谁来保护我的应用交付

谁来保护我的“应用交付”随着企业基于WEB 的业务模式快速发展，IT 管理者正在考虑这样的一个问题，如何保障企业业务更加顺畅健康的发展？我们都注意到，应用交付技术可以解决业务连续性、扩展性的问题。然而

谁来保护我的“应用交付”

随着企业基于WEB 的业务模式快速发展，IT 管理者正在考虑这样的一个问题，如何保障企业业务更加顺畅健康的发展？我们都注意到，应用交付技术可以解决业务连续性、扩展性的问题。然而每一种新的技术产生，都会带来新的挑战，应用交付也不例外。

最新映入我们眼中的是负载均衡技术，不可否认，负载均衡技术帮助我们完成了应用系统的优化，不过很快我们发现，单纯的负载均衡并不能称为“完整”的应用交付。

首先困扰我们的是DDoS ，针对四层的TCP FLOOD、UDP FLOOD还可以依靠传统防火墙来抵御，然后隐藏在合理应用访问中的HTTP FLOOD攻击，传统的防火墙以及IPS 都很难发现并检测，而不加区分的负载设备，更是将攻击流量也分担到了服务器上。更可怕的是，应用交付自身被DDoS 攻击出现问题后，处于中枢调度的负载设备一旦出现故障，将导致网络整体瘫痪。事实上，在2012年，90以上的电子商务网站都受到过DDoS 的攻击，而三分之一的用户在DDoS 攻击下导致防火墙、IPS 失效造成危害。作为应用交付产品产品，我们需要更“聪明”的负载均衡，能够识别攻击流量，将攻击流量阻止在交付给应用服务之前。

其次是WEB 安全，应用层的安全面临多种挑战：Cookie 伪装、非法扫描、SQL 注入、跨站脚本攻击、缓冲区溢出。面对这些基于WEB 而又频繁发生的攻击行为，应用交付产品首当其冲。七层应用交付产品工作在全代理模式，用户发送的访问请求会先在应用交付产品上截止，通过协议解析功能，应用交付系统能够识别应用协议的具体内容，理所当然的能够在与服务器建立连接前将攻击报文拦截下来，而不是不加区分的将合法请求与非法访问转发到后端服务器。

还有DNS 攻击，在应用交付产品中针对服务器的入站访问，都会通过应用交付的DNS 解析功能。应用交付产品替代DNS 服务器完成对域名的DNS 解析及响应。事实上，近几

年针对DNS 的攻击屡屡发生，无论是DNS FLOOD 还是DNS “投毒”，DNS 攻击最频繁也最难于抵御，一旦攻击成功对企业的影响也是巨大的。无法想象下，某天，我们打开“SOHU ”看新闻，浏览器却返回的是域名无法解析，当我们打开网银时，却被错误的定向到钓鱼站点，行业调查显示，DNS 和加密数据攻击影响席卷了各个行业，每年给企业平均造成682,000美元的损失。DNSSEC 技术可以有效的为域名解析提供安全防护，作为DNS 基础设施，通过将DNS 安全能力集成在应用交付产品上，最终用户可以大幅度减少缓存投毒、域名劫持、中间人攻击和DNS FLOOD攻击的威胁。

最后是应用交付产品自身的安全。2012年，F5 BIG-IP 被披露设备文件系统存在一组公开的SSH 公私密钥对，利用该漏洞可以获得远程设备的管理权（CNVD-2012-12481），并能进一步发起针对相关网络的攻击。作为应用业务的核心，应用交付可以监控2到7层的完整信息，应用交付甚至可以将用户的文件缓存到其内存中。由此可见一旦应用交付产品自身出现安全问题，那意味着，攻击者可以随意查看业务内容，随时修改、终止业务的传输，给用户带来的损失是毁灭性的。应用交付自身的安全无法依靠其他设备保证，这需要应交付厂商在提供产品时拥有足够的安全设计。

在我们眼中，真正完整的应用交付产品，负载技术是底座，应用加速是中坚，而传递到最终用户之前的则是可靠、效率与安全。

作为国内顶尖的安全厂商，启明星辰的天清ADC 产品逐渐走入了我们的视线，利用在安全领域积累的技术和应用经验，启明星辰拥有完整的业务安全解决方案，从DDoS 防御到WAG ，深厚的安全技术底蕴使启明星辰可以轻松应对各种安全问题。而2011年开始，在多核领域的逐年积累，万兆UTM 、万兆NIPS 、万兆WAG 一系列万兆产品的推出，让启明星辰终于“化茧成蝶”从国内安全厂商之中脱颖而出，与传统安全厂商不同的是，启明星辰拥有不逊于数通厂商构建高性能转发平台的技术能力，其采用多核并行计算体系的天清

ADC 产品在拥有天生安全因子外还拥有极高的转发性能。我们有理由相信，在国外厂商占主导地位的应用交付产品领域，启明星辰的天清ADC 产品必将吹起一股“安全交付”的新风。