1 應(yīng)用交換及應(yīng)用安全背景剖析

　　在介紹RADWARE整體解決方案以前，我們首先分析應(yīng)用交換技術(shù)及應(yīng)用安全技術(shù)的市場背景及技術(shù)背景。

1。1 應(yīng)用交換背景剖析

　　為什么會出現(xiàn)應(yīng)用交換技術(shù)?它的出現(xiàn)到底為今天的網(wǎng)絡(luò)應(yīng)用帶來了什么好處?解決了什么樣的問題呢?在回答這些問題以前，我們首先探討以下這個傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)，用戶在訪問應(yīng)用的時候，首先經(jīng)過接入運營商(Access ISP)，這些接入運營商又通過網(wǎng)絡(luò)提供商(Network SP)，經(jīng)過主機/應(yīng)用托管服務(wù)提供商(Hosting SP/IDC)到達應(yīng)用服務(wù)器。

　　不容置疑的是，這些運營商，包括接入運營商(Access ISP)，網(wǎng)絡(luò)提供商(Network SP)，主機/應(yīng)用托管服務(wù)提供商(Hosting SP/IDC)，他們?yōu)榱藫屨歼@個利潤豐厚的市場，運營商內(nèi)部的網(wǎng)絡(luò)帶寬都足夠充分，幾乎不存在網(wǎng)絡(luò)瓶頸。但是，可悲的是運營商之間的網(wǎng)絡(luò)帶寬卻是小得可憐(可能是物理帶寬不足，更多的因素是由于競爭關(guān)系相互限制)，直接導(dǎo)致運營商之間的帶寬限制成為用戶訪問的瓶頸，這是用戶訪問速度緩慢的其中一個重要的因素，這方面的瓶頸我們稱之為Peering Delay。

　　除了前面所闡述的Peering Delay以外，還有什么因素導(dǎo)致用戶訪問緩慢呢?這個因素也許大多數(shù)朋友都未意識到，這個瓶頸來自應(yīng)用的前端，為什么這樣講呢?我們都知道服務(wù)器的發(fā)展速度受到摩爾定律的限制，即主機的性能每十八個月才翻一倍，而今天對網(wǎng)絡(luò)流量的調(diào)查，我們發(fā)現(xiàn)網(wǎng)絡(luò)的流量每隔三個月就翻一倍，可見網(wǎng)絡(luò)流量的發(fā)展速度遠遠快于主機的發(fā)展速度，如果主機只是簡單地通過一張網(wǎng)絡(luò)接口卡就連接到網(wǎng)絡(luò)上面去的話，必定受到網(wǎng)絡(luò)數(shù)據(jù)流嚴重的沖擊，應(yīng)用服務(wù)與網(wǎng)絡(luò)的接口成為了應(yīng)用訪問的瓶頸，這個瓶頸我們稱之為Server delay(見上圖)。

　　在這個關(guān)鍵的時候，L4/L7應(yīng)用交換技術(shù)脫穎而出，它承擔(dān)了應(yīng)用服務(wù)與網(wǎng)絡(luò)傳輸之間的接口，去解決應(yīng)用與網(wǎng)絡(luò)之間的瓶頸(SLB)。這就是應(yīng)用交換機走向市場的歷史背景，應(yīng)用交換機的出現(xiàn)，使得應(yīng)用的智能性逐漸地從應(yīng)用端延伸到網(wǎng)絡(luò)的邊緣，使得應(yīng)用可以通過這個接口無縫的接合到網(wǎng)絡(luò)當(dāng)中，這種早期的應(yīng)用交換技術(shù)，我們又稱之為應(yīng)用負載均分技術(shù)。

　　這種早期的應(yīng)用交換(SLB負載均分)技術(shù)，解決了應(yīng)用前端的瓶頸問題(Server Delay)，而前面所提到的Peering Delay的問題應(yīng)該如何解決呢?在無法控制運營商之間的瓶頸的情況下，我們把應(yīng)用逐漸推向用戶的邊緣，讓用戶可以從近的應(yīng)用點獲取數(shù)據(jù)，從而避免了運營商之間的瓶頸，我們以YAHOO 作為案例：

　　YAHOO在INTERNET上并非只有一個站點，而是把站點鏡像到世界不同的角落，各站點間運行著洲際負載均衡技術(shù)(GSLB)，這些站點都同享一個域名：www。yahoo。com ，當(dāng)用戶訪問www。yahoo。com 的時候，通過GSLB技術(shù)，把用戶定向到距離自身近，響應(yīng)速度快的站點，從而有效解決了運營商之間的Peering Delay瓶頸問題。

　　SLB技術(shù)與GSLB技術(shù)是早的應(yīng)用交換技術(shù)，經(jīng)過多年來的發(fā)展，應(yīng)用交換派生出更多更豐富的技術(shù)，我們會在第二章和大家介紹RADWARE的全面應(yīng)用交換技術(shù)及解決方案。

　　總之，應(yīng)用交換技術(shù)的誕生，讓網(wǎng)絡(luò)的邊緣具備了應(yīng)用的智能性，作為應(yīng)用與網(wǎng)絡(luò)間的接口，消除了網(wǎng)絡(luò)與應(yīng)用間的瓶頸，使得應(yīng)用可以通過這個接口，無縫地接入到網(wǎng)絡(luò)當(dāng)中去，應(yīng)用的性能得到了極大的提高。

1。2 應(yīng)用安全背景剖析

　　防火墻一直是網(wǎng)絡(luò)及應(yīng)用安全的代名詞，在瞬息萬變的信息時代，這個曾經(jīng)叱咤風(fēng)云的一代宗師，今天卻成為了信息安全的誤區(qū)，防火墻仍然安全嗎?

眾所周知，今天的應(yīng)用逐漸向Web轉(zhuǎn)換，這意味著什么呢?

　　傳統(tǒng)的應(yīng)用，不同應(yīng)用具有不同的端口，防火墻為不同應(yīng)用開放不同的端口，見左圖，今天的應(yīng)用向WEB轉(zhuǎn)換，不同的應(yīng)用全都承載在WWW端口上，防火墻只需開放一個端口，即WWW(80)端口，見右圖。左邊的防火墻開放了多個端口，而右邊的防火墻只開放了一個端口(80)，因此右邊的防火墻比左邊的更安全嗎?當(dāng)然不是，我們試想從另一個角度出發(fā)，應(yīng)用向WWW轉(zhuǎn)換后，原來每一個應(yīng)用的報頭信息，今天全部成為WWW 應(yīng)用的凈負荷(PAYLOAD)，防火墻若不具備深度包檢測的機制，應(yīng)用向WEB轉(zhuǎn)變將導(dǎo)致防火墻形同虛設(shè)，根據(jù)GARTNER 的預(yù)測，如果防火墻還只局限于狀態(tài)檢測而不具備深度包檢測的機制，將很快面臨淘汰的厄運。

　　防火墻不再可以依賴，那么我們需要什么技術(shù)來維護應(yīng)用的安全呢?我們首先分析黑客可能會對我們做什么，今天網(wǎng)絡(luò)黑客的攻擊手段多種多樣，總結(jié)起來分為兩類，一類是INTRUSION(入侵)，另一類為DDOS(拒絕服務(wù))。這就是為什么今天市場上流行著兩大類型的安全產(chǎn)品：IPS(入侵防護系統(tǒng))及ANTI-DDOS(拒絕服務(wù)防護系統(tǒng))，而今的IPS 及ANTI-DDOS 大都是通過攻擊特征庫查詢來防御攻擊，不幸的是攻擊特征碼只有在攻擊發(fā)生以后才能被分析出來，因此這種防御手段雖然有效，但是缺少足夠的主動性，這也是為什么基于行為的DDOS防御手段(BDOS)成為了網(wǎng)絡(luò)安全領(lǐng)域非常熱門的話題及技術(shù)，談到這里，相信已經(jīng)有答案了，我們需要什么?我們需要IPS + ANTI-DDOS + BDOS ！ 

Radware 整體解決方案概述

2。1 應(yīng)用交換解決方案

　　前面介紹了應(yīng)用交換技術(shù)的市場背景，在這一章節(jié)里我們介紹RADWARE應(yīng)用交換的整體解決方案及產(chǎn)品系列，其中每一款產(chǎn)品的市場定位都是不一樣的，有應(yīng)用存在的地方，就會有應(yīng)用交換技術(shù)及應(yīng)用安全的市場機會，我們先看一看傳統(tǒng)應(yīng)用的數(shù)據(jù)流程：

　　用戶接入INTERNET，訪問數(shù)據(jù)從數(shù)據(jù)中心的INTERNET接入點進入數(shù)據(jù)中心，然后進過數(shù)據(jù)中心的防火墻，經(jīng)過局域網(wǎng)骨干，在流經(jīng)ANTI-VIRUS，及ANTI-SPAM、URL-FILTERING等安全監(jiān)控服務(wù)器群，到達數(shù)據(jù)服務(wù)器。顯然，這種串行的數(shù)據(jù)訪問流程帶來幾個問題：

　　• 整個流程的穩(wěn)定可靠性取決于穩(wěn)定可靠性弱的環(huán)節(jié)

　　• 整個流程的安全性取決于安全性弱的環(huán)節(jié)

　　• 整個流程的性能取決于性能弱的環(huán)節(jié)

　　• ANTI-VIRUS，及ANTI-SPAM、URL-FILTERING 進一步帶來性能惡化，如：由于ANTI-SPAM坐落于數(shù)據(jù)鏈路當(dāng)中，使得WEB數(shù)據(jù)無可奈何地經(jīng)由ANTI-SPAM轉(zhuǎn)發(fā)一遍，這種多此一舉的動作導(dǎo)致性能進一步下降。

　　任何環(huán)節(jié)出現(xiàn)不穩(wěn)定因素，或出現(xiàn)性能瓶頸及安全漏洞，都會導(dǎo)致整個數(shù)據(jù)環(huán)節(jié)不穩(wěn)定、性能下降、及安全隱患。

　　顯然，當(dāng)串行流程中若由于只有一臺設(shè)備而導(dǎo)致穩(wěn)定性問題及性能瓶頸問題，那么可以采用多臺設(shè)備同時并行處理的方式來解決這些問題，然而如何在這些眾多設(shè)備當(dāng)中實現(xiàn)智能的流量調(diào)配(如下圖示)，這就是L4/L7應(yīng)用交換技術(shù)的精華所在。

　　然而在每一個不同的環(huán)節(jié)，都有不同的L4/L7交換技術(shù)去解決不同的問題，發(fā)揮其不同功效。以下我們一一探討在每一個環(huán)節(jié)當(dāng)中的L4/L7應(yīng)用交換技術(shù)的市場機會：

　　在INTERNET連接部分，如下圖，用戶為了保證出口的帶寬及穩(wěn)定性，都會向不同或同一ISP申請多條鏈路來解決問題，這是RADWARE LinkProof 多鏈路解決方案的市場機會，只要引入LinkProof，就可以實現(xiàn)出口及入口的鏈路負載分擔(dān)，確保INTERNET出口的性能及穩(wěn)定性，并且LINKPROOF具備精確的就近性(PROXIMITY)，保證用戶從快的鏈路出入。詳細技術(shù)細節(jié)請參閱技術(shù)白皮書。

　　在防火墻部分，如下圖，為了保證性能及提高穩(wěn)定性，大多用戶會采用多臺防火墻(同一品牌或不同品牌)并行處理的工作方式，這是RADWARE SecureFlow 防火墻及各種安全服務(wù)器負載分擔(dān)的市場機會，只要引入SecureFlow，就可以讓多臺防火墻并行工作，把多臺防火墻邏輯上統(tǒng)一成一臺，確保防火墻環(huán)節(jié)的性能及穩(wěn)定性，并方便了管理。詳細技術(shù)細節(jié)請參閱技術(shù)白皮書。

　　在安全監(jiān)控服務(wù)器環(huán)節(jié)，如下圖示，為了解決按數(shù)據(jù)類型分配流量問題(如：WWW請求只流經(jīng)ANTI-VIRUS，而旁路ANTI-SPAM，EMAIL請求及流經(jīng)ANTI-VIRUS，又流經(jīng)ANTI-SPAM 作安全檢測，以增強效率及提高性能)，帶來了CID的市場機會，CID作為眾多安全監(jiān)控服務(wù)器的智能交換中心，把不同類型的數(shù)據(jù)智能調(diào)配到不同的安全監(jiān)控服務(wù)器上實現(xiàn)相應(yīng)的安全監(jiān)控，結(jié)果是不同的安全監(jiān)控服務(wù)器只接收及監(jiān)控所支持的應(yīng)用類型及協(xié)議，并可以對安全服務(wù)器實現(xiàn)負載分擔(dān)，即保證了應(yīng)用數(shù)據(jù)的安全監(jiān)控，同時又加強了性能。詳細技術(shù)細節(jié)請參閱技術(shù)白皮書。

注：CID的部分功能可以在前面闡述的SecureFlow 中完成，具體細節(jié)請聯(lián)系RADWARE 工程師。

　　在應(yīng)用服務(wù)器部分，是傳統(tǒng)的應(yīng)用服務(wù)負載分擔(dān)的AppDirector的市場機會，也是AppXcel 應(yīng)用加速的市場機會，AppDirector把用戶請求智能調(diào)配到后臺負載較輕的應(yīng)用服務(wù)器，而AppXcel則接管了應(yīng)用服務(wù)端耗費CPU的工作(如SSL加速;TCP復(fù)用;數(shù)據(jù)壓縮，緩存等)，即增強了穩(wěn)定性，又提高了應(yīng)用的性能。其中AppDirector還可以升級成AppDirector-Global，使其具備GSLB的功能，解決章闡述的Peering Delay問題。如下圖，詳細技術(shù)細節(jié)請參閱技術(shù)白皮書。

2。2 應(yīng)用安全解決方案

　　通過前面的分析，我們已經(jīng)得到答案，今天網(wǎng)絡(luò)安全市場需要IPS + ANTI-DDOS + BDOS！而RADWARE 的 DefensePro就是的選擇，DefensePro是市場上同時具備IPS，ANTI-DDOS，BDOS的安全產(chǎn)品，也是安全市場上處理能力快的安全產(chǎn)品，安全處理能力高達6G。并具備帶寬管理功能，有效地在出口限制P2P應(yīng)用帶寬及垃圾流量。

　　DefensePro BDOS 功能不單只檢測流量的行為異常，并監(jiān)測TCP/UDP/ICMP 等狀態(tài)的分布異常，避免產(chǎn)生誤報的發(fā)生，如新聞網(wǎng)站，經(jīng)常因為頭條新聞而導(dǎo)致流量劇增，若只檢測流量的行為異常，必定產(chǎn)生誤報，DefensePro BDOS監(jiān)測TCP/UDP/ICMP 等狀態(tài)的分布異常，避免產(chǎn)生誤報。見下圖：

　　注：以上講述的RADWARE 應(yīng)用交換機系列，都可以通過許可證升級的方式，讓應(yīng)用交換機帶有應(yīng)用安全的功能。在應(yīng)用交換機上嵌入安全性是應(yīng)用交換機的發(fā)展趨勢，而RADWARE在第就內(nèi)置了這種功能

3 RADWARE整體解決方案的優(yōu)勢

　　概括起來，RADWARE的四層交換機采用硬件架構(gòu)實現(xiàn)高性能應(yīng)用交換，這是我們和競爭對手很大的區(qū)別，RADWARE應(yīng)用交換技術(shù)非常齊全，保證端到端的應(yīng)用加速，其中CID/SF是RADWARE獨創(chuàng)的專有技術(shù)。并且，RADWARE從進入L4/L7市場的第開始，我們就內(nèi)嵌了流量控制(BWM)及安全機制(IPS/DDOS)，可以透過4層以上的特征碼來控制用戶的訪問，在應(yīng)用交換機上嵌入安全性是應(yīng)用交換機的發(fā)展趨勢，而RADWARE在第就內(nèi)置了這種功能，絕非半路出家，這種功能和L4/L7交換是相輔相成的，我們的流控技術(shù)可以實現(xiàn)精確的帶寬分配，可以攔截黑客的強行入侵(IPS)，可以攔截黑客的DDOS(Anti-DDOS)，并帶有BDOS實現(xiàn)真正的主動防御，攔截未知的黑客攻擊。