從負(fù)載均衡、應(yīng)用交付到交付安全，在短短的十?dāng)?shù)年里，交付領(lǐng)域的變化可謂日新月異，從軟件到硬件，從4層負(fù)載到7層應(yīng)用，而這兩年，主流廠商又將應(yīng)用交付的大旗指向了信息安全。這些僅僅是廠商的“噱頭”么？事實(shí)并非如此。

安全自需求而來

應(yīng)用交付是從負(fù)載均衡概念延伸而來，最初的負(fù)載均衡作為一項(xiàng)分擔(dān)技術(shù)，曾經(jīng)是路由交換設(shè)備的基本技術(shù)（如鏈路負(fù)載），其主要目的在于解決大并發(fā)數(shù)據(jù)流量時(shí)的壓力分擔(dān)，以及做4層的服務(wù)器負(fù)載均衡，隨著客戶應(yīng)用越來越復(fù)雜、需求越來越多，逐漸產(chǎn)生了應(yīng)用層的負(fù)載均衡。

應(yīng)用交付的產(chǎn)生主要來源于兩個(gè)因素：一是客戶需求的提升，除了負(fù)載均衡，客戶的應(yīng)用需要在部署時(shí)更加靈活，更加適應(yīng)應(yīng)用本身的特點(diǎn)；二是SSL加速技術(shù)、HTTP壓縮技術(shù)等一系列應(yīng)用交付技術(shù)在不斷發(fā)展和整合，這些都推動(dòng)著應(yīng)用交付持續(xù)向前發(fā)展。從應(yīng)用部署理念上來講，負(fù)載均衡關(guān)注業(yè)務(wù)流進(jìn)入數(shù)據(jù)中心的過程，而應(yīng)用交付更加關(guān)注應(yīng)用交付出去的效果，更加關(guān)注用戶的使用體驗(yàn)。

應(yīng)用交付技術(shù)正是從業(yè)務(wù)連續(xù)性著手，從解決高可用性，逐漸發(fā)展到解決應(yīng)用優(yōu)化、安全問題，一步步的邁向用戶的最終需求。對(duì)于提供應(yīng)用交付的廠商而言，從最開始的傳統(tǒng)的網(wǎng)絡(luò)廠商，慢慢的有更多關(guān)注于應(yīng)用、關(guān)注于安全的廠商加入進(jìn)來。而傳統(tǒng)的網(wǎng)絡(luò)廠商也逐步邁向安全，應(yīng)用交付技術(shù)與安全技術(shù)的融合已經(jīng)成為一個(gè)大趨勢(shì)。

技術(shù)推動(dòng)安全

應(yīng)用交付產(chǎn)品在做4層負(fù)載均衡時(shí)，協(xié)議、IP、接口等信息是其分擔(dān)技術(shù)基礎(chǔ)，而7層的負(fù)載技術(shù)同時(shí)也要求應(yīng)用交付產(chǎn)品能夠完成對(duì)應(yīng)用層協(xié)議，如：HTTP、SMTP等協(xié)議的解析。這些技術(shù)為應(yīng)用交付產(chǎn)品完成安全功能打下了技術(shù)基礎(chǔ)。

交付技術(shù)在不斷更新，但應(yīng)用交付的部署位置卻從未改變。服務(wù)器負(fù)載（應(yīng)用加速、卸載）通常部署在服務(wù)器區(qū)前端，鏈路負(fù)載通常部署在多鏈路出口，而這些位置本身也正是傳統(tǒng)安全產(chǎn)品防火墻、IPS、WAF的部署位置。

安全問題的日益突出，也使得應(yīng)用交付產(chǎn)品設(shè)計(jì)人員注意到，通過應(yīng)用交付產(chǎn)品構(gòu)建第一道安全防線的必要性。而國(guó)際以及國(guó)內(nèi)主流安全廠商的跟進(jìn)，則使得這種希望逐漸變?yōu)楝F(xiàn)實(shí)。#p#

應(yīng)用交付身上的安全因子

更進(jìn)一步的訪問控制

基于IP、協(xié)議、端口的4層訪問控制已經(jīng)是防火墻產(chǎn)品的標(biāo)配，對(duì)于應(yīng)用交付來說，僅僅支持4層的訪問控制還遠(yuǎn)遠(yuǎn)不夠，如今網(wǎng)絡(luò)攻擊已經(jīng)由傳統(tǒng)的3、4層向4、7層擴(kuò)展。通過對(duì)應(yīng)用層的協(xié)議解析，應(yīng)用交付產(chǎn)品可以支持對(duì)應(yīng)用層數(shù)據(jù)的訪問控制，因而使服務(wù)器得到更高的安全性。

DDoS攻擊的第一道防線

服務(wù)器負(fù)載均衡是應(yīng)用交付的基本應(yīng)用，應(yīng)用交付負(fù)責(zé)將用戶流量分擔(dān)到不同服務(wù)器上?？梢韵胂?，一臺(tái)沒有任何安全功能的應(yīng)用交付產(chǎn)品，在發(fā)生DDoS攻擊時(shí)，毫無區(qū)分的將DDoS攻擊的流量分配到用戶服務(wù)器所帶來的災(zāi)難性的后果。

反之，通過在應(yīng)用交付產(chǎn)品上合理配置就可以很好的應(yīng)對(duì)DDoS攻擊。應(yīng)用交付產(chǎn)品自身工作在TCP代理模式，在這種模式下，通過代理、cookie等技術(shù)可有效識(shí)別攻擊者身份。此外，應(yīng)用交付產(chǎn)品相比傳統(tǒng)防火墻、IPS具備更高的連接處理能力，可以更好的保護(hù)后端的服務(wù)器。

越來越被重視的DNS安全

DNS是互聯(lián)網(wǎng)中最基礎(chǔ)又至關(guān)重要的一環(huán)，應(yīng)用交付產(chǎn)品在做智能DNS以及全局負(fù)載均衡部署中，可以很容易的擴(kuò)展DNS服務(wù)器的響應(yīng)能力。通過對(duì)DNS報(bào)文的合規(guī)檢查，以及DNS報(bào)文的速率控制，可以防止針對(duì)企業(yè)域名的DNS flood攻擊。而對(duì)DNSSEC的支持可以有效的防止DNS劫持。

SSL加密內(nèi)容檢測(cè)

眾所周知，銀行的網(wǎng)上數(shù)據(jù)都是基于SSL加密的。傳統(tǒng)的網(wǎng)絡(luò)安全理念與攻擊防護(hù)無法解決網(wǎng)上的應(yīng)用攻擊問題，典型的就是目前常見的防火墻，入侵檢測(cè)和IPS等設(shè)備的特征碼技術(shù)在銀行的SSL加密流量下毫無用處，無法進(jìn)行解密。應(yīng)用交付產(chǎn)品提供的SSL卸載功能，不單能減輕后臺(tái)服務(wù)器的負(fù)擔(dān)，更重要的是，可以對(duì)卸載后的數(shù)據(jù)進(jìn)行安全檢測(cè)，阻斷攻擊報(bào)文。

WEB安全

WEB安全的核心是對(duì)HTTP報(bào)文的解析和處理，應(yīng)用交付產(chǎn)品部署在服務(wù)器前端時(shí)，在優(yōu)化、加速業(yè)務(wù)的同時(shí)，也在并行處理各種安全事務(wù)。從HTTP協(xié)議合規(guī)性檢查，到防信息泄露，以及各種SQL/XSS的阻斷。

在保障應(yīng)用安全性與暢通的同時(shí)，極大的減少了服務(wù)器群的負(fù)載，將服務(wù)器從大量安全連接、數(shù)據(jù)加密中解脫出來，更加專注在應(yīng)用處理本身。目前主流的應(yīng)用交付廠商都將WAF作為應(yīng)用交付產(chǎn)品的一部分，甚至引申出專門的WEB安全產(chǎn)品來銷售，由此可見WEB安全在應(yīng)用交付領(lǐng)域的重要性。

編輯點(diǎn)評(píng)：

安全勢(shì)必成為應(yīng)用交付領(lǐng)域中不可忽視的一環(huán)，用戶在選擇應(yīng)用交付產(chǎn)品時(shí)，除了關(guān)注性能之外，也需要更加關(guān)注交付的安全性。