3. TCP Client
Full Proxy
5 wesentliche Begriffe
TCP Backend
Der "Full Proxy"
Ansatz bietet einen
immensen
Funktionsumfang!
1. VServer: Nimmt Anfragen der Clients entgegen (20)
2. Service (Backend): Netzwerk Endpunkt an den der NetScaler weiter leitet (21)
3. Monitor: Prüft periodisch die Funktion des Backend-Services (29+)
4. Load Balancing Methode: Auswahl des Services zur Weiterleitung (15+)
5. Persistence (Stickiness): Client wird immer an selben Service geleitet (9+)
4. Schlüsseltechnologien für Anwendungsbereitstellung
B2C
B2B
P2P
Verfügbarkeit
•
Performance
Load Balancing
•
Information auf Layer 3 (IP) / Layer 4 (TCP/UDP)
entscheiden, auf welche Services weitergeleitet wird
•
Content Switching
Information auf Layer 7 (HTTP, FTP, DNS, RADIUS, TCP, UDP…)
entscheiden auf welche Gruppe von Backend-Services
weitergeleitet wird
Sicherheit
Surge Protection + Sure Connect
Server arbeiten effektiver: Vermeidung von Lastgrenzen und
Warteschlangen (Surge Queue)
•
Global Server Load Balancing (GSLB)
Verteilung des Verkehrs durch intelligente Namensauflösung
des NetScalers
5. IPv4/v6 Mixed Mode
NetScaler ermöglicht
die schrittweise
Migration von IPv4
auf IPv6, da er den
Mischbetrieb
unterstützt…
Gemischter
IPv4/IPv6
Support
6. Schlüsseltechnologien für Anwendungsbereitstellung
B2C
B2B
Verfügbarkeit
•
TCP Offload
Performance
•
Befreit Server vom Verbindungs-Management
•
HTTP Compression
Daten-Komprimierung vor Daten-Auslieferung
• Integrated Caching
NetScaler als Caching Instanz im Netzwerk
Sicherheit
Erweiterte TCP-Optimierung
Wesentlich effizientere Verbindungen
durch TCP-Windows Scaling, SACK und TCP-Buffering
•
SSL Offload
Übernimmt CPU intensive Entschlüsselungs-Aufgaben für
Backend-Server
7. Am VServer kommen alle Funktionen zusammen und
der Visualizer gibt eine Gesamtbild der Konfiguration
Konfiguration via
Drag&Drop
… Visualizer auch für GSLB,
Network, WAF…
8. HTTP Callout – Externe Information steuern die
NetScaler Funktionen
NetScaler leitet Teile des Client Requests auf den Callout Server und wertet dessen
Response auf bestimmte Inhalte hin aus. Integrierbar in
HTTP/TCP-ContentSwitching, Rewrite, Responder, Token Loadbalancing-Methode.
Anwendungsfälle:
• IP blacklisting
• SPAM verification
• Access control
• Identify management integration
• Custom content rewrite
• UDDI access
• Format loading
9. AppExpert Rate Limiting
… ermöglichen die Isolation von kritischen Applikationen und Objekten
User(s)
Rate
• IP Address
• Requests
• IP Range/Subnet • Packets
• Cookie Value
• Bandwidth
• Wildcards
• Any header
or payload…
Time
• Measured in
milliseconds
Object
• Vserver IP
• URL/URI
• Image
• File
• Any header
or payload…
Action
• Throttle
• Invoke Policy
•
•
•
•
Responder
Rewrite
Cache
etc.
• Alert
• Log
• Trap
10. Schlüsseltechnologien für Anwendungsbereitstellung
B2C
B2B
Verfügbarkeit
•
Performance
Schutz auf Application Layer
•
Schutz vor Datendiebstahl und Ausnutzung von
Sicherheitslöchern
•
DoS-Abwehr
DoS-Schutz durch Full-Proxy-Architekur, Verhinderung von
HTTP-DoS-Angriffen
Sicherheit
Filtering, Rewriting und Responder
Granularer Filter in Hin- und Rückrichtung. HTTP Inhalte
können modifiziert, direkt beantwortet oder umgeleitet
werden – NetScaler als „Simultan Dolmetscher“
•
SSL-VPN (AGEE)
Verschlüsselung, Authentifizierung, Autorisierung und
Endgeräte-Scan VOR dem Einlass in das Netzwerk
11. Warum Sicherheit für Web Applikationen?
DATEN
• Finanzberichte
SQL Injection
Information Leakage
Cross-Site Scripting
HTTP Response Splitting
Path Traversal
• Kreditkarten-Infos
• Kundendaten
• Mitarbeiterdaten
• Patientendaten
Web App Users
Network Firewalls
Internet
82%
• Persönliche IDs
Web Apps
aller Attacken zielen heute
auf Schwachstellen von Applikationen - Gartner
…
12. WAF(Web Application Firewall) - Hybrid Security Model
• Optimaler Schutz durch Kombination beider Security Ansätze
Positiv
Hybrid
Negativ
Schutz vor
•Schutz vor Day-0 bekannten(1200 "on
•Schneller aktiver
Angriffen
board"-Signaturen) Schutz vor bekannten
•Erfordert Lernen und unbekannten Angriffen
der Applikations
•Erfordert Pflege von
Angriffen (19 Security
Strukturen
Signaturen
Checks)
13. Den Applikationen angepasster Schutz durch
19 WAF-Methoden (Security Checks)
bi-direktional
durch “URL-Closure“
bi-direktional
bi-direktional
Import von WSDL und
XML Schema Files
14. Scanner für Applikations-Sicherheitslücken
• Während eines Scans erstellte Signaturen lassen sich im NetScaler verwenden
Regelmäßige Scans
= Geschützte Website
+ Import der Signaturen
in NetScaler
•
•
•
•
•
Cenzic
Qualys
WhiteHat
IBM AppScan
Trend Micro
15. Rewrite – NetScaler als „Simultan Dolmetscher“ in
Hin-(Request) und Rückrichtung (Response)
ohne Rewrite HTTP DATA
mit Rewrite
INSERT_BEFORE
… CN-testpage …
ANFANG
REPLACE_ALL
… Citrus-Networks-testpage …
INSERT_AFTER
ENDE
ohne Rewrite HTTP
mit Rewrite
HEADER
HTTP/1.x 200 OK
Content-Type: text/html
Content-Location: http://192.168.66.33/index.htm
Last-Modified: Fri, 09 May 2008 14:11:01 GMT
Accept-Ranges: bytes
Etag: "98d5983deb1c81:2fb"
Server: Microsoft-IIS/6.0
DELETE_HTTP_HEADER
X-Powered-By: ASP.NET
Date: Tue, 10 Jun 2008 21:23:52 GMT
INSERT_HTTP_HEADER
Cache-Control: private
Content-Encoding: gzip
Content-Length: 77
----------------------------------------------------------
Rewrite
auch für
TCP
HTTP/1.x 200 OK
Content-Type: text/html
Content-Location: http://192.168.66.33/index.htm
Last-Modified: Tue, 10 Jun 2008 14:36:27 GMT
Accept-Ranges: bytes
Etag: "50fa565d7cbc81:2fb"
X-Powered-By: ASP.NET
Date: Tue, 10 Jun hallo-welt-2013...!
netscaler-header: 2008 21:28:11 GMT
Cache-Control: private
Content-Encoding: gzip
Content-Length: 97
----------------------------------------------------------
16. NetScaler hilft bei der ERSTELLUNG und der
PRÜFUNG der Expression mit dem Evaluator
17. AAA-TM – NetScaler als multifunktionale
Authentication Instanz, inkl. SSO (Basic+FormBased)
Client bekommt erneuten „HTTP Redirect“
zu seinem ursprünglichen Ziel, hat jetzt aber
das Cookie im Bauch
https://mail.firma.de
https://aaa.firma.de
/vpn/tmindex.html
Client verbindet sich auf sein
gewünschten Ziel-VServer
https://mail.firma.de/owa/
Client bekommt „HTTP Redirect“ zum
AAA-VServer und bekommt nach
erfolgreicher Anmeldung einen
Authentication-Cookie
https://mail.firma.de/?4711
Authorization Policies regeln den Zugriff
ins Backend, Traffic Policies das SSO zum
Backend
18. The SSO Game
HTTP Basic
HTTP Basic
FormBased
FormBased
NTLM
SmartCard
Constrained
Kerberos
Delegation
SAML
19. AppFlow - Applikations Visibilität durch
NetScaler
3rd Party
Analysis Tools
Action
Analytics
NetScaler
Insight Center
Cloud
Enterprise
Der NetScaler als "Datensammler" und Analyse Tool
NetScaler generiert mit seiner AppFlow Funktion eine Fülle von Daten, die einen
detaillierten Blick auf das Applikation Verhalten ermöglichen
Mit "NetScaler Insight Center" können diese Daten sehr einfach dargestellt werden
Desktop
20. NetScaler TriScaleTM Technology
“Grow capacity upto 5x. No New Hardware.”
“40:1 footprint reduction. No Compromises.”
Elasticity with
Pay-As-You-Grow
Thebes:
5550 0,5G
5650 1G
Rome:
8200 2G
8400 4G
8600 6G
Corinth:
11500 8G
13500 12G
14500 18G
16500 24G
18500 36G
20500 42G
Galata:
17550 20G
19550 30G
20550 40G
21550 50G
Scale Up
Simplicity with
Many-In -One
“Megabits to Terabits. Zero Downtime.”
Expandability with
Add-and-Go
Scale Out
21. 100 Gbps
NetScaler Performance
50 Gbps
Paygrow
Platform Performance
MPX/SDX
22040 to 22120
40Gbps – 120Gbps*
500k (2k) SSL TPS
80 Instances*
All platforms can be
license upgraded
across their
supported ranges.
NEBS Available
MPX/SDX
11500-20500
30 Gbps
8Gbps – 42Gbps
9k – 45k (2k) SSL
20 Instances
10 Gbps
NEBS
Available
MPX/SDX
8200-8600
5 Gbps
2Gbps – 6Gbps
4k – 6k (2k) SSL
1 Gbps
Single-tenant
VPX
10Mbps –
3Gbps
MPX 5550-5650
Next GenPlatforms
500Mbps-1 Gbps
Multi-tenant Capable
1
* Roadmap, Q3’2013 – subject to change
5
20
Maximum Tenants per Platform
80
FIPS Platforms
22. Scale In
NetScaler SDX - die Multi-Mandanten Lösung
• Isolierte Instanzen, keine Partitionen
• Memory, CPU Isolation
• Version/Lifecycle Unabhängigkeit
• Separates Routing
• Getrennter IP Stack
• Unabhängige Connection Table, ACLs, etc.
• Netzwerk Isolation
• Separate Lizensierung und Versionierung
• Integrierte Service VM
• 2-80 Instanzen auf einer Plattform
24. Software Defined Networking is the Future
• Flat L2/L3 network fabrics
• Logically organized
Brought to you by…
Virtualized
26
Server 8
Server 7
Server 6
Server 5
Server 4
Server 3
Server 2
Server 1
Flat L2/L3 Network
•
•
Flexible tiered topologies
Multitenant isolation
• Transparent service
insertion
25. Defining App-Aware & Advanced SDN
….
Visibility
Firewall
Mobility
Virtual
Switches
Programmable Elements
27
Application Control
Citrix
Network Control
Cisco 1000V
Nicira
Big Switch …
Control
Orchestration
Physical
Switches
•
Data
Cloud Bridging
WAN Opt
ADC
•
•
Participate
• Support overlays (VXLAN, NVGRE)
Integrate
• Simplified USIP, transparent modes
• Cluster flow distribution
• Flow cut-through
Extend
• L7 policy control
• L7 visibility
29. Support for NSX - Future
Allows integration
of NetScaler into multiple
cloud management systems
• NetScaler Control Center
• A new product component for cloud
orchestration
CloudStack
• NetScaler Control Center integration
with VMWare vCloud Networking and
Security
• NetScaler products will be part of the
official, certified eco-system of
VMWare vCloud Networking product
suite.
VMware
vCloud/NSX
OpenStack/
Quantum
NetScaler
Control
Center
Nitro API
32. Native Mail Client – technischer Background
• Active Sync to Exchange CAS Server
• Minimal Device Management mit MSFT Exchange
• Microsoft empfiehlt SSLOffloader und Loadbalancer
3
34. CNS als ActiveSync Filter
• Mit SSL Offloading kann man im ActiveSync aus der URL auslesen
◦ Device Type (incl OS)
◦ Device ID
◦ Benutzername
◦ Post Request:
• POST /Microsoft-Server-ActiveSync?Cmd=Sync&User=user4%40citrix.lab
&DeviceId=SEC12212D232B606&DeviceType=SAMSUNGGTN8000 HTTP/1.1rn
37
35. Statische Lösung für DeviceID Auswahl
• Wenn nur ein Gerätetype als
„CorporateDevice“ zugelassen ist,
kann man das leicht als Kriterium
definieren
• Oder zum Testen:
Alles was nicht „User=user4@citrix.lab“ in der
URL enthält DROP
HTTP.REQ.URL.QUERY.CONTAINS("User=user4%40citrix.lab").NOT DROP
3
36. Was bringt XenMobileConnector?
Kein statischen Filter auf dem NetScaler, sondern dynamische MDM Datenbank
1.
ActiveSync über CNS VServer zu CAS Server
2.
NetScaler schickt HTTP Callout zu XNC mit
Informationen aus dem ActivceSync Request
3.
XNC “fragt” MDM zur Entscheidung: Gut/Böse
◦ Callout Response kann zur Verbesserung der Performance auf dem
NetScaler gecached werden (zB: Nachfrage an MDM nur alle 5min)
3
37. Was ist XenMobile NetScaler Connector?
• Windows Excutable
• Installation auf XDM oder anderem
Windows Server (kein IIS notwendig)
• Ports:
ᵒ 9080 für HTTP web service
ᵒ 9443 für SSL web service
• Geht (zum Test) auch ohne MDM
38. XNC - NetScaler configuration
• VServer für HTTPCallout
• HTTP Service zu XNC Server
auf TCP port 9080
• Bind Services
• Bei Hochverfügbarkeit
ᵒ RESTful calls sind “atomic”
ᵒ Keine Persistence notwenidig
einfache Hochverfügbarkeit
(2xXNC)
39. ActiveSync Filter Callout
• NetScaler schickt Requests zu XNC
via HTTPCallout
• Sinnvoll: Benutzung des Wizzards
ᵒ Request Attributes
• GET request
• host expression
“callout.asfilter.internal”
ᵒ Konfiguration: Request Parameters
•
•
•
•
•
User
Agent
IP
URL
Result-type
40. ActiveSync Filter Callout
Auswerten des HTTP response
• Ergebnis kommt als TEXT (?)
• Man braucht nur die ersten 20 Bytes
• “ALLOW” oder “DENY” in der Antwort
41. Responder als Filter für die Verbindungen
Responder policy überprüft:
• URL-PATH inRequest
• Request HOSTNAME
• CALLOUT Boolean value
Diese “expression” wird verwendet:
HTTP.REQ.URL.STARTSWITH("/Microsoft-Server-ActiveSync") &&
HTTP.REQ.HOSTNAME.EQ("callout.asfilter.internal").NOT &&
SYS.HTTP_CALLOUT(active_sync_filter).CONTAINS("deny")
42. Caching “Callout” response
• IC zum Cachen der Request des Clients an XMC
deutliche Performance Steigerung
• Festlegen, wann Cached responses verwendet werden dürfen
ᵒ DeviceID ist ein sinnvoller Parameter!
• Güligkeit festlegen für “Cache responses”:
ᵒ Empfehlung: 300Sekunden
45. CloudBridge Benefits Summary
Enhanced VDI
Experience
Application
Acceleration
Traffic
Management
User centric
prioritization of
virtual desktops
Accelerates
legacy enterprise
applications
Visibility and
control for over
500+ apps and
services
Video Delivery
Optimization
Optimize and
accelerate video
delivery to the branch
Secure Cloud
Connectivity
Secure
connections to
3rd party clouds
46. Enhance the XenDesktop User Experience for
Branch Offices
• Deliver a high-definition desktop experience to the
branch and mobiles users
•
•
•
•
Accelerate print traffic & file transfers
Provide a high-definition video experience
Accelerate desktop launch times
Increase scalability, performance and availability with on-demand
provisioning and de-provisioning of virtual appliances
• Reduce desktop delivery network costs
• Free up network bandwidth by reducing desktop bandwidth
consumption
• Support more XenDesktop branch users with existing WAN
bandwidth
• Consolidate hardware and cut costs with standardized hardware
• Cut branch office energy costs
• Slash new branch setup costs and time
48. Optimize Video Delivery
• Video consumption in the enterprise is growing
at 200% per year – Gartner Group
• Training, product launches, marketing content,
and entertainment is driving this growth
• CloudBridge can:
ᵒ Compress or cache video content for XenDesktop
environments
ᵒ Cache videos from content sites, both internal and
external
ᵒ Police traffic from video content sites such as
YouTube
• Deliver a better video experience while
reducing WAN bandwidth
49. Secure Cloud Connectivity
Network X
CloudBridge Connector
IPSec Tunnel
L2 GRE Tunnel
Traditional
Datacenter
Or Branch
Location
Cloud
Provider
• Provides IPSec and L2 tunneling to deliver network transparency
• Enables a seamless extension of the enterprise network to the cloud
• Allows enterprises to leverage quickly and cost-effectively scale
51. CloudBridge Benefits for Storage Replication
Link Capacity
Customer Data Center 1
NAS
Customer Data Center 2
1011011101
1011011101
10010101000
10010101000
1011011010 SSL 1011011010 SSL 1011011010 SSL 1011011010 SSL 1011011010 SSL 101101110 SSL 1011 101101110 SSL 1011000110011 001110010100
111000SSL01
111000SSL01
NAS
NAS
10011000001
10011000001
NAS
• NetApp’s SnapMirror application includes compression functionality
• However, CloudBridge accelerates better:
ᵒ Better TCP window size adjustment
ᵒ Congestion measurement and control
ᵒ De-duplicates across storage volumes
• CloudBridge’s acceleration benefits are complimentary to NetApp’s
52. CloudBridge Accelerates SnapMirror by 7-10x
Small Data Set (~1GB)
Large XenDesktop Dataset > 1TB
700
600
45000
578
40000
38944
35000
500
30000
400
25000
10x
300
7.3x
20000
15000
200
10000
59
100
5308
5000
0
0
NetApp-Baseline
CloudBridge Optimization
NetApp-Baseline
CloudBridge Optimization
50ms WAN with 0.01% loss
Benefits increase under high latency or lossy WAN conditions
53. Control Bandwidth Dedicated to Storage
Replication
With Cloudbridge
Without CloudBridge
XenApp / XenDesktop
WAN
Application Traffic
NetApp SnapMirror
20%
NetApp SnapMirror
20%
Application Traffic
60%
XenApp / XenDesktop
Application level granularity
Deep classification, prioritization and shaping for all network traffic
54. CloudBridge also optimizes XenApp/XenDesktop
and ShareFile Deployments
Customer Data Center 1
Leverage same CloudBridge appliance to:
NAS
7-10x faster
storage replication
NAS
Branch
2-5x faster file
downloads
Customer Data Center 2
NAS
Optimize XenApp/XenDesktop and
other branch applications
•
NAS
Accelerate replication on NetApp to
meet disaster recovery objectives
•
Replication
•
Improve user experience for ShareFile
56. CloudBridge Overview
Adaptive TCP
Flow Control
Compression,
De-duplication,
and
Acceleration
Video Caching
QoS &
Reporting
HDX WAN
Optimization
WAN
CloudBridge
CloudBridge
Secure
Tunneling
57. Models
Capacity Mbps,
(HDX Sessions)
Global DC
CloudBridge 5000
1500 -2000
Large DC
CloudBridge 4000
310- 1000
Med DC
CloudBridge 3000
50 – 155
Small Enterprise
Large Branch
CloudBridge 2000
Deployment
Branch Office / Windows
Server /Virtual Appliance
(3,500-5,000)
(750-2500)
(300-500)
CloudBridge 700
CloudBridge 600
CloudBridge VPX
10 – 50
(100-300)
1 – 10
(20-100)
1- 45
(20-100)
58. CloudBridge VPX
Feature
VPX2
VPX 10
VPX 20
VPX 45
2 Mbps
10 Mpbs
20 Mbps
45 Mbps
15
75
150
250
Memory
2 GB
4 GB
4 GB
4 to 8 GB
Hard drive
10 GB
250 GB
250 GB
250 GB
Total throughput (unidirectional,
mixed traffic)
HDX sessions*
Network Interfaces
Virtualization Environments
Amazon Web Services Availability
2 Virtual NICs
XenServer 5.5 or 6.0, Microsoft Hyper-V R2 SP1, or VMWare ESX/ESXi 4.1
to 5.1
Yes
* Session count is limited by link bandwidth. No session count is enforced. Published numbers are for guidance.
Yes