隨著企業(yè)基于WEB的業(yè)務(wù)模式快速發(fā)展，IT管理者正在考慮這樣一個問題：如何保障企業(yè)業(yè)務(wù)更加順暢健康的發(fā)展？我們都注意到，應(yīng)用交付技術(shù)可以解決業(yè)務(wù)連續(xù)性、擴展性的問題。然而每一種新的技術(shù)產(chǎn)生，都會帶來新的挑戰(zhàn)，應(yīng)用交付也不例外。

最新映入我們眼中的是負載均衡技術(shù)。不可否認，負載均衡技術(shù)幫助我們完成了應(yīng)用系統(tǒng)的優(yōu)化，不過很快我們發(fā)現(xiàn)，單純的負載均衡并不能稱為“完整”的應(yīng)用交付。

首先困擾我們的是DDoS，針對四層的TCP FLOOD、UDP FLOOD攻擊還可以依靠傳統(tǒng)防火墻來抵御，然而隱藏在合理應(yīng)用訪問中的HTTP FLOOD攻擊，讓傳統(tǒng)的防火墻、IPS都很難發(fā)現(xiàn)并檢測，而不加加以區(qū)分的負載設(shè)備，更是將攻擊流量也分擔(dān)到了服務(wù)器上。更可怕的是，應(yīng)用交付自身被DDoS攻擊出現(xiàn)問題后，處于中樞調(diào)度的負載設(shè)備一旦出現(xiàn)故障，將導(dǎo)致網(wǎng)絡(luò)整體癱瘓。事實上，在2012年，90%以上的電子商務(wù)網(wǎng)站都受到過DDoS的攻擊，其中有三分之一的網(wǎng)站的網(wǎng)絡(luò)受到較大影響。作為應(yīng)用交付產(chǎn)品，我們需要更“安全”的負載均衡，能夠識別攻擊流量，將攻擊流量阻止在交付給應(yīng)用服務(wù)之前。

其次是WEB安全，應(yīng)用層的安全面臨多種挑戰(zhàn)：Cookie偽裝、非法掃描、SQL注入、跨站腳本攻擊、緩沖區(qū)溢出。面對這些基于WEB頻繁發(fā)生的攻擊行為，應(yīng)用交付產(chǎn)品首當(dāng)其沖。七層應(yīng)用交付產(chǎn)品工作在全代理模式，用戶發(fā)送的訪問請求會先在應(yīng)用交付產(chǎn)品上截止，通過協(xié)議解析功能，應(yīng)用交付系統(tǒng)能夠識別應(yīng)用協(xié)議的具體內(nèi)容，理所當(dāng)然的能夠在與服務(wù)器建立連接前將攻擊報文攔截下來，而不是不加區(qū)分的將合法請求與非法訪問轉(zhuǎn)發(fā)到后端服務(wù)器。

還有DNS攻擊，在應(yīng)用交付產(chǎn)品中，針對服務(wù)器的入站訪問，都會通過應(yīng)用交付的DNS解析功能。應(yīng)用交付產(chǎn)品替代DNS服務(wù)器完成對域名的DNS解析及響應(yīng)。事實上，近幾年針對DNS的攻擊屢屢發(fā)生，包括DNS FLOOD、DNS“投毒”。DNS攻擊最頻繁也最難于抵御，一旦攻擊成功對企業(yè)的影響也是巨大的。比如，當(dāng)我們打開網(wǎng)銀時，卻被錯誤的定向到釣魚站點。行業(yè)調(diào)查顯示，DNS和加密數(shù)據(jù)攻擊影響了各個行業(yè)，每年給企業(yè)平均造成近70萬美元的損失。DNSSEC技術(shù)可以有效的為域名解析提供安全防護，作為DNS基礎(chǔ)設(shè)施，通過將DNS安全能力集成在應(yīng)用交付產(chǎn)品上，可以大幅度減少緩存投毒、域名劫持、中間人攻擊和DNS FLOOD攻擊的威脅。

最后是應(yīng)用交付產(chǎn)品自身的安全。2012年，F(xiàn)5BIG-IP被披露設(shè)備文件系統(tǒng)存在一組公開的SSH公私密鑰對，利用該漏洞可以獲得遠程設(shè)備的管理權(quán)（CNVD-2012-12481），并能進一步發(fā)起針對相關(guān)網(wǎng)絡(luò)的攻擊。作為應(yīng)用業(yè)務(wù)的核心，應(yīng)用交付可以監(jiān)控2到7層的完整信息，應(yīng)用交付甚至可以將用戶的文件緩存到其內(nèi)存中。由此可見一旦應(yīng)用交付產(chǎn)品自身出現(xiàn)安全問題，那意味著攻擊者可以隨意查看業(yè)務(wù)內(nèi)容，隨時修改、終止業(yè)務(wù)的傳輸，給用戶帶來的損失是毀滅性的。應(yīng)用交付自身的安全無法依靠其他設(shè)備保證，這需要應(yīng)用交付廠商在設(shè)計產(chǎn)品時就要考慮到足夠的安全功能。

在我們眼中，作為完整的應(yīng)用交付產(chǎn)品，負載技術(shù)是底座，應(yīng)用加速是中堅，而傳遞到最終用戶之前的則是可靠、效率與安全。