第一章 前言

隨著企業開始更多地使用互聯網來交付其關鍵業務應用，只保持一條到公共網絡的連接鏈路則意味著頻繁的單點故障和脆弱的網絡安全性。WiseGrid慧敏鏈路負載均衡可以無縫地監控多條WAN連接的可用性與性能，以智能地管理到某一站點的雙向流量，從而提供出色的容錯性和優化的互聯網訪問，保證關鍵業務的穩定運行。

第二章 用戶需求

5.2.1  負載均衡算法
負載均衡算法就是負載調度的決策依據，它可以使慧敏應用交付網關有效地管理應用流量。當慧敏設備部署在真實應用服務器群之前時，負載均衡算法指引客戶端請求選擇一臺最合適的真實服務器來進行處理，決策方法將確保實現最佳的流量分配。
慧敏產品提供的負載均衡算法可以根據TCP層信息（TCP連接數）或Http/Https 請求中的包頭信息或正文信息（例如 URL、應用數據類型或 Cookie）將應用流量分類，結合服務器健康狀況檢查以及服務器處理性能權重確保將客戶端請求送往適當的服務器，從而提高應用可用性。

5.2.2  智能內容交換
慧敏應用交付網關除了提供傳統的負載均衡算法之外，針對Web應用還可以基于Http/Https內容信息提供智能的流量調度管理。這種智能的負載調度根據策略調度規則進行內容交換。
基于7層信息的策略規則的內容交換不同于傳統4－7層負載均衡算法。它具有一定的智能性，首先可以區別Http請求內容的特征，并根據預先設定的策略規則，將不同特征類的請求分配到相應的應用池，在應用池內的真實服務器再利用負載均衡算法將任務調度給具體的真實服務器?；勖魬媒桓断到y中Http或Https協議類型的虛擬服務器都具有智能內容交換的能力。

如上圖所示，在此應用場景中，真實的應用服務器按照數據內容特征劃分為4個應用服務器群，分別提供動態內容、靜態內容、和圖片內容。此時應用系統對外提供一個統一的訪問控制點（執行智能內容交換功能的虛擬服務器）。系統可以根據客戶端Http請求的內容信息進行判斷，例如，如果客戶端請求URL是一個動態查詢的請求，則需要將此請求定向轉發給提供動態內容的服務器群Pool_dynamic，動態查詢的請求轉發到應用池Pool_dynamic后，再根據設定的負載均衡算法來決定由哪個具體的真實服務器來處理。同理，如果是靜態內容請求就轉發給Pool_static定義的靜態內容服務器群，而對于圖片的請求，還可以根據請求圖片的類型分別轉發給Pool_image定義的圖片內容服務器群。
實際上慧敏應用交付網關具備的7層內容交換能力，比傳統的負載均衡算法更加靈活與智能?；趦热莸闹悄芙粨Q，在深度識別Http/Https數據內容的基礎之上，利用慧敏應用交付網關提供的SmartRule編程接口，使得管理者可以根據應用的行為特征編制轉發策略規則，實現基于規則定制的流量調度管控能力。
另外，SmartRule策略規則不僅可以控制內容轉發，甚至還可以擴展到執行請求過濾、請求改寫、響應頭改寫、響應內容改寫等操作，讓數據中心真正具備針對應用行為和內容的智能管控能力。

5.2.3  服務器健康檢查
應用交付網關是應用數據交互的載體，它需要解決系統可用性問題，而后臺真實的應用服務器是真正處理應用業務請求并響應客戶請求的宿主機，因此實時監控應用服務器的健康狀態，避免將請求轉發到不可用的服務器是保障整個系統可用性的關鍵。
慧敏應用交付網關的高級健康檢查功能，可以準確的做到應用層的健康檢查。而服務器健康檢查的結果是負載均衡決策的依據，健康狀態為不可用的服務器將不再參與負載分發決策?；勖魬媒桓毒W關支持豐富的服務器健康檢測方法，涵蓋從基礎網絡檢查到應用層檢查方法，以及利用自定義Perl腳本的健康檢查程序。
*網絡層健康檢查方法是利用Ping（ICMP）的手段來偵探目標IP是否，這種健康檢測方法由于只是驗證網絡的可用性，因此常常用于網絡設備或鏈路可用性的健康檢查場景，并不適合做應用的健康檢測。
*四層（TCP層）健康檢查方法可以提供應用最基本的狀態監視，以檢驗應用是可訪問的。TCP 檢查是通過向應用的TCP監聽端口發送 TCP SYN 請求，以接收到SYN ACK回應消息做為健康的依據。
*七層（應用層）健康檢查方法，可以檢測應用協議的工作狀態。例如可以根據HTTP或HTTPS請求的響應代碼（200 OK）判斷Web服務的健康狀態，通過查看發送SMTP Hello信息的響應獲得SMTP服務的健康狀態。如果發現應用層故障，用戶即被透明地復位到可用的服務器上。
另外對于HTTP或HTTPS應用，還可以自定義檢測Http響應包的內容，通過檢查返回內容中是否含有用戶定義的字符串來判斷應用的健康狀態，這種檢查方法的粒度更細，確保應用處于嚴格的健康狀態之下。
*典型應用健康檢查方法，提供SMTP/POP3/IMAP/DNS/FTP/Radius/LDAP/Mysql等典型的應用健康檢查方法。
自定義腳本的健康檢查方法允許用戶利用Perl script，完全依據應用系統的特性定義發送和接收數據包的行為與內容。根據腳本程序執行的結果來確認應用的健康狀態。

5.2.4  會話保持
慧敏應用交付網關不僅可以為關鍵業務系統提供高可用性和智能負載均衡，與此同時，還可以滿足用戶固定訪問特定服務器的要求，以支持用戶會話持續建立到某臺固定服務器上。會話保持意味著一旦一個真實服務器被選擇處理某客戶端請求，那么后續的從該用戶發出的請求都被轉發到同一服務器上。“會話保持”功能常用于需要檢查會話狀態的一致性的特定應用，例如：ERP系統、電子商務系統等。
主要支持的“會話保持”的方法包括：
*基于源IP進行會話保持
基于源IP會話保持，慧敏應用交付網關會對此客戶端IP與虛擬服務器之間的連接創建一個計數器，只要持續性計數器尚未到時，它們之間新建的連接就會持續轉發到同一臺服務器。
*基于SSL會話ID進行會話保持
基于SSL會話ID的會話保持主要應用于SSL應用（例如https），在這種模式下，判斷持續性請求的依據是SSL 的Session ID，具有相同會話ID的請求會在會話保持有效期內，轉發到同一臺服務器。另外還可以擴展為源IP地址+SSLID組合信息作為會話一致性依據。
*基于RDP cookie進行會話保持：
該方式僅適用RDP-Bridge類型虛擬服務器，將基于數據請求內容中的RDPcookie作為會話一致性依據。RDP-Bridge類型虛擬服務器會話保持還可以擴展為源IP地址+RDPcookie組合信息作為會話一致性依據。
*基于Cookie進行會話保持
基于Cookie的會話保持適用于Http/Https協議類型的7層虛擬服務器。該方法利用Http數據包攜帶的Cookie信息進行持續性的判斷，并把后續持續性請求轉發到同一臺服務器上。
使用Cookie進行會話保持提供多種方式，一種是由慧敏應用交付系統在原始http響應中插入用于標識會話一致性保持的Cookie信息，這種模式稱之為Cookie Insert。而另一種是系統根據Http業務數據中自有的cookie信息作為會話一致性判斷的條件，這種模式稱之為Cookie Passive。
*基于Http頭信息進行會話保持
基于Http Header信息進行會話保持方法適用于Http/Https協議類型的7層虛擬服務器。虛擬服務器基于Http數據請求頭信息中某固定header字段的賦值作為會話一致性依據。通過識別這個header字段的值，具有相同賦值的請求會話保持到相同真實服務器。
*基于URL進行會話保持
基于URL進行會話保持方法適用于Http/Https協議類型的7層虛擬服務器。虛擬服務器基于Http請求的全部URL內容或部分內容作為會話一致性依據。
*基于Http查詢請求的查詢參數進行會話保持
基于請求查詢參數進行會話保持方法適用于Http/Https協議類型的7層虛擬服務器。虛擬服務器根據URL查詢參數作為會話保持的標識。通過指定具體的Query String 參數，將參數值相同的請求會話保持到相同服務器。
會話保持技術中，還有一個重要的控制參數：會話保持時間。這個時間就是相同用戶前后兩次持續性請求之間的間隔時間，如果相同用戶前后兩次持續性請求的時間間隔超過會話保持時間，會話保持機制將忽略其會話的關聯性，這個會話請求會依據負載均衡算法進行決策調度。

5.2.5  會話保持組
會話保持技術的應用通常適用于單獨的虛擬服務器，但是還有一種特殊的會話保持技術可以跨越多個虛擬服務器之間提供會話保持，這就是會話保持組的概念。WiseGrid慧敏系列應用交付網關提供的會話保持組技術是會話保持機制的擴展，當一個復雜的應用系統場景，由多個虛擬服務器提供服務，例如一個Http頁面嵌套了一個Https的界面，應用系統要求能夠讓某個客戶端的所有特定請求（無論是Http還是Https）都能保持在一個相同的真實服務器上處理，我們就需要做不同Vserver之間的會話保持。不過會話保持組技術實施的前提是不同虛擬服務器所綁定的真實服務器必須是相同的，只是真實服務器上均運行著不同的服務（例如http和https）
以某網銀應用系統舉例來說，它的網站門戶頁面（http）中嵌有網銀系統的登錄接口（https），后臺真實服務器上均啟動http和https服務，應用業務要求相同用戶的Http訪問和Https訪問必須轉發到相同的真實服務器上。此時在應用交付網關上，我們就需要為Http和Https服務分別建立一個虛擬服務器，并且兩個虛擬服務器之間做會話保持組綁定。當某位用戶的Http初始請求根據負載均衡算法被分發到服務器A上，此時如果我們啟動了會話保持及會話保持組功能，那么該用戶在設定的會話保持時間內所有Http請求仍然轉發到該服務器上，當他通過門戶登錄網銀系統時，它的Https服務請求也因為會話保持組的關系，而被轉發至相同的服務器。

5.2.6  應用加速
我們在使用負載均衡設備的過程中不難發現，90%的應用場景都是管理調度Web應用，但是Http協議天生的性能缺陷使得僅僅利用傳統負載均衡設備難以解決應用性能的問題。對于 HTTP/HTTPS 應用，慧敏應用交付網關其實扮演著反向代理的角色，它終結來自客戶端的連接，并替代客戶端與真實服務器連接進行應用數據交互。正是這種代理機制，慧敏應用交付網關對Web應用進行性能優化成為可能。
慧敏應用交付網關產品通過TCP連接復用技術，有效減少應用服務器的TCP連接，從而將TCP 協議交互的乒乓效應降到最低。并且使得服務器從繁忙的TCP連接管理工作中解放出來，將寶貴的計算資源應用到真正的業務處理過程中。通過智能壓縮技術將數據中心的帶寬性能提升5倍。通過智能內容緩存技術有效降低服務器的負載、加速系統響應時間。在部署電子商務應用采用HTTPS 加密服務時，還可以通過應用交付網關內置的SSL 卸載技術不再讓繁重的加/解密工作困擾服務器。通過改善Web應用性能的諸多技術手段，慧敏可以幫助Web應用系統提升5－10倍的效率，從而實現通過最小的投入支持更多的客戶訪問和應用部署。

 

TCP連接復用

TCP連接復用功能正是在反向代理模式下，慧敏應用交付網關通過Keep-alive代理－保持服務器端的持久連接，可以為多個客戶端連接的應用層請求所利用，高效率降低后端真實服務器上的TCP連接數量，同時避免TCP連接頻繁拆建、慢啟動等繁瑣的過程。這樣服務器可以將更多的資源用在對于Http請求的響應上，而不是去浪費在TCP連接的建立和拆除的管理上?；勖魬媒桓毒W關提供這種連接管理技術令Web服務器真正實現TCP的有效卸載，從而提升服務器對應用層數據的處理性能。在實際的環境下，慧敏應用交付網關可以實現從50：1甚至到1000：1的有效TCP復用率。
那么，TCP連接復用是如何讓服務器端TCP連接被多個客戶端連接復用呢？讓我們通過了解慧敏產品的TCP連接管理過程來理解TCP復用。首先慧敏設備會“中斷”客戶端TCP連接,將應用層的信息提取出來，并且異步選擇一個與服務器端持久建立的空閑TCP連接提供服務。而當客戶端接收到RST或FIN信號時客戶端TCP連接會拆除，但服務器端連接仍然保持，并為另一個新建的客戶端連接的應用請求提供服務，這樣服務器端TCP連接被多個客戶端連接串行復用。

如上圖所示，時間階段A，假設某客戶端A的TCP連接請求SYN發送至慧敏設備，它們之間經過三次握手協商后，客戶端開始發送應用層消息（Http Request），此時服務器端TCP連接開始啟動（假設當時服務器端沒有可以被復用的空閑連接存在），慧敏設備將與服務器新建TCP連接并通過KeepAlive機制持久保持連接，為轉發客戶端的應用層請求提供TCP連接服務。隨后慧敏設備將服務器響應的數據再傳遞給客戶端A，當慧敏通過響應內容長度確定響應數據傳輸完畢后，主動向客戶端發送FIN信號，此時客戶端TCP連接會關閉，而服務器端連接則繼續保持。此時如果另外一個客戶端B的TCP連接請求同時發送至慧敏，客戶端連接經過三次握手協商后建立起來，慧敏設備則通過查找后端連接復用表，在可用的后端連接池中發現剛剛為客戶端A服務的TCP連接正處于可用的空閑狀態，因此客戶端B的應用層請求直接通過此連接轉發至Web服務器，而慧敏設備與服務器之間無須再建立新的TCP連接。
與此同時，慧敏產品對HTTP交易是深度感知的，通過分析和了解HTTP請求和響應的頭部信息，當客戶端請求到達應用交付網關時，慧敏會從TCP空閑連接池中選擇一個TCP連接，當這個HTTP交易結束后，它會將這個TCP連接標記為可重用狀態，但并不關閉該連接。
 

TCP單邊加速

在典型的廣域網環境中，一定存在丟包、延遲、抖動等限制，導致TCP連接的吞吐效率低下，數據傳輸耗時太長，應用響應緩慢甚至無法使用，而且常常因為延遲較大而無法有效地利用帶寬，造成帶寬的閑置和浪費。這完全是因為傳統TCP協議導致的結果，因此針對傳統TCP 傳輸協議進行優化，提高應用數據在廣域網上的傳輸效率，突破TCP 的技術瓶頸，成為應用性能改善的關鍵任務之一。
   TCP加速技術中通常分為“雙邊加速”和“單邊加速”，其顯著區別在于：
*“TCP雙邊加速”產品需要在TCP連接的兩端部署硬件設備或者安裝軟件，TCP加速的行為基本上需要雙邊設備協同完成，設備之間通常使用了與TCP不兼容的私有協議，破壞了網絡透明性。而且，這種加速方法并不適合互聯網應用。
* “TCP單邊加速”無需在客戶端部署任何硬件設備或者安裝軟件，通過智能的流控算法，保持兼容傳統的TCP流控機制，但可以提升數據的網絡傳輸效率，達到TCP加速的效果。
慧敏應用交付網關作為服務器端部署的設備，更適于提供智能學習和自適應網絡的TCP單邊加速技術，幫助應用系統提升性能。該加速引擎采用智能流控算法，改善因網絡丟包和超時所引起的TCP低效率，優化廣域網絡數據傳輸緩慢的問題，而且它與所有傳統TCP協議棧兼容，不對TCP/IP頭部字段進行任何修改，無需在客戶端部署任何硬件設備或者安裝軟件。
慧敏應用交付網關單邊TCP加速引擎，改善的是傳統的TCP擁塞控制機制，這個機制有四個階段：慢啟動(slow start)、擁塞避免(congestion avoidance)、快速重傳(fast retransmit)和快速恢復（fast recovery）。在網絡質量稍差的情況下，這種機制會產生令人難以忍受的性能問題。例如進入擁塞避免階段，擁塞窗口增長速度過慢；超時后會重新開始慢啟動階段；丟包后的恢復過程較長等等。使用TCP單邊加速技術之后，WiseGrid能夠提升對網絡狀況的識別和判斷能力并自適應網絡變化。
首先，它可以更加準確的判斷擁塞的發生，并合理掌控流控機制，為數據傳輸提供更加合理的傳輸路徑，避免因傳統機制不合理而引起誤判或判斷滯后，而令網絡的頻繁擁堵。
其次，它可以利用全新的算法，敏捷的洞察網絡狀態的實時變化，提前預測出網絡擁塞發生的可能，在網絡上真正發生丟包行為之前進行干預，提前進行擁塞避免。雖然暫時降低數據傳輸速率，但能減少因擁塞而產生大量數據包的丟失后重傳，數據傳輸效率更高。
另外，由于超時或丟包而導致擁塞發生之后，WiseGrd在緩解擁塞的同時，盡可能收斂整個機制各個過程的時間，例如快速提高擁塞避免后窗口尺寸的恢復，避免過多的等待，提高帶寬利用率。
最后，TCP單邊加速引擎在提升帶寬利用率的同時，還兼顧鏈路延遲RTT的友好性，智能實現高速率（High Speed）和RTT的之間的公平性，從而真正令應用數據更為高效的通過網絡傳輸環節。
慧敏應用交付網關單邊加速引擎共提供7種智能的擁塞管理算法，以適應復雜的廣域網絡環境，包括：BIC、Cubic、Vegas、Hybla、HTCP、Veno和Westwood算法。

Http數據壓縮

慧敏應用交付網關支持與客戶端之間的Http數據響應以壓縮的形式傳輸，從而減少數據傳輸時間，提升應用體驗。WiseGrid提供標準的壓縮算法Deflate或Gzip，通常情況下至少可以減少30％－80％的數據流量。
慧敏設備是按照Http對象類型定義壓縮引擎的，缺省情況下針對HTML、SHTML、DHTML、JHTML、PHTML、Javascript、J2EE、JSP、CSS樣式表單和XML 等文本類對象實施壓縮處理，包括doc、xls、ppt等微軟Office文檔，而忽略那些壓縮率不高的對象，例如圖片、Flash、視頻等。
同時，慧敏設備可以智能感知客戶端瀏覽器是否支持壓縮，如果瀏覽器發出不支持壓縮的請求，那么響應則以明文的形式給出。

智能內容緩存

慧敏系列應用交付網關支持基于Http靜態對象的內容緩存功能，從而提高系統響應速度，降低后臺服務器對于高頻度訪問對象的處理消耗。
實際場景下，Web應用系統中存在大量重復訪問的靜態內容?；勖魬媒桓毒W關提供的內容緩存功能，可以依據內容緩存策略規則實現Http對象的智能緩存。通過緩存策略規則可以基于每一個虛擬應用來定義哪些類型的對象可以緩存、緩存時間、緩存對象的數量限制、單個緩存對象的容量和整體緩沖區的容量。同時，根據可能緩存對象的數量和存儲容量評估，決定緩存對象存放在慧敏系統的內存空間還是硬盤空間。智能緩存功能兼容HTTP 1.0 和HTTP 1.1協議，緩存內容可以自動或手動清除；
啟用智能內容緩存功能，當用戶的HTTP訪問請求發送到應用交付網關時，如果Cache中的內容能夠匹配用戶的訪問請求則直接由慧敏來響應用戶的訪問，從而避免了對后臺服務器的負載壓力，在減小了后臺服務器負載的同時，提高了對用戶的響應速度和整體網站的處理能力。

SSL加速

隨著諸如網購、網銀、證券、網上辦公、電子商務等類型的應用在人們的日常生活當中日益普及，這些應用的重要性也越來越高，尤其對這類應用的數據安全性要求格外嚴格，通常情況下，SSL技術已經廣泛應用到這些互聯網應用之中，通過SSL技術的安全保障機制，提升了應用的認證安全和數據安全。
但是SSL技術使數據安全性得到保障的同時，對應用服務器的性能也提出了更高的要求，由于SSL的加解密過程是CPU密集型任務，需要消耗的大量的服務器性能，從而影響了這類應用的性能體驗。為了更好的解決SSL應用性能瓶頸問題，慧敏應用交付網關提供SSL加速能力，在提升用戶訪問體驗的同時，還有效避免服務器硬件的投資。
SSL加速的核心解決思路，首先是將耗費服務器資源的SSL處理任務從后臺服務器遷移到 慧敏應用交付網關設備之上，其次要保障應用交付網關對SSL數據的處理性能?；勖魬媒桓毒W關可以內置專業的SSL加速卡，其擁有超強的SSL協商和加解密能力，能夠滿足高并發訪問應用的需求。通過借助慧敏應用交付網關在SSL業務處理上的優勢，客戶端與應用交付網關之間實現SSL化的應用數據交互，而后臺服務器與應用交付網關之間采用明文處理，將原本在Web服務器上處理的SS任務全部卸載到應用交付網關上。

5.2.7  應用安全防護
應用交付過程中的安全保障一直數據中心或云計算中心最關注的領域，在專用安全防護產品的基礎之上，慧敏應用交付網關提供的安全防護機制還能夠幫助應用系統提升安全防護等級?；勖舢a品安全防護技術具有如下特點：
*反向代理模式，屏蔽對服務器的直接攻擊；
*提供全面的DDos防護能力
*提供Http Flood防護能力
*提供基于Http協議的協議清洗能力
*利用SmartRule編程腳本，支持自定義Web應用安全過濾策略
*提供針對Web應用防火墻功能，遵循OWASP十大WEB威脅防護守則
*利用SSL增強數據傳輸的安全性

隔離保護

由于慧敏應用交付網關缺省工作在反向代理模式，因此黑客無法直接與服務器直接聯系。通常情況下，應用交付網關上的虛擬服務器只對外提供應用服務端口，從而有效地屏蔽了黑客攻擊的第一步——端口掃描，增加了黑客攻擊的難度。此時，服務器完全被應用交付網關與外界隔離，甚至對于提供服務的Web應用，應用交付網關也會其盡量屏蔽響應信息中關于真實服務器的信息，如Server類型信息（Apache,IIS等），讓黑客無法準確定位后臺Web系統的構架和類型。
但是來自外界的攻擊并不可能因此而消失，大量非法的攻擊行為都落在應用交付網關的身上，因此大力提升應用交付網關系統的自身防護能力尤為重要。

ACL防護

慧敏應用交付網關提供基于ACL訪問控制列表的狀態防火墻功能。系統支持基于IP數據五元組信息編寫ACL訪問控制策略，同時允許結合選定的時間段實現分時段的網絡層安全防護。
慧敏ACL防控策略支持Accept/Drop/Reject/Redirect/log等操作行為，依據數據包源地址范圍、源端口范圍、目的地址范圍、目的端口范圍、協議類型和網絡端口執行精準數據匹配，并且可以實現不同時段設置不同的防控策略，靈活控制數據轉發。

DDos防護

DDoS攻擊主要是黑客利用系統對外提供的正常服務，通過其控制的大量主機持續發送的數據請求，以達到阻止業務正常服務的目的?；勖魬媒桓毒W關為了抵御DDoS攻擊，在內核中優化了TCP協議棧，利用獨特的連接管理技術和流量控制功能精心打造一個全面的DDos防護體系。
正常的TCP連接遵循標準的TCP三次握手，然后發送數據，為了維持TCP連接的管理，系統需要為每一個TCP連接初始分配512字節的內存空間。典型的DDos攻擊（例如SYN_Flood），黑客就是利用TCP連接管理的機制，采用大量非法的半開連接來消耗系統資源，導致系統資源耗盡而服務崩潰?；勖舢a品對此進行了優化設計，它僅在可以確定客戶端發起的是一個合法的應用層訪問行為時，才為此TCP連接分配內存，對于半開的TCP連接不消耗任何系統資源。
另外，慧敏應用交付網關還支持針對目標虛擬服務器或某個目標真實服務器提供流量控制功能，通過限制流量吞吐、TCP并發連接數量或Web請求速率來保護應用系統服務器。同時也可以針對訪問源IP地址或IP地址范圍設置TCP并發連接和TCP連接新建速率的上限，控制威脅源對系統的訪問壓力。
除此之外，通過基于內容驗證的健康檢測機制，精確探測服務器的處理能力，從而在服務器處理能力飽和之前自動屏蔽新的連接請求，以防止整個系統過載。

Http Flood防護

Http Flood攻擊也稱為CC攻擊，這種攻擊模式從TCP連接層面不易察覺，它是通過模擬正常用戶產生大量惡意應用層訪問請求，造成服務器資源的浪費，使得服務器CPU長時間處于繁忙狀態，疲于應對那些堆積的大量待處理請求。最終可能導致應用系統異常、甚至網絡擁塞，嚴重影響正常業務開展，應用服務不能及時提供。
慧敏應用交付網關針對7層虛擬服務器提供Http flood攻擊防護功能，可以通過特定的客戶端標識，包括源IP地址、請求方法、URI、查詢參數、Cookie名稱、Http頭信息來限制單個客戶端的TCP連接總量和Http請求速率。而客戶完全可以根據網絡洞察，利用慧敏應用交付網關提供的防護功能，自定義Http Flood攻擊源特征和控制策略。

Http協議清洗

針對協議層攻擊，慧敏應用交付網關還提供Http協議清洗功能，利用協議清洗引擎實時檢測Http請求內容是否符合RFC定義，防止Http協議范圍外的行為，可以對HTTP協議整理、發送無缺陷的數據包、阻止非法請求等。對于黑客惡意制造的非法請求，直接進行有效阻斷，避免無效的請求耗費服務器資源。
例如我們將正常的Http請求頭中故意將GET / HTTP/1.1改寫成GET / HTTP/1.8，此類惡意的攻擊請求基本可以騙過一般的防火墻產品，如果存在大量此類攻擊，Web服務器將會造成極大資源浪費來響應這些“bad request”，嚴重的甚至會造成內存溢出的異?，F象?；勖魬媒桓毒W關通過協議清洗引擎，直接將這些協議異常行為及時阻斷并丟棄。

基于策略的安全過濾規則

慧敏應用交付網關提供基于策略腳本的應用行為和內容控制機制，其中基于請求的內容過濾功能，主要用于用戶自定義非法請求特征，并予以告警和阻斷。
這種能力來源于兩個堅實的技術基礎，首先，慧敏具有詳細的HTTP數據流檢測能力，能夠深度感知應用層信息。其次，慧敏核心的策略控制引擎對外提供一套完整的策略控制機制，允許用戶利用易操作的圖形工具或腳本編輯工具自定義策略規則（SmartRules），直接拒絕攻擊請求或將攻擊請求轉向網絡蜜罐，甚至為了滿足安全規范，還可以改寫或阻斷服務器的響應。
正是基于如上的技術基礎，我們可以利用策略腳本自主應對對不斷變化的安全威脅，迅速做出響應、采取措施，增強系統的安全防護能力?；勖魬媒桓镀脚_的SmartRules簡單易用，結合對非法請求特征的分析和定位，可以輕松實現部分入侵檢測與防護能力。

內置輕量級Web應用防火墻（WAF）

數據中心前端的Web 應用服務器是經常遭受黑客攻擊的主要對象?；勖魬媒桓毒W關在為這些應用服務器提供流量調度管理的同時，還可以針對Web應用提供應用級別的WAF防護能力。
慧敏應用交付系統針對于7層虛擬服務器提供WAF安全防護能力。不同于專用的Web防火墻產品，它內置一個輕量級、低維護的WAF防護引擎，通過內置的安全防護規則阻擋SQL注入、跨站腳本攻擊、目錄遍歷、遠程文件、TOP10等Web攻擊行為，同時可以將安全事件記錄進行保存或導出，幫助Web應用系統增加安全防護能力。
系統內置的每一條WAF安全規則都可以針對不同虛擬應用自定義選擇是否啟用，并且支持添加和修改安全防護規則。同時也可以依據不同應用場景和應用行為，針對安全防護規則添加例外放行的策略，靈活實現WAF規則管理。

國密算法支持

國密算法是由國家密碼局制定和頒布的一系列國產密碼算法，即商用密碼算法。商用密碼的應用領域十分廣泛，主要應用于涉及機密信息、敏感性內部信息、行政事務信息、經濟信息等進行加密保護。主要的國密算法包括：
*對稱加密算法（SM1/SM4），分組長度與秘鑰長度均為128 比特；
*橢圓曲線非對稱加密算法(SM2)，可用于數字簽名與秘鑰交換，加密強度為256位；
*雜湊算法(SM3)，用于計算數據摘要；
另外，國密算法體系與國際通用標準算法體系不同。國密規范標準規定，基于國密算法的應用需要使用雙證書體系。國密雙證書包括：簽名證書與加密證書，簽名證書用于身份驗證，加密證書用于秘鑰交換。而國際通用算法使用的是單證書體系，即服務器只需要提供一個簽名證書用于向客戶端證明自己的身份。
慧敏應用交付網關全面支持支持國密算法標準，提供國密算法套件ECC-SM4-SM3，用于建立SSL連接和連接建立之后的數據傳輸。SSL密碼算法套件包含四個方面的算法，其格式為：秘鑰交換算法—數字簽名算法—對稱加解密算法—數據摘要算法。而SM2-SM2-SM4-SM3（即ECC-SM4-SM3）由于使用了國密算法可以稱之為國密算法套件。
同時，慧敏應用交付網關也實現了國密雙證書的SSL握手協議，并且與國內首個支持國產密碼算法的瀏覽器“360安全瀏覽器國密專版”成功實現國密算法聯調。有了國密算法的瀏覽器的支持，使信國產密碼算法的實際應用環境獲得極大的改善。

下圖為通過360國密專版瀏覽器通過國密標準訪問的效果:

5.2.8  應用智能控制

在應用交付概念中，對應用行為和內容的智能控制是其核心理念的重要組成部分，因此應用智能控制也成為應用交付網關至關重要的功能?；勖魬媒桓毒W關的核心工作引擎－策略控制引擎允許通過SmartRules來實現Web應用層數據的深度檢測和靈活控制。
慧敏應用交付網關可以識別Http應用層信息，包括：識別客戶端類型及屬性，了解請求使用的方法，了解響應的結果類型，甚至了解請求或響應的內容，基于對這些信息的細粒度識別，策略控制引擎可以制定規則，對應用流量的進行分類判斷，并基于判斷的結果進行策略操作。
例如某電商交易系統中，我們可以根據Http請求頭中cookie的信息，識別商品交易的種類和金額，然后根據預先定義的策略，將購買貴重物品的高金額交易請求轉發至服務質量保障較高的應用服務器上。
慧敏策略控制引擎就是根據預先定義的類似上面例子的規則腳本（SmartRules），實現對特定應用數據進行特殊操作。SmartRules策略規則由兩個重要部分組成的，即識別策略控制對象的“表達式”和針對此對象的“操作行為”。

SmartRules中的“表達式”，實際上就是利用Http應用層的信息或信息之間的任意組合，準確定位具有期望特征的數據流。通過“表達式”的描述，我們可以識別哪些應用流量是希望被此規則進行管控的。例如我們可以根據Http請求頭信息中Accept-Language屬性就可以方便的區分那些瀏覽器是支持中文的，哪些是不支持中文的，而至于如何控制“表達式”判斷出的結果，則由“操作行為”來決定。
宏觀上，WiseGrid規劃了4類應用控制的“操作行為”，它們是：
1、基于Http請求的內容交換行為
2、基于Http請求的內容過濾行為
3、基于Http請求的內容改寫行為
4、基于Http響應的內容改寫行為
通過操作行為的定義，策略控制引擎就知道對相應的應用數據如何進行操作，以達到SmartRules定制的策略。
最終，策略規則是需要被虛擬服務器引用的，而且我們制定的策略規則可能是多個，那么每個策略都會定義優先級，策略執行的順序就是根據規則的優先級來確定的。

5.2.9  云計算集成

彈性計算

彈性計算是云計算環境中的一個重要特征，它可以根據工作負載的需求，動態、靈活調整服務器計算資源，彈性計算真正使云計算中心具備智能性，最終為用戶提供按需所求的服務。WiseGrid 慧敏應用交付網關將流量管理、資源調度與虛擬化技術緊密結合，通過與云計算虛擬機管理平臺的集成，為云計算環境提供一個完整的彈性計算解決方案，并成為解決方案中不可或缺的重要組成部分。
那么應用交付網關為什么會在彈性計算解決方案中如此重要呢？這是因為它具有得天獨厚的天生優勢，應用交付網關是應用交互數據的承載平臺，對業務負載的變化非常敏感并最先感知。同時應用交付網關提供強大的服務器健康檢測機制，可以實時掌握后臺服務器的運行狀態。最為關鍵的是，應用交付網關負責整體協調后臺服務器計算資源的負載調度，那么對于業務的變化以及所需計算資源的多少，應用交付網關作為控制點是最為合適的。但問題的關鍵是，無論傳統的負載均衡設備還是當前的應用交付網關，通常都是負責固定服務器群的負載調度，即使遇到業務的高峰或低谷，計算資源依然是固定的。除非人為的干預，通過調整服務器池中的參數，才能完成這種變化，可是這種管理方式是非常不靈活的，而且操作性較差。
不過我們也欣喜的發現，在云計算環境下，虛擬化技術的特點正好可以彌補上述的不足，虛擬機的靈活調度在云計算環境中根本不是什么問題，那么應用交付技術與虛擬化技術的完美結合，為彈性云計算提供堅實的技術基礎。
慧敏應用交付網關正是基于這種理念進行設計，其內置的彈性調度引擎是四大核心任務引擎之一。它首先利用慧敏設備對業務變化的實時跟蹤數據，利用決策模型確定業務的高峰和低谷，并計算出滿足對應業務情況下的合理計算資源配置，然后通過基于事件驅動的觸發器（例如通過預置應用負載的閥值作為計算資源調配的觸發器），向云計算資源管理中心發送指令，例如喚起或關閉虛擬機。通過云計算資源管理中心進行相應的計算資源調配，實現計算資源的彈性調度，保證用戶以最佳的資源配置為應用提供服務，實現綠色IT。

在實現計算資源彈性調度解決方案中，慧敏應用交付網關將作為云計算資源管理中心的第三方應用者角色，通過資源管理中心提供的開放式API，與資源管理中心進行集成，例如通過調用VMware vCenter提供的API，遠程執行喚起或關閉后臺應用服務器策略，動態掌控應用服務器資源的規模。

OpenStack Neutron LBaaS集成

OpenStack是一個由美國國家航空航天局和Rackspace合作發起的開放源代碼項目，旨在為公有云及私有云的建設與管理提供管理平臺。OpenStack支持幾乎所有類型的云環境，項目目標是提供實施簡單、可大規模擴展、標準統一的云計算管理平臺，在簡化云部署的同時也帶來良好的可擴展性。
目前大量利用OpenStack開源項目構建的云管理平臺如雨后春筍，應用面非常廣泛。與OpenStack管理平臺實現對接成為業界主流產品云計算解決方案的重要組成部分。OpenStack項目由幾個核心組件組合起來完成具體工作，通過各種互補的服務提供了基礎設施即服務（IaaS）的解決方案。而每個服務提供開放的API以便于進行集成，同時為外部設備集成設計了插件（Plug-In）標準方式，這種設計思想提供廣泛的適配性和開放性。
慧敏應用交付網關完全依照OpenStack Neutron LBaaS v2.0 標準實現與OpenStack管理平臺緊密集成。OpenStack Neutron LBaaS作為Neutron項目的高級服務之一，能夠確保工作負載以可預見的方式分配到這些實例中，從而達到更高效的使用系統資源的目的。通過在OpenStack網絡節點部署慧敏產品的專用Nertron LBaaS 插件，將Neutron LBaas的API適配到慧敏應用交付網關自有的API。此時，慧敏應用交付網關設備將作為OpenStack管理平臺的管理資源，不再需要獨立管理即可完成負載均衡的業務管理。
與OpenStack集成解決方案中，慧敏應用交付網關可以是ADC硬件設備也可以是vADC虛擬機版本。如果采用軟件版應用交付網關，那么這些vADC虛擬機可以作為Nova的虛擬實例，統一由OpenStack云管理平臺管理。