您的当前位置：首页正文

信安世纪NSAE全系列产品技术白皮书标准版V1.3

来源：东饰资讯网

信安世纪应用安全网关

NSAE全系列产品

技术白皮书

信安世纪科技有限公司

INFOSEC TECHNOLOGIES CO.,LTD

二零零八年

知识产权声明

本白皮书中的内容是信安世纪公司NSAE应用安全网关产品技术说明书。本材料的相关权利归信安世纪公司所有。白皮书中的任何部分未经本公司许可，不得转印、影印或复印及传播。

NSAE应用安全网关产品技术白皮书

信安世纪科技有限公司

北京市西城区南礼士路二条甲1号月坛理想大厦6层电话：(86-10) 6802 5518 传真：(86-10) 6802 5519 邮编：100045

网址：http://www.infosec.com.cn 电子信箱：*******************.cn

信安世纪科技有限公司

前言……………………………………………………………………………………1 第1章产品概述 ....................................................................................................... 1 1.1 1.2 1.3

公司介绍 ........................................................................................................ 1 产品体系介绍 ................................................................................................ 3 产品背景 ........................................................................................................ 4

第2章产品简介 ....................................................................................................... 6 2.1 2.2

产品型号 ........................................................................................................ 6 产品应用 ........................................................................................................ 9

第3章产品功能 ..................................................................................................... 10 3.1

功能特性 ...................................................................................................... 10

应用加速（SSL加速） ...................................................................... 10 服务器负载均衡（SLB） .................................................................. 13 链路负载均衡（LLB） ...................................................................... 18 全局服务负载分担（GSLB） ........................................................... 21 其他功能 .............................................................................................. 25

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.2 3.3

部署方式 ...................................................................................................... 29 产品优势 ...................................................................................................... 30

第4章技术特性 ..................................................................................................... 33 4.1 4.2 4.3

产品特性 ...................................................................................................... 33 硬件特性 ...................................................................................................... 35 性能特性 ...................................................................................................... 36

第5章总结.............................................................................................................. 37

信安世纪科技有限公司

前言

当前，无论在政府网、金融网、企业网、校园网还是在广域网如Internet上，业务量的发展都超出了过去最乐观的估计，用户大量的信息请求，不断更新的应用需求以及对业务不间断的持续访问，成为应用服务商解决互联网服务，获得用户认可的关键因素，即使按照当时最优条件配置建设的网络，面对不间断、快速的用户增长，服务器也会无法承担。原有链路也会因为用户量的不断增大导致用户访问速度过慢，链路拥塞，网络故障频繁，尤其是各个网络的核心部分，其数据流量和计算强度之大，使得单一设备根本无法承担，而如何在完成同样功能的多个链路及网络设备之间实现合理的业务量分配，使之不至于出现一台设备过忙、而别的设备却未充分发挥处理能力的情况，就成为信息提供商及应用服务商必须克服的问题，负载均衡机制也因此应运而生。

负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。它主要完成以下任务：解决网络拥塞问题，服务就近提供，实现地理位置无关性；多条链路接入，根据链路响应速度，提供最快的访问方式，针对故障链路进行智能自动切换，保证客户不间断访问；为用户提供更好的访问质量；提高服务器响应速度；提高服务器及其他资源的利用效率；避免了网络关键部位出现单点失故障导致所有服务停止。

针对负载均衡的运行机制及应用策略方面，根据负载均衡的工作原理可以分为链路负载均衡、服务器负载均衡、广域网负载均衡三种负载均衡方式。三种负载均衡机制，根据用户针对不同环境及应用的负载均衡要求进行服务，满足用户对各个应用层面及网络层次的负载均衡需求。

总之，负载均衡是一种策略，它能让多条链路或多台服务器共同承担一些繁重的计算或I/O任务，从而以较低成本消除网络瓶颈，提高网络的灵活性和可用性。

针对当前形势，信安世纪公司分析各行业多种应用的请求，自主研发了适用于广域网、内部网、独立子网的负载均衡设备NSAE。解决客户针对链路、服务

信安世纪科技有限公司

器、广域网负载均衡的各种需求。

信安世纪推出的NSAE系列产品，采取了ALL IN ONE的设计策略，把服务器负载均衡、链路负载均衡、广域网负载均衡三种产品集成在一个设备中。真正实现了链路、服务器、广域网负载均衡三种服务的无缝接入。在最低成本的控制下满足了客户多方面的应用需求。并且在无需改变现有网络的情况下，即可进行负载均衡设备的部署及升级，在应用及网络层次增加了客户系统的安全性及稳定性。

信安世纪科技有限公司

第1章产品概述

1.1

公司介绍

信安世纪科技有限公司成立于1998年，是中国领先的应用安全产品和解决方案供应商，主要为金融、电信等行业和政府机构提供应用安全的产品、解决方案和服务。

信安世纪作为业内资深的应用安全厂商，有多年的应用安全领域的经验积累和强大的管理和研发团队，不仅有成熟的安全产品为客户提供方便、快速的安全实现；同时针对大量的应用安全需求，提供优质的咨询服务、客户化开发和安全系统维护监控服务。信安公司现有一支由应用安全领域专业开发人员和资深金融行业专家组成的强大的研发队伍，保证提供先进、可靠、高效的产品；另外还有专业、尽职的技术服务队伍，负责项目实施和售后技术服务，为客户提供专业的技术服务。

信安世纪迄今已经为包括中国工商银行总行、中国农业银行总行、中国交通银行总行、上海浦东发展银行、北京银行在内的二十多家银行提供了网上银行的通讯安全、交易安全保护；中国证券登记结算有限责任公司等金融机构建立了基于PKI体系的证书系统，为业务系统提供了身份认证、加密传输的安全保护；随着电子商务和电子政务的兴起，我公司为国家烟草总局、中国石油、鞍山钢铁公司、沈阳一汽财务公司、上海汽车集团、上海移动通信和首都钢铁集团等多家著名企业提供了保证资金结算、网上交易安全的解决方案。

信安世纪与众多著名企业、优质客户建立了长期、稳定的战略伙伴关系，在技术合作、市场推广和行业发展上开展了卓有成效的工作。在未来的发展中，公司将加强对客户需求的了解，为客户提供具有创新价值的应用解决方案，更好地为客户提供优质的服务；公司还将致力于与合作伙伴共同发展，加强新技术交流，促进应用安全行业的蓬勃发展。

在新产品NSAE的应用及实施方面，信安公司已经在北京银行、北京农村商业银行、华夏银行、中国烟草总局、中国石化、国家电网通过了严格的性能、

信安世纪－业内领先的信息安全专业厂商

信安世纪科技有限公司

压力及应用测试，设备测试结果达到了国际国内先进水平，完全满足客户的需求。并且成功的部署在多个行业各个应用服务，及核心生产环境中。完全解决了客户针对链路、服务器负载均衡方面的问题，全方面提高了客户的行业竞争力，以及生产环境设备及链路接入的稳定不间断运行。

信安世纪－业内领先的信息安全专业厂商

信安世纪科技有限公司

1.2 产品体系介绍

信息安全是建立在网络安全之上，保证信息的安全。在应用层的安全（简称应用安全）解决的是信息安全中的问题，特别是应用层安全系统与应用系统结合过程中遇到的安全问题。应用层安全主要包括ISO7498-2中提出的五大安全功能，即身份认证、访问控制、数据机密性、数据完整性和抗否认，以及安全审计和安全管理的内容。

根据五大安全功能的要求我们将产品归纳为三个体系：

 身份管理：NetCert（信安通）（CA、RA、OCSP、KMC）、NetPass

（动态密码系统）

 访问安全：NetSafe（网安通）、LinkSafe（联安通）、NSAE（应用安

全网关）、BiSafe（互联安）、NetGate（密安通）

 内容安全：NetSign（签安通）、DeskSafe（文安通）、TSA（时间戳服

务）

信安世纪－业内领先的信息安全专业厂商

信安世纪科技有限公司

1.3 产品背景

随着网络通信的发展，网络规模的不断扩大，以及数字接入专线价格的不断下调，客户对业务的需求也随着网络通信的不断发展变得更加多样化，对运营服务的要求也越来越严格，如何充分利用服务资源，平衡链路利用率，提高客户访问速度，确保客户的不间断访问以及链路服务的正常运转和切换，已经成为运营服务商提高服务，争取更多用户认可的首要难题。

目前用户普遍采用电信、网通两条链路接入，实现链路自动切换，为外网及内网用户提供7*24小时的不间断访问、当其中一条链路出现问题后，系统自动切换到正常的链路上工作，保证服务的不间断运行。由于多链路解决方案能够提供更好的可用性和带宽性能，它正在被越来越多的企业所采用。可用性的提高来自于多条链路的使用，而性能提高则是因为同时使用多条链路增加了带宽扩充了流量。多链路方案能够提高企业业务的可用性和性能，但这种方案也面临着特殊的问题和挑战。

在多链路环境的实际应用中，链路没有更好的进行负载分担。多链路网络解决方案仅仅是“共享”式，而不是真正的负载均衡；由于各个运营商之间存在互联互通的问题，没有实现根据网络就近性的路径判断；对流入的流量没有很好的解决根据网络的就近性来导向用户的访问请求。使外部的用户能最快的访问对外服务；对流出的流量无法解决自动选择最快链路，达要目标资源的访问策略；对于链路的健康状况也不能实时监测，也解决不了链路容灾，也就是当某一条链路出现故障后，将其流量导向另外链路的策略。所以基于以上的问题，链路负载均衡的解决方案成为众多服务商、以及多链路接入客户必须解决的问题。

在多服务器环境的实际应用中现有的服务器工作模式一般为Active/Standby,现有的这种架构导致了一台服务器总是处于待机状态，而另一台服务器则总是处于满负荷工作，负责了整个应用的处理及运算。这种模式的服务器架构必然导致了当现有用户量一旦超出单台服务器的运算能力的时候，整个服务器组会宕掉，用户面对这种情况的时候只有升级服务器才可以解决问题。但是持续的升级服务器导致了资金大量的浪费，及服务器资源的浪费。

信安世纪－业内领先的信息安全专业厂商

信安世纪科技有限公司

服务器负载均衡机制可以简单的解决这种问题，当用户部署了服务器负载均衡后，所有后台服务器均处于Active状态，根据负载均衡定义的策略，保持服务器进行均衡的工作。提升了现有服务器70%的工作效率，避免了由于单台服务器出现故障导致的整个业务的终止，并且保证了当用户量持续上升时，无需再次升级服务器。

信安世纪服务器负载均衡还具有完善的健康检查功能，保证了每台服务器工作状态的正常，避免了由于服务器应用软件处于假死状态而导致服务器工作出现问题。针对后台服务状态类型，信安世纪负载均衡产品提供了最完善的健康检查策略保证了用户所有业务的正常工作状态。

信安世纪－业内领先的信息安全专业厂商

信安世纪科技有限公司

第2章产品简介

信安世纪应用安全网关系列产品（后简称为NSAE）是一款集成了SSL加速、负载均衡等多种功能于一体的新型应用前端加速负载均衡设备。

不同于以往单纯的负载均衡产品，NSAE不再局限于负载均衡应用，还具有SSL加速、链路负载均衡、广域网负载均衡、集群、应用安全防火墙、高速缓存、HTTP压缩等多种功能可以自由选择，充分考虑了用户的实际需求，可以极大的改善企业应用的可靠性、性能和安全性，同时降低了整体成本和数据中心的复杂度，提高了应用的处理能力，为用户提供了全新的易用、高效、稳定的保障信息安全的屏障。

2.1 产品型号

信安世纪NSAE系列产品采取了ALL IN ONE的设计理念，通过高度集成的模块化设计实现在单台设备中集成了链路负载均衡、服务器负载均衡、防火墙负载均衡、SSL加速、防火墙等功能，面对客户多层次应用的需求只需要增加相应的模块即可。

为满足不同规模用户的需求，我们根据产品功能分为链路负载均衡(NSAE-LT)、服务器负载均衡(NSAE-NL)、SSL应用安全网关（NSAE-NS）、服务器负载均衡&SSL应用安全网关(NSAE-NB)四种产品类型。

服务器负载均衡(NSAE-NL)型号列表

产品型号范围适用于用户数量不多、应用访问较少、负载增长量小的中小型应用，可以降低成本、提高可靠性。适用于用户数量较多、应用访问量较大、负载增长量较快的中小型应用，可以降低成本、减小维护风险、提高应用可靠性、避免单台服务器故障。

NSAE1000-NL NSAE2000-NL 信安世纪－业内领先的信息安全专业厂商

信安世纪科技有限公司

NSAE10000-NL 适用于用户数量较多且访问量、负载增长较快的中型以上应用项目，可以满足今后应用扩展的需求，并提升性能。 NSAE20000-NL 适用于访问量以及负载量很大的大型应用，提高整个应用平台的处理能力，提供不中断的优质应用服务。 NSAE-NL产品型号表

链路负载均衡(NSAE-LT)型号列表

产品型号范围适用于用户数量不多、链路接入带宽小、应用访问较少的中小型应用，可以降低成本、提高可靠性。适用于用户数量较多、链路接入带宽较大、应用访问量较大、访问业务增长较快的中小型应用，可以降低成本、减小维护风险、提高应用可靠性、避免单台服务器故障。适用于用户数量较多、链路接入带宽非常大、访问量增长较快的中型以上应用项目，可以充分满足今后应用扩展的需求。 NSAE1000-LT NSAE2000-LT NSAE10000-LT NSAE20000-LT 适用于访问量以及链路负载量很大的大型应用，提高整个应用平台的处理能力，为用户提供不间断链路服务。 NSAE-LT产品型号表

SSL应用安全网关（NSAE-NS）型号列表

产品型号范围适用于用户数量不多、应用访问较少的中小型应用，可以通过SSL加密技术提高现有业务的安全性。适用于用户数量较多、应用访问量较大、访问业务增长较快的中小型应用，可以通过SSL加密技术提高现有业务的安全性。适用于用户数量较多、访问量增长较快的中型以上应用项目，可以通过SSL加密技术提高现有业务的安全性。并且充分满足今后应用扩展的需求。信安世纪－业内领先的信息安全专业厂商

NSAE1000-NS NSAE2000-NS NSAE10000-NS 信安世纪科技有限公司

NSAE20000-NS 适用于用户群庞大、访问量很高的大型应用，可以通过SSL加密技术提高现有业务的安全性。 NSAE-NS产品型号表

负载均衡+SSL应用安全网关（NSAE-NB）型号列表

产品型号范围适用于用户数量不多、应用访问较少的中小型应用，为用户提供服务器负载均衡及应用安全网关功能。适用于用户数量较多、应用访问量较大、访问业务增长较快的中小型应用为用户提供服务器负载均衡及应用安全网关功能。适用于用户数量较多、访问量增长较快的中型以上应用项目为用户提供服务器负载均衡及应用安全网关功能。并且充分满足今后应用扩展的需求。适用于用户群庞大、访问量很高的大型应用为用户提供服务器负载均衡及应用安全网关功能。 NSAE1000-NB NSAE2000-NB NSAE10000-NB NSAE20000-NB NSAE-NB产品型号表

信安世纪－业内领先的信息安全专业厂商

信安世纪科技有限公司

2.2 产品应用

产品架构

同类产品往往由多个单一功能设备组成，数据传输延迟大、管理维护困难，用户往往为了实现一个简单的需求需要改变整个网络结构或需要购买其它的网络硬件产品。而NSAE则集多功能于一体，具备高性能、高可靠性，为客户节省大量的硬件、维护、设置、和人力方面的投入。

信安世纪－业内领先的信息安全专业厂商

第3章产品功能

3.1

功能特性

NSAE产品系列提供一个将诸多复杂Web设备化零为整的解决方案，可以完全解决客户系统存在的问题。它是一个真正的将众多重要的网络功能合为一体的集成化应用系统，这些网络功能包括服务器负载均衡（SLB），全局服务器负载均衡（GSLB），SSL加速， WebWall安全，链路负载平衡（LLB），HTTP压缩等。

3.1.1 应用加速（SSL加速）

SSL（安全套接层协议）已经成为发送安全互联网通信的标准协议。它是一种对用户进行鉴权的公钥加密方案。首先，服务器向客户机发送承认其可靠性的认证；然后，使用共享密钥来对发送方与接收方之间的数据进行加密，例如，当发送方确认接收方正确无误时，会为数据包加上一个安全的“外壳”（加密），同时通过线缆传输此数据包。必须在目的地将此“外壳”去掉，才能使用该数据包信息。其它的步骤还包括：认证、加密和解密，这极大地增加了Web服务器的流量处理负担，NSAE内置SSL加速功能使问题迎刃而解。 3.1.1.1 SSL安全传输

 信息加密，建立SSL安全传输信道

加密传输采用了高强度的加密算法对传输的数据内容进行保护，各种如业务账号和口令等敏感的信息被保护起来，杜绝了信息的泄露，同时对接受的数据是否在传输过程中被篡改进行精确检测，保证了接受数据的完整性，确保了所传输的信息不被中途窃取和篡改。对于没有合法身份的用户，其连接请求将被拒绝，NSAE只允许那些拥有合法数字证书的用户进行网络连接，充分保证用户身份的合法性，从而限制了非法用户对内网的访问。

 支持4-7层应用加密传输信道

NSAE的SSL加速功能实现对HTTP应用进行安全加密，可以同时作为普通资源和安全资源的代理服务器。此外还能够对TCP协议进行加密，实现TCPS协议下的安全数据传输，提供4-7层应用的加密功能，使客户端的内容由原来的明文传输变为SSL加密传输，大大增加了安全性。

 端到端的安全数据转发服务，支持多种C/S应用模式

国内目前大多数的SSL安全代理服务器是针对B/S应用的，部署在需要保护的Web服务器前端，与浏览器建立SSL连接，并转发HTTP协议。NSAE支持客户端的C/S模式应用，并能够同时支持多种B/S和C/S模式的应用。

应用安全网关服务器监听局域网内的端口，为一个局域网端内服务，无需用户安装配置客户端软件，大大提高系统的易用性，减少部署和维护的难度。

 多种后台传递用户信息的方式

以HTTP参数方式向Web服务器传送用户证书信息，例如证书中的主题、序列号等信息，这些HTTP参数以URL、属性、Cookie等多种形式传递到Web应用系统，应用可以根据这些信息进行进一步的管理操作。

 资源访问权限控制

NSAE支持三种HTTP连接方式：HTTP连接、单向SSL连接（客户不需要提供证书）和双向SSL连接。HTTP连接是透明信息传递、身份无法识别；单向SSL连接完成了加密信息的传递，保证了信息的保密性和完整性，但是客户身份无法确认；只有双向的SSL连接的安全性最高。不同的后台应用针对的用户群体不同，通常而言关键的安全应用只提供给有可信身份的用户，NSAE提供的资源访问权限控制功能可以将杜绝低安全性的连接访问该安全性的业务系统。

对Web资源的一般访问控制，基于ACL（访问控制表）方式，实现对认证用户和非认证用户的访问控制，支持以证书主题和时间等要素进行控制，并

可以设定拒绝访问的级别。

 灵活的证书验证机制

数字证书作为连接双方的电子身份证，保证了传输的可识别性，但是这并不意味着，拥有证书就拥有的所有的权利。对于每一个业务系统所要求的用户身份必须持有一张可以信任的有效证书，如何保证证书的有效性和合法性就要完成一系列的证书验证步骤。NSAE的证书验证体系可以确保非可信的证书认证中心（CA）颁发的证书、没有在有效使用期内的证书、已经作废或者注销的证书无法进行含身份确认的操作。

在证书的有效性验证时同时还进行了证书废弃列表（CRL）的验证，确保证书没有被作废或是注销，CRL文件由证书认证中心CA发布在目录服务器上或者是网络链接上。

 过滤客户的无用证书

可将NSAE支持的CA证书信息自动发送至连接用户的客户端，在IE浏览器中完成其它CA证书的过滤操作。这样用户在建立SSL连接的过程中避免选取NSAE不支持的CA证书。 3.1.1.2 SSL加速

NSAE的SSL加速技术不仅能提高服务器性能，同时大幅度缩短响应时间并增强客户交易流量管理。所有这一切都是从同一地点进行的，无需费钱费力地在每台服务器上安装额外的硬件或软件。

它与Infosec OS紧密结合，支持多种常用的SSL加密算法，保障端到端SSL加密的安全性，结合完整的证书管理特性，保证在进行安全交易和其他应用时，具有快速、可靠的连接，减轻服务器上处理器（CPU）密集型处理的负担，确保快速可靠的完成应用，大幅度缩短响应时间并提高了服务器的性能，增强了客户交易流量管理，以达到出众的SSL加速性能。

3.1.2 服务器负载均衡（SLB）

NSAE提供真正面向应用层的HTTP、DNS、Radius、以及基于TCP/UDP等多种应用的负载均衡服务，通过定义灵活多样的负载均衡策略，依据丰富的服务器负载均衡算法（包括轮循算法、最少连接算法、最短响应时间算法、散列算法等），来实现真正的合理流量分配，充分保障了客户应用能够有效、持续的运行。

对于用户而言，访问时延和服务器的可靠性是非常重要的问题。而随着业务的增长，对拥有多台服务器的用户运营中心来说，不是全部服务器都发挥了其应有的效力。NSAE的负载均衡服务，使每台服务器的处理能力都能得到充分的发挥，可以实现如下的功能：

 提供真正面向应用层的WWW、DNS、FTP，以及基于固定端口的TCP/UDP

等应用的负载均衡；

 无需改动网络拓扑结构，即可实现功能；

 功能强大，支持路由功能- 根据实际响应时间的负载平衡算法来实现真正

的合理的流量分配。 3.1.2.1 工作模式

NSAE的服务器负载均衡可以以两种模式执行：Reverse Proxy Mode（反向代理模式）和Transparent Mode（透明模式）。

 Reverse Proxy Mode（反向代理模式）

使用NSAE的反向代理服务可以将请求转发给内部的服务器，让NSAE将请求均匀地转发给多台内部服务器之一上，从而达到负载均衡的目的。这种代理方式与普通的代理方式有所不同，标准代理方式是客户使用代理访问多个外部服务器，而这种代理方式是多个客户使用它访问内部服务器，因此也被称为反向代理模式。其传输流程如下所示：

反向代理模式的优点：可以采用One-armed的结构部署；可以通过连接池技术增强系统性能。

反向代理模式的局限性：服务器无法记录哪些IP的客户端曾进行访问。解决办法:：NSAE可以在用户的HTTP包头中加入X-Forwarded-For字段，用它记录客户端的IP地址。

 Transparent Mode（透明模式）

NSAE的透明模式是指NSAE在转发用户请求时，透明地将客户端的连接定向到特定的服务器上，即用户的源IP地址对服务器是透明的，服务器可以知道哪个客户对其进行了访问。其传输流程如下：

透明模式的优点：服务器可以记录哪些IP的客户端曾进行访问。透明模式的局限性：

－结构/路由设计必须保障从源服务器端来的响应必须经过NSAE；－One-armed的结构有可能不能实现；

－由于每个请求的源IP地址都不一样，因此无法利用连接池技术改善系统性能。

3.1.2.2 负载均衡算法

NSAE支持多种服务器负载均衡算法（持续性的和非持续性的），包括轮循算法、最少连接算法、响应时间算法、散列算法、最少连接失误算法，链路带宽算法等等。此外实际服务器可以被分配不同的加权值来调整被分配的流量。比如性能高的大型服务器可配置较大的加权值，而为性能较低的小型服务器设置较小的加权值。为了避免服务器因过载而崩溃，可为实际服务器指定最大连接阈值来避免该服务器过载。任何服务器可被指定为另一台服务器的备份服务器或溢出服务器，从而进一步保证了应用可用性。

 非持续性算法（Non-Persistent）：一个客户端的不同的请求可能被分配到

一个实服务组中的不同的实服务器上进行处理。

 轮循算法（Round Robin）：每一次来自网络的请求轮流分配给内部中

的每台服务器，从1至N然后重新开始。此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置并且平均服务请求相对均衡的情况；

 最少连接算法（Least Connection）：客户端的每一次请求服务在服务

器停留的时间都可能会有较大的差异，随着工作时间的加长，如果采用简单的轮循或随机均衡算法，每一台服务器上的连接进程可能会产生极大的不同，这样的结果并不会达到真正的负载均衡。最少连接数均衡算法对内部中有负载的每一台服务器都有一个数据记录，记录的内容是当前该服务器正在处理的连接数量，当有新的服务连接请求时，将把当前请求分配给连接数最少的服务器，使均衡更加符合实际情况，负载更加均衡。此种均衡算法适合长时间处理的请求服务。

 响应速度算法（Response Time）：负载均衡设备对内部各服务器发出

一个探测请求（例如Ping），然后根据内部中各服务器对探测请求的最快响应时间来决定哪一台服务器来响应客户端的服务请求。此种均衡算法能较好地反映服务器的当前运行状态，但最快响应时间仅仅指的是负载均衡设备与服务器间的最快响应时间，而不是客户端与服务器间的最快响应时间。

 持续性算法（Persistent）：从一个特定的客户端发出的请求都被分配到一

个实服务组中的同一个实服务器上进行处理。主要包括：  基于IP的算法

－Persistent IP (pi)：基于用户IP地址来选择服务器。－Hash IP (hi) ：基于用户IP地址的HASH值，来选择服务器－Consistent Hash IP (chi)：  基于报头/请求的算法

－Hash Header (hh)：基于用户请求报中HTTP报头来选择服务器；－Persistent Hostname (ph) ：基于用户请求报中HTTP报头的Hostname的HASH值，来选择服务器；

－Persistent URL (pu)：基于对URI Tag 和值的静态对应关系来选择服务器。

－SSL Session ID (sslsid)：基于SSL会话ID来选择服务器。  基于Cookie的算法

－Persistent Cookie (pc) ：选择服务器基于用户请求包用Cookie Name / Value 的静态对应关系；

－Hash Cookie (hc) ：选择服务器基于用户请求包用Cookie Name / Value 的Hash 值对应关系；

－Insert Cookie (ic) ：选择服务器基于NSAE向服务器响应包中插入Cookie；

－Re-write Cookie (rc)：选择服务器基于NSAE向服务器响应包中重写Cookie值。（必须为重写指定Cookie值的偏移量）

3.1.2.3 负载均衡策略

NSAE 的负载均衡策略主要有：基础性策略、保持性策略、QOS策略。  基础性策略

－Static －Default －Backup  保持性策略

－Persistent URL －Persistent Cookie －Rewrite Cookie －Insert Cookie －Header  QOS 策略

－QOS Cookie －QOS Hostname －QOS URL

－QoS Network －Regular Expression －Header

3.1.2.4 负载均衡健康检查

NSAE通过对服务器的实时健康检查，保证数据流量会自动绕过故障服务器或不可用服务器。当NSAE的健康检测机制，检测到服务器重新恢复正常以后，将使该服务器可以自动回到服务器群之中，所有这些服务器故障的处理，对进行操作的用户是完全透明的。

NSAE对服务器的健康检查，可采用三种方式：

 ICMP检查：利用ICMP可检查服务器的网络工作是否正常。

 TCP检查：NSAE可与服务器之间，利用服务器的服务端口建立TCP连接，

检查服务器的服务是否正常。

 HTTP检查：NSAE采用HTTP的检查，来验证服务器提供的服务是否正

常。

通过这三种机制，确保服务器为用户提供正确可靠的服务。用户再也不会得到这样请求的响应 “404 Object Not Found”，或响应内容不正确。

3.1.3 链路负载均衡（LLB）

链路负载均衡可以解决多链路下流量分担的问题，为用户的多链路的网络应用提供了很好的解决方案。

通过NSAE的链路负载分担功能，能够对用户的多链路的网络应用提供基于Inbound和Outbound的链路负载分担功能,解决多链路下流量分担的问题，无法采用BGP的方式实现链路的自动切换，保持对终端用户的透明。 3.1.3.1 Inbound

Inbound：从互联网通过多条专线链路连接的NSAE访问内网

当有Internet用户访问llb.test.net时，DNS服务器回应给用户由NSAE

来完成最终地址解析，NSAE根据具体设置来选定适当的ISP线路，如果选择ISP1，则将地址解析为100.10.1.10。同样，如果选择ISP2，则将地址解析为200.20.1.10，从而完成流入流量的负载均衡。

采用SmartDNS时，LLB支持的负载均衡算法包括：  Round Robin

NSAE顺序的将多个ISP的IP地址作为每次用户解析请求的返回值。  Weighting Round Robbing

NSAE为每个ISP的IP地址设定一个加权值，并根据加权值顺序的选择多个ISP的IP地址作为每次用户解析请求的返回值，权值大的ISP 的IP地址被选择的次数多。通过此算法，企业可以在多条带宽不同的链路间合理分配流量，带宽高的链路权值大，因此承载的流量就高。  Shortest Response Time

对于流入的流量，NSAE使用与流出流量相同的最短响应时间判断机制，选择最佳的流入流量传输路径，进行最终的解析地址。  Source IP-Based Routing

根据企业网络的特点，NSAE还提供基于每个数据流的源IP地址的路由选择算法。NSAE会检查每个用户解析请求的源IP地址是否属于预先设定的一个地址范围，若是，则选择某一个ISP的IP地址作为该次用户解析请求的返回值。通过此算法，企业可以设定源IP地址属于教育网范围的，通过教育网的链路流入，其他流量则通过另一条链路流入。 3.1.3.2 Outbound

Outbound：从内部网通过多条专线链路连接的NSAE访问互联网对于流出流量的智能地址管理，NSAE使用了称为SmartNAT的算法。当选定一个路由器（某一个ISP）传送流出流量时，NSAE将选择该ISP提供的地址。如果NSAE选择ISP1作为流出流量的路径，则它将把内部的主机地址192.168.1.A/24翻译为100.10.1.10/24，并作为流出数据包的源地址。同样，如果NSAE选择ISP2作为流出流量的路径，则它将把内部的主机地址

192.168.1.A/24翻译为200.20.1.10/24，并作为流出数据包的源地址。采用SmartNAT时，NSAE支持的负载均衡算法包括：

 Round Robin

NSAE顺序的选择多个出口链路作为每个数据流的流出路径。  Weighting Round Robbing

NSAE为每个出口链路设定一个加权值，并根据加权值顺序的选择多个出口链路作为每个数据流的流出路径，权值大的链路被选择的次数多。通过此算法，企业可以在多条带宽不同的链路间合理分配流量，带宽高的链路权值大，因此承载的流量就高。  Shortest Response Time

为了优化流出的流量，NSAE还为流出的流量实施最快响应时间运算。如果内部主机要访问某一Internet站点，可能通过一个ISP的路径比通过其他ISP的路径有效。因此，NSAE可以提供最短响应时间算法，为流出到某一个站点的流量选择最佳的ISP路径，保证所需内容最快到达目的地，提高服务的品质。  Destination IP-Based Routing

根据企业网络的特点，NSAE还提供基于每个数据流的目标IP地址的路由选择算法。NSAE会检查每个流的目标IP地址是否属于预先设定的一个地址范围，若是，则选择某一条特定链路作为该数据流的流出路径。通过此算法，企业可以设定目标IP地址属于教育网范围的，通过教育网的链路流出，其他流量则通过另一条链路流出。

NSAE通过端口Mnet或VLAN功能的配置，能够同时支持128条链路实现链路负载分担功能。支持各种速率的链路，比如DSL, Cable Modem, T1/E1；支持多宿主的结构；负载均衡算法: RR、WRR、SRT、PBR；可以和NAT一起工作。

同时通过策略路由(Eroute)功能，能够更好的满足用户对路由功能的要求。

3.1.4 全局服务负载分担（GSLB）

前面提到的SLB（服务器负载均衡）是指能够在性能不同的服务器之间进行任务分配，既能保证性能差的服务器不成为系统的瓶颈，又能保证性能高的服务器的资源得到充分利用。

NSAE的全局服务负载分担（GSLB）技术解决异地容灾问题。GSLB允许Web网络托管商、门户站点和企业根据地理位置分配内容和服务，通过使用多站点内容和服务来提高容错性和可用性，防止因本地网或区域网络中断、断电或自然灾害而导致的故障。

用户希望其资产能够全天候为其工作。对于要确保提供IP服务的企业资产能够随时可用的产品来说，必须要同时提供基于服务质量的高可用性和完善的负载平衡功能。采用不能提供高可用性的负载平衡产品将会影响对您IP服务的投资带来最大收益。

因此，用户必须要同时提供基于服务质量的高可用性和完善的负载平衡功能。NSAE的GLSB可提供基于服务质量的高可用性，从而确保用户站点持续

运行，并使其IP服务基础设施投资获得最大回报。

NSAE的GLSB用以向用户提供分布于不同地理位置的用户总部和营业部的高可用性和智能化业务及流量分担解决方案。 3.1.4.1 GSLB的工作方式

NSAE GSLB的工作方式如下： 1、 2、 3、 4、

用户向LDNS发出www.infosec.com.cn解析请求； DNS把请求送到NSAE上授权SDNS； NSAE选择合适VIP地址响应请求；

用户利用VIP建立TCP连接，再通过SLB，NSAE把用户的请求送给服务器。

NSAE GSLB的目的是在多个可提供相同服务的站点之间，根据相应的分配策略将用户请求“路由”到合适的站点上。对GSLB而言，最重要的一点是每一个NSAE设备需要知道其他NSAE设备所掌握服务、链路、系统状态信息，这一点通过NSAE状态信息通信协议（SICP）来完成的。SICP是NSAE公司的私有协议，主要完成GSLB组中状态信息的交换，需要利用SLB、LLB的健康检查和状态监测功能。

在GSLB中的NSAE每2秒（可配置）互相交换健康状态信息，每30秒（可配置）互相交换本地服务器负载、链路负载、网络状况信息。这些状态信息主要包括：链路可用性－LLB、实服务可用性－SLB、虚服务可用性、集群状态。

3.1.4.2 GSLB的负载平衡算法

GSLB的核心是负载均衡算法，它支持非常丰富的算法，包括以下三大类：一般性算法、基于（链路、网络、系统、服务）负载的算法、基于与用户距离的算法等。

 一般性算法

－Round Robin Load Balance：轮询负载平衡算法。

 基于（链路、网络、系统、服务）负载的算法

－Global Link Load Balance

－Member-based Weighted Round Robin Load Balance －Site-based Weighted Round Robin Load Balance －Connection Overflow Load Balance

－Member-based Volume Overflow Load Balance －Site-based Volume Overflow Load Balance －Member-based Hit Overflow Load Balance －Site-based Hit Overflow Load Balance －Response Time based Load Balance  基于与用户距离的算法

－Proximity Load Balance －Least Hop Load Balance －Least Latency Load Balance

3.1.4.3 GSLB的Smart DNS

Smart DNS通过其内置的IP地址／地域／网络对应表来实现用户的就近访问策略，当位于不同位置的Local DNS请求到达的时候，SmartDNS根据对用户的Local DNS策略判断用户所处的位置，返回距离用户最近的镜像站点的IP地址。

SmartDNS通过智能状态检测功能实现对链路、服务器健康状态的检测。检测的策略可以为ping、TCP端口检测和内容检测，真正的检测服务器和链路的健康状态。对于因故障或检修而停止服务的服务器和链路从负载均衡组中摘除，并继续检测链路和服务器的状态，一旦该链路或服务器恢复健康，则将其继续加入负载均衡组。

在网络状况复杂，用户要求较高的状况下，SmartDNS可通过在镜像站点安装Probe探针软件来检测从各镜像站点到达用户Local DNS的速度，通过自我学习建立全网网络状况表，配合智能检测功能来实现用户的最快访问策略。在SmartDNS的内部，采用矩阵算法，对服务器健康状态、网络健康状态、用户IP地理位置等参数进行综合计算，判断返回给用户的最佳镜像站点IP地址，使用户始终能得到最佳的网络服务。 3.1.4.4 灾难恢复（Disaster recovery）

NSAE 的灾难恢复是指在两个地理上分离的站点之间提供服务可靠性的策略。其中一个站点作为主站点（Primary Site），另一个作为备份站点（Backup Site）。当主站点工作正常时，所有流量通过主站点；当主站点发生故障时，NSAE的灾难恢复功能就会把所有请求转到备份站点，备份站点来处理主站点所有的网络请求；当主站点故障恢复时，NSAE会把所有的请求转回到主站点上。

3.1.5 其他功能

3.1.5.1 内置防火墙（Webwall）

内建基于状态检测的的防火墙－Webwall，对比其他基于ACL的防火墙产品，NSAE的Webwall具有独特的加速算法，使得ACL条目的增加不会影响整个系统的性能。基于NSAE强大的处理性能（每秒可支持1,000,000并发连接），Webwall可抵御DOS、SYNC Flood、Buffer Overflow Attacks、Parser Evasion Attacks、Directory Traversal Attacks等恶意攻击。来自Client端的任何连接请求都不会直接发到后台服务器，从而保证了整个系统的高安全性。

Webwall可从以下几方面有效保护您的服务器：  支持应用层URL的过滤；  基于包状态检测的防火墙；

 支持NAT的功能，使内部用户能访问Internet的资源；

 端口的 Forward 功能，使用户能远端对服务器进行管理，能把常用的端口

映射到服务器的任意端口(端口映射)。常用的端口，比如80，443，20，21能映射到服务器任何端口。这个能提供更高的安全性,让闯入者很难知道哪些服务运转在哪个端口；

 WebWall功能启动后，它将关闭所有的访问，除非用户显式地打开；  NSAE支持多达1000个访问控制列表，仅消耗1％的CPU资源；  通过HTTPS或SSL远端管理，使用SSH命令行或以HTTPS来做浏览器

界面管理；

 支持SSL的安全访问。 3.1.5.2 集群（Cluster）

传统的四层设备，仅支持二台设备工作在HA方式下，支持Active/Active、Active/Standby工作方式，因此四层设备可靠性，可扩展性，网络吞吐量都受到限制。但四层设备是关键设备，许多四层设备厂家都没有很好解决这些问题。

NSAE提供1＋1 和N＋1 的冗余配置模式，可以工作在Active/Standby

方式。

 Active/Standby方式

在Active/Standby方式，一个Cluster中某个NSAE设备的所有VIP都是主VIP，其他NSAE中的VIP都是备份VIP。当主设备故障时，备份设备转换为主设备。如图所示：

图中，Infosec1为主设备，处理SLB流量，Infosec2为备份设备，监听Infosec1的广播，当Infosec1发生故障时，Infosec2就会接管Infosec1上的所有流量。  Clustering 工作原理

 利用 IP Multicast (224.0.0.18) 进行广播，默认值：每3秒一次；  具有最高优先级的成为Master，若一个备份的NSAE具有最高优先

级，它就成为Master；

 一个备份NSAE在3 秒内，没在听到Master的广播，它宣布成为

Master；

 只在Master的NSAE的VIP响应ARP请求；

 每个设备独立的流量的处理，同时又监视本Cluster中其它设备的工作

状态；

 利用VRRP的技术实现（ VRRP－虚拟路由冗余协议， RFC 2338）。

3.1.5.3 快速缓存（Cache）

Cache技术--解决访问速度缓慢问题

基于内存的反响代理Cache功能。通过Cache功能的应用，NSAE产品能够在内存中以数据包的形式Cache住网站页面中所有可以被Cache住的内容。当用户访问请求发送到NSAE时，如果Cache中的内容能够匹配用户的访问请求则直接由NSAE来响应用户的访问，从而避免了对后台服务器的负载压力，在减小了后台服务器负载的同时，提高了对用户的响应速度和整体网站的处理能力。

 Reverse Proxy Cache

 兼容HTTP 1.0 和HTTP 1.1；

 被Cache的内容以 “Frame” 格式存贮，而不是以文件存贮，从而

快速存取，仅仅数据以“Frame”格式保存；（剥去了Etherent，IP&TCP的报头）

 内容保存于RAM，具有更快的存取速度；  Cache 内容能手动删除；

 内容能容预先装入 (recursive pre-load)；

 利用“GET if modified:” 请求，在后台对内容进行有效性验证；  仅 HTTP GET 请求由Cache Engine处理，其它请求Forward到 SLB

处理；

 请求含有Cookies 由 SLB 处理。响应含有Cookies的根据报头的

Cache控制信息处理；

 HTTP无Cache控制报头，自动Cache，通过人工删除Cache的内容；  支持LOG Squid 格式 (messages sent via Syslog)。  Re-use 连接

 为了提高NSAE和服务器的性能，在NSAE与服务器之间建立持续的

TCP连接，从而NSAE不用为每个需要与WEB服务器连接的请求，建立新的连接；

 NSAE与Web服务器之间，预先建立20个TCP连接，用于转发用户

的请求到WEB服务器，一个连接能转发95 个用户请求。 Cache 功能在加速用户访问的同时，减轻服务器的负担。 3.1.5.4 压缩（Http压缩）

窄带访问应用的访问速度和服务质量的保证一直是网站推广和扩大用户访问所急待解决的问题。通过NSAE产品中HTTP压缩功能的应用，能够提高网站访问的通信质量，在向窄带宽用户提供很高的通信质量的同时，还能够极大的节约网站互联网接入带宽消耗。

采用HTTP压缩的优势：  节省带宽；

 缩短用户下载内容的时间；

 在Web Server上不需要压缩功能，减轻了Web Server的负担。下图是采用HTTP压缩前后的带宽利用率比较：

由图可以看出，在15.1Mbps带宽下：

 没有采用HTTP压缩时，每秒可以处理2000个HTTP请求；  采用HTTP压缩时，每秒可以处理20000个HTTP请求。

3.2 部署方式

NSAE产品部署方式灵活可以采取单臂及双臂部署方式。可以灵活的根据客户现有网络架构进行部署，尽量减少了客户现有网络的变动，保证了整个网络的安全性及稳定性。

单臂方式部署如图

双臂方式部署如图

3.3 产品优势

 优化操作系统

不同于其他安全代理网关设备，NSAE具有本公司优化、定制的Infosec OS 操作系统，实现内核级的应用处理从根本上解决了潜在的应用性能障碍，最大程度发挥其最高的性能，使整个架构的延迟得以降低，从而提升整个系统的性能。

其它厂家系统架构信安世纪系统架构

 连接复用

连接复用的主要作用是为了改善现有系统的总体性能，其技术原理是自动实现HTTP 1.0到HTTP 1.1的转换；TCP/IP协议栈在处理长连接时具有更好的性能；将Web流量的多个短连接合并为一个长连接，改善了服务器的性能。  安全性

内建的应用安全防火墙确保网络真正的安全，高性能的访问控制列表（ACL），网络地址翻译（NAT）以及基于状态的数据包检测，使来自客户端的任何连接请求都不会直接发到后台服务器，不仅抵御了非法访问和Dos攻击，而且可以阻止某些解决方案无法发现的应用层攻击，从而保证了整个系统的高安全性。

原始数据均进行了加密处理，关键信息无法被第三方窃取或篡改，有效地保护服务器和应用的安全，同时还支持1024 位的非对称加密算法和128 位的对称加密算法，应用数据传输更加安全可靠。

 功能丰富，满足不同用户的多种应用需求

NSAE是集多种功能于一体的新型应用设备，不同于以往单纯的应用安全网关，不再仅仅局限于应用安全代理，还有负载均衡、集群、应用安全防火墙、高速缓存等多种功能，用户可以根据需要灵活定制，以获得最佳的解决方案，来最大程度满足多种应用的需要，改善、优化企业应用服务，从而保证其可靠性和安全性。

 降低成本和复杂性

NSAE一个产品提供用户所需的诸多功能，通过集成化的服务系统，减少了用户的投入，节省了日后扩展功能所需的各项投资；不必为多个产品带来的复杂配置，增加客户的管理成本，并能够避免多产品引发的兼容性问题；同时也降低了整体成本和数据中心的复杂度，提高了应用的处理能力，为用户提供了全新的易用、高效、稳定的保障信息安全的屏障。

 良好的开放性

支持标准的HTTP/SSL/TLS协议和标准的PKCS10证书请求、X509V3证书，可以进行HTTP代理、HTTPS代理和C/S代理，并且可以同时建立以上三种安全连接，使得应用更方便。

 易用性

NSAE安装简单，可以通过Web 图形管理界面或者人性化的命令行界面进行直观的配置和管理。客户只需要通过支持SSL/TLS协议的IE或者NetScape的浏览器访问资源，无须安装任何客户端程序，使用步骤与普通的网页浏览没有任何区别，对于普通的计算机使用者这种访问方式简单易行、无需维护。

网络管理员通过提供Web管理界面和命令行方式操作，通过监测自身的系统参数状态，保障服务正常进行。实时监控图表为排查问题、决策分析等提供参考依据。

 高可用性

实现多台服务器的负载均衡，监控和同步服务器提供的内容，确保客户获取到准确可靠的内容。提供服务器在线维护和调试的手段，实时监控服务器应用系统的状态，并智能屏蔽故障应用系统，从多方面提升系统的可靠性。

 卓越的性能表现

通过采用多种性能增强技术，将提供的所有功能集成在一起，极大的优化了各功能处理过程，从优化自身操作系统、SSL加速、基于内存的缓存以及HTTP软硬件压缩等多方面提升服务器性能，实现数据库动态管理，从而保证应用和服务高速、可靠、稳定的运行。

 多种访问控制模式

拥有内建的访问控制策略，可以实现复杂和专业的访问控制，可以对资源进行更有效的保护，以及对用户进行有效管理。

 协同认证

NSAE可以将用户用于建立SSL连接的数字证书的信息（例如证书的主题、序列号、有效期等）传递给后端的应用程序服务器，从而实现用户只使用数字证书而不使用用户名/口令就可以登录到应用系统的证书协同认证方式。

第4章技术特性

4.1

功能产品特性

NSAE 应用加速 B/S代理支持支持支持支持支持支持支持支持支持支持支持支持支持 DES、3DES、RC4、AES RSA MD5、SHA-1 Available 代理类型 C/S代理身份认证双向身份认证 HTTP参数转发方式 HTTP头中属性转发方式 HTTP信息转发 COOKIE转发方式用户证书信息的解析与转发 HTTP协议解析请求重定向重定向响应重定向多种访问控制模式访问控制策略证书主题和时间要素的控制拒绝访问级别(对时间段以及访问级别的限制) 对称算法加密算法非对称算法摘要算法

自带CRL验证模块黑名单验证每个信任CA单独配置CRL验证机制负载均衡二层负载均衡，基于MAC或IP 三层负载均衡，基于IP 服务器负载均衡支持支持支持支持四层负载均衡，基于IP + Port (或IP范围)；TCP等支持七层负载均衡，基于HTTP Redirect、HTTP URI等支持 Inbound 链路负载均衡 Outbound SmartDNS 全局服务负载分担灾难恢复附加功能防DOS 、SYNC Flood等恶意攻击防火墙基于包状态监测快速缓存基于内存的缓存机制 N+1冗余模式集群备份 Active/Standby方式 Active/Active方式软件压缩 HTTP压缩硬件压缩实时监控实时监控图表 SSH CLI 连接方式 Console CLI Web GUI NSAE10000以上支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持 NSAE产品规格表

4.2

型号硬件特性

NSAE1000 特性内存基本特性端口 512MB 固定的含有 2个10/100/1000M端口 NSAE2000 NSAE10000 NSAE20000 1GB 固定的含有 2个10/100/1000M端口 4GB 缺省含有2个10/100/1000M端4GB 裸机包含4个以太端口，最多6个端口。配置时需接口口，还可加一个扩展要明确指出配置的网络机箱物理特性尺寸 1U（标准19’’）宽×长×高 17’’×15’’ ×1.75’’ 单 1U（标准19’’）宽×长×高 17’’×15’’ ×1.75’’ 单 100-240VAC,63-47Hz ,自动选择 1U（标准19’’）宽×长×高 17’’×15’’ ×1.75’’ 单 3U 宽×长×高 17’’×23.5’’ ×5.25’’ 双电源电气电特特性性工作 100-240VAC,63-47Hz,自动选择 100-240VAC,63-47Hz,自动选择 100-240VAC,6A,50-60Hz,自动选择 0°C-40°C 工作环境温度相对湿度 0%-90% 无冷凝 0°C-40°C 0°C-40°C 0°C-40°C 0%-90% 无冷凝 0%-90% 无冷凝 0%-90% 无冷凝 NSAE硬件特性

端口配置端口型号固定的含有 2个10/100/1000M端口 NSAE1000 固定的含有 2个10/100/1000M端口 NSAE2000 SSL 加速功能时会配置SSL 硬件加速卡，不能配置硬件压缩功能 SSL 加速功能时会配置SSL 硬件加速卡，不能配置硬件压缩功能扩展

缺省含有2个10/100/1000M端口，还可加选择如下的一种配置：  NSAE10000    2×1000Base-SX Fiber 4×10/100/1000M Copper SSL 硬件加速卡（选择SSL加速功能时自带） HTTP 压缩卡（选择压缩功能时自带）选了SSL 硬件加速或者HTTP压缩卡，则只能配置缺省的2个电口卡，不能再配置其他接口卡缺省配置4个以太端口，最多6个端口。配置时需要   NSAE20000       2 Copper 10/100/1000M Ethernet Ports 2 Fiber Gigabit Ethernet Ports 4 Copper 10/100/1000M Ethernet Ports 4 Fiber Gigabit Ethernet Ports 2 Copper and 2 Fiber Gigabit Ethernet Ports 6 Copper 10/100/1000 Ethernet Ports 6 Fiber Gigabit Ethernet Ports 4 Copper & 2 Fiber Gigabit Ethernet Ports 2 Copper & 4 Fiber Gigabit Ethernet Ports 选择左列中端口的同时，仍然可以同缩卡明确指出配置的网络接口，可以选择如下中的一种：时选择SSL加速卡和HTTP硬件压NSAE端口配置

4.3 性能特性

NSAE1000 650Mbps 5000 NSAE2000 1Gbps 35,000 NSAE10000 1.2Gbps 50,000 NSAE20000 3.2Gbps 100000 性能型号吞吐量 HTTP请求/秒支持后台服务器组200 数量 TCP连接/秒 40,000 (并发连接数) SSL握手能力 SSL处理能力 SSL吞吐量 4000TPS 6000次/秒 200Mbps 2000 2000 4000 500,000 2,000,000 2,000,000 4000TPS 12000次/秒 500Mbps 32000TPS 20000次/秒 750Mbps 32000TPS 35000次/秒 900Mbps NSAE性能特性

第5章总结

优质的产品、完善的功能、稳定的产品性能及良好的信誉保证了信安世纪NSAE系列产品在中国市场的良好前景。

信安世纪NSAE系列产品经过了各行业用户最严格的平台应用测试及稳定性测试，通过产品的部署保证了用户在网络及应用关键部位的安全及稳定性。实现了客户投资利益的最大化。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文