一�、需求與挑戰(zhàn)
企業(yè)為了應(yīng)對(duì)經(jīng)濟(jì)的全球化�����、滿足企業(yè)規(guī)模的擴(kuò)大,絕大數(shù)企業(yè)實(shí)現(xiàn)了數(shù)據(jù)的大集中�。但隨之帶來了如下兩方面的問題,一方面急需快速高效部署各種新的應(yīng)用系統(tǒng)���,以保持業(yè)務(wù)優(yōu)勢(shì);另一方面又要確保IT架構(gòu)的易管理性��,以及降低IT投資的總體成本����。
以上兩個(gè)問題既企業(yè)應(yīng)用交付面臨的挑戰(zhàn),結(jié)合市場(chǎng)調(diào)研歸納起來主要表現(xiàn)在以下幾個(gè)方面:
業(yè)務(wù)平臺(tái)高可用性的挑戰(zhàn)
企業(yè)全球化致使隨時(shí)隨地訪問應(yīng)用的高可用性需求也在逐步加強(qiáng)����。企業(yè)應(yīng)用平臺(tái)(報(bào)表管理、訂單管理以及ERP等桌面辦公系統(tǒng))的存在不僅帶來辦公的便利性����,而且極大的促進(jìn)了企業(yè)生產(chǎn)力的提高。由于企業(yè)應(yīng)用平臺(tái)是當(dāng)今企業(yè)經(jīng)營(yíng)過程的一項(xiàng)核心內(nèi)容��,與企業(yè)的效益、客戶的影響度直接相關(guān)����,所以保證企業(yè)應(yīng)用平臺(tái)不中斷提供服務(wù)是企業(yè)信息化最根本的需求。
持續(xù)不間斷的提供服務(wù)��,是驅(qū)動(dòng)數(shù)據(jù)中心設(shè)計(jì)行業(yè)的動(dòng)力���。企業(yè)管理們都知道“時(shí)間就是金錢”的含義�����,在數(shù)據(jù)中心的世界中�,這句話也同樣的適用�����。有數(shù)據(jù)顯示���,對(duì)一個(gè)小型企業(yè)每年的宕機(jī)事件可以造成1%的利潤(rùn)損失���,對(duì)大企業(yè)來說可以造成3.6%的企業(yè)利潤(rùn)損失。據(jù)Qualix Group統(tǒng)計(jì),1分鐘的宕機(jī)平均會(huì)使運(yùn)輸業(yè)損失15萬美元�����,銀行業(yè)損失27萬美元�,通信業(yè)損失35萬美元,制造業(yè)損失42萬美元�,而證券業(yè)損失高達(dá)45萬美元。所以很有必要保證企業(yè)平臺(tái)和數(shù)據(jù)中心的高可用性��。
網(wǎng)絡(luò)對(duì)應(yīng)用感知性差
在傳統(tǒng)的以路由交換為主流的網(wǎng)絡(luò)中��,網(wǎng)絡(luò)并不知道有什么類型的應(yīng)用系統(tǒng)在其上運(yùn)行����。但在實(shí)際中�,應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的需求是各式各樣的,比如視頻會(huì)議系統(tǒng)要求是高帶寬����、低延遲。而HTTP應(yīng)用要求的是高可靠性���、高帶寬����。關(guān)鍵業(yè)務(wù)需要保證帶寬的使用,而一些P2P下載的業(yè)務(wù)則不需要帶寬保證���。網(wǎng)絡(luò)無法感知應(yīng)用���,直接導(dǎo)致了一些關(guān)鍵業(yè)務(wù)在網(wǎng)絡(luò)上無法正常運(yùn)行。
性能較低的應(yīng)用就像服務(wù)器宕機(jī)一樣��,可能會(huì)對(duì)企業(yè)的合作伙伴和客戶帶來消極的影響并導(dǎo)致企業(yè)業(yè)績(jī)下滑��。從應(yīng)用程序的開發(fā)過程來看�,性能問題往往是開發(fā)工程師最后考慮的一個(gè)方面。
企業(yè)應(yīng)用資源的彈性擴(kuò)展的挑戰(zhàn)
隨著企業(yè)規(guī)模的擴(kuò)大����,關(guān)鍵應(yīng)用的服務(wù)能力也將相應(yīng)的提高;還有固定的高峰期�,如傳統(tǒng)節(jié)日的活動(dòng)、年初和年終的企業(yè)關(guān)鍵數(shù)據(jù)的統(tǒng)計(jì)等等�����;隨著應(yīng)用的復(fù)雜程度和用戶訪問量的增大��,應(yīng)用的擴(kuò)展性在傳統(tǒng)上只能通過選擇更高端的服務(wù)器進(jìn)行。但更高端的服務(wù)器就意味著更高的投入和成本���。
公司人員�����、規(guī)模的降低以及業(yè)務(wù)的低迷期��,同時(shí)也會(huì)縮減應(yīng)用的服務(wù)能力���;這些每一個(gè)小小的變化,將會(huì)影響到應(yīng)用系統(tǒng)的響應(yīng)能力�����。如何保證企業(yè)用戶采用最小的成本完成最大的利益是困擾信息主管的難題���。
安全性挑戰(zhàn)
網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā)展在帶來高效、易用的應(yīng)用系統(tǒng)的同時(shí)����,也帶來了各種各樣的安全隱患。從第一個(gè)蠕蟲病毒的出現(xiàn)開始��,網(wǎng)絡(luò)中已經(jīng)經(jīng)歷過病毒、DDOS���、漏洞攻擊等多種方式��,這些攻擊對(duì)于一些不安全的系統(tǒng)來說�,通常會(huì)產(chǎn)生災(zāi)難性的后果��。企業(yè)對(duì)應(yīng)用系統(tǒng)的依賴性增大�,也意味著這些安全問題的風(fēng)險(xiǎn)性越來越大。
隨著企業(yè)安全意識(shí)的提高以及安全設(shè)備的部署����,目前數(shù)據(jù)中心已經(jīng)能夠阻止大部分網(wǎng)絡(luò)層面的攻擊。在網(wǎng)絡(luò)攻擊中�����,黑客們正在尋找新的突破應(yīng)用系統(tǒng)安全防線����、竊取有價(jià)值的信息、甚至使整個(gè)站點(diǎn)停機(jī)的方法�����。諸如拒絕服務(wù)攻擊(Dos)、分布式拒絕服務(wù)攻擊(DDos)����、SynFloods和其他的TCP floods,這些大并發(fā)異常的數(shù)據(jù)流量給安全系統(tǒng)帶來了巨大壓力�。
在業(yè)務(wù)系統(tǒng)建設(shè)中,國(guó)內(nèi)以Web應(yīng)用為基礎(chǔ)的信息系統(tǒng)在構(gòu)建時(shí)普遍存在重應(yīng)用���、輕安全的現(xiàn)狀�����。系統(tǒng)實(shí)現(xiàn)安全意識(shí)薄弱�,人員往往只注重業(yè)務(wù)邏輯的實(shí)現(xiàn)��,忽略了在安全編碼��、權(quán)限控制�����、邏輯輸入合法性檢查等方面的投入��,導(dǎo)致了應(yīng)用系統(tǒng)中存在大量的安全隱患�����。
然而��,當(dāng)今企業(yè)所面臨的其中一個(gè)最大的威脅是來自企業(yè)內(nèi)部的攻擊���。很多企業(yè)信息主管很容易忽略內(nèi)部網(wǎng)絡(luò)的安全問題����,認(rèn)為內(nèi)網(wǎng)不對(duì)外提供服務(wù)不接入互聯(lián)網(wǎng)就屬于非常安全的系統(tǒng)�,殊不知大量的安全泄密事件均發(fā)生在企業(yè)內(nèi)網(wǎng),這些基于內(nèi)網(wǎng)的攻擊難以檢測(cè)和預(yù)防����。企業(yè)客戶端采用各種各樣“安全”手段接入企業(yè)內(nèi)網(wǎng)的時(shí)候,隨之而來給了大量的病毒��、木馬�����、蠕蟲等入侵企業(yè)內(nèi)網(wǎng)的機(jī)會(huì)�。給缺乏安全保障的企業(yè)內(nèi)網(wǎng)帶來巨大災(zāi)害。
針對(duì)上述業(yè)務(wù)中面臨的業(yè)務(wù)平臺(tái)高可用性��、網(wǎng)絡(luò)對(duì)應(yīng)用的感知性、企業(yè)應(yīng)用對(duì)目前資源擴(kuò)展的彈性以及安全性問題上����,浪潮提出了安全應(yīng)用交付系統(tǒng),能夠有效解決上述面臨的風(fēng)險(xiǎn)����。
二、浪潮數(shù)據(jù)中心接入安全解決方案
浪潮安全應(yīng)用交付系統(tǒng)(簡(jiǎn)稱“浪潮SSA”)系列產(chǎn)品是浪潮針對(duì)行業(yè)和大企業(yè)數(shù)據(jù)中心開發(fā)的新一代軟硬件一體產(chǎn)品�。作為企業(yè)級(jí)安全應(yīng)用交付解決方案,該產(chǎn)品致力于解決客戶的關(guān)鍵應(yīng)用如何高效��、安全�����、智能�、可靠地發(fā)布到用戶端,有效整合負(fù)載均衡��、WEB應(yīng)用安全�����、連接優(yōu)化、應(yīng)用加速等技術(shù)�,能夠在極大地提高數(shù)據(jù)中心核心業(yè)務(wù)系統(tǒng)的可用性�、效率和安全性的同時(shí),降低數(shù)據(jù)中心基礎(chǔ)設(shè)施投資成本����、維護(hù)復(fù)雜度和能源消耗。
浪潮安全應(yīng)用交付系統(tǒng)解決方案TOP
浪潮安全應(yīng)用交付系統(tǒng)提供高中低端產(chǎn)品���,可以滿足不同規(guī)模數(shù)據(jù)中心的要求��,并且能夠與傳統(tǒng)數(shù)據(jù)中心���、虛擬化數(shù)據(jù)中心和云計(jì)算基礎(chǔ)設(shè)施無縫集成,為客戶提供卓越的商業(yè)價(jià)值���。
2.1技術(shù)實(shí)現(xiàn)
2.1.1四層應(yīng)用交付
四層應(yīng)用交付支持基于 IP 地址�����、應(yīng)用類型和等因素實(shí)現(xiàn)流量的負(fù)載�。通過這種方式管理員可以為不同類型的應(yīng)用類型分配不同的服務(wù)器資源���。應(yīng)用類型調(diào)度支持基于不同協(xié)議上的多種應(yīng)用�����,包括 TCP��、UDP��、IP�����、DNS��、SMTP�、FTP、HTTP等����。
客戶端將到VSIP的請(qǐng)求發(fā)送給服務(wù)器集群前端的安全交付設(shè)備,設(shè)備上的負(fù)載均衡引擎接收客戶端請(qǐng)求���,通過預(yù)定調(diào)度算法���,從節(jié)點(diǎn)池中選擇真實(shí)服務(wù)器中某一個(gè),將請(qǐng)求發(fā)送給選定的真實(shí)服務(wù)器;真實(shí)服務(wù)器的響應(yīng)報(bào)文通過設(shè)備再返回給客戶��,完成整個(gè)負(fù)載調(diào)度過程���。
四層應(yīng)用交付功能示意圖
2.1.2七層應(yīng)用交付
基于七層內(nèi)容的調(diào)度,使管理員可以根據(jù)用戶請(qǐng)求的內(nèi)容來分配服務(wù)器資源�,例如,基于HTTP包頭內(nèi)容的負(fù)載技術(shù)讓管理員可以根據(jù)用戶請(qǐng)求的內(nèi)容來分配服務(wù)器資源�;大型的應(yīng)用系統(tǒng)中,靜態(tài)文件或者圖片可以位于一個(gè)單獨(dú)的服務(wù)器組����,當(dāng)發(fā)生對(duì)該類資源請(qǐng)求時(shí),會(huì)話就被重定向到其中某個(gè)服務(wù)器���,這樣就保證用戶請(qǐng)求分配的多元化和個(gè)性化�,為管理人員提供更多分配策略和機(jī)制��。七層的應(yīng)用交付支持內(nèi)存緩存���、安全壓縮以及針對(duì)HTTP包頭和響應(yīng)內(nèi)容的個(gè)性化修改����。(部分技術(shù)見4.2.7)
七層應(yīng)用交付功能示意圖
2.1.3應(yīng)用安全檢測(cè)
浪潮安全應(yīng)用交付系統(tǒng)(浪潮SSA)內(nèi)置安全檢測(cè)引擎,為客戶提供最佳的應(yīng)用漏洞和未知威脅防御能力��。各檢測(cè)引擎獨(dú)立工作�����,又相互協(xié)同工作�,可對(duì)HTTP/HTTPS和壓縮數(shù)據(jù)流進(jìn)行全面的分析,極大地提高應(yīng)用安全防御能力和檢測(cè)效率�����。
應(yīng)用安全檢測(cè)引擎工作流程示意圖
2.1.4服務(wù)器負(fù)載均衡調(diào)度算法
調(diào)度算法指對(duì)需要負(fù)載均衡的流量�,按照一定的策略分發(fā)到指定的機(jī)群中的某臺(tái)服務(wù)器上,使得各真實(shí)服務(wù)器負(fù)載盡可能地保持均衡��。
2.1.5服務(wù)器健康檢測(cè)方式
健康檢查���,就是負(fù)載均衡設(shè)備定期對(duì)真實(shí)服務(wù)器服務(wù)狀態(tài)進(jìn)行探測(cè)�,收集相應(yīng)信息��,及時(shí)隔離工作異常的服務(wù)器����。健康檢查的結(jié)果除標(biāo)識(shí)服務(wù)器能否工作外��, 還可以統(tǒng)計(jì)出服務(wù)器的響應(yīng)時(shí)間���, 作為選擇服務(wù)器的依據(jù)。
2.1.6會(huì)話保持機(jī)制
會(huì)話保持也叫持續(xù)性���,將多個(gè)連接持續(xù)重定向到同一個(gè)服務(wù)器的策略��,就是持續(xù)性功能。根據(jù)會(huì)話保持的策略���,建立會(huì)話表項(xiàng)���,保證后續(xù)業(yè)務(wù)報(bào)文都送往同一個(gè)服務(wù)器處理。
2.1.7應(yīng)用加速機(jī)制
智能緩存
浪潮安全應(yīng)用交付系統(tǒng)(浪潮SSA)內(nèi)容緩存技術(shù)將應(yīng)用服務(wù)器中的一些經(jīng)常被用戶訪問的熱點(diǎn)內(nèi)容緩存在設(shè)備的內(nèi)存中��。當(dāng)客戶端訪問這些內(nèi)容時(shí)����,SSA截獲客戶端請(qǐng)求,從緩存中讀取客戶端需要的內(nèi)容并將這些內(nèi)容直接返回給客戶端����。由于是直接從內(nèi)存中讀取�,這種技術(shù)能夠提高網(wǎng)絡(luò)用戶的訪問速度����,并大大減輕后端服務(wù)器的負(fù)載情況。
內(nèi)容緩存工作流程示意圖
自適應(yīng)壓縮
浪潮安全應(yīng)用交付系統(tǒng)(浪潮SSA)的HTTP壓縮功能��,可通過標(biāo)準(zhǔn)的HTTP壓縮規(guī)范自動(dòng)識(shí)別客戶端對(duì)gzip壓縮算法的支持情況�,并能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)動(dòng)態(tài)壓縮,以加速所有的本地����、遠(yuǎn)程和移動(dòng)用戶提供基于 Web 的應(yīng)用。
浪潮安全應(yīng)用交付系統(tǒng)的壓縮功不僅能在最大程度上節(jié)省組織的互聯(lián)網(wǎng)帶寬���,并且能夠縮短用戶下載內(nèi)容的等待時(shí)間����,提升用戶的訪問體驗(yàn)�。
內(nèi)容壓縮工作流程示意圖
SSL卸載
浪潮安全應(yīng)用交付系統(tǒng)(浪潮SSA)的SSL卸載功能,可以充當(dāng)起SSL代理服務(wù)器的角色�����,將專用的SSL應(yīng)用程序置于網(wǎng)絡(luò)服務(wù)器的前端���,降低后臺(tái)服務(wù)器的系統(tǒng)資源�����,從而全面卸除SSL數(shù)據(jù)處理的負(fù)荷���,減少服務(wù)器端的壓力����,提升客戶端的訪問響應(yīng)速度�����。
卸載工作流程示意圖
雙機(jī)互備
浪潮安全應(yīng)用交付系統(tǒng)(浪潮SSA)無論是在網(wǎng)絡(luò)中并聯(lián)還是串聯(lián)����,都扮演著一個(gè)關(guān)鍵的控制節(jié)點(diǎn)角色�,其設(shè)備的穩(wěn)定性和安全性則直接影響到業(yè)務(wù)交付的可用性。為了避免單點(diǎn)故障��,防止業(yè)務(wù)的中斷�����,浪潮SSA采用雙機(jī)互備保證業(yè)務(wù)連續(xù)性。
采用雙機(jī)互備時(shí)�����,兩臺(tái)SSA設(shè)備部署在網(wǎng)絡(luò)中�����,對(duì)外提供服務(wù)的稱為主機(jī)����,另外一臺(tái)作為備機(jī)。主機(jī)在處理業(yè)務(wù)的同時(shí)��,會(huì)將業(yè)務(wù)產(chǎn)生的會(huì)話信息同步到備機(jī)����,從而確保雙機(jī)切換后,業(yè)務(wù)訪問能繼續(xù)得到響應(yīng)處理�����,當(dāng)前正在進(jìn)行的業(yè)務(wù)訪問也不會(huì)因此而中斷�����。
雙機(jī)互備示意圖
三、浪潮解決方案優(yōu)勢(shì)及價(jià)值
確保數(shù)據(jù)中心穩(wěn)固交付應(yīng)用與服務(wù)
全面的網(wǎng)絡(luò)4-7層負(fù)載均衡功能���,可以幫助您無縫加載更多的服務(wù)器資源并對(duì)流量進(jìn)行智能導(dǎo)向�。
提高數(shù)據(jù)中心效率���,將數(shù)據(jù)中心應(yīng)用服務(wù)性能提升5-10倍
通過智能壓縮��、內(nèi)容緩存�����、SSL卸載和連接復(fù)用等功能特性有效降低您的數(shù)據(jù)中心帶寬�、減少訪問延遲��、有效提高電子商務(wù)的效能���。確保數(shù)據(jù)中心性能提升5-10倍。
保護(hù)數(shù)據(jù)中心的應(yīng)用與數(shù)據(jù)安全
整合Web安全檢測(cè)引擎���,獨(dú)特的針對(duì)HTTP協(xié)議流量清洗以及SSL加密技術(shù)�,確保數(shù)據(jù)中心和Web的安全接入��;在不影響網(wǎng)絡(luò)性能的情況下防范DDOS攻擊。
控制數(shù)據(jù)中心應(yīng)用交付
浪潮安全應(yīng)用交付系統(tǒng)通過為數(shù)據(jù)中心提供詳細(xì)的基于規(guī)則的訪問行為日志保存�����,確保企業(yè)數(shù)據(jù)中心隨時(shí)可控�����。
