【正文】 還可以通過配置正則表達式對請求 url 參數(shù)進行正規(guī)化限制。 敏感關(guān)鍵詞過濾及服務(wù)器信息防護 ? 非法關(guān)鍵字過濾 通過配置能夠隱藏或阻斷用戶提 交信息或網(wǎng)頁中包含的敏感關(guān)鍵詞，防止非法內(nèi)容發(fā)布。做到對攻擊的“事前”防護。 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 16 負載均衡功能 豐富的負載均衡調(diào)度算法 調(diào)度算法指對需要負載均衡的流量，按照一定的策略分發(fā)到指定的服務(wù)器群中的服務(wù)器或指定鏈路組的某條鏈路上 ，使得各臺服務(wù)器盡可能地保持負載均衡。不同調(diào)度算法所實現(xiàn)的負載均衡效果不同，可以需要根據(jù)具體的應(yīng)用場景，采用不同的算法。 如：實服務(wù)群中包含三個實服務(wù) A、 B、 C，假設(shè)各實服務(wù)均未達到連接上限，最后分發(fā)給 A、 B、 C 的連接數(shù)之比為 1： 1： 1。 如：實服務(wù)組中包含三個實服務(wù) A、 B、 C，其配置權(quán)值分別為： 2。從統(tǒng)計學(xué)角度看，調(diào)度結(jié)果為各個服務(wù)器平均分擔用戶的連接請求。 適用場景：服務(wù)器集群中各服務(wù)器性能存在差異。 適用場景：需要保證來自同一個用戶同一個業(yè)務(wù)的請求分發(fā)到同一臺服務(wù)器。 動態(tài)調(diào)度算法 相對于靜態(tài)算法，動態(tài)算法根據(jù)各實服務(wù)實際運行中的負載情況進行連接分發(fā)，分發(fā)效果更均衡。 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 18 ? 加權(quán)最小連接（ Weighted Connection Scheduling） 調(diào)度新連接時盡 可能使服務(wù)器的已建立 活動 連接數(shù)和 服務(wù)器 權(quán)值成比例 ，權(quán)值表明了服務(wù)器處理性能。 負載均衡技術(shù)支持豐富的健康性檢測方法，可以有效地探測和檢查服務(wù)器的運行狀態(tài)。 持續(xù)性功能 一次業(yè)務(wù)交互可能包括多個 TCP 連接，如 FTP 應(yīng)用（包含一個控制通道和多個數(shù)據(jù)通道）和 HTTP 應(yīng)用。根據(jù)持續(xù)性原則，建立會話表項，保證后續(xù)業(yè)務(wù)報文都送往同一個服務(wù)器處理。顯式關(guān)聯(lián)關(guān)系由負載均衡設(shè)備自動識別，無需配置策略。 負載均衡設(shè)備接收到某一客戶端的某一業(yè)務(wù)的首次請求時，建立持續(xù)性表項，記錄為該客戶分配的鏈路情況，在會話表項生存周期內(nèi)，后續(xù)相同目的 IP 地址的業(yè)務(wù)報文都將分發(fā)到該鏈路轉(zhuǎn)發(fā)。而基于L7 的負載均衡則要求負載均衡 設(shè)備 除了支持 L4 負載均衡以外，還要 解析 數(shù)據(jù)包中 4 層以上的信息，即應(yīng)用層的信息。 ? 可根據(jù)數(shù)據(jù) 包內(nèi)容 （如判斷數(shù)據(jù)包是圖像文件、壓縮文件或多媒體文件格式等），把數(shù)據(jù)流量引向相應(yīng)內(nèi)容的服務(wù)器來處理，增加系統(tǒng)性能。 流量優(yōu)化功能 HTTP 緩存技術(shù) DPtech WAF3000 采用多級 cache 智能緩存加速技術(shù)，支持多種緩存置換算法： ? LRU（最近最少使用次數(shù)） 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 21 ? LRU_DA（動態(tài)衰減最 近最少使用次數(shù)） ? LFU（最近最少使用頻率） ? LFU_DA（動態(tài)衰減最近最少使用頻率） 傳統(tǒng)緩存加速技術(shù) 對諸如 html， js， jpg 等靜態(tài)資源進行緩存 同時也可以對 jsp 等動態(tài)資源進行緩存處理 ，提高客戶端響應(yīng)速度，降低服務(wù)器負載，有效節(jié)省服務(wù)器系統(tǒng)資源消耗。在不需要改變?nèi)魏尉W(wǎng)絡(luò)構(gòu)造也不需要改變?nèi)魏畏?wù)器構(gòu)造前提下 總體上 實現(xiàn)減 輕 服務(wù)器的負 荷 ，提高服務(wù)器的響應(yīng)能力 的目標 。 gzip 使用 deflate壓縮算法，即先 用 lz77 算法 進行壓縮，對得到的結(jié)果再 用 huffman 編碼的方法進行壓縮 。 WAF3000MEN 百兆高端產(chǎn)品， 2 光 6 電，適用于 中型 網(wǎng)站。在透明模式下無需對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進行調(diào)整，可做到即插即用。 旁路模式 如圖所示，旁路模式指 WAF 設(shè)備不作為后臺服務(wù)器和客戶端之間的路由設(shè)備，而是旁掛在路由設(shè)備上。 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 26 該系統(tǒng) 采用目前最先進的文件驅(qū)動檢測技術(shù)，檢測位置深入系統(tǒng)文件內(nèi)核底層，同時結(jié)合高效的內(nèi)核級事件觸發(fā)機制，從根本上解決了網(wǎng)站防護的實時性、檢測準確度和效率問題。 系統(tǒng) 架構(gòu) 為構(gòu)建高性能、高靈活性和高安全性的系統(tǒng)架構(gòu)，產(chǎn)品采用了軟總線、軟構(gòu)件的理念。 WebShield Agent：部署于網(wǎng)站服務(wù)器，負責實時監(jiān)控保護網(wǎng)站文件，發(fā)現(xiàn)篡改企圖或篡改操作實時阻斷并立即告警，同時發(fā)送恢復(fù)請求。根據(jù)該系統(tǒng)的特點，可以將功能劃分為如下幾個方面： 監(jiān)控與恢復(fù) 針對網(wǎng)站文件安全的保障機制，實時監(jiān)控網(wǎng)站文件的變更，防止非法頁面被展示，并對受到破壞的頁面文件進行實時的自動恢復(fù)。 告警與應(yīng)急響應(yīng) 支持聲音、電子郵件、手機短信等多種告警模式，提供靈活完善的告警策略定制機制。采用規(guī)則的內(nèi)核過濾技術(shù)加固 WEB 站點，通過對關(guān)鍵信息的檢查驗證，能夠有效抵御黑客的各種攻擊手段。同時，系統(tǒng)具備一定的事件關(guān)聯(lián)與分析能力，能夠為管理者及時提供網(wǎng)站運維、安全審計和威脅分析等多業(yè)務(wù)視角的數(shù)據(jù)報告，支持 pdf、 word、 html 格式。當操作系統(tǒng)產(chǎn)生一個磁盤文件操作事件時， 網(wǎng)站防護系統(tǒng) 就能夠通過文件驅(qū)動捕獲這一事件，通過識別其是否針對被保護目錄以及操作是否合法，進行相應(yīng)的放行或阻止操作。 由于任何對磁盤上文件進行的操作都是經(jīng)過操作系統(tǒng)來進行的 ， 系統(tǒng) 利用這一特性在系統(tǒng)文件驅(qū)動層對所有針對被保護目錄的修改、刪除與新增等磁盤操作進行合法性檢測，從而達到對網(wǎng)頁文件篡改的檢測及處理目的。若系統(tǒng)根據(jù)文件操作的事件觸發(fā)的改變判定被保護目錄被非法修改，則會使用備份目錄下的內(nèi)容對被保護目錄內(nèi)容進行還原，所有被更改的文件或目錄會在很短（毫秒級）的時間內(nèi)被同步恢復(fù)。假如網(wǎng)站使用特定的內(nèi)容發(fā)布系統(tǒng)，則可在 網(wǎng)站防護系統(tǒng)中進行相應(yīng)設(shè)置，對該發(fā)布系統(tǒng)進程產(chǎn)生的文件操作不做檢測直接放行，從而不會對原有發(fā)布流程產(chǎn)生任何影響。比如，安裝 網(wǎng)站防護系統(tǒng) 之前使用 FTP 方式更新文件，那么在 網(wǎng)站防護系統(tǒng) 中就可以設(shè)定將 FTP 進程的所有操作放行。 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 33 系統(tǒng)提供完整的日志記錄（包括系統(tǒng)日志和報警日志），并支持對日志信息的查詢和審計功能。動態(tài)網(wǎng)頁由網(wǎng)頁腳本和內(nèi)容組成：網(wǎng)頁腳本以文件形式存在于 Web 服務(wù)器上，網(wǎng)頁內(nèi)容則取自于數(shù)據(jù)庫。 文件驅(qū)動級保護技術(shù) 為 完全杜絕 普 通 Web 內(nèi)嵌防篡改 產(chǎn)品 可能發(fā)生的計算校驗占用系統(tǒng)資源過多，校驗值計算不正確，篡改后無法恢復(fù)等一系列的風險。系統(tǒng)針對來源和操作行為，提前終止其后續(xù)篡改操作請求?？梢詿o縫的和所有內(nèi)容管理系統(tǒng)相結(jié)合并且不需要做任何修改，大大方便與用戶管理和部署。包括： 1) 保護 Web 服務(wù)器自身配置； 2) 服務(wù)器 CPU 使用閥值報警； 3) 服務(wù)器內(nèi)存使用閥值報警； 4) 監(jiān)控服務(wù)運行狀態(tài)，并提供應(yīng)用服務(wù)發(fā)生異常后的停止，重啟等聯(lián)動操作 。 軟件自身安全性 WebShield 的研發(fā)人員采取了監(jiān)控進程不可見的策略，不產(chǎn)生系統(tǒng)服務(wù)，監(jiān)控進程無法查殺，具備極強隱蔽性和自我保護性。傳統(tǒng)的解決方法是使用大容量交換設(shè)備之外部署防火墻、 IPS、流量控制、應(yīng)用交付等深度業(yè)務(wù)處理設(shè)備，這種網(wǎng)絡(luò)層與業(yè)務(wù)層相分離的架構(gòu)初期比較靈活，但卻只能適用于小型網(wǎng)絡(luò)，主要原因有： ? 設(shè)備的不斷疊加使得網(wǎng)絡(luò)變得越來越復(fù)雜，并帶來大量單點故障 ? 數(shù)據(jù)報文的多次重復(fù)解析和處理，造成網(wǎng)絡(luò)性能的衰減和延遲的增加 ? 多廠商、多設(shè)備間相互兼容困難，特別是隨著網(wǎng)絡(luò)規(guī)模和組網(wǎng)模式的不斷革新，難以實現(xiàn)性能、功能、接口的按需擴展 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 36 ? 網(wǎng)絡(luò)與安全技術(shù)兼容困難，如 MPLS VPN、 IPv虛擬化等 ? 各設(shè)備間物理和邏輯都是分割的，無法統(tǒng)一管理 很顯然，這種“葫蘆串”的簡單疊加模式看似合理，但已遠遠落后于用戶業(yè)務(wù)需求的增長速度，不僅會耗費大量人力物力，造成資源的浪費，同時也會使得網(wǎng)絡(luò)變得異常復(fù)雜，帶來可靠性、性能、擴展能力、網(wǎng)絡(luò)兼容性、管理等大量新問題。在提供 IPv4/IPv MPLS VPN、不間斷轉(zhuǎn)發(fā)、環(huán)網(wǎng)保護等豐富網(wǎng)絡(luò)特性基礎(chǔ)上，還可以提供 WAF 網(wǎng)站安全防護、應(yīng)用防火墻、 IPS、 UAG、異常流量清洗 /檢測、應(yīng)用交付等深度業(yè)務(wù)的線速處理，是目前業(yè)界業(yè)務(wù)擴展能力最強、處理能力最高、接口密度最高的深度業(yè)務(wù)交換網(wǎng)關(guān)，旨在滿足運營商、數(shù)據(jù)中心、大型企業(yè)的高性能網(wǎng)絡(luò)深度業(yè)務(wù)處理需要。 產(chǎn)品優(yōu)勢 ? 先進的系統(tǒng)架構(gòu) DPtech 業(yè)務(wù)模塊 基于 DPtech 公司領(lǐng)先的 架構(gòu) 開發(fā)，通過內(nèi)部的高速 80G 以太接口與主網(wǎng)絡(luò)設(shè)備 相連 ， DPtech 主網(wǎng)絡(luò)設(shè)備的后插卡具有的線速轉(zhuǎn)發(fā)能力，更保證了與業(yè)務(wù)插卡間通暢的數(shù)據(jù)轉(zhuǎn)發(fā)。 ? 高密度的端口數(shù) 對于部署在網(wǎng)絡(luò)設(shè)備中的 業(yè)務(wù) 模塊，網(wǎng)絡(luò)設(shè)備的所有端口均能用作 業(yè)務(wù)模塊 的端口，這樣就大大擴展了 可防護的范圍 。 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 41 福州電信 IDC 綜合防護 WAF 部署于 IDC 服務(wù)器前端，提供 Web 應(yīng)用的各種安全防護功能，滿足運營商集成安全要求 。 設(shè)備性能 產(chǎn)品型號 DPX8000A3 DPX8000A5 DPX8000A12 主控槽位 2 2 2 業(yè)務(wù)槽位數(shù) 2 4 10 整機 交換容 量（ Gbps） 1320 2600 6048 整機業(yè)務(wù)處理能力 （ Gbps） 80 160 400 單板最大業(yè)務(wù)處理能力 （ Gbps） 40 40 40 電源 AC/DC雙電源 AC/DC雙電源 AC/DC四電源 接口板類型 支持 48GE光、 48GE電、 4*10GE、 8*10GE、 4* POS、 4*10G POS、 1*40G POS等 業(yè)務(wù)板類型 應(yīng)用防火墻、 IPS、 UAG、異常流量檢測 /清洗、 應(yīng)用交付 等 二層特性 VLAN、 STP、 RSTP、 MSTP、 QinQ、靈活 QinQ、 Vlan mapping、全雙工流控、背壓式流控、鏈路聚合、跨板鏈路聚合、跨板端口 /流鏡像、端口廣播 /多播 /未知單播風暴抑制、 Jumbo Frame、基于端口、協(xié)議、子網(wǎng)和MAC的 VLAN劃分、 PVLAN、 GVRP、 CoS優(yōu)先級 三層特性 IPv4：靜態(tài)路由、 RIP v1/ OSPF、 BGP、策略路由等 IPv4特性； IPv6： IPv6靜態(tài)路由、 RIPng、 OSPFv BGP4+、 IPv4 向 IPv6 過渡隧道技術(shù)等； MPLS/VPLS 支持 L3 MPLS VPN、 L2 VPN: VLL (Martini, Kompella)、 MCE、 MPLS OAM、VPLS、 VLL、 分層 VPLS、 QinQ+VPLS接入 、 P/PE、 LDP協(xié)議 等 組播特性 支持 IGMPv1/v2/v IGMPv1/v2/v3 Snooping、 PIMSM/PIMDM/PIMSSM 網(wǎng)絡(luò)安全優(yōu)化方案 杭州迪普科技有 限公司 39 ACL 及其它網(wǎng)絡(luò)層特性 支持源 IP、源端口、目的 IP、目的端口、協(xié)議號、物理端口等條件的ACL規(guī)則； 支持 Ingress/Egress CAR；支持 ； 支持 permit、 deny、重定向、修改 VLAN、鏡像等多種動作 WAF 網(wǎng)站防護特性 支持漏洞防護： SQL注入、跨站腳本、會話劫持等 支持拒絕服務(wù)攻擊防御，抵御針對 Web的應(yīng)用層 DDoS攻擊 支持防止網(wǎng)頁參數(shù)被惡意篡改，有效保障交互過程中數(shù)據(jù)的安全性和完整性 支持 HTTP 協(xié)議加固：非標準協(xié)議過濾、 Cookie 正規(guī)化、緩沖區(qū)溢出保護 支持 Web服務(wù)器加固：服務(wù)器信息隱藏、網(wǎng)絡(luò)爬蟲檢測和阻止 應(yīng)用防火墻業(yè)務(wù)板特性 支持安全域劃分、訪問隔離、攻擊防范、 NAT、 IPSec/SSL/GRE/L2TP VPN等功能，提供網(wǎng)絡(luò)安全 IPS業(yè)務(wù)板特性 提供深入到七層的安全防御，對漏洞攻擊、網(wǎng)頁篡改、 SQL 注入等提供主動防護；同時， IPS 內(nèi)置卡巴斯基病毒庫，可對各種蠕蟲、病毒進行實時攔截 UAG業(yè)務(wù)板特性 流量控制 ： 深入到 7 層的識別、分類和控制，能快速實現(xiàn)網(wǎng)絡(luò)流量及應(yīng)用的可視化，并完成對 P2P、游戲等非關(guān)鍵業(yè)務(wù)的流量控制，保障關(guān)鍵業(yè)務(wù)帶寬，輕松實現(xiàn)對網(wǎng)絡(luò)帶寬的管理 ； 安全審計：可對 Web 訪問、網(wǎng)絡(luò)游戲、炒股、在線影視等上網(wǎng)行為進行詳細記錄審核和權(quán)限管理，規(guī)范用戶上網(wǎng)行為，確保上網(wǎng)行為符合相關(guān)規(guī)定要求；提供近 1000萬條 URL數(shù)據(jù)庫并分為數(shù)十種類別，用戶可簡單、靈活的實