01
公司动态
信创国产化进程加快
华耀APV、AG MotionPro已与兆芯、统信等国产化厂商完成了产品兼容性互认证,协同打造信创领域产品,构建信创生态。
公司再度获得“双软认证”
2021年,华耀科技再次荣获中国软件行业协会和北京软件和信息服务业协会颁发的软件企业证书以及软件产品证书。此前,华耀科技已经连续三年荣获双软认证。
AG SSL VPN产品上线金山云市场
华耀科技AG产品上线金山云市场,分为5个并发、50个并发、100个并发、1000个并发档位,并且可以按需扩充。
商品链接:https://market.ksyun.com/detail?id=dWl9M
02
新品发布
APV 2U-多端口系列 x850 产品发布
上市型号:APV 6850、APV7850、APV8850(LLB)
正式上市时间:2021年11月1日
型号概述:本次推出三款2U-多端口x850系列型号,该系列型号拥有较高的扩展性和吞吐量、极高的性价比,可以满足用户大吞吐需求。
发布链接:https://www.arraynetworks.com.cn
/index/index/h_nd_27.html?id=15
03
软件版本更新
AG10.0
新功能
支持Web接入:Web接入是一个允许用户可以立即访问源于内网(通常是不暴露于外网的服务器)Web内容的无客户端的接入方法。
Web 门户:支持通过浏览器访问VPN资源和Web资源。
功能优化
AAA:系统现已支持使用 LDAP 进行认证和授权。
支持RADIUS认证:系统现已支持使用 RADIUS 进行认证和授权。
支持客户端证书认证:系统支持三种类型的证书认证。
支持短消息服务认证:支持短消息服务(Short Message Service,SMS)认证。
VPN客户端MotionPro
MotionPro 移动端客户端现已支持通过指纹和手势识别登录 。
MotionPro客户端支持MacOS Monterey 12。
升级了 MotionPro 客户端的签名证书。
WAF
ASF 3.0版本更新
管理工具:为调试文件增加HTTP内存分配和释放统计,该功能优化可以帮助定位内存泄露问题
解决正向白名单自动生成功能启用时WebUI和SSH无法访问问题
解决非标准格式的JSON请求文件导致系统返回“400 Bad Request”错误问题
攻击签名库
攻击签名库(Attack Signature Library,ASL)是华耀 ASF 产品中的一个安全模
块,可以为客户应用程序提供最新的基于签名的防御能力,华耀将定期发布 ASL。
ASL 1.3.16 版本引入了如下变化:
增加RCE攻击签名用于防护 Apache log4j2 CVE-2021-45105 漏洞。
增加和优化PHP Injection、XSS、SQL Injection攻击签名。
APV
APV 10.4更新
功能优化:
SLB支持为同一虚拟服务配置多条SIP Domain策略
分区管理中在“show tech”和“show running”命令输出中显示分区配置和统计信息
分区管理中调整分区浮动IP地址上限
系统管理中增强SNMP v3认证和加密算法
APV 8.6更新
高可用性(HA):通过“config file”导入的配置支持运行时同步。除黑名单以外的所有配置项将会被同步。
修复折线图统计功能开启时,在大流量情况下 WebUI 响应可能变慢问题
修复当业务流量较小时,将有极低概率发生内部逻辑错误从而导致一个HA 分组中的本地和对端节点都进入“Active”状态问题
04
方案交流
技术分享:SSL DDoS攻防原理浅析
SSL(Secure Sockets Layer) / TLS(Transport Layer Security)是为网络通信提供安全性和数据完整性保证的一种安全协议。随着网络安全和隐私保护面临越来越严重的挑战,越来越多的服务启用SSL保护,针对SSL安全服务的攻击也在增加,其中一些DDoS攻击已被用于攻击SSL服务,而普通防火墙无法检测出SSL握手的合法性,因此对SSL DDoS攻击无济于事。常见SSL DDoS主要包括SSL握手攻击和SSL重协商攻击。华耀ASF应用防火墙能够有效检测出并阻断这两种SSL DDoS攻击。
技术分享:DNS过滤配置解析
AG 为管理员提供了DNS 过滤规则,可以为分配了指定 Netpool 的最终用户定制DNS 解析流程。当 VPN 连接建立时, DNS 过滤规则将与 Netpool 一起被分配给最终用户。当最终用户访问由域名指代的资源时, SSL VPN 客户端将根据 DNS过滤规则执行 DNS 解析流程。
http重写功能在解决页面访问异常中的实践
本次项目主要是针对某移动私有云进行网络优化过程中遇到的应用页面访问异常问题。具体表现为通过VPN访问该vs,会出现初次访问页面成功,输入用户名后无法正常跳转,并且在等待一定时间后会返回至错误端口,导致业务访问失败。我们通过APV设备HTTP 改写功能,对 HTTP 请求和响应执行一系列改写操作,以解决此问题。
AG单点登录业务系统解决方案—高阶篇
在上一篇介绍SSO的文章中,对SSO的概念及主要实现机制进行了介绍,并介绍了通过Session方式实现SSO的场景。在本文中,将探讨通过Cookie方式实现SSO的场景。
目前大部分SSO产品采用的是Cookie机制,最好的开源单点登录产品CAS就是采用的Cookie机制。CAS(Central Authentication Service)是耶鲁大学发起的一个企业级的开源项目,旨在为Web应用系统提供一种可靠的单点登录解决方法。CAS使用票据(Ticket)来实现支持的认证协议。
本文所描述的方案支持CAS登录以及其他任何通过AG实现单点登录的场景。
案例分享:某大型央企保险公司
本项目保险公司是一家综合性保险公司,属中央金融企业,旗下拥有10多家专业子公司,包括财险、寿险、人资产、信托、健康、养老、投控、资本、再保、金服。
未改进之前,防火墙作为出口设备单机部署,公网地址、映射配置以及nat配置在一台防火墙上进行配置。出口链路压力由防火墙单独承担,单点故障易造成瘫痪,单链路流量负载大。
为此,我们提出针对性解决方案:在出口位置部署负载均衡设备,接入多运营商链路。实现链路负载均衡功能,提高内网用户访问外网以及外网用户访问内网应用的访问效率,减轻链路负担。对每一层实行双机部署方式。对于某一层的某个设备出现故障可以实现快速接管业务,保障了网络的冗余性和可靠性。
