应用加速中的安全齿轮
传统上说,应用加速技术都是作为企业广域网优化方案的一部分出现的。但有意思的是,从2006年中期开始,随着越来越多的企业应用协同与SOA架构部署,应用加速技术逐渐成为了焦点。有业内人士表示,应用加速已经涵盖了广域网、网关、核心业务系统、办公系统等多个层次。因此,将其作为统一的概念推出同样非常合适。概念出来了,但在具体的实施上并不乐观。从目前的情况看,仅仅依靠速度优势不能解决全部问题。
对企业来说,安全与速度同样不可忽视。无论是广域网、网关还是XML,充斥在其中的安全问题让企业不得不花费大量精力来处理。事实上,由安全问题所引发的跨网络应用危机已经从2006年年底开始引起人们的关注。
为了保障关键应用的开展,一些主流厂商已经开始在应用加速技术中整合安全技术,随之而来的是各种安全保障机制得以快速发展。不过,受困于应用加速的复杂性,很多用户面对其中的安全措施仍不知所措。
为此,我们特别策划了本期专题,在邀请了厂商和用户方面专家进行讨论的同时,还专门开辟了网上专区与问卷调查,希望能够和广大读者一起分享加速中的安全经验。
■ 齿轮一:VPN提速与业务的啮合
今天的企业边界正在以前所未有的速度消失,越来越多的员工以远程方式在分公司办公,而数据中心的快速发展,又使得企业业务应用程序更多地整合到少数几台服务器上,这让用户远距离访问应用程序成为一种普遍现象。于是,将应用快速、安全地交到使用者手中,成为一项无法回避的挑战。
在跨地区的应用安全交付平台体系中,VPN是不可或缺的一环,也是首先迫切需要加速的部分。
按理说,凭借VPN自身的国际标准,其安全与加速的优势应该最容易得到发挥。但遗憾的是,虽然在VPN加速领域拥有最多的安全厂商参与其中,但各自的思路与技术却不尽相同。因此,在放到不同的应用环境中的某些技术不但没有起到相应的作用,甚至给用户带来了相反的效果。
以IPSec VPN为例,它是建立网络连接,实现应用交付的重要“铁路”。一台台的IPSec VPN部署在各地,将企业分布在天南地北的机构连接在一起。OA、ERP、MIS、CRM等各种应用系统就像一列列飞驰的列车,在这条干线上呼啸而过。
当然,让这些列车得以飞驰,必须有一定的技术做保证。传统的IPSec VPN在将明文数据包重新加密封装后,引入了新的冗余数据,从而导致传统IPSec VPN的传输效率只有明文传输效率的70%~80%,使得用户的访问受到影响。很多企业用户抱怨,在使用传统IPSec VPN后,感觉“网速变慢了”。
对此,以Juniper为代表的国外安全厂商提出了应用压缩技术,包括分子序列压缩和网络序列缓存。Juniper的安全工程师张钧认为,从原理上说,这种技术属于一种应用层数据包压缩的加速机制。通过对应用层数据和包头进行压缩,可以使IPSec VPN的传输性能远远超出物理带宽的限制,比采用明文传输还要快。尤其当传输文档、报表等文件时,传输效率有非常明显的提高,用户的感觉就是“网速更快了”。
在此基础上,美国的F5公司还采用了重点解决应用层的透明数据压缩(TDR)技术,这样可以显著降低许多应用的带宽消耗,有些应用可将传输数据量减少95%。
不过遗憾的是,很多业内人士认为,这些加速技术比较偏重于加速本身,对于安全,尤其是国内应用环境的安全问题考虑则不够多。对此,著名跨国投资企业、深圳飞尚集团信息部总经理张荆在电话中向记者表示,当前国内电信运营商的线路环境不一定稳定,这种只重加速的做法,很难给用户带来业务连续性安全的保障。对大型企业来说,如果没有相应的业务连续性保障,很难想象用户会放心地把业务放在广域网上。
为了能够给企业提供一个保持业务连续性的环境,特别是能够满足当前国内的运营商线路环境,以深信服为代表的国内安全厂商则在VPN加速中提供了基于业务连续安全的多线路复用和智能选路技术。
对此,深信服的应用加速产品总监陈承在接受采访时透露,多线路复用技术是指一些VPN设备可同时支持多条广域网线路。例如,用户可以同时申请2~4条2M的ADSL线路,在小成本投入的情况下就获得了4M~10M的公网带宽。通过将多线路捆绑成一条高带宽的线路,多线路复用技术为用户提供了可靠的带宽保证。同时,多线路备份技术可确保线路的高可用性。即使某一条或多条线路故障,只要有一条线路是通畅的就能保证用户的业务连续性安全。
另外,他还表示,有些用户的分支机构遍布全国各地,但由于国内南电信北网通的限制,其位于北方的分支机构通常只能申请网通线路,南方的分支机构只能申请电信线路。对此,国内用户需要在企业总部申请电信和网通的两条线路,并通过VPN的智能选路技术进行实施。当分支机构在与总部进行VPN链接的时候,可以智能选择总部的相应线路接入,总部网络回送的数据包也会从最快的线路回传。在无须采购专门的负载均衡设备的情况下,用户就可以提高跨运营商的网络访问速度,解决了中国特色的线路环境导致的南北互联的业务连续性问题。
2001-2007 Comsenz Inc.
