誰(shuí)來保護(hù)我的“應(yīng)用交付”隨著企業(yè)基于WEB 的業(yè)務(wù)模式快速發(fā)展，IT 管理者正在考慮這樣的一個(gè)問題，如何保障企業(yè)業(yè)務(wù)更加順暢健康的發(fā)展？我們都注意到，應(yīng)用交付技術(shù)可以解決業(yè)務(wù)連續(xù)性、擴(kuò)展性的問題。然而

誰(shuí)來保護(hù)我的“應(yīng)用交付”

隨著企業(yè)基于WEB 的業(yè)務(wù)模式快速發(fā)展，IT 管理者正在考慮這樣的一個(gè)問題，如何保障企業(yè)業(yè)務(wù)更加順暢健康的發(fā)展？我們都注意到，應(yīng)用交付技術(shù)可以解決業(yè)務(wù)連續(xù)性、擴(kuò)展性的問題。然而每一種新的技術(shù)產(chǎn)生，都會(huì)帶來新的挑戰(zhàn)，應(yīng)用交付也不例外。

最新映入我們眼中的是負(fù)載均衡技術(shù)，不可否認(rèn)，負(fù)載均衡技術(shù)幫助我們完成了應(yīng)用系統(tǒng)的優(yōu)化，不過很快我們發(fā)現(xiàn)，單純的負(fù)載均衡并不能稱為“完整”的應(yīng)用交付。

首先困擾我們的是DDoS ，針對(duì)四層的TCP FLOOD、UDP FLOOD還可以依靠傳統(tǒng)防火墻來抵御，然后隱藏在合理應(yīng)用訪問中的HTTP FLOOD攻擊，傳統(tǒng)的防火墻以及IPS 都很難發(fā)現(xiàn)并檢測(cè)，而不加區(qū)分的負(fù)載設(shè)備，更是將攻擊流量也分擔(dān)到了服務(wù)器上。更可怕的是，應(yīng)用交付自身被DDoS 攻擊出現(xiàn)問題后，處于中樞調(diào)度的負(fù)載設(shè)備一旦出現(xiàn)故障，將導(dǎo)致網(wǎng)絡(luò)整體癱瘓。事實(shí)上，在2012年，90以上的電子商務(wù)網(wǎng)站都受到過DDoS 的攻擊，而三分之一的用戶在DDoS 攻擊下導(dǎo)致防火墻、IPS 失效造成危害。作為應(yīng)用交付產(chǎn)品產(chǎn)品，我們需要更“聰明”的負(fù)載均衡，能夠識(shí)別攻擊流量，將攻擊流量阻止在交付給應(yīng)用服務(wù)之前。

其次是WEB 安全，應(yīng)用層的安全面臨多種挑戰(zhàn)：Cookie 偽裝、非法掃描、SQL 注入、跨站腳本攻擊、緩沖區(qū)溢出。面對(duì)這些基于WEB 而又頻繁發(fā)生的攻擊行為，應(yīng)用交付產(chǎn)品首當(dāng)其沖。七層應(yīng)用交付產(chǎn)品工作在全代理模式，用戶發(fā)送的訪問請(qǐng)求會(huì)先在應(yīng)用交付產(chǎn)品上截止，通過協(xié)議解析功能，應(yīng)用交付系統(tǒng)能夠識(shí)別應(yīng)用協(xié)議的具體內(nèi)容，理所當(dāng)然的能夠在與服務(wù)器建立連接前將攻擊報(bào)文攔截下來，而不是不加區(qū)分的將合法請(qǐng)求與非法訪問轉(zhuǎn)發(fā)到后端服務(wù)器。

還有DNS 攻擊，在應(yīng)用交付產(chǎn)品中針對(duì)服務(wù)器的入站訪問，都會(huì)通過應(yīng)用交付的DNS 解析功能。應(yīng)用交付產(chǎn)品替代DNS 服務(wù)器完成對(duì)域名的DNS 解析及響應(yīng)。事實(shí)上，近幾

年針對(duì)DNS 的攻擊屢屢發(fā)生，無(wú)論是DNS FLOOD 還是DNS “投毒”，DNS 攻擊最頻繁也最難于抵御，一旦攻擊成功對(duì)企業(yè)的影響也是巨大的。無(wú)法想象下，某天，我們打開“SOHU ”看新聞，瀏覽器卻返回的是域名無(wú)法解析，當(dāng)我們打開網(wǎng)銀時(shí)，卻被錯(cuò)誤的定向到釣魚站點(diǎn)，行業(yè)調(diào)查顯示，DNS 和加密數(shù)據(jù)攻擊影響席卷了各個(gè)行業(yè)，每年給企業(yè)平均造成682,000美元的損失。DNSSEC 技術(shù)可以有效的為域名解析提供安全防護(hù)，作為DNS 基礎(chǔ)設(shè)施，通過將DNS 安全能力集成在應(yīng)用交付產(chǎn)品上，最終用戶可以大幅度減少緩存投毒、域名劫持、中間人攻擊和DNS FLOOD攻擊的威脅。

最后是應(yīng)用交付產(chǎn)品自身的安全。2012年，F(xiàn)5 BIG-IP 被披露設(shè)備文件系統(tǒng)存在一組公開的SSH 公私密鑰對(duì)，利用該漏洞可以獲得遠(yuǎn)程設(shè)備的管理權(quán)（CNVD-2012-12481），并能進(jìn)一步發(fā)起針對(duì)相關(guān)網(wǎng)絡(luò)的攻擊。作為應(yīng)用業(yè)務(wù)的核心，應(yīng)用交付可以監(jiān)控2到7層的完整信息，應(yīng)用交付甚至可以將用戶的文件緩存到其內(nèi)存中。由此可見一旦應(yīng)用交付產(chǎn)品自身出現(xiàn)安全問題，那意味著，攻擊者可以隨意查看業(yè)務(wù)內(nèi)容，隨時(shí)修改、終止業(yè)務(wù)的傳輸，給用戶帶來的損失是毀滅性的。應(yīng)用交付自身的安全無(wú)法依靠其他設(shè)備保證，這需要應(yīng)交付廠商在提供產(chǎn)品時(shí)擁有足夠的安全設(shè)計(jì)。

在我們眼中，真正完整的應(yīng)用交付產(chǎn)品，負(fù)載技術(shù)是底座，應(yīng)用加速是中堅(jiān)，而傳遞到最終用戶之前的則是可靠、效率與安全。

作為國(guó)內(nèi)頂尖的安全廠商，啟明星辰的天清ADC 產(chǎn)品逐漸走入了我們的視線，利用在安全領(lǐng)域積累的技術(shù)和應(yīng)用經(jīng)驗(yàn)，啟明星辰擁有完整的業(yè)務(wù)安全解決方案，從DDoS 防御到WAG ，深厚的安全技術(shù)底蘊(yùn)使啟明星辰可以輕松應(yīng)對(duì)各種安全問題。而2011年開始，在多核領(lǐng)域的逐年積累，萬(wàn)兆UTM 、萬(wàn)兆NIPS 、萬(wàn)兆WAG 一系列萬(wàn)兆產(chǎn)品的推出，讓啟明星辰終于“化繭成蝶”從國(guó)內(nèi)安全廠商之中脫穎而出，與傳統(tǒng)安全廠商不同的是，啟明星辰擁有不遜于數(shù)通廠商構(gòu)建高性能轉(zhuǎn)發(fā)平臺(tái)的技術(shù)能力，其采用多核并行計(jì)算體系的天清

ADC 產(chǎn)品在擁有天生安全因子外還擁有極高的轉(zhuǎn)發(fā)性能。我們有理由相信，在國(guó)外廠商占主導(dǎo)地位的應(yīng)用交付產(chǎn)品領(lǐng)域，啟明星辰的天清ADC 產(chǎn)品必將吹起一股“安全交付”的新風(fēng)。