(shí)間，這些內(nèi)容同時(shí)提供全面的內(nèi)部監(jiān)控的審計(jì)和安全規(guī)則的符合。

　　白名單

　　NetContinuum控制器使用一個(gè)絕對(duì)安全的模型來對(duì)訪問進(jìn)行定義并判斷其是否為惡意連接。任何違背正常行為的會(huì)話會(huì)被認(rèn)為是潛在的惡意連接并自動(dòng)將其阻斷。系統(tǒng)為每個(gè)應(yīng)用創(chuàng)建并管理獨(dú)立的白名單。白名單可以被動(dòng)態(tài)創(chuàng)建，或在實(shí)時(shí)策略推薦向?qū)У膸椭峦ㄟ^安全組手動(dòng)設(shè)置?？刂破魇褂迷L問控制列表(ACL)來設(shè)置和執(zhí)行具有良好粒度的安全策略和特殊頁面。

　　窗體保護(hù)

　　程序員常見的錯(cuò)誤理解就是以為Web的形式是不變的，至少對(duì)于用戶來說是如此。也就是說，如果一個(gè)區(qū)域被定義為單選按鈕，來自用戶的輸入只能是事先規(guī)定的值，并且能夠依靠用戶的瀏覽器來執(zhí)行這種約束。這種理解是錯(cuò)誤的。瀏覽器確實(shí)會(huì)試圖將用戶輸入限制在正常范圍之內(nèi)，但是一個(gè)惡意的用戶能夠在瀏覽器和應(yīng)用程序之間放置一個(gè)攻擊性的代理，在瀏覽器的可見范圍之外徹頭徹尾地修改區(qū)域的類型。這樣單選按扭區(qū)域很有可能返回一個(gè)帶有可執(zhí)行的緩沖溢出代碼。這就是臭名昭著窗口篡改?？刂破饔涀♂槍?duì)每個(gè)用戶會(huì)話所創(chuàng)建的區(qū)域類型，并且確保在程序員定義它們的時(shí)候?qū)⑺鼈儽Ａ粝聛怼?/p>

　　Cookie保護(hù)

　　在cookie代碼的處理過程中對(duì)其弱點(diǎn)進(jìn)行開發(fā)是另一種黑客常用的手段。因?yàn)閏ookies是對(duì)用戶進(jìn)行身份識(shí)別的最常用的方法，如果黑客能夠猜到用戶的cookie信息，那么這個(gè)黑客就從根本上化身為那個(gè)用戶。許多應(yīng)用程序仍然在使用易猜中的cookie。兩種防止此攻擊的技術(shù)是：cookie標(biāo)記和cookie加密。(有兩個(gè)步驟：控制器必須在cookie被創(chuàng)建時(shí)對(duì)其進(jìn)行標(biāo)記和加密。這樣在下次請(qǐng)求到來時(shí)能夠?qū)ζ溥M(jìn)行識(shí)別。如果cookie標(biāo)記被激活，控制器就能夠檢查進(jìn)來的cookie，防止被篡改。

　　篡改通過對(duì)兩個(gè)cookie的比較進(jìn)行判斷。如果兩個(gè)cookie一致，則沒有篡改的行為，會(huì)話被允許進(jìn)入。如果不匹配，則會(huì)話被認(rèn)為是攻擊性的，被控制器阻斷。Cookie加密是一種萬無一失的阻止身份竊取的方法，因?yàn)閏ookie是不可讀的。

　　數(shù)據(jù)竊取保護(hù)

　　NetContinuum 控制器對(duì)于保密數(shù)據(jù)的竊取提供全面的保護(hù)，比如信用卡號(hào)，社?？ㄌ?hào)等其他預(yù)先定義好的保密的數(shù)據(jù)結(jié)構(gòu)?？刂破鲯呙璩鋈サ臄?shù)據(jù)，與用正則表達(dá)式定義好的數(shù)據(jù)模式進(jìn)行匹配。這個(gè)技術(shù)對(duì)敏感的數(shù)據(jù)在離開Web服務(wù)器時(shí)進(jìn)行鑒別并強(qiáng)制執(zhí)行相應(yīng)的策略：部分遮掩數(shù)據(jù)、完全遮掩數(shù)據(jù)或直接阻斷會(huì)話。

　　動(dòng)態(tài)學(xué)習(xí)/動(dòng)態(tài)應(yīng)用調(diào)試

　　NetContinuum的DAP能夠自動(dòng)學(xué)習(xí)應(yīng)用程序的行為并“實(shí)時(shí)”執(zhí)行策略。實(shí)時(shí)動(dòng)態(tài)應(yīng)用調(diào)試和策略執(zhí)行(DAP)增加了強(qiáng)大的窗口保護(hù)機(jī)制。它能學(xué)習(xí)在用戶訪問WEB界面時(shí)應(yīng)用程序創(chuàng)建的窗口，這樣就能防止黑客的篡改行為。它保存每一個(gè)頁面的鏈接，以此來確保用戶僅在訪問應(yīng)用程序提供的合法的頁面。

　　DAP跟蹤單獨(dú)的URL和參數(shù)，這些URL和參數(shù)被系統(tǒng)學(xué)習(xí)。用來有效阻斷緩沖區(qū)溢出和參數(shù)篡改的攻擊。

　　SQL & OS 命令注入，跨站腳本(XSS)攻擊的保護(hù)

　　SQL 注入攻擊和跨站腳本攻擊(XSS或釣魚攻擊)是基于Java腳本的注入攻擊。這些攻擊危害性極大，因?yàn)樗鼈冋嬲匚＜钡絎eb站點(diǎn)的程序代碼的安全，以此來竊取數(shù)據(jù)或誘騙用戶泄露他們的身份。最終，攻擊來自與程序的錯(cuò)誤;忘記對(duì)用戶的輸入進(jìn)行驗(yàn)證。

　　NetContinuum控制器時(shí)刻保持警惕并監(jiān)控所有用戶的SQL和Java腳本語法的輸入。即使程序員忘記對(duì)輸入進(jìn)行驗(yàn)證，控制器也能夠通過對(duì)異常數(shù)據(jù)正常化來自動(dòng)保護(hù)應(yīng)用程序。

　　自定義黑名單: 正則表達(dá)式

　　NetContinuum控制器同樣提供自定義訪問控制列表和正則表達(dá)式來匹配規(guī)則。任何模式匹配可以被存入控制器，用來掃描HTTP會(huì)話的任何部分。自定義數(shù)據(jù)類型同樣能夠被加入NetContinuum設(shè)備，利用諸如URL的ACL，參數(shù)ACL和/或報(bào)頭ACL來阻斷惡意流量。自定義數(shù)據(jù)類型也能夠用來掃描外出流量，從而創(chuàng)建一個(gè)強(qiáng)大的防御體系。

　　加速

　　除了WEB應(yīng)用的安全性，數(shù)據(jù)中心還負(fù)責(zé)應(yīng)用的可用性和響應(yīng)時(shí)間。將加速功能(TCP 池，緩存，GZIP壓縮)和可用性功能(負(fù)載均衡，內(nèi)容交換，健康檢查)在一個(gè)單一的節(jié)點(diǎn)處結(jié)合起來會(huì)顯著地簡(jiǎn)化數(shù)據(jù)中心的體系結(jié)構(gòu)，以此來降低成本。“可用性保證”功能提供以下功能：

　　緩存

　　應(yīng)用器的Web緩存功能為應(yīng)用的提供者和使用者提供雙贏的效果。當(dāng)進(jìn)入的流量通過掃描并未發(fā)現(xiàn)任何惡意行為時(shí)，NetContinuum控制器將這些流量轉(zhuǎn)發(fā)到合適的Web服務(wù)器。然而，如果請(qǐng)求的內(nèi)容能夠從緩存中得到，控制器就會(huì)從緩存中給予相應(yīng)的回應(yīng)。內(nèi)容緩存充分地提高響應(yīng)的時(shí)間，同時(shí)又降低服務(wù)器的負(fù)荷。

　　GZIP 壓縮

　　NetContinuum控制器支持當(dāng)今先進(jìn)的GZIP壓縮技術(shù)并且能夠卸載服務(wù)器CPU高強(qiáng)度的處理。GZIP能夠提供90%的文本壓縮率并降低30%的延遲。

　　TCP 連接池

　　通過在打開的TCP連接和后端服務(wù)器之間對(duì)TCP連接進(jìn)行復(fù)用，應(yīng)用控制器能夠通過減少服務(wù)器的TCP握手次數(shù)來節(jié)省大量的時(shí)間。這個(gè)TCP連接池技術(shù)在降低服務(wù)器CPU負(fù)荷的同時(shí)大大縮減了客戶端的響應(yīng)時(shí)間。

　　SSL 加速和后端重加密

　　許多數(shù)據(jù)中心采用嚴(yán)格的要求，傳輸?shù)臄?shù)據(jù)必須被加密。這就要求控制器必須有解密會(huì)話、檢查有效負(fù)荷，并在與應(yīng)用程序連接前重新加密那個(gè)會(huì)話。

　　NetContinuum控制器可以為后端服務(wù)器重新加密會(huì)話。控制器提供完善的SSL設(shè)置和TLS功能。如果客戶端證書在使用中，可以選擇通過HTTP報(bào)頭來通過后端服務(wù)器。同樣支持PKI管理、安全密鑰存儲(chǔ)和管理。

　　第7層內(nèi)容交換

　　NetContinuum控制器允許您設(shè)置規(guī)則來通過URL報(bào)頭信息智能地將流量指向合適的服務(wù)器：Status-Code,Response-Header, Client-IP, Method, WEB-Dav,HTTP-Version, URI, Parameter, Pathinfo, 和Header value 等字段都能被檢查出和匹配。負(fù)載均衡能夠當(dāng)會(huì)話被交換時(shí)執(zhí)行相應(yīng)的動(dòng)作。

　　負(fù)載均衡

　　NetContinuum控制器的負(fù)載均衡功能配置十分簡(jiǎn)單。流量通過設(shè)置好的負(fù)載均衡算法被轉(zhuǎn)發(fā)到指定的服務(wù)器。轉(zhuǎn)發(fā)算法包括了輪加權(quán)輪訊和最少請(qǐng)求數(shù)。其他的到“不工作服務(wù)器”連接的重定向和粘滯連接同樣支持。通過對(duì)流量的行為進(jìn)行預(yù)先定義，負(fù)載均衡能夠提高應(yīng)用的可用性?？刂破饕沧尮芾韱T輕松實(shí)現(xiàn)對(duì)服務(wù)器的使用和停用，以此來安排服務(wù)器的維護(hù)工作。

　　服務(wù)器& 應(yīng)用程序健康檢查

　　Out Of Band (OOB) 帶外數(shù)據(jù)健康檢查是監(jiān)控服務(wù)器和應(yīng)用程序健康度，獨(dú)立于數(shù)據(jù)流量。可以設(shè)置規(guī)則在后端服務(wù)器不可用時(shí)將流量重定向。NetContinuum控制器可以在第4層和第7層對(duì)應(yīng)用程序進(jìn)行測(cè)試。第4層OOB默認(rèn)開啟，可以被禁用。第7層HTTP監(jiān)控是根據(jù)Method 和URL實(shí)現(xiàn)的。

　　NetContinuum部署簡(jiǎn)單，詳細(xì)信息下載《NetContinuum 技術(shù)白皮書》