某拍卖公司NetScaler应用安全
用户背景:
某拍卖公司是目前国内有影响的拍卖公司之一。从1997年起,公司已连续6届被上海市人民政府命名为{文明单
位},被上海市工商局命名为百家{重合同守信用}、国家工商总局命名的全国{守合同重信用}企业,上海市工商管理局{守合同重信用}企业,中国拍卖
行业协会2008-2010年度AAA级资质拍卖企业,瑞士SGS公司ISO9001:2000质量体系认证(并通过年度的质量认证),上海市合同信用促进会{合
同信用AAA级}企业。被业内外公认为行业领军企业,也是国内拍卖业获得荣誉很多的企业之一。
业务技术挑战:
某拍卖公司在拍卖过程中,系统面临的挑战:
1、某拍卖公司产品拍卖系统在拍卖期间面临外在大流量的拒绝服务攻击,曾经出现外网口拥堵,正常拍卖者无法登录系统,导致低价中标现象;
2、某拍卖公司产品拍卖系统https访问压力很大,高峰期后台服务器处理SSL流量加密、解密工作负荷很大,影响系统的稳定性;
3、对产品系统的访问控制权限都是通过windows 自身防火墙来做限制,当有大量并发用户访问时,增加访问控制列表增加系统开销;
解决方案概述
优网信息科技(上海)有限公司为某拍卖公司重新规划了系统架构,通过部署Citrix NetScaler 9010解决了拒绝服务(DDos)攻击的威胁,卸载了后台服务
器处理SSL流量加密、解密工作的负载,卸载了客户端与服务器的TCP连接,通过NetScaler ACL功能,控制用户对拍卖系统的访问权限,使系统的健壮
性大幅提高。
拍卖系统部署图
实施带来的效果:
某拍卖公司实施应用安全交付架构后,整个系统的使用发生很大的变化:
1、NetScaler特有的拒绝服务(DDOS)攻击处理机制,使得拍卖系统面临黑客大流量的拒绝服务攻击时能够正常对外提供
服务,而且攻击数据包不会传输到服务器,全部被NetScaler来处理;
2、通过NetScaler的TCP offload功能,卸载大量客户端与服务器的TCP连接,比例可达20:1以上,大量减轻后台服务器负载;
3、利用NetScaler 专门为SSL加密、解密设计的芯片,把https流量的加密、解密工作由NetScaler来负责,大量减轻服务器负
载。说明:用户与NetScaler之间是加密流量,NetScaler与服务器之间即可加密也可明文传输。
4、通过NetScaler的ACL功能,控制非拍卖期间用户的访问权限。
5、NetScaler的SSL VPN功能为该公司维护后台服务器带来方便,同时确保访问的安全性;