应用网络服务

产品简介_Cisco AVS 3120应用加速系统

Cisco® AVS 3120应用加速系统不但能提高性能,还能优化服务器资源和网络资源,因而能够显著降低Web应用的部署成本。另外,该系统还能提高每分钟可以完成的业务处理量,因而不需要建立本地数据中心。加速是通过缩短延时和减少所有Web应用需要的带宽而实现的,实现优化的方法则是从服务器上卸载任务,例如安全套接字层(SSL)加密和解密、压缩处理以及来自服务器的重复请求。另外,Cisco AVS还提供了数据中心边缘的应用安全特性,从而进一步保证了重要公司资源的安全性。不仅如此,Cisco AVS 3180还提供了对关键Web应用的监控和测量功能,因而缩短了排障时间。

Cisco AVS 3120设备可以快速部署在任何环境中,并且能够以独特的方式对Web应用提供加速、优化和保护。AVS的部署不需要对应用代码、桌面应用或服务器作任何改动。该设备可以利用Cisco AVS 3120内置的基于浏览器的GUI管理系统进行配置和管理,也可以利用Cisco AVS 3180管理器(参见Cisco AVS 3180产品简介)进行配置和管理。

架构

Cisco AVS 3120采用的是基于标准的架构,采用无代理架构测量最终用户响应时间,通过面向数据中心的一体化方法(或非对称方法)实现加速和安全功能。Cisco AVS 3120解决方案的核心是第7层Web应用处理引擎,该引擎不但能处理所有应用内容,还能在应用层和会话层支持优化和安全性。除此以外,它还能优化单个进程,并显著改善网络上的应用性能(见图1)。

图1 Cisco AVS 3120的架构

图1 Cisco AVS 3120的架构

在企业中部署Cisco AVS

在企业中部署Cisco AVS 3120时,通常直接安装在数据中心的Web应用服务器前面,不需要对Web应用、桌面应用或服务器作任何改动。Cisco AVS 3120设备易于部署、配置和管理,可以将Web应用的性能提高100~500%以上。

应用加速

Cisco AVS 3120设备不但能显著缩短网络延时,降低带宽需求,还能进一步提高应用安全性,并通过将任务卸载到网络,从而提高服务器的性能。

缩短网络延时

利用“闪速转发”和“智能重定向”等专利技术,Cisco AVS 3120能够缩短客户端访问应用的延时——最大的网络瓶颈之一。通过将浏览器高速缓存转变为动态“引擎”,减少打开一个页面所需要的总网络循环次数,Cisco AVS 3120能够显著地减少完成页面加载或事务处理所需要的数据量,最终将客户响应时间缩短了200%~500%。

降低带宽

一般情况下,Cisco AVS 3120应用加速器模块能够帮助企业将带宽使用量减少70%~90%(见图2),因而能够显著降低带宽成本,缩短延时,减少网络升级支出,并改善最终用户的体验。

图2 提高性能和节省带宽

图2 提高性能和节省带宽

服务器CPU卸载

利用Cisco AVS 3120应用加速器模块,由于企业可以减少80%的服务器负载,因而能够在数据中心大幅增加有效容量。除提高总体性能外,用户还能延缓或减少对服务器的采购,并减少应用程序的许可证需要量。

Cisco AVS 3120的加速特点和优点如表1所示。

表1 Cisco AVS 3120的加速特点和优点

  特点 效果 优点

缩短网络延时

  1. 请求集中
  2. 闪速转发与浏览器高速缓存管理
  3. 浏览器TCP多工
  4. PDF下载优化
  5. 响应重定向控制

通常能够将响应时间缩短2~5倍

显著改善最终用户的性能

降低带宽

  1. Delta编码
  2. 动态浏览器高速缓存
  3. 动态图像优化(JPG、GIF和PNG)
  4. Gzip/deflate压缩
  5. 灵活的处理规则

将带宽使用量降低70%~90%

  1. 降低带宽成本
  2. 延缓或取消网络升级
  3. 改善最终用户性能

服务器CPU卸载

  1. 可配置动态高速缓存
  2. 基于负载的高速缓存
  3. 缓慢请求评估机制
  4. 单次登录优化
  5. TCP连接多工
  6. SSL卸载与加速
  7. 静态高速缓存
  8. 可扩展标记语言(XML)卸载

一般情况下能够将减少80%的服务器负载

  1. 延缓或减少服务器购买
  2. 减少应用程序的许可证需要量
  3. 提高性能

WEB应用防火墙

Cisco AVS 3120 Web应用防火墙模块大大提高了Web应用的安全防护能力。由于网络安全专家可以快速地部署这一防火墙模块,因而Cisco AVS 3120成为所有企业应用立即降低风险的理想解决方案。由于具有无与伦比的应用层可视性,Cisco AVS 3120可以通过无风险网络部署方式提供实时的威胁检测和分析。

Web应用——最薄弱的环节

该解决方案异常简单。应用安全性很重要,因为应用程序是与公司最重要资源相连的薄弱环节。对于正打算采用新的攻击技术发动攻击的黑客,其软目标并不是网络或操作系统,而是应用。通过事务处理型Web应用,任何人都可以利用浏览器直接访问重要的业务数据,例如员工记录、客户事务处理、信用卡号、社保号和合作伙伴信息等。

图3应用层遇到的各种威胁

图3 应用层遇到的各种威胁

强大的Web应用保护

Cisco AVS 3120 Web应用防火墙采用了双向深入检测技术,能够立即阻挡最常见、破坏力最大的Web应用攻击。由于它能够有效抵御对业务连续性构成威胁的各种攻击,因而免去了企业忙于安装软件补丁的麻烦。Cisco AVS 3120针对攻击特征码不适用的定制应用进行了优化,能够保护所有Web应用免遭那些专门针对定制应用进行攻击的高级黑客的威胁,例如:

  • SQL注入
  • 跨站脚本(Cross-site scripting,XSS)
  • 命令注入
  • Cookie/会话中毒
  • 应用侦察
  • 轻型目录访问协议(LDAP)注入
  • 缓冲区溢位
  • 目录穿越
  • Attack obfuscation
  • 应用平台盗用
  • 零日攻击

无风险快速部署

Cisco AVS 3120是能够由网络安全人员快速部署的第一个,也是唯一一个Web应用防火墙。

它提供两种部署方式:带外监控模式和在线透明模式。带外监控模式属于无风险部署架构,在将流量传入网络的同时不会为黑客提供攻击点,也不会带来网络流量延时。这种方式可以在不中断网络的情况下部署,没有任何单故障点。在线透明模式允许在部署Cisco AVS 3120时不更改任何网络配置。这种模式是完全透明的,可以将安全规则设置为主动方式或被动方式。另外,从网络中移掉时,这种模式不需要对网络配置作任何修改,也不会影响应用程序的可用性。

图4 带外监控

图4 带外监控

网络安全专家不需要完全了解应用程序的细节就可以花不费力地在所有的网络构架中部署Cisco AVS 3120,来保护Web应用的安全。Cisco AVS 3120可以按多种安全等级进行部署,包括防止随机攻击的基本保护,以及防止有针对性攻击的高级保护。安装和配置过程只需要几个小时就能完成,而且安全策略可以自动产生。与传统网络防火墙根据连接表或网络访问控制列表(ACL)来允许或拒绝流量相似,Cisco AVS 3120将应用程序的流量进行深入检测的结果与Web应用ACL进行比较,然后做出允许或拒绝流量通过的决定。AVS的配置设计方法与在防火墙上配置网络ACL相同,任何熟悉网络防火墙的安全技术人员一开始就可以熟练操作它。Cisco AVS 3120提供的初始配置规则可以立即提供有效的应用保护,而且允许用户自行定制应用安全策略。Cisco AVS 3120使网络安全管理员能够精确、有力地控制Web应用安全策略。管理员可以在URL、参数和标头制定并实施策略,来提供无与伦比的灵活性和准确性。

优点和特性

  • 防止关键业务应用和数据遭受攻击
  • 阻止所有典型Web攻击
  • HTTP规范化
  • 双向深入检测
  • Web应用掩护
  • 可定制错误代码
  • 数据盗用
  • 对每个URL、标头或参数定制精细的应用规则
  • 使网络安全人员能够实施无风险快速部署
  • 带外监控模式
  • 透明在线模式
  • 应用规则可采用主动或被动模式
  • 自动生成安全规则建议

易于部署和管理

Cisco AVS 3120应用加速器模块不但具有极高的性能,还能为企业提供业界领先的部署和管理特性,自动执行各种任务,并使IT人员能够轻松地利用功能全面的报表来跟踪网络性能。这些特性包括:

  • Cisco AVS 3120自动安装器只需执行一个简单命令,系统安装流程就能快速地完成部署;
  • 图形报表能够帮助IT人员轻松地量化Cisco AVS 3120带来的带宽减少量和Cisco AVS 3120吞吐量;
  • Cisco AVS 3120简单网络管理协议(SNMP)MIB库不但能支持与BMC Patrol、IBM、Tivoli、HP OpenView等程序兼容的SNMP管理方案,还能缩短管理时间,降低管理成本;
  • 基于浏览器的管理支持能够在浏览器上对Cisco AVS 3120进行监控,简化管理任务;
  • Cisco AVS 3120事务处理记录为流量计费和数据挖掘应用提供了Web统计数据;
  • 支持多个URL和域,可同时处理多个应用;
  • 智能数据检查有助于提高Cisco AVS 3120的效率,实现最大限度的应用加速。

AppScope最终用户性能监控器

Cisco AVS AppScope Monitor(AppScope)是业内唯一的无代理,端到端应用性能测量方案。AppScope管理客户端和数据库在Cisco AVS 3180管理器设备(请参考Cisco AVS 3180产品简介)上运行。AppScope从Cisco AVS 3120设备中提取性能测量数据,这样企业能够容易从管理中心监控、测量和报告最终用户响应时间。AppScope测量得到的应用性能是最终用户实际体验到的性能,而不是仿真结果。它将响应时间划分成若干部分,以便更好地分配IT资源,并显著缩短平均维修时间。

图5 URL趋势报表

由于Cisco AVS 3120采用了独特的代理架构,因此,AppScope不但能测量HTTP和HTTPS加密页面的传输时间(可视性和安全性不受影响),还能测量嵌入式对象,例如图像、JavaScript和样式页面。另外,AppScope还能准确测量与用户体验相关的服务器延时和网络延时。AppScope采用透明模式,而且不使用代理,不需要对应用或桌面系统作任何改动(“拜访式”部署),还能提供业务级和流程级的集中。AppScope独特的统计流量采样技术能够帮助各机构对用户请求进行采样,而不是全部测量。这种方式不仅能节省大量资源,还能显著提高AppScope的可扩展性,满足高容量应用的需要。

基于GUI的报告

为有效跟踪应用性能,AppScope提供了基于GUI的高级报告引擎。报告引擎能够基于以下组群提供详细的图形化性能监控结果:

  • URL小组——分析单URL和多URL事务处理的结果;
  • 源IP地址小组——监控特定网络客户端和网络客户端组的结果;
  • 源地理小组——监控分布在各地远程机构的客户端的结果。

结果产生之后,监控数据将存储在自含式关系数据库中,以提高灵活性。然后,IT人员可以使用Crystal Reports等报表工具创建定制的性能监控报表,或者将数据与所有网络和系统管理平台集成在一起。另外,AppScope还提供基于向导的事务处理构建程序,并全面支持企业管理系统,包括BMC Patrol、IBM Tivoli和HP OpenView。

系统规格

Cisco AVS 3120和Cisco AVS 3180管理器的系统规格分别如表2和表3所示。

表2 Cisco AVS 3120的规格

规格 说明
软件

Cisco AVS 3120应用加速器模块、AppScreen Web应用防火墙和图形介面的单设备管理;AppScope性能监控需要Cisco AVS 3120设备和Cisco AVS 3180管理器。

机箱

1机架单元(1RU)设备

内存

4GB

CPU

3GHz

网络端口

1个用于传输内部流量的RJ-45 10/100/1000自检测以太网端口,1个用于管理的RJ-45 10/100/1000自检测以太网端口,3个留给未来软件版本、暂时不能使用的以太网端口


表3 Cisco AVS 3180管理器的规格

规格 说明
软件

Cisco AVS AppScope Monitor性能监控客户端;AppScope性能监控需要Cisco AVS 3120设备和Cisco AVS 3180管理器;为一台或多台Cisco AVS 3120设备提供GUI设备管理。

机箱

1RU设备

内存

4GB

CPU

3.2GHz

磁盘空间

两个200GB的硬盘

网络端口

1个RJ-45 10/100/1000自检测以太网端口,1个留给未来软件版本、暂时不能使用的以太网端口

联系我们