NGENIX Edge Security & Acceleration

Управление логикой обработки HTTP‑запросов

При обработке HTTP‑запроса сервера доставки проверяют каждый пользовательский запрос на соответствие определенным условиям и, в случае соответствия, выполняют в отношении такого запроса определяемые действия. Правила обработки запросов основаны на применении простых логических операторов if/then. В качестве условий используются заранее созданные списки значений: страна источника запроса, HTTP‑заголовок, HTTP‑метод, URI запроса, аргумент запроса, порт (TCP). В отношении HTTP‑запроса возможна настройка действий: allow/deny, HTTP‑redirect, setHeader, delHeader. Настроив правила, пользователь Платформы может ограничить или разрешить доступ к данным на Платформе для пользователей, обладающих определенным признаком (география, тип устройства, IP‑адрес и др.); добавлять или модифицировать заголовки запроса; перенаправлять запросы и совершать другие действия.

Мгновенное обновление политик фильтраций

Платформа NGENIX предоставляет возможность обновления политик фильтрации HTTP-запросов на всех серверах доставки в течение 5 секунд. Управление политиками фильтрации осуществляется с помощью изменения состава черных и белых списков доступа, в том числе по API. Этот механизм, в том числе, позволяет блокировать на платформе запросы, признанные внешними системами анализа трафика как нежелательные. Системы ограничения доступа к данным хранят списки доступа (ACL) на защищенном сервере и регулярно синхронизируют изменения на серверах доставки. Наполнение списков производится в формате CIDR с возможным указанием времени жизни записи. Максимальный размер каждого списка — 20 000 сетей.

Интеллектуальная многоуровневая балансировка трафика

Балансировка запросов по узлам и серверам доставки обеспечивается работой нескольких подсистем Платформы, которые отвечают за построение актуальной карты оптимальных сетевых маршрутов и выбор приоритетных серверов доставки с учетом утилизации сетевых и вычислительных ресурсов и популярности кэшируемых данных. Для эффективного обслуживания запросов в условиях неравномерности пользовательского трафика используются методы прогнозирования и статистического анализа. В общей сложности при обработке пользовательского запроса алгоритм выбора оптимального узла и сервера доставки учитывает более 40 различных параметров. В результате достигается максимальная скорость доступа к данным и в тоже время исключается чрезмерная нагрузка на сервер оригинации заказчика и на отдельные участки облачной платформы.

Application Delivery Network (ADN)

Для обработки запросов к данным веб-приложения множество распределенных узлов Платформы поддерживают постоянно открытые TCP-соединения с бэкенд-сервером. Это позволяет экономить время на установление TCP-соединений при обращении к бэкенд-серверу на кэширование и обработку запросов к динамическим данным, формируемых бэкенд-сервером для каждого пользователя индивидуально. Распределенная архитектура платформы обеспечивает минимальное для каждого запроса количество сетевых переходов на пути пакета от бэкенд-сервера до конечного пользователя уменьшается и, как следствие, приводит к сокращению RTT и времени на повторную отправку пакетов, которые часто теряются на последней миле, включающей участки с Wi-Fi и сотовой связью.

Самообучающаяся система обнаружения аномалий (AI/ML)

Обучение системы обнаружения аномалий для защиты от DDoS-атак и бот-трафика осуществляется на основе реальных данных — для веб-ресурса определяются и постоянно актуализируются тренды, средние значения, статистический разброс, суточные и недельные колебания более 40 метрик, по которым формируется представление о типичных профилях поведения пользователей. Система обнаружения аномалий анализирует запросы пользователей в потоковом режиме, выявляет возможные отклонения от нормального поведения и принимает решение об оптимальных мерах защиты. Если одна или несколько метрик для пользователя подозрительная, источник запросов блокируется либо проходит дополнительную валидацию, выполняя различные задания.

Симметричная защита от DDoS-атак

Каждый сервер доставки NGENIX является частью децентрализованной системы защиты от DDoS-атак. Весь трафик защищаемого веб-ресурса проходит через платформу, за счет чего осуществляется полное экранирование оригинальной инфраструктуры от внешней среды. Особенность комплекса систем защиты состоит в том, что он терминирует на себе TCP/IP и SSL и пропускает как входящий трафик, так и исходящий. Это дает более полную карту происходящего и позволяет снизить процент ложных срабатываний, повысить точность валидации и уменьшить время реакции на атаку, а также полностью изолирует бэкенд-сервер на сетевом уровне от внешнего мира.

HTTPS-ready

Платформа NGENIX обеспечивает работу по протоколу HTTPS в двух режимах — только по HTTPS или по HTTPS с возможностью переключения на HTTP. Для установления защищенного соединения можно использовать SSL-сертификат NGENIX, загрузить свой или выпустить его с помощью сервиса Let’s Encrypt через клиентский портал NGENIX Multidesk. При обработке запроса серверы доставки автоматически выбирают максимальную версию протокола TLS, поддерживаемую браузером, включая TLS v1.3. Доступный на платформе NGENIX по умолчанию протокол HTTP/2 позволяет увеличить скорость обмена зашифрованными данными на 30–40% по сравнению с более ранней версией HTTP/1.1. Это достигается за счет мультиплексирования запросов, сжатия заголовков, использования одного TCP-соединения и приоретизации запросов.

Динамическая оптимизация изображений

Для ускорения загрузки файлов изображений Платформа NGENIX позволяет менять их формат, качество и размер с учетом URL параметров HTTP-запроса. Оптимизация изображений осуществляется в режиме реального времени — в момент запроса Платформа кэширует запрашиваемый объект в исходном состоянии и преобразует его согласно заданным параметрам, все последующие запросы к этому файлу с аналогичными параметрами будут обслужены из кэш-памяти без предварительного преобразования. Если в заголовке «Accept» HTTP-запроса содержится значение «image/webp», то производится конвертация в формат WebP, в котором применяются более эффективные алгоритмы сжатия. Это позволяет уменьшить размер файлов и, как следствие, трафик в сторону конечных пользователей в среднем на 30%. При передаче в параметре запроса преднастроенного профиля Платформа «на лету» выполняет преобразование исходного изображения в соответствии с заданными параметрами (качество, размер) и правилами.

Карта оптимальных сетевых маршрутов

Платформа NGENIX поддерживает в актуальном состоянии карту сетевых маршрутов, содержащую соответствие операторских сетей и узлов Платформы, через которые лучше всего обслуживать входящие запросы из этих сетей. Карта строится с учетом данных из таблиц BGP, результатов активных измерений операторских подсетей с использованием протокола ICMP и анализа запросов реальных пользователей. Учитываются средние и максимальные значения круговой задержки, время отклика и установления соединения с пользователем, время обработки запросов к DNS, скорость загрузки данных, информация о доступных маршрутах, их длине и разметке и др.