2024年3月9日发(作者：问南霜)

Citrix NetScaler应用防火墙 产品概述NetScaler应用防火墙

Citrix® NetScaler应用防火墙™是一种功能全面的Web应用安全解决方案，能够有效防御针对Web和Web服务发起的各种已知的及未知的攻击。NetScaler Application Firewall采用一种正向的安全模式，只允许合法的应用行为，而不依赖攻击特征码。它能够分析所有双向流量，包括通过SSL方式加密的通信，化解各种安全威胁而无需对应用进行任何修改。NetScaler应用防火墙技术被集成到Citrix®

NetScaler®的铂金版中，也可以作为一个可选的模块添加到运行NetScaler企业版的NetScaler MPX设备中。NetScaler应用防火墙还可以用作独立解决方案，在5种NetScaler MPX设备和一种符合FIPS-140-2标准的设备上运行。独立的NetScaler应用防火墙可以通过软件许可证升级为功能全面的NetScaler Application Delivery

Controller（ADC）。全面遵从PCI-DSS v.1.2（第6.5和6.6部分）• 保护信用卡和借记卡帐号，遵从PCI（支付卡行业）数据安全标准；• 防止数据丢失（在这种情况下政府要求通知客户）；• 简化桌面管理。轻松应对安全挑战保护在线收入• 有效防御L7拒绝服务（DoS）攻击，确保网站及网络服务的正常运行；Web应用不但易受攻击，而且还是黑客的首选攻击目标，因为他们直接连接到一个或多个包含敏感的客户及公司信息的数据库。单靠检查应用流量，识别已知攻击特征码的解决方案来保护这些应用已远远不够。对Web应用的威胁通常都是针对特定目标应用而专门策划的，因此基本上不可能通过网络层安全设备（如入侵防护系统和网络防火墙）进行识别；因此Web应用容易受到已知的和零时差攻击的威胁。NetScaler应用防火墙可有效应对这些挑战，为所有Web应用和Web服务提供集中的应用层安全性。• 应用学习可确保有效的保护，防止误报；• 防止跨站点脚本编写（XSS）攻击，维持用户和厂商之间的可信赖关系。积极安全模式的优势NetScaler应用防火墙采用一种正向的安全模型来确保正确的应用行为。正向的安全模式知道什么是正常的应用访问行为，将所有其它流量都视为非正常流量，而不限于攻击特征码匹配方法。这是针对未知攻击提供完整防护方案的唯一公认方法。

2Citrix NetScaler应用防火墙 产品概述确保PCI合规性，满足审核要求NetScaler应用防火墙可以帮助企业IT安全部门遵从政府隐私法规和行业标准的要求。例如，必须遵守支付卡行业数据安全标准（PCI-DSS）的组织现在可以全面达到PCI-DSS Section 6.6规定的要求。该标准要求在公开应用前安装Web应用防火墙，作为确保网络安全的方法之一。为支持PCI安全审计，NetScaler应用防火墙可以生成专门的报告，详细说明应用防火墙策略中规定的与PCI要求相关的所有安全保护措施。此外，NetScaler应用防火墙可以在公布前从应用响应消息中移走或隐藏相关内容，防止无意中泄露信用卡号码或定制数据对象等敏感信息或被盗窃。抵御基于XML的攻击威胁除了可以检测并阻止可修改用于攻击XML应用的常见应用攻击威胁（如跨站点脚本编写攻击和命令注入攻击等）外，NetScaler应用防火墙还具有丰富的XML专用安全保护功能。这包括可以全面验证SOAP消息和XML有效负载的Schema验证功能，以及可屏蔽包含恶意可执行程序或病毒的强大XML附件检查功能。NetScaler应用防火墙还可以阻止多种DoS攻击，包括外部实体引用、递归扩展、过量嵌套和包含很长的或大量属性及单元的恶意消息等。自定义安全策略NetScaler应用防火墙包含一个先进而且经过广泛实践验证的自适应学习引擎，可以发现有可能被正向安全模式屏蔽的应用行为（即使该行为是Web应用发起的）的各个方面。例如，这可能包括以合法方式修改HTML表单的客户端应用脚本进行的修改。识别到应用行为后，NetScaler应用防火墙会生成管理员易读的策略建议，帮助安全管理员清楚地了解实际应用行为。然后就可以对每种应用执行自定义的安全策略。业界领先的性能NetScaler应用防火墙能提供多千兆比特级的出色性能，能满足最大型网络的需求。该解决方案还可以卸载Web服务器的TCP连接管理、SSL加密和压缩等计算密集型任务，进而提高应用性能，加快响应时间。此外，NetScaler平台提供的集成缓存功能还可以卸载服务器负载，同时提供全面的防火墙功能。通过节约宝贵的服务器资源可以改善应用体验。

Citrix NetScaler应用防火墙 产品概述适应不断变化的业务要求的灵活性

NetScaler应用防火墙允许以灵活、分阶段的方法部署Web应用保护功能。默认的Web应用保护配置文件能防止最常见的攻击威胁，增强对数据盗窃及第4-7层拒绝服务（DoS）攻击的防护。

高级Web应用保护配置文件可增加会话感知的保护功能，保护动态元素，如表格栏和会话专用URL。对于处理电子商务站点等用户特定内容的任何应用而言，这种保护都是必不可少的。为确保这些安全措施与任何应用的兼容性，NetScaler应用防火墙的学习功能可帮助管理员制定异常情况处理和许可策略，以适应应用的合法行为违反默认安全策略时的情况。主要特性在线环境防护• 缓冲区溢出

• CGI-BIN参数处理

• 表格/隐藏字段处理

• 强制浏览保护

• 信息块或会话中毒

• 跨站点脚本编写（XSS）• 命令注入

• SQL注入

• 引发敏感信息泄露的错误

• 不可靠的密码系统应用

• 服务器错误配置

• 后门和调试选项

• 基于速率的策略实施• 已知的平台漏洞

• 零时差攻击

• 内容改写和响应控制• 内容过滤• 身份验证、授权和审计• L4-7 DoS攻击防护全面的Web服务器和Web服务安全性• 深度流量检测；双向分析• HTTP和HTML报头和攻击行为检测

• HTML深层分析；语义提取

• 会话层及状态分析

• 协议中立性

• HTML表格字段保护：— 返回请求的字段；不允许任何添加字 段；只读的隐藏字段— 下拉列表与无线按钮字段一致性

— 格式－字段的最大长度

• Cookie中毒防御确保Cookie不会被修改

• 合法URL强制实施 – Web应用内容完整性

• 全面的SSL卸载：— 检查前进行流量解密；在上传前执行流量加密— 可配置的后端加密设置

— 支持客户端侧证书

• XML数据保护：— XML安全：防止XML拒绝服务（xDoS）、

XML SQL注入和跨站点脚本编写等攻击— XML消息和Schema验证、格式检查、WS-I基本配置合规性、XML附件检查• URL转换简化的管理和部署用户界面• 基于Web的安全GUI• 基于SSH的CLI接入网络管理• SNMP

• 基于Syslog的日志

• PCI-DSS合规性报告工具3

Citrix NetScaler应用防火墙 产品概述Citrix NetScaler应用防火墙硬件平台NetScaler应用防火墙型号吞吐量- 基本模式（Mbps）吞吐量- 高级模式（Mbps）SSL吞吐量（Mbps）SSL交易/秒软件升级处理器内存以太网端口2个（双核）4 GB4x10/100/1000BASE-TMPX 55,000MPX 75001,0003501,0008,000可选择升级到MPX

95004（四核）8 GB8x10/100/1000BASE-T9010 FIPS

5001005004,400MPX 95002,0003503,00016,000MPX 105003,0001,0005,00024,000可选择升级到MPX125005,0001,0005,000MPX 1250048,0001个2 GB4（四核）8 GB8（2个四核）16 GB8（2个四核）16 GB4x1000 BASE- X

8x 10/100/1000SFP（光纤或Cu）或4x10/100/1000BASE-TBASE-T8x10/100/1000 BASE-T

8x10/100/1000 BASE-T

AND 8x1000 BASE-X

SFP（光纤或Cu）或2x10GBASE-X SFP+和8x10/100/1000BASE-X SFPAND 8x1000 BASE-X

SFP（光纤或Cu）或2x10GBASE-X SFP+和8x10/100/1000BASE-X SFP双电源2U电源高度1套1U1套-第2套可选1U双电源2U1套-第2套可选1U双电源2U思杰大中华地区联系方式大中华区总部思杰系统信息技术（北京）有限公司北京市东城区东长安街1号东方广场中1办公楼8 层808-809 室邮政编码：100738电话：+86 10 6521 6500传真：+86 10 6521 6501电邮：chinainfo@思杰系统信息技术（北京）有限公司上海分公司上海市西藏中路268 号来福士广场5005 室（靠近汉口路）

邮政编码：200001电话：+86 21 6193 0500传真：+86 21 6193 0501电邮：chinainfo@思杰系统信息技术（北京）有限公司广州分公司广州市天河区林和西路161号中泰国际广场A座23层

邮政编码：510620电话：+86 20 2885 8201传真：+86 20 2885 8369电邮：chinainfo@亚太区总部思杰系统香港有限公司香港港岛东华兰路18号港岛东中心63层6301-6310电话：+852 2100 5000传真：+852 3405 3001电邮：sia@思杰系统香港有限公司台湾办事处台北市信义区110信义路五段7号37楼台北101大楼

邮政编码：110电话：008 0161 1351传真：886 2 8758 2999电邮：sia@关于思杰系统公司思杰系统（Citrix Systems）公司（纳斯达克股票代码：CTXS）是全球领先的虚拟计算解决方案提供商，帮助企业以按需服务的方式构建IT架构。思杰公司创立于1989年，致力于将虚拟化、网络和云计算技术全面整合，打造全方位的产品线，以帮助用户实现虚拟工作方式，同时帮助IT部门构建虚拟数据中心。思杰公司在全球拥有超过23万个企业客户，这些客户用思杰产品建立了更简单、更具成本效益的IT环境。思杰公司在100多个国家拥有超过1万家合作伙伴，2009年的总收入达16.1亿美元。©2010思杰系统公司版权所有。Citrix®、HDX™、NetScaler™、Workflow Studio™、XenApp™、XenDesktop™和 XenServer™是思杰系统公司和/或一个或多个分公司在美国和其它国家的商标或注册商标。 所有其它商标和注册商标分属于他们各自的所有者。

2024年3月9日发(作者：问南霜)

Citrix NetScaler应用防火墙 产品概述NetScaler应用防火墙

Citrix® NetScaler应用防火墙™是一种功能全面的Web应用安全解决方案，能够有效防御针对Web和Web服务发起的各种已知的及未知的攻击。NetScaler Application Firewall采用一种正向的安全模式，只允许合法的应用行为，而不依赖攻击特征码。它能够分析所有双向流量，包括通过SSL方式加密的通信，化解各种安全威胁而无需对应用进行任何修改。NetScaler应用防火墙技术被集成到Citrix®

NetScaler®的铂金版中，也可以作为一个可选的模块添加到运行NetScaler企业版的NetScaler MPX设备中。NetScaler应用防火墙还可以用作独立解决方案，在5种NetScaler MPX设备和一种符合FIPS-140-2标准的设备上运行。独立的NetScaler应用防火墙可以通过软件许可证升级为功能全面的NetScaler Application Delivery

Controller（ADC）。全面遵从PCI-DSS v.1.2（第6.5和6.6部分）• 保护信用卡和借记卡帐号，遵从PCI（支付卡行业）数据安全标准；• 防止数据丢失（在这种情况下政府要求通知客户）；• 简化桌面管理。轻松应对安全挑战保护在线收入• 有效防御L7拒绝服务（DoS）攻击，确保网站及网络服务的正常运行；Web应用不但易受攻击，而且还是黑客的首选攻击目标，因为他们直接连接到一个或多个包含敏感的客户及公司信息的数据库。单靠检查应用流量，识别已知攻击特征码的解决方案来保护这些应用已远远不够。对Web应用的威胁通常都是针对特定目标应用而专门策划的，因此基本上不可能通过网络层安全设备（如入侵防护系统和网络防火墙）进行识别；因此Web应用容易受到已知的和零时差攻击的威胁。NetScaler应用防火墙可有效应对这些挑战，为所有Web应用和Web服务提供集中的应用层安全性。• 应用学习可确保有效的保护，防止误报；• 防止跨站点脚本编写（XSS）攻击，维持用户和厂商之间的可信赖关系。积极安全模式的优势NetScaler应用防火墙采用一种正向的安全模型来确保正确的应用行为。正向的安全模式知道什么是正常的应用访问行为，将所有其它流量都视为非正常流量，而不限于攻击特征码匹配方法。这是针对未知攻击提供完整防护方案的唯一公认方法。

2Citrix NetScaler应用防火墙 产品概述确保PCI合规性，满足审核要求NetScaler应用防火墙可以帮助企业IT安全部门遵从政府隐私法规和行业标准的要求。例如，必须遵守支付卡行业数据安全标准（PCI-DSS）的组织现在可以全面达到PCI-DSS Section 6.6规定的要求。该标准要求在公开应用前安装Web应用防火墙，作为确保网络安全的方法之一。为支持PCI安全审计，NetScaler应用防火墙可以生成专门的报告，详细说明应用防火墙策略中规定的与PCI要求相关的所有安全保护措施。此外，NetScaler应用防火墙可以在公布前从应用响应消息中移走或隐藏相关内容，防止无意中泄露信用卡号码或定制数据对象等敏感信息或被盗窃。抵御基于XML的攻击威胁除了可以检测并阻止可修改用于攻击XML应用的常见应用攻击威胁（如跨站点脚本编写攻击和命令注入攻击等）外，NetScaler应用防火墙还具有丰富的XML专用安全保护功能。这包括可以全面验证SOAP消息和XML有效负载的Schema验证功能，以及可屏蔽包含恶意可执行程序或病毒的强大XML附件检查功能。NetScaler应用防火墙还可以阻止多种DoS攻击，包括外部实体引用、递归扩展、过量嵌套和包含很长的或大量属性及单元的恶意消息等。自定义安全策略NetScaler应用防火墙包含一个先进而且经过广泛实践验证的自适应学习引擎，可以发现有可能被正向安全模式屏蔽的应用行为（即使该行为是Web应用发起的）的各个方面。例如，这可能包括以合法方式修改HTML表单的客户端应用脚本进行的修改。识别到应用行为后，NetScaler应用防火墙会生成管理员易读的策略建议，帮助安全管理员清楚地了解实际应用行为。然后就可以对每种应用执行自定义的安全策略。业界领先的性能NetScaler应用防火墙能提供多千兆比特级的出色性能，能满足最大型网络的需求。该解决方案还可以卸载Web服务器的TCP连接管理、SSL加密和压缩等计算密集型任务，进而提高应用性能，加快响应时间。此外，NetScaler平台提供的集成缓存功能还可以卸载服务器负载，同时提供全面的防火墙功能。通过节约宝贵的服务器资源可以改善应用体验。

Citrix NetScaler应用防火墙 产品概述适应不断变化的业务要求的灵活性

NetScaler应用防火墙允许以灵活、分阶段的方法部署Web应用保护功能。默认的Web应用保护配置文件能防止最常见的攻击威胁，增强对数据盗窃及第4-7层拒绝服务（DoS）攻击的防护。

高级Web应用保护配置文件可增加会话感知的保护功能，保护动态元素，如表格栏和会话专用URL。对于处理电子商务站点等用户特定内容的任何应用而言，这种保护都是必不可少的。为确保这些安全措施与任何应用的兼容性，NetScaler应用防火墙的学习功能可帮助管理员制定异常情况处理和许可策略，以适应应用的合法行为违反默认安全策略时的情况。主要特性在线环境防护• 缓冲区溢出

• CGI-BIN参数处理

• 表格/隐藏字段处理

• 强制浏览保护

• 信息块或会话中毒

• 跨站点脚本编写（XSS）• 命令注入

• SQL注入

• 引发敏感信息泄露的错误

• 不可靠的密码系统应用

• 服务器错误配置

• 后门和调试选项

• 基于速率的策略实施• 已知的平台漏洞

• 零时差攻击

• 内容改写和响应控制• 内容过滤• 身份验证、授权和审计• L4-7 DoS攻击防护全面的Web服务器和Web服务安全性• 深度流量检测；双向分析• HTTP和HTML报头和攻击行为检测

• HTML深层分析；语义提取

• 会话层及状态分析

• 协议中立性

• HTML表格字段保护：— 返回请求的字段；不允许任何添加字 段；只读的隐藏字段— 下拉列表与无线按钮字段一致性

— 格式－字段的最大长度

• Cookie中毒防御确保Cookie不会被修改

• 合法URL强制实施 – Web应用内容完整性

• 全面的SSL卸载：— 检查前进行流量解密；在上传前执行流量加密— 可配置的后端加密设置

— 支持客户端侧证书

• XML数据保护：— XML安全：防止XML拒绝服务（xDoS）、

XML SQL注入和跨站点脚本编写等攻击— XML消息和Schema验证、格式检查、WS-I基本配置合规性、XML附件检查• URL转换简化的管理和部署用户界面• 基于Web的安全GUI• 基于SSH的CLI接入网络管理• SNMP

• 基于Syslog的日志

• PCI-DSS合规性报告工具3

Citrix NetScaler应用防火墙 产品概述Citrix NetScaler应用防火墙硬件平台NetScaler应用防火墙型号吞吐量- 基本模式（Mbps）吞吐量- 高级模式（Mbps）SSL吞吐量（Mbps）SSL交易/秒软件升级处理器内存以太网端口2个（双核）4 GB4x10/100/1000BASE-TMPX 55,000MPX 75001,0003501,0008,000可选择升级到MPX

95004（四核）8 GB8x10/100/1000BASE-T9010 FIPS

5001005004,400MPX 95002,0003503,00016,000MPX 105003,0001,0005,00024,000可选择升级到MPX125005,0001,0005,000MPX 1250048,0001个2 GB4（四核）8 GB8（2个四核）16 GB8（2个四核）16 GB4x1000 BASE- X

8x 10/100/1000SFP（光纤或Cu）或4x10/100/1000BASE-TBASE-T8x10/100/1000 BASE-T

8x10/100/1000 BASE-T

AND 8x1000 BASE-X

SFP（光纤或Cu）或2x10GBASE-X SFP+和8x10/100/1000BASE-X SFPAND 8x1000 BASE-X

SFP（光纤或Cu）或2x10GBASE-X SFP+和8x10/100/1000BASE-X SFP双电源2U电源高度1套1U1套-第2套可选1U双电源2U1套-第2套可选1U双电源2U思杰大中华地区联系方式大中华区总部思杰系统信息技术（北京）有限公司北京市东城区东长安街1号东方广场中1办公楼8 层808-809 室邮政编码：100738电话：+86 10 6521 6500传真：+86 10 6521 6501电邮：chinainfo@思杰系统信息技术（北京）有限公司上海分公司上海市西藏中路268 号来福士广场5005 室（靠近汉口路）

邮政编码：200001电话：+86 21 6193 0500传真：+86 21 6193 0501电邮：chinainfo@思杰系统信息技术（北京）有限公司广州分公司广州市天河区林和西路161号中泰国际广场A座23层

邮政编码：510620电话：+86 20 2885 8201传真：+86 20 2885 8369电邮：chinainfo@亚太区总部思杰系统香港有限公司香港港岛东华兰路18号港岛东中心63层6301-6310电话：+852 2100 5000传真：+852 3405 3001电邮：sia@思杰系统香港有限公司台湾办事处台北市信义区110信义路五段7号37楼台北101大楼

邮政编码：110电话：008 0161 1351传真：886 2 8758 2999电邮：sia@关于思杰系统公司思杰系统（Citrix Systems）公司（纳斯达克股票代码：CTXS）是全球领先的虚拟计算解决方案提供商，帮助企业以按需服务的方式构建IT架构。思杰公司创立于1989年，致力于将虚拟化、网络和云计算技术全面整合，打造全方位的产品线，以帮助用户实现虚拟工作方式，同时帮助IT部门构建虚拟数据中心。思杰公司在全球拥有超过23万个企业客户，这些客户用思杰产品建立了更简单、更具成本效益的IT环境。思杰公司在100多个国家拥有超过1万家合作伙伴，2009年的总收入达16.1亿美元。©2010思杰系统公司版权所有。Citrix®、HDX™、NetScaler™、Workflow Studio™、XenApp™、XenDesktop™和 XenServer™是思杰系统公司和/或一个或多个分公司在美国和其它国家的商标或注册商标。 所有其它商标和注册商标分属于他们各自的所有者。