慧敏应用交付网关的安全功能评述

  　1背景

　　应用交付产品即应用交付控制器（ADC），近年来成为数据中心基础设施的关键部分，它们位于应用程序和基础网络架构之间，是唯一可以同时使用应用程序和网络语言的技术，主要包含：服务器（应用）负载均衡、链路负载均衡、广域网(多站点)负载均衡、应用的加速、应用的安全等功能。

　　应用交付产品的市场实际上是2000年以后才逐渐形成的，前身是上世纪九十年代的负载均衡市场，在原有服务器负载均衡产品的主要功能包括：服务器负载均衡、链路负载均衡和广域网负载均衡等，而应用交付产品则是在原有负载均衡的基础上，增加了应用加速、应用安全等功能，从而形成应用交付产品。

　　慧敏应用交付网关自2012年正式交付市场以来，同样经历了从传统负载均衡产品的生产，到第一代应用交付产品，再到现在的新一代应用交付产品的生产过程，目前紧紧跟随着全球先进的应用交付技术的发展，利用先进的IT技术应用到产品研发中，不仅把单台设备的处理能力性能从10Gbps提高到了120Gbps，而且功能方面也几乎涵盖目前应用交付技术涵盖的所有功能。

　　本文重点讨论北京信诺瑞得软件系统有限公司生产的慧敏应用交付网关(ADC)所包含的安全功能及安全的考虑。

　　2安全功能论述

　　2.1网络安全

　　"SynFloodDDos的防护，在慧敏ADC上提供两种类型的防御阻断方式：单一源IP和全部源IP的防护方式，两种方式可分别实现针对某一个IP或分布式的synflood的攻击防护，见下图：

　　"HTTPFlood的DDos攻击防护，除了同SYNFlood一样有两种类型的防御阻断方式以外，可以选择使用HTTP的请求内容作为判断条件，例如：URL、Cookie、Args、RequestMethod等参数，可以很灵活的用于抵御分布式的HTTPFlood的攻击，见下图：

　　"HTTP协议清洗，由于目前的应用几乎都使用了HTTP协议，然而攻击者和很多计算机病毒也都使用非标准的HTTP协议进行攻击和入侵，此功能除了校验标准的HTTP协议以外，还可以自定义HTTP协议头来进行定制化的验证。

　　2.2网络会话安全

　　网络会话安全实际上是利用会话层的安全套接字协议,即SSL协议来实现，慧敏ADC就是使用此协议基于公共密钥基础架构（简称PKI）实现的网络会话安全，主要体现在以下几个方面:

　　"设备远程管理采用SSH及HTTPS等基于SSL协议进行通讯；

　　"提供SSL卸载功能，在客户端及ADC之间完成SSL加解密工作，不仅简化了SSL证书管理、ADC和服务器的配置复杂性、节约了采购成本，同时提高了客户的访问速度；

　　"除了支持国际通用的RAS加解密密码算法之外，还支持国家密码局制定和颁布的商用的密码算法：

　　oSM2-椭圆曲线公钥密码算法:基于ECC的非对称加密算法，密钥长度为256比特,对应国际标准体系的RSA非对称加密算法;

　　oSM3-密码杂凑算法（CryptographicHashAlgorithm）:SM3算法是国家密码管理局编制的商用密码摘要算法，用于数字签名,生成256比特Hash值,对应国际标准体系中MD5/SHA等摘要算法;

　　oSM4-分组密码算法：对称加密算法，替代SSF33和SM1，分组和密钥长度分别为128比特，对应国际标准体系的AES/3DES算法；

　　"支持客户端-服务器端双向证书双向的工作模式

　　2.3IP过滤（访问控制策略）

　　针对IP过滤，慧敏ADC提供了完整的访问控制功能(简称ACL)，可以抵挡异常访问和访问限制，同时可以记录日志，因对合规检查，此功能不仅可以基于IP数据包的五元组信息设置过滤规则，同时可以将VLAN、物理接口等作为过滤参数，同时还包括如下功能：

　　"控制动作：ACCEPT(接收)、DROP(直接丢弃)、REJECT(明确拒绝)、REDIRECT(将TCP/UDP的目的端口修改为指定端口)、LOG(记录访问日志)；

　　"支持基于时间的ACL规则，比如：星期、日期等；

　　见下图：

　　2.4Web应用安全

　　为应对来自互联网针的HTTP应用威胁，更好地保护慧敏ADC上启用的应用，专门开发了Web应用防火墙(以下简称WAF)的功能。策略方面遵循OWASP十大web威胁内置了防护策略，不仅如此还开放了客户自定义策略的方式，同时可以针对不同的规则选择阻断动作、阻止页面及HTTP返回码。

　　另外，可以使用例外来针对客户环境中的自行开发的Web应用及误报，例外策略由三个参数构成：访问URI、访问源IP地址、URL中查询参数。

　　2.5脚本化的安全策略

　　慧敏ADC内置了基于脚本的流量处理功能--SmartRule，在很多环境下，使用SmartRule可以制定HTTP的访问控制策略，策略参数可以选择使用URI、HTTPHeader、Cookie等信息，从而完成如下功能：

　　"HTTP访问控制；

　　"自定义HTTP特征防止Web攻击；

　　"HTTP内容替换，防止敏感信息泄露

　　2.6安全的管理

　　设备的安全管理也是慧敏ADC重点考虑的因素，不仅要满足合规，同时还要保证安全：

　　"设备远程管理协议：采用加密的SSH及HTTPS两种方式进行加密；

　　"设备之间的通讯：慧敏ADC设备之间会传递配置、状态等，均采用HTTPS协议进行数据的传输；

　　"口令管理：包括多次登录失败的拒绝访问、口令复杂度、root帐号的远程禁用；

　　2.7产品自身的安全性

　　为防止因慧敏ADC设备自身故障(软件、硬件等)影响业务，慧敏ADC提供了如下功能：

　　"支持活动-热备、双活、多活等多种双机冗余的工作模式，用于规避设备硬件的单点故障，双机设备的检测时间可以精确到毫秒级；

　　"核心进程的监控，慧敏ADC对所有核心进程不仅实现了监控，同时可以自行设置进程出现故障时的动作（重启进程、重启设备等），如此极大降低设备软件故障对业务的风险影响；

　　"内存监控：慧敏ADC可以监控所有进程的内存占用率，并且可以设置不同的补救动作，进一步解决当系统压力过大时，降低业务风险。

　　2.8日志管理功能

　　慧敏ADC可以记录的日志类型包括：业务访问日志、ACL访问控制日志、NAT（地址翻译日志）、系统告警审计日志、业务实时连接表日志等，同时可以外发给其它的日志分析系统(比如隽敏设备、SEIM设备等)。

　　3安全功能的总结

　　慧敏ADC作为一个企业级的网络产品，不仅要考虑所处理业务的安全性，同时还要全面考虑设备自身的安全性、稳定性，从而最大限度的降低整体风险，为业务保驾护航！