近年来,网络信息安全问题愈演愈烈,从棱镜门到NSA在华为服务器上安装后门,再到近期的“后门铁克”事件,可谓一波未平一波又起……可想而知,一向以安全著称的“安防软件”也竟然如此“杀机重重”,这无疑让众多大型数据信息中心更加提心吊胆。
那么,随着信息安全问题日益突出,攻击手段层出不穷,是否还有稳妥可靠地安全防范措施呢?据国内新兴的应用交付厂商太一星晨产品总监于振波表示,在这样的形势下,大型数据信息中心可通过部署应用交付设备来构建一道稳定可靠的安全防线。
于振波指出,如今网络攻击已经由传统的3、4层向4、7层扩展,攻击方把攻击过程和攻击技术几乎都转到了应用层上;一旦此地失守,那么攻击者就可以随意查看业务内容,甚至随时修改、终止业务的传输,意味着整个数据信息的“防护城池”完全失守,必然损失惨重。在这样的情况下,就需要安全防护措施把应用交付作为保证业务可用性的关键元素,通过对应用层的协议解析,应用交付产品可以支持对应用层数据的访问控制,从而使服务器得到更高的安全性。
目前,通过多年潜心的技术研发,以及在金融、保险、医疗、教育等多个行业成功应用实践,太一星晨T-Force应用交付平台已经锻造了五位一体的全局性安全防护能力。
1.更进一步的七层访问控制
基于IP、协议、端口的4层访问控制已经是防火墙产品的标配,对于应用交付来说,仅仅支持4层的访问控制还远远不够,如今网络攻击已经由传统的3、4层向4、7层扩展。通过对应用层的协议解析,T-Force应用交付产品可以支持对应用层数据的访问控制,从而使服务器得到更高的安全性。
2.DDos攻击的第一道防线
应用交付产品自身工作在TCP代理模式,这意味着它在客户端和服务器端建立了一种天然的安全屏障。在这种模式下,通过代理、Cookie等技术可有效识别攻击者身份,以阻断DDoS攻击。
3.越来越被重视的DNS安全
DNS是互联网中最基础又至关重要的一环,应用交付产品在做智能DNS以及全局负载均衡部署中,可以很容易地扩展DNS服务器的响应能力。通过对DNS报文的合规检查,以及DNS报文的速率控制,可以防止针对企业域名的DNS flood攻击。
4.SSL加密内容检测
众所周知,银行的网上数据都是基于SSL加密的。传统的网络安全理念与攻击防护无法解决网上的应用攻击问题,典型的就是目前常见的防火墙,入侵检测和IPS等设备的特征码技术在银行的SSL加密流量下毫无用处。
这意味着什么?看不见就意味着防不了!防火墙无法解密SSL数据流,因此无法阻止应用程序的攻击。应用交付产品提供的SSL卸载功能,不单能减轻后台服务器的负担,更重要的是,可以对卸载后的数据进行安全检测,阻断攻击报文。
5.WEB安全
应用交付产品最常用的场景就是针对WEB服务器做负载。
WEB安全的核心是对HTTP报文的解析和处理。应用交付产品依靠对HTTP协议的解析能力,在部署于服务器前端时,在优化、加速WEB业务的同时,也并行处理了各种安全事务:从HTTP协议合规性检查、防信息泄露,到各种SQL/XSS的阻断。在保障应用安全性与畅通的同时,极大减少了服务器群的负载,将服务器从大量安全连接、数据加密中解脱出来,从而更加专注于应用处理本身。
于振波表示,一个完整的应用交付,负载技术是底座,应用加速是中坚,而传递到最终用户之前的则应该是可靠、效率与安全。
