應用交付的安全之惑

　　在很多企業(yè)中，應用交付產(chǎn)品已經(jīng)成為IT環(huán)境中必不可少的設備。作為應用業(yè)務的核心，應用交付產(chǎn)品可以監(jiān)控2~7層的完整信息，甚至可以將用戶的文件緩存到其內(nèi)存中。由此可見，應用交付產(chǎn)品自身的安全性非常重要。一旦應用交付產(chǎn)品出現(xiàn)安全問題，就意味著攻擊者可以隨意查看業(yè)務內(nèi)容，隨時修改、終止業(yè)務的傳輸，將給用戶業(yè)務帶來巨大損失。

　　在2012年，F(xiàn)5 BIG-IP設備被披露其文件系統(tǒng)存在一組公開的SSH公私密鑰對，利用該漏洞可以獲得遠程設備的管理權(quán)，并能進一步發(fā)起攻擊。

　　從用戶角度看，用戶正變得越來越理性，他們希望獲得能夠滿足企業(yè)需求的整體解決方案，而不是簡單地選擇某個產(chǎn)品。2011年APT出現(xiàn)后，在安全界，攻守雙方都發(fā)生了很大改變，進攻方把攻擊過程和攻擊技術(shù)幾乎都轉(zhuǎn)到應用層，防守方也把應用交付視為保證業(yè)務可用性的關鍵元素之一。所以，現(xiàn)今用戶對于應用交付產(chǎn)品的安全性提出了更高的要求。

　　順應用戶的需求，主流應用交付廠商越來越重視自身設備的安全問題，并著手增加更多的安全功能。F5在2011年推出了主打安全功能的BIG-IPv10.1版本，2012年推出安全移動設備解決方案，思杰在2012年發(fā)布了WEB應用云安全產(chǎn)品。讓應用交付更安全，已經(jīng)成為應用交付的重要發(fā)展趨勢之一。

　　無縫融合

　　通過融入諸多安全功能，應用交付產(chǎn)品變得越發(fā)強大，可以在網(wǎng)絡中發(fā)揮更大的作用。首先，它可以成為阻止DDoS攻擊的第一道防線。合理配置的應用交付產(chǎn)品可以很好地應對DDoS攻擊，其工作在TCP代理模式下，可通過代理、cookie等技術(shù)有效識別攻擊者身份，并進一步阻斷DDoS攻擊。其次，應用交付產(chǎn)品在做智能DNS及全局負載均衡部署時，可輕松擴展DNS服務器的響應能力，通過對DNS報文的合規(guī)檢查，以及DNS報文的速率控制，可以大幅度減少緩存投毒、域名劫持、中間人攻擊和DNS FLOOD攻擊的威脅。第三，可進行SSL加密內(nèi)容檢測。傳統(tǒng)的防火墻、入侵檢測和IPS等設備的特征碼技術(shù)無法檢測SSL加密流量，而應用交付產(chǎn)品提供的SSL卸載功能，不但能減輕后臺服務器的負擔，還可對卸載后的數(shù)據(jù)進行安全檢測，阻斷攻擊報文;最后，保證WEB安全。應用層的安全面臨多種挑戰(zhàn)，包括：Cookie偽裝、非法掃描、SQL注入、跨站腳本攻擊、緩沖區(qū)溢出等等。當這些攻擊行為發(fā)生時，應用交付產(chǎn)品首當其沖。七層應用交付產(chǎn)品工作在全代理模式，用戶發(fā)送的訪問請求會先在應用交付產(chǎn)品上截止，通過協(xié)議解析功能，應用交付系統(tǒng)能夠識別應用協(xié)議的具體內(nèi)容，理所當然的能夠在與服務器建立連接前將攻擊報文攔截下來，而不是不加區(qū)分的將合法請求與非法訪問通通轉(zhuǎn)發(fā)到后端服務器。

　　作為國內(nèi)領先的信息安全廠商，啟明星辰敏銳地把握住應用交付市場的發(fā)展動態(tài)，憑借在信息安全領域的深厚積累和巨大優(yōu)勢，在國內(nèi)廠商中率先推出了安全的應用交付設備。

　　實際上，啟明星辰早在2009年就開始關注應用交付產(chǎn)品市場，并開展了對應用交付產(chǎn)品的預研，2012年正式開始硬件選型及產(chǎn)品研發(fā)，2013年正式推出應用交付產(chǎn)品，產(chǎn)品形態(tài)主要包括：多鏈路負載均衡、全局流量負載均衡、服務器流量負載均衡和廣域網(wǎng)加速等，產(chǎn)品性能涵蓋了2G~80G的各個層次，能夠滿足從中小企業(yè)到運營商等各種類型用戶的需求。

　　2012年，中國負載均衡/應用交付市場規(guī)模約15億人民幣，但絕大部分的份額都被國外廠商占據(jù)，國內(nèi)信息安全廠商的介入將重塑市場格局。

　　市場生力軍

　　在傳統(tǒng)意義上，應用交付是由數(shù)據(jù)通信廠商所把控的領域，信息安全廠商進入這一市場，雖然自身有獨到之處，但仍需扭轉(zhuǎn)用戶的傳統(tǒng)觀念，化解諸多質(zhì)疑。仔細剖析應用交付市場，我們可以發(fā)現(xiàn)，近幾年，負載均衡技術(shù)其實并沒有太多更新，而用戶關注的重點已經(jīng)轉(zhuǎn)向7層應用，但應用層并不是數(shù)據(jù)通信廠商的強項。反觀信息安全廠商，在做應用安全時已經(jīng)奠定下應用識別和處理的基礎，應用交付由此成為安全廠商著力開拓的新市場就顯得順理成章，預計未來會有更多信息安全廠商進入應用交付領域。

　　對信息安全廠商而言，要想推出一款成功的應用交付設備，僅僅突出安全功能是遠遠不夠的，還必須在傳統(tǒng)功能、性能、可靠性方面達到與數(shù)據(jù)通信廠商相當?shù)乃?。以啟明星辰為例，啟明星辰是國?nèi)第一個推出萬兆UTM產(chǎn)品的安全廠商，并且在2012年已經(jīng)將全線產(chǎn)品提升至萬兆水平。在多核線性化技術(shù)方面，啟明星辰具備多年的技術(shù)積累，并有專門的性能優(yōu)化小組進行不斷的研究，優(yōu)化MIPS多核和X86多核平臺的性能。因此，推出高性能、高可靠性的應用交付產(chǎn)品對啟明星辰來說可謂駕輕就熟。

　　本土應用交付廠商在與國際廠商同臺競爭時還有一些先天的優(yōu)勢，體現(xiàn)在響應速度、服務能力等方面。應用交付是與業(yè)務強相關的產(chǎn)品，廠商必須要對用戶的應用系統(tǒng)有深入的了解，而且用戶的應用系統(tǒng)經(jīng)常會有一些變化，這就需要應用交付廠商具備快速響應能力和提供更周到服務的能力，而這正是本土廠商擅長的領域。另外，對政府、軍隊、公安等重點行業(yè)的用戶而言，國產(chǎn)應用交付產(chǎn)品為他們提供了更多的選擇。

　　在3-5年內(nèi)，國產(chǎn)應用交付產(chǎn)品有望占據(jù)國內(nèi)市場15%-20%的份額，打破目前國外廠商一統(tǒng)天下的格局。其中，具備強大安全功能的應用交付產(chǎn)品將成為一支主力軍。安全為應用交付插上了騰飛的翅膀，而應用交付讓安全變得更加智能。