概述

　　公司投入重多资源来研发应用程序和基础结构向员工，客户和生意上的伙伴传递所制定的经营模式。数据中心有责任确保绝对的安全性，快速响应时间，和这些企业级重要应用程序的高可用性。要全面保护企业级应用程序免受潜在威胁的攻击，就需要一个既能应用于网络层，又能应用于应用层安全保护的平台。基于反向代理技术的应用层控制器代表了一种新的产品，在此基础上设计的基于安全和控制的web 应用程序。代理可以保护那些传统的防火墙和基于数据信息包的入侵检测得系统不能保护的内容。不可思议的是，它同时还可以加快应用程序的响应时间和可用性。应用程序控制器已经成为一个当今web DMZ 结构和web 应用程序保护的一个基本组成部分。数据中心有责任确保数据的正确性。保护应用和高可用性的技术在企业级的DMZ结构已经成为一种“最优方法”。

　　评估最好的应用控制防火墙应该包括的保准：

　　安全

　　应用控制防火墙的体系结构是基于连接的代理还是基于数据包的阻断控制?

　　安全性能是否符合应用安全的标准，比如说WAFEC & OWASP?

　　真实性能

　　应用控制防火墙可以加快应用程序的响应时间吗?

　　应用控制防火墙有足够的吞吐量和处理空间来处理你的连接数吗?

　　部署简便

　　应用控制防火墙有灵活的选项来方便地部署在一个网络布局和环境中?

　　应用控制防火墙是否有向导的功能来快速安装，保护和操作?

　　管理简便

　　应用控制防火墙是否有诸如自动和手动等多种方法来应付应用程序的改变?

　　应用控制防火墙是否有能力来支持100s 应用程序?

　　应用控制防火墙是否有容错设计和fail-over 的能力?

　　应用控制防火墙是否有fail-open 的选项?

　　NetContinuum 提供了世界上最强大的应用控制防火墙，它是建立在NCOS所有的软件基础上。NetContinuum的产品终止，安全和加速HTTP(S) 功能基于应用程序的数据来给数据中心一个新的配置、保护和管理企业级应用程序的工具。如图1所示，应用控制防火墙处于DMZ区，配置在服务器的前端。

　　这个文档介绍了NetContinuum 应用防火墙产品系列。一个架构上的最优方法，NetContinuum 产品通过以下几点让你配置一个更快、更可靠、更安全和性能更高的应用程序：

　　全面控制所有用户到每个应用程序的连接

　　保护应用程序的安全完整的方案，包括确保执行密码系统，防攻击和身份和访问管理(IAM/ AAA)

　　完整的可用性方案来增强响应时间和确保正常运转时间

　　在任何网络环境中展开迅速的自身部署

　　快速的定义应用和适当的策略来保护他们

　　当应用程序开始服务后，对应用程序进行简便、灵活和持续的管理

　　强大的代理功能

　　全面保护web 应用程序免受所有潜在的威胁攻击，需要一个不仅能应用在网络层，同时还能应用在HTTP和应用会话内容的安全平台。只有基于会话的双向代理才能在不将内部服务器操作系统和TCP堆栈直接暴露在Internet的情况下提供这种安全功能。

　　图1: 应用控制防火墙配置在用户和应用程序服务器的中间

　　NetContinuum 提供了世界上最强大的应用控制防火墙产品线。基于NetContinuum专利的NCOS系统，产品对Web应用进行终止、保护和加速。集中化的GUI 控制界面可以让系统的配置和管理变得十分简单。最重要的是,

　　应用控制防火墙可以完全符合WAFEC & OWASP提出的标准。NetContinuum 应用控制防火墙是世界上唯一被ICSA在网络层和应用层上通过认证的产品。核心功能的介绍，包括终止，保护和加速将会在下面做详细的介绍。

　　体系结构和性能

　　NetContinuum已经建立并构造了一个完全由自己研发操作系统和协议栈。图2有做详细的介绍，NCOS (NetContinuum 操作系统)直接和x86 还有Cavium SSL处理器相连，以保证低延迟率和独一无二的连接传输率。所有应用的终止和执行都在NCOS(NetContinuum 操作系统)中进行。Linux 是用来做为管理框架和日志记录。

　　很多厂商试图通过同时报告TCP连接数和高带宽利用率来改进应用控制器的结构。这是一种对于安全应用的错误说法。重要的是应该把重点放在第七层HTTP应用的处理性能上。同时，更重要的是要明白延迟是由于现实的处理负荷和数据的大小所引起的。

　　NetContinuum 根据现实的“重负荷”应用环境生产出应用控制器，因此对于这点信心十足。从另一方面说，这个性能指标能够反映设备真正运行时的情况。更加详细的数据统计可以在以下功能都开启的情况下获得，它们包

　　括：第2层ACL、第7层ACL、Web地址转换、URL请求和响应、重写功能、实时动态应用调试和执行(DAP)、SSL、内容压缩、内容缓存、内容交换、负载均衡和TCP复用。

　　图2: NCOS高性能和高安全性的NetContinuum 操作系统

　　NetContinuum 应用防火墙功能

　　全面完善的功能力是NetContinuum产品的最重要的一个方面。

　　NetContinuum努力研发对于全面保护、加速和管理应用流量所需要的功能。我们将这些功能集中描述为“终止、保护和加速”。图3 对应用流量的管理控制做了概略的描述。

　　图3: 您可以选择是否应用会话控制, 安全保证和可用性保证等功能