citrix netscaler - 聚碩科技...設這條光纜的唯目的是減少城市間的路由，為...

Citrix NetScaler

提供高客戶體驗的

行動商務應用 Citrix雲網路銷售經理 Steven Kao 高林裕 [email protected]

mailto:[email protected]

mailto:[email protected]

© 2014 Citrix | Confidential

議題

• 當前互聯網對行動商務應用的趨勢與挑戰

• 傳統的解決方案如何應對

• Citrix NetScaler 協助行動商務的挑戰的技術亮點

• 案例分享

行動商務應用的趨勢與挑戰


維基百科- 何謂行動商務(Mobile Commerce)

• 行動商務（Mobile Commerce）基本的定義:使用者以行動化的終端裝置透過行動通訊網路來進行商業交易活動。其具有貨幣價值的交易。而廣義來說只要是人們由透過行動化網路來使用的服務與應用，都可以被定義在行動商務的範疇內。

• 組成行動商務的要素可以分為：

使用者端行動化的通訊裝置

可支援行動商務活動的網路架構與資訊平臺：基礎建設除了終端行動通訊裝置普及外，穩定的資料傳輸以及後端的資訊平臺也不可或缺。行動裝置因受限於裝置的大小、電源、使用特性等因素，在使用端只能儲存有限的資訊並作有限的運算處理，故而穩定的寬頻傳輸與強大的資訊後台，對行動商務來說就益顯重要。

相關的行動式應用與服務及其商業模式：行動商務真正所能提供給人們的應是即時、便利的行動應用程式與服務，內容則包含了娛樂遊戲、行動銀行、行動辦公室、行動購物、即時資訊等各領域。

http://en.wikipedia.org/wiki/Mobile_commerce


行動商務應用發展之一 – 行動支付

•影片分享-台灣行動支付公司


移動工作方式使一切訪問都通過Web或移動應用程式,也因此帶來些新的挑戰必須面對


挑戰一：Web應用內容越來越豐富,效能及不中斷要求越來越

高

HTTP在1999年為Web應用設計.當初的Web應用跟現在有很大的變化。

現在的應用更加豐富，更多的多媒體，圖片Javascript，並且支援移動應用。HTTP需要能適應移動的需求。


挑戰二：日益複雜的前端存取裝置,如何改善客戶體驗?

使3G網路連接應用，應用通過標準TCP連接

直到更換接入點，TCP連接Reset掉


挑戰三：如何有效追踨與管理?


挑戰四：行動應用複雜性以及各種不同的資安威脅來源

傳統解決方案如何應對


2011年鋪設⼀條橫跨大西洋，連接倫敦和紐約的近5000km的海底光纜。鋪設這條光纜的唯⼀目的是減少城市間的路由，為⾦融市場的交易商減少5ms延遲，耗資⼤大約4億美元。

為什麼要優化互聯網

1ms＝8000萬美元

##除了耗費大量投資,也點出減少延遲是非常重要的任務


傳統IT優化解決方案的痛點

對當前應用進行不斷的代碼升級和優化來滿足移動應用訪問的需求

成本高，難度大，時間長，優化功能有限，效率低下

採用不用廠商提供的設備來進行應用訪問優化

（成本高，架構變化較大，優化功能有限）


傳統網路安全保護只做了一半

?

?

?


• 優化的解決方案並不是單一功能性的解決方案,應提供涵蓋從網路層,資料連結層,應用層及其展示層的端到端的整體解決方案.

• 不應改變已經設計好的業務架構

• 能夠完全適應現階段和未來的業務變化和增長

• 服務不中斷

• 速度與使用者經驗改善

• 最高等級安全要求

移動應用的優化原則

• Citrix NetScaler 協助行動商務的挑戰的四大技術亮點


Citrix NetScaler - 完整應用層傳遞交付解決方案

NetScaler

IAAS

VIP

SAAS gateway

S1

S2

S3 NetScaler

CG CB

FTP

SQL

HTTP HTTPS

DNS TCP UDP

AD

Es

PwO

A1

A2

A3

NetScaler

快速

SSL 加速

慢速網路優化

突發流量優化

内容壓縮

動/靜態資料緩存

Web 2.0加速

安全

WAF應用防火牆

L4-7 ACL控管

L4 DoS 防護

L7 DoS 防護

内容過濾處理

連線速率控管

SSL VPN

AAA/SSO

Cloud Gateway

7x24不中斷

L7 請求分配(Load Balance)

應用服務狀態監控

七層内容交換

雙中心/備援中心分配(GSLB)

VLAN, SR-IOV, PBR

動態路由

AppExpert Callout

NetScaler CloudBridge

NetScaler DataStream

管理/監控

CLI/GUI/API/SNMP

服務效能監控AppFlow

Syslog

集中管理平台

NSWL

EdgeSight for NetScaler

AppExpert

平台 VPX

MPX

SDX

Pay-As-You-Grow

Editions

XenServer

VMWare

Hyper V

Standard, Enterprise and Platinum

NetScaler DataStream


NetScaler多種平台，部署靈活

18

硬體 Price-Performance

虛擬 Run Anywhere

多租平台 Multi-Tenant

High Performance Appliances

• 500 Mbps – 120 Gbps

• Advanced ADC

• Fastest SSL Offload

• Pay-As-You-Grow

• 1U and 2U

Software Virtual Appliances

• Software-based virtual ADC appliance

• Xen, ESX, Hyper-V

• Full ADC Features up to 3 Gbps

ADC Consolidation

• Multi-tenant ADC platform

• Consolidate up to 40 ADCs with holistic management

• Full ADC isolation and line-rate performance


50 Gbps

30 Gbps

10 Gbps

5 Gbps

1 20 40

Ne

tSca

ler

Pe

rfo

rman

ce

Maximum Tenants per Platform

1 Gbps VPX 10Mbps –

3Gbps

MPX/SDX

11520-11542 15Gbps – 42Gbps

22.5k – 69k SSL TPS

20 Instances

MPX

9700-15500

FIPS 3Gbps – 15Gbps

Paygro

w

All platforms can

be license

upgraded across

their supported

ranges.

MPX/SDX

8005-8015 5Gbps – 15Gbps

32k – 47k SSL TPS

5 Instances MPX 5550-5650 500Mbps-1 Gbps

New Platform

Multi-tenant Capable

MPX/SDX

22040 to 22120 40Gbps – 120Gbps

560k (2k) SSL TPS

80 Instances

NEBS Available

FIPS Platforms

Single-tenant

120 Gbps

80

NetScaler Platform Lineup

80 Gbps

5

MPX/SDX

24100 to 24150 100Gbps – 150Gbps

90k –155k SSL TPS

80 Instances

MPX

25100T to 25160T 100Gbps – 160Gbps

No SSL


NetScaler面對挑戰的技術亮點 1. 高可用性

連接複用/浪湧保護

• 特點 ᵒ 業界獨有的浪湧保護能力

ᵒ 當因活動連資料激增，可將請求先放入佇列，讓使用者不會覺得服務中斷

ᵒ 連接複用功能，加速回應速度，降低伺服器負載

Citrix NetScaler

浪湧佇列

應用伺服器


Transaction Without NetScaler™

1個請求，11個封包來回

Client Server SYN

ACK

SYN+ACK

GET

FIN

ACK

ACK

Data

Data Data

FIN


連線複用技術，提昇伺服器效能與回應時間

Application Request Client

1. NetScaler建立一個TCP連接

2. Client 端發出 Request

3. NetScaler 建立 Server 端連線

Client Connection

4. NetScaler 傳送 Request

5. 其它 Client 端依此類推

6. 多個 Client 端請求通過共有的 Server 連線進行傳遞

Server

Server Connection

Application Request Client : Server = 5:1 ~ 20:1


NetScaler™ TCP連線複用

1個請求，4個封包來回

Client Server NetScaler SYN

ACK

SYN+ACK

GET

FIN

ACK

ACK

Data

Data Data

GET

Data

Data Data

FIN


提高伺服器使用率

使用NetScaler之前的伺服器負載

使用NetScaler之後的伺服器負載

讓Server把運算能力放在更重要的地方！

• 用戶端：80萬連接數

• 伺服器端：5千連接數


協議優化

• SPDY

• TCP衝突控制

連接優化

• 多路徑TCP

• 功能變數名稱共用

• 圖片優化

• JavaScript優化

• Style Sheet優化

內容優化

NetScaler面對挑戰的技術亮點 2.優化網路,增加客戶訪問體驗


協議優化

• SPDY

• TCP衝突控制

連接優化

• 多路徑TCP

• 功能變數名稱共用

自動選擇最佳資源路徑/ SPDY移動應用優化

使3G網路連接應用，應用通過標準TCP連接

直到更換接入點，TCP連接Reset掉

Multi-path TCP (MPTCP)解決這個問題，使用兩個TCP連接，統一資料。

SPDY支持：NetScaler支援由谷歌開發的加速用戶端訪問Web應

用速度的協定。


行動裝置連接優化與改善內容優化


• 特點

ᵒ 即時瞭解訪問者體驗

ᵒ 深入分析HTTP,就算是加密的也能看到到應用內容與狀態

ᵒ 將網路與應用狀態整合一體分析,ex: Top URL、載入時間、瀏覽時間、用戶端連接、服務端回應

ᵒ AppFlow可在大流量下實現監控

ᵒ 與協力廠商軟體集成（Splunk，Solarwinds）

NetScaler面對挑戰的技術亮點 3. 深入的存取監控與管理


提供單一集中管理

Dashboard

Fault Management

Configuration Management

Change Management

Configuration Difference

WAF Report


NetScaler面對挑戰的技術亮點 4.最高等級的應用層安全


HTTP GET Floods – 正常連線

• 以JavaScript 確認是否為正常瀏覽器

正常使用者 NetScaler Server

Client execs JS


HTTP GET Floods – 惡意連線

• 以JavaScript 確認是否為正常瀏覽器

正常使用者 NetScaler Server

惡意程式不回應




預設信用卡資料

防範敏感性資料外洩

自訂敏感資料


完整7層內容處理，提昇服務可用度

使用NetScaler前使用NetScaler後


NS防範CC攻擊/暴力登入

每秒钟的请求（绝大多数为攻击）

每秒钟真正到達服務器的请求


NS阻斷DNS DDoS攻擊

大量NXDOMAIN攻擊發

生

放大攻擊發生


網站十大風險問題 OWASP 2013 (皆與應用程式有關)

OWASP Top10 – 2013 說明

A1 - 注入Injection 注入攻擊漏洞，如SQL，造成未授權資料被存取

A2 ‐失效的身份認證和連線管理Broken Authentication and Session management

如Cookie未設置超時/自動登出，Cookie劫持連線

A3 -跨站腳本攻擊Cross Site Scripting(XSS) XSS攻擊允許攻擊者在受害者瀏覽器執行程式，從而劫持連線，或將用戶導向惡意網站/釣魚網站

A4 ‐不安全的物件參考Insecure Direct object references 如參數篡改將原“/accountinfo?acct=marry” 自行改為 “/accountinfo?acct=jeff” 取得他人資料

A5 ‐不正確的安全設定Security Misconfiguration 如未禁用IIS目錄瀏覽，伺服器本資訊未移除

A6 ‐敏感性資料洩漏Sensitive Data Exposure 如敏感資料(信用卡號/身份證字號)未做加密儲存，資料顯示時，未做必要遮蔽處理, 敏感檔案未做授權檢測

A7 ‐缺少存取控制Missing Function Level Access Control 如使用者可以在未登入狀況下，直接存取需有登入狀態的頁面

A8 ‐跨站請求偽造Cross Site Request Forgery (CSRF) 網站未做連線請求檢測，讓用戶在連到不安全的惡意網站時，自動執行公司網站程序，如執行轉帳到駭客帳戶

A9-使用具漏洞的元件Using Components with known Vulnerabilities

使用的程式本身就有漏洞，如Apache Struts2的漏洞

A10 –未驗證的轉址和轉送Unvalidated Redirects and Forwards 轉址使用參數來導向，但未做檢核，而導向到未授權網頁或惡意網站 “/forward.asp?page=admin”


最高安全網路應用防火牆

WAF 網頁應用防火牆

• 特點 ᵒ 業界最高WAF性能

ᵒ 集成負載均衡和WAF於一身，降低延時，減少投資成本

ᵒ 獨特Deep Stream Inspection技術 • 依使用者做雙向檢測，而非IP包檢測

• 有效防止網頁攻擊與資料外泄

NSS Lab:

Citrix WAF是C/P 值最高的解決方案

2003年獲WAF金牌獎 http://searchsecurity.techtarget.com/feature/Best-of-Web-application-firewalls-2013

http://searchsecurity.techtarget.com/feature/Best-of-Web-application-firewalls-2013












Citrix WAF是防範攻擊原理，而不是攻擊手法,可避免變種而漏判

Start URL

Deny URL

Cookie Consistency

Buffer Overflow

Credit Card

Safe Object

Form Field Consistency

Field Formats

HTML Cross-Site Scripting

HTML SQL injection

XML Format

XML Denial of Service

XML Cross-Site Scripting

XML SQL injection

XML Attachment

Web Services Interoperability

XML Message Validation

XML SOAP Fault Filtering

Common (HTML + XML)

HTML

XML

• 案例分享


Citrix 的解決方案

• NetScaler提供線路負載均衡/伺服器負載均衡/應用程式防火牆、反向代理服務器、快取與SSL加速功能

• SDX獨立資源隔離機制，實現各安全域所需資源的獨立使用與管理要求，並降低擁有成本

Why Citrix

• 於單一平台即可滿足所有需求

• PCI-DSS認可安全

• 原需購買6台的硬體，轉成僅需採購2台之硬體，降低維運成本

• 原預算不足建制測試區平台，SDX提供彈性測試資源

• 不增加費用即可擁有集中管理平台(CC)與交易品質監控平台

客戶問題

• 新建資料中心，尋求新一代架構並需符合法規之要求

• 需要線路負載均衡/伺服器負載均衡/應用程式防火牆

• 高效能SSL處理能力

案例1:某行動支付客戸導入Citrix NetScaler


架構示意圖

線路負載均衡

網站伺服器

資料庫伺服器應用服務器應用服務器

DMZ

ServerFarm

SLB/WAF

伺服器負載均衡

效能分析服務器

測試區

伺服器負載均衡/WAF

NetScaler SDX

線路負載均衡


案例2:某銀行行動交易應用專案導入NetScaler

DMZ

Web Server

Server Farm

AP Server

DB Server

SLB

WW

Link2 GLB + LLB

Link1


建置Citrix NetScaler帶來的好處

• 避免影響網路銀行正常運作，不與網銀共用網頁伺服器之負載平衡設備。

• 建置 SQL Server Load Balance 機制，提供 SQL DB 橫向擴充的彈性。

• 提供流量激增防護功能 (Surge Protection)，保護後端服務伺服器不會負載超量。

• 設定來訪須求緩衝區，依據交易服務提供優先順序排列功能(Priority Queuing)。

• 大量連線時，自動將Connection集縮，增加伺服器服務效能。

• 建置 IPSec 安全防護與 GRE 網路連接加速功能。

• 開啟 HTTP 壓縮功能。

• 開啟靜態及動態網頁內容快取功能 (cache)。

• 開啟針對特定地區 IP 服務加速功能。

• 開啟後端網頁應用程式服務效能管理報告。


Citrix NetScaler最終訴求: 提升客戶的客戶使用滿意度

使用者滿意 Any App Any Device

SSL010101010101010101010101010101010SSL

SLB GSL

B LLB

Surge

Queue Cache

Compr

ession

Mobile

Optimiz

ation FEO

TCP

Optimiz

ation

App

Perfor

mance

High Availability Service Optimization

Central

Mgmt

Visibility/Mgmt

Work better. Live better.

citrix netscaler - 聚碩科技...設這條光纜的唯 目的是減少城市間的路由，為...

Documents

citrix netscaler - 聚碩科技...設這條光纜的唯目的是減少城市間的路由，為...