NGENIX Edge Security & Acceleration

Управление логикой обработки HTTP‑запросов

При обработке HTTP‑запроса сервера доставки проверяют каждый пользовательский запрос на соответствие определенным условиям и, в случае соответствия, выполняют в отношении такого запроса определяемые действия. В качестве условий используются заранее созданные списки значений: страна источника запроса, HTTP‑заголовок, HTTP‑метод, URI запроса, аргумент запроса, порт (TCP). В отношении HTTP‑запроса возможна настройка действий: allow/deny, HTTP‑redirect, setHeader, delHeader, js‑challenge. Настроив правила, пользователь Платформы может ограничить или разрешить доступ к данным на Платформе для пользователей, обладающих определенным признаком (география, тип устройства, IP‑адрес, принадлежность IP‑сетям датацентров, Tor, proxy, версия TLS и HTTP и др.), добавлять или модифицировать заголовки запроса и перенаправлять запрос, в том числе c использованием переменных, и др.

Мгновенное обновление политик фильтраций

Платформа NGENIX предоставляет возможность обновления политик фильтрации HTTP-запросов на всех серверах доставки в течение 5 секунд. Управление политиками фильтрации осуществляется с помощью изменения состава черных и белых списков доступа, в том числе по API. Этот механизм, в том числе, позволяет блокировать на платформе запросы, признанные внешними системами анализа трафика как нежелательные. Системы ограничения доступа к данным хранят списки доступа (ACL) на защищенном сервере и регулярно синхронизируют изменения на серверах доставки. Наполнение списков производится в формате CIDR с возможным указанием времени жизни записи. Максимальный размер каждого списка — 20 000 сетей.

Интеллектуальная многоуровневая балансировка трафика

Балансировка запросов по узлам и серверам доставки обеспечивается работой нескольких подсистем Платформы, которые отвечают за построение актуальной карты оптимальных сетевых маршрутов и выбор приоритетных серверов доставки с учетом утилизации сетевых и вычислительных ресурсов и популярности кэшируемых данных. Для эффективного обслуживания запросов в условиях неравномерности пользовательского трафика используются методы прогнозирования и статистического анализа. В общей сложности при обработке пользовательского запроса алгоритм выбора оптимального узла и сервера доставки учитывает более 40 различных параметров. В результате достигается максимальная скорость доступа к данным и в тоже время исключается чрезмерная нагрузка на сервер оригинации заказчика и на отдельные участки облачной платформы.

Application Delivery Network (ADN)

Для обработки запросов к данным веб-приложения множество распределенных узлов Платформы поддерживают постоянно открытые TCP-соединения с бэкенд-сервером. Это позволяет экономить время на установление TCP-соединений при обращении к бэкенд-серверу на кэширование и обработку запросов к динамическим данным, формируемых бэкенд-сервером для каждого пользователя индивидуально. Распределенная архитектура платформы обеспечивает минимальное для каждого запроса количество сетевых переходов на пути пакета от бэкенд-сервера до конечного пользователя уменьшается и, как следствие, приводит к сокращению RTT и времени на повторную отправку пакетов, которые часто теряются на последней миле, включающей участки с Wi-Fi и сотовой связью.

Самообучающаяся система обнаружения аномалий (AI/ML)

Обучение системы обнаружения аномалий для защиты от DDoS-атак и бот-трафика осуществляется на основе реальных данных — для веб-ресурса определяются и постоянно актуализируются тренды, средние значения, статистический разброс, суточные и недельные колебания более 40 метрик, по которым формируется представление о типичных профилях поведения пользователей. Система обнаружения аномалий анализирует запросы пользователей в потоковом режиме, выявляет возможные отклонения от нормального поведения и принимает решение об оптимальных мерах защиты. Если одна или несколько метрик для пользователя подозрительная, источник запросов блокируется либо проходит дополнительную валидацию, выполняя различные задания.

Симметричная защита от DDoS-атак

Каждый сервер доставки NGENIX является частью децентрализованной системы защиты от DDoS-атак. Весь трафик защищаемого веб-ресурса проходит через платформу, за счет чего осуществляется полное экранирование оригинальной инфраструктуры от внешней среды. Особенность комплекса систем защиты состоит в том, что он терминирует на себе TCP/IP и SSL и пропускает как входящий трафик, так и исходящий. Это дает более полную карту происходящего и позволяет снизить процент ложных срабатываний, повысить точность валидации и уменьшить время реакции на атаку, а также полностью изолирует бэкенд-сервер на сетевом уровне от внешнего мира.

HTTPS-ready

Платформа NGENIX обеспечивает работу по протоколу HTTPS в двух режимах — только по HTTPS или по HTTPS с возможностью переключения на HTTP. Для установления защищенного соединения можно использовать SSL-сертификат NGENIX, загрузить свой или выпустить его с помощью сервиса Let’s Encrypt через клиентский портал NGENIX Multidesk. При обработке запроса серверы доставки автоматически выбирают максимальную версию протокола TLS, поддерживаемую браузером, включая TLS v1.3, а также российский стандарт шифрования ГОСТ 34.10. Доступный на платформе NGENIX по умолчанию протокол HTTP/2 позволяет увеличить скорость обмена зашифрованными данными на 30–40% по сравнению с более ранней версией HTTP/1.1. Это достигается за счет мультиплексирования запросов, сжатия заголовков, использования одного TCP-соединения и приоретизации запросов.

Динамическая оптимизация изображений

Для ускорения загрузки файлов изображений Платформа NGENIX позволяет менять их формат, качество и размер с учетом URL параметров HTTP-запроса. Оптимизация изображений осуществляется в режиме реального времени — в момент запроса Платформа кэширует запрашиваемый объект в исходном состоянии и преобразует его согласно заданным параметрам, все последующие запросы к этому файлу с аналогичными параметрами будут обслужены из кэш-памяти без предварительного преобразования. Если в заголовке «Accept» HTTP-запроса содержится значение «image/webp», то производится конвертация в формат WebP, в котором применяются более эффективные алгоритмы сжатия. Это позволяет уменьшить размер файлов и, как следствие, трафик в сторону конечных пользователей в среднем на 30%. При передаче в параметре запроса преднастроенного профиля Платформа «на лету» выполняет преобразование исходного изображения в соответствии с заданными параметрами (качество, размер) и правилами.

Карта оптимальных сетевых маршрутов

Платформа NGENIX поддерживает в актуальном состоянии карту сетевых маршрутов, содержащую соответствие операторских сетей и узлов Платформы, через которые лучше всего обслуживать входящие запросы из этих сетей. Карта строится с учетом данных из таблиц BGP, результатов активных измерений операторских подсетей с использованием протокола ICMP и анализа запросов реальных пользователей. Учитываются средние и максимальные значения круговой задержки, время отклика и установления соединения с пользователем, время обработки запросов к DNS, скорость загрузки данных, информация о доступных маршрутах, их длине и разметке и др.