Radware AppXcel
介绍
1
市场定位
现在世界上所有的电子商务交易都是基于两种国际标准:
SET
和
SSL
,随着电子商务和网上交易流行,使
SSL
几乎成了事实上的加密标准,即大部分电子商务服务器是
HTTPS
服务器。当一个客户端采用
HTTPS
协议访问
HTTPS
服务器时,因为双方要交换证书、协商密钥,并且要对传输的数据进行加密、解密,这时服务器性能就会急剧下降
电子商务交易完成起来速度缓慢,增加了客户取消购买转而访问竞争对手站点的可能性;必须添加更多的
Web
服务器来处理这种负载;应当被保护的信息没有得到保护,从而造成了安全风险;必须部署价格昂贵的专用网络来传送敏感的信息。
SSL
加速设备
的出现就是为了解决对
CPU
资源过量需求的
SSL
协议所造成的性能问题,它是用以在不增加
Web
服务器负担的条件下处理
SSL
任务的特殊的网络部件。通过优化硬件和软件,使用硬件
SSL
加速器处理
SSL
会话。此外,
SSL
加速器解放了服务器资源,对某些数据类型进行优化和压缩,使这些资源可以真正用于处理应用逻辑和数据库查询,从而加快了整个站点的速度。
将
SSL
设备集成到网络中很简单,将所有的
443
端口(
Https
)请求改向传送到
SSL
设备。这时,设备承担所有的
SSL
处理任务,因而立即解脱了
Web
服务器的负载。
随着互联网的飞速发展,
Web
应用也日益增多。今天,商业交易的各个部分都正在向
Web
上转移,但每增加一个新的基于
Web
的应用系统,都会导致之前处于保护状态下的后端系统直接连接到互联网上,最后的结果就是将公司的关键数据置于外界攻击之下。当黑客攻击
Web
应用时,网络防火墙和入侵检测产品发挥的作用有限,而应用防火墙却让黑客无功而返。现在,许多网站目前都面临一些新形式网络攻击,这些攻击将有害的数据包隐藏在看似合法的数据包中,通过
HTTP
请求破坏网站。研究表明,不同的网站在遭到这种攻击时会做出不同的反应,很可能会造成处理错误。
Radware
的
AppXcel
能够在不降低网络性能的情况下为用户提供快速的
SSL
交易。
AppXcel SSL
加密
/
解密功能与
Radware
的流量管理解决方案相结合,在动态增强网络性能的同时能够确保高效、连续和安全的完成电子商务交易。而且,
Radware
的
AppXcel
集成了
WEB
应用防火墙(
WAF
)
功能,位于
Web
客户端和
Web
服务器端之间,根据安全策略来解析来自
OSI
模型中第七层应用层的攻击信息的一种中间设备,保护
Web
服务器免受攻击。
2
功能介绍
AppXcel
为基于
web
、基于
SSL
的
FTP
应用程序以及所有类型的客户端(例如台式机、
PDA
和智能电话)提供端到端的应用加速,可实现完整的事务可靠性,加快事务响应时间,提供成本有效的可扩展性。
AppXcel 是一种高效能的应用加速器,它利用一套综合性 AoIP 加速技术来提高应用性能,包括压缩、缓存、连接池、 TCP 优化、 SSL 卸载和无线加速,可实现最快的应用程序和事务响应时间,在局域网、广域网和互联网中提供最佳的最终用户体验。 AppXcel 允许经济、透明地扩展服务器资源,并能优化服务器资源,把基于 web 的应用速度提高多达 500% ,从而实现立竿见影的投资回报。
AppXcel 可通过压缩 web 内容、优化图像、 HTTP 连接多路复用以及控制带宽使用,大大缩短事务响应时间。
通过从服务器卸载 SSL 和持久性功能(处理器和服务器密集的运算), AppXcel 能够释放 CPU 以处理其它的请求,因而避免了购买额外的硬件来满足应用处理需求。 AppXcel 集群可进一步提高事务可扩展性,最高提供 1,600,000 TPS ,支持无限的事务增长。
AppXcel
使用高吞吐率的专用平台,可实现最快的每秒
SSL
事务处理速度,并支持管理证书的并发连接。
AppXcel
采用客户端和服务器端
SSL
嗅探,提供加密流量的完整事务可见性和安全性,不仅能够防范
SSL
病毒隧道,同时可以针对所有类型客户端(包括台式机、
PDA
和智能电话)上的支持
web
、基于
SSL
的应用程序保证端到端的应用智能性能调谐。
集成的
WAF
功能只允许合法传输流通过,以这种方式来保护应用。
Web
应用防火墙能够
“
学习
”
构成正常应用行为的要素,然后创建应用使用的规则,不满足规则的传输流就会被丢弃。它的
“
自学习功能
”
使它可以实时阻断非法传输流,而不会影响合法传输流。
WAF
还可运行不同
Web
应用的配置文件和规则集合,以减少入侵者试图进入网站不同部分的
“
强力浏览
”
。
高可用性:
多个
AppXcel
单元可以组合在一起作为一个整体
-AppXcel
群,通过
Radware
的智能流量解决方案来进行管理。客户可以获得快速和连续的服务,
AppXcel
群通过消除所有潜在的单点故障来为客户提供较高的可用性,内置的状态监控工具能够确保快速安全地传送信息,一旦
AppXcel
停止工作,可以通过将
SSL
流量直接发送到服务器来获得高可用性。
强大的扩展性:
为了增强处理能力可以将
AppXcel
设备透明增加到
AppXcel
群中。在串联配置时最多可以连续配置三个
AppXcel
设备,而且平台设备可以通过
License
进行升级,达到最大的投资保护。
通过流量管理获得的网络效率
:
AppXcel
不会增加所有流量的等待时间,在通过
Radware
的设备对
SSL
流量进行识别并将这些流量直接转发到状态最好可用性最高的
AppXcel
,所有其它流量被重定向到
web
服务器。这样,非
SSL
流量就不会通过
AppXcel
,
所以也无需额外的等待时间,在
AppXcel
将
SSL
流量解密之后返回这些流量。
对于
Web
或加密的
HTTP
提供服务加速
AppXcel
提供了高效的
SSL
加速能力的同时还提供了
web
加速功能
,APPXCEL
独有的页面压缩
(http compression)
和
seesion
复用
(http multiplexing)
功能能够通过
GZIP
的压缩算法
,
大大降低用户端跟
SSL
加速器之间的通讯负荷
,
提高了文本页面响应速度和吞吐量。
通过
APPXCEL
的
http/s multiplexing
功能,硬件
SSL
加速器
AppXcel
同客户之间建立三次握手,
APPXCEL
提供了比
web server
强大的
TPS
和
concurrent connection
能力。
APPXCEL
跟后台
server
之间建立固定数目的长连接,避免了
server
的慢热和重复的三次握手的资源开销。大大提高了
web server
的响应速度和服务质量。
Web
应用防火墙
(WAF)
:
AppXcel 产品集成了 WAF ( Web 应用防火墙)功能,通过领先业界的双向入侵探测、深度内容检测等技术,结合内置的处理引擎和攻击指纹库,为各种 Web 架构提供应用安全防护。由于架构和技术上的局限,传统安全产品无法防范针对 HTTP/HTTPS 发起的攻击行为, WAF 的诞生为 Web 应用安全提供了崭新的、有针对性的解决方案。有效防范各类已知和未知的攻击行为。
3
硬件平台
3.1
平台介绍
针对不同类型的用户,
AX
提供不同的硬件平台。详见下表:
|
硬件平台
|
XS1 |
XS2 |
||||
|
内存
|
AppXcel
300 |
AppXcel 1000 |
AppXcel 2000 |
AppXcel 4000 |
AppXcel 8000 |
AppXcel 16000 |
|
|
|
|
|
1G |
3G |
|
|
端口
|
2*10/100BaseTX ports |
2*10/100/1000BaseTX ports
或
1*10/100/1000BaseTX ports&1*1000BaseSX |
||||
|
物理尺寸
|
高
宽
长
重量
:9.35kg
,
标准
19 EIA
机架或单独放置
|
高
宽
长
重量
:9.35kg
,
标准
19 EIA
机架或单独放置
|
||||
|
电源
|
自动调节电压
90-264V
,
50-60Hz |
自动调节电压
90-264V
,
50-60Hz |
||||
|
运行环境
|
温度
0-40
摄氏度,湿度
5%
到
95%
(非冷凝)
设备运行高度
:0 |
温度
0-40
摄氏度,湿度
5%
到
95%
(非冷凝)
设备运行高度
:0 |
||||
3.2
性能描述
XS1
|
产品型号
|
AppXcel 300 |
AppXcel 1000 |
AppXcel 2000 |
|
每秒交易量
|
300 |
1000 |
2000 |
|
并发会话数
|
1500 |
3000 |
10000 |
|
内存
|
256MB-512MB |
256MB-512MB |
256MB-512MB |
|
100Base TX
端口
|
2 |
2 |
2 |
|
1000Base TX or SX
端口
|
n/a |
n/a |
n/a |
|
软件压缩支持
|
Yes |
Yes |
Yes |
|
硬件压缩支持
|
No |
No |
Yes |
|
旁路交换
|
Yes |
Yes |
Yes |
|
操作模式
|
Proxy,Bridge |
Proxy,Bridge |
Proxy,Bridge |
|
SSL
加速
|
Yes |
Yes |
Yes |
|
FIPS SSL
加速
|
FIPS 140-2level 3certified |
FIPS 140-2level 3certified |
FIPS 140-2level 3certified |
|
支持的协议
|
HTTP,FTPS,SMTPS,POP3S,IMAPS,LADPS,SIP/TLS |
HTTP,FTPS,SMTPS,POP3S,IMAPS,LADPS,SIP/TLS |
HTTP,FTPS,SMTPS,POP3S,IMAPS,LADPS,SIP/TLS |
|
HTTP Compression |
Yes |
Yes |
Yes |
|
Caching |
Yes |
Yes |
Yes |
|
Image reduction |
Yes |
Yes |
Yes |
|
Back-end encyption |
Yes |
Yes |
Yes |
|
TCP Acceleration |
Yes |
Yes |
Yes |
|
Server sniffing |
Yes |
Yes |
Yes |
|
Client sniffing |
Yes |
Yes |
Yes |
|
WTCP support |
Yes |
Yes |
Yes |
|
Header Insertion |
Yes |
Yes |
Yes |
|
Any to Any tunnel |
Yes |
Yes |
Yes |
|
Encryption Strength |
168 bit |
168 bit |
168 bit |
|
Key Lengh |
512-2048 bit |
512-2048 bit |
512-2048 bit |
|
Certification |
1000 |
1000 |
1000 |
|
Client Certification Management |
CRL,CDP,OCSP,LDAP Auth |
CRL,CDP,OCSP,LDAP Auth |
CRL,CDP,OCSP,LDAP Auth |
|
安全算法
|
DES,3DES,DH,DSS,MD5,RC2,RC4,RSA,SHA-1,AES |
DES,3DES,DH,DSS,MD5,RC2,RC4,RSA,SHA-1,AES |
DES,3DES,DH,DSS,MD5,RC2,RC4,RSA,SHA-1,AES |
|
加密协议
|
SSLv2,SSLv3,TLS |
SSLv2,SSLv3,TLS |
SSLv2,SSLv3,TLS |
|
APSolute
Insite(HTTPS),
基于
Web
管理,命令行
|
APSolute
Insite(HTTPS),
基于
Web
管理,命令行
|
APSolute
Insite(HTTPS),
基于
Web
管理,命令行
|
|
|
工作温度
|
0-40°C |
0-40°C |
0-40°C |
|
湿度
|
5%to95% |
5%to95% |
5%to95% |
|
重量
|
7.25kg |
7.25kg |
7.25kg |
|
电源
|
自动供给范围:
100-250V 50-60Hz
|
自动供给范围:
100-250V 50-60Hz |
自动供给范围:
100-250V 50-60Hz |
|
功耗
|
110W |
110W |
110W |
|
发热量
|
375.51BTU/h |
375.51BTU/h |
375.51BTU/h |
|
认证
|
UL60950-1 |
UL60950-1 |
UL60950-1 |
|
CSA22.2 No.950 |
CSA22.2 No.950 |
CSA22.2 No.950 |
|
|
EN 55022 class B,EN 61 |
EN 55022 class B,EN 61 |
EN 55022 class B,EN 61 |
|
|
IEC 61 |
IEC 61 |
IEC 61 |
|
|
FCC Part 15B class B |
FCC Part 15B class B |
FCC Part 15B class B |
|
|
VCCI |
VCCI |
VCCI |
XS2
|
产品型号
|
AppXcel 4000 |
AppXcel 8000 |
AppXcel 16000 |
|
每秒交易量
|
4000 |
8000 |
16000 |
|
并发会话数
|
20000 |
50000 |
150000 |
|
内存
|
512MB-3GB |
512MB-3GB |
512MB-3GB |
|
100Base TX
端口
|
2 |
2 |
2 |
|
1000Base TX or SX
端口
|
Option |
Option |
Option |
|
软件压缩支持
|
Yes |
Yes |
Yes |
|
硬件压缩支持
|
Yes |
Yes |
Yes |
|
旁路交换
|
Yes |
Yes |
Yes |
|
操作模式
|
Proxy,Bridge |
Proxy,Bridge |
Proxy,Bridge |
|
SSL
加速
|
Yes |
Yes |
Yes |
|
FIPS SSL
加速
|
FIPS 140-2level 3certified |
FIPS 140-2level 3certified |
FIPS 140-2level 3certified |
|
支持的协议
|
HTTP,FTPS,SMTPS,POP3S,IMAPS,LADPS,SIP/TLS |
HTTP,FTPS,SMTPS,POP3S,IMAPS,LADPS,SIP/TLS |
HTTP,FTPS,SMTPS,POP3S,IMAPS,LADPS,SIP/TLS |
|
HTTP Compression |
Yes |
Yes |
Yes |
|
Caching |
Yes |
Yes |
Yes |
|
Image reduction |
Yes |
Yes |
Yes |
|
Back-end encyption |
Yes |
Yes |
Yes |
|
TCP Acceleration |
Yes |
Yes |
Yes |
|
Server sniffing |
Yes |
Yes |
Yes |
|
Client sniffing |
Yes |
Yes |
Yes |
|
WTCP support |
Yes |
Yes |
Yes |
|
Header Insertion |
Yes |
Yes |
Yes |
|
Any to Any tunnel |
Yes |
Yes |
Yes |
|
Encryption Strength |
168 bit |
168 bit |
168 bit |
|
Key Lengh |
512-2048 bit |
512-2048 bit |
512-2048 bit |
|
Certification |
1000 |
1000 |
1000 |
|
Client Certification Management |
CRL,CDP,OCSP,LDAP Auth |
CRL,CDP,OCSP,LDAP Auth |
CRL,CDP,OCSP,LDAP Auth |
|
安全算法
|
DES,3DES,DH,DSS,MD5,RC2,RC4,RSA,SHA-1,AES |
DES,3DES,DH,DSS,MD5,RC2,RC4,RSA,SHA-1,AES |
DES,3DES,DH,DSS,MD5,RC2,RC4,RSA,SHA-1,AES |
|
加密协议
|
SSLv2,SSLv3,TLS |
SSLv2,SSLv3,TLS |
SSLv2,SSLv3,TLS |
|
APSolute
Insite(HTTPS),
基于
Web
管理,命令行
|
APSolute
Insite(HTTPS),
基于
Web
管理,命令行
|
APSolute
Insite(HTTPS),
基于
Web
管理,命令行
|
|
|
工作温度
|
0-40°C |
0-40°C |
0-40°C |
|
湿度
|
5%to95% |
5%to95% |
5%to95% |
|
重量
|
7.25kg |
7.25kg |
7.25kg |
|
电源
|
自动供给范围:
100-250V 50-60Hz |
自动供给范围:
100-250V 50-60Hz |
自动供给范围:
100-250V 50-60Hz |
|
功耗
|
118W |
118W |
118W |
|
发热量
|
402.83BTU/h |
402.83BTU/h |
402.83BTU/h |
|
认证
|
UL60950-1 |
UL60950-1 |
UL60950-1 |
|
CSA22.2 No.950 |
CSA22.2 No.950 |
CSA22.2 No.950 |
|
|
EN 55022 class B,EN 61 |
EN 55022 class B,EN 61 |
EN 55022 class B,EN 61 |
|
|
IEC 61 |
IEC 61 |
IEC 61 |
|
|
FCC Part 15B class B |
FCC Part 15B class B |
FCC Part 15B class B |
|
|
VCCI |
VCCI |
VCCI |
