Application Delivery Controller Thunder Convergent Firewall NetScaler Control Center Secure Web Gateway Citrix NetScaler Cloud Adaptor A10 Networks Thunder CFW IPsec VPN Cloud ADC AppExpert ACOS 4.0 ADC as a Harmony Gi/SGi ADCaaS 金石堂 ADC

ADC因應不同需求 拓展應用至防火牆與雲端

2016-01-04
最初源自負載平衡技術的ADC(Application Delivery Controller)發展至今,擁有第七層解析技術,部署於防火牆之後、伺服器區之前,協助企業更快速、安全地強化應用服務的用戶體驗。隨著軟體定義資料中心、網路虛擬化、雲端架構以及行動化的發展,資料中心基礎架構轉型風潮興起,儘管實體ADC專用設備市場面臨變遷,企業對應用傳輸的可用性、穩定性與效能的需求非但有增無減,反而較以往更為迫切。
因此ADC領域的廠商,也順勢因應當前複雜的網路環境與應用部署模式,提供不同的創新功能。

A10擴展產品線 Thunder CFW強化應用安全性

A10最新推出的Thunder Convergent Firewall(Thunder CFW)整合型防火牆,即是基於ADC延伸設計的產品線。A10 Networks台灣區資深技術總監簡偉傑指出,其實早在2010年,A10就已提出DNS應用防火牆的功能;2013年針對分散式阻斷服務(DDoS)設計推出Thunder威脅防護系統(Threat Protection System,TPS),以1U的設備可乘載155 Gbps的攻擊量;2014年提出SSL Insight技術,因應日漸增多的加密傳輸封包流量,藉此機制讓資安防禦措施得以檢查內容的安全性。

近期發布的Thunder CFW整合型防火牆,則是以應用服務模式為主軸設計,簡偉傑強調,Thunder CFW並非是為了跟既有的NGFW廠商直接競爭,而是透過整合更多功能,提供大型資料中心、企業端、電信業者,得以有效運用投資資源。

整合方向包含網頁安全閘道器、資料中心與Gi/SGi防火牆、IPsec VPN。他進一步說明,網頁安全閘道器功能是來自第三方合作廠商提供的資料庫,並透過Explicit Proxy模式,成為內部使用者對外連線時的代理伺服器,藉此進行網頁過濾(URL Filtering)與SSL Insight解析加密封包。

「SSL加解密機制若由ADC來提供,其最大差異在於可善用既有的資安投資,只需解密一次,即可提供多種安全機制檢查,確認無安全疑慮後再加密遞送。」簡偉傑說。

若是對外提供應用服務的網站,連線行為以由外對內為主,則會面臨到行業規範要求端到端的傳輸需經過加密,例如銀行業,因此恐被駭客利用SSL連線發動滲透攻擊,畢竟多數資安設備在無法解析加密封包下根本無法察覺,攻擊得逞機率相當高。對此,同樣可運用SSL Insight先行解密由外部進來的流量,再將封包導向APT、IPS、NGFW等既有的資安機制,一旦發現問題就即時攔阻。


▲A10新推產品線Thunder Convergent防火牆,主要針對企業端、大型雲端服務供應商、電信運營商等應用環境所需,整合網頁過濾、SSL內容查看、防火牆等機制。(資料來源:A10 Networks)

簡偉傑指出,「SSL Insight功能較適用於企業端環境,原因在於使用者端均必須安裝公司發放的憑證。除了瀏覽器已內建的根憑證(Root CA),再匯入公司專屬憑證後,當流量進入Thunder CFW,即可執行SSL交握,再透過Thunder CFW跟外部網站連線取得資料。架構上仍舊是基於ADC的角色協助。」

至於針對已陸續建置雲端運算環境的大型資料中心,開始對外提供服務後,最擔心的問題莫過於遭受DDoS攻擊,勢必需要佈建防禦措施,並且搭配一般防火牆的標準功能,例如Stateful Firewall、ALG等機制,在Thunder CFW亦內建提供。而Gi/SGi防火牆則為行動電信運營商所設計,屬於手機上網的封包進入IP網路時必須具備的安全措施。

此外,目前在ACOS 4.0核心系統內建的Harmony整合架構,讓A10的全產品線均具備可程式化能力,不論自家功能或第三方廠商所提供的App,均可借助aXAPI,達到整合靈活運用。而前述Thunder CFW的功能項目,則將內建於ACOS 4.1新版中提供。

Citrix NetScaler提升電商用戶體驗

隨著電子商務的發展蓬勃,再加上自2015年起已開放第三方支付模式,Citrix大中華區網路及雲計算業務部總監李樂賢指出,不論是B2C、B2B,還是OTO,均無法迴避終端用戶手機應用體驗的議題,不再僅是以往固定位置的交易模式,需確保移動中也能快速回應。

已開始提供第三方支付的金石堂網路書店,採用的是歐付寶與支付寶服務。早在2010年,為了解決電子商務回應速度,以及確保交易安全性,當時即已導入建置Citrix NetScaler協助因應。金石堂資訊處總監陳俊雄認為,NetScaler跟一般資安產品最大的差別在於壓縮與Connection Pool機制,所謂的Connection Pool並非為快取(Cache)機制,較偏向是ADO.NET的Connection Pool運作模式,讓連線得以被重複使用,提升傳輸效率。「我們曾估計,伺服器連線負擔大約可降低三倍。」

此外,NetScaler也能協助優化使用者透過App存取的效能。「導入NetScaler的最終結果,是得以確保金石堂網路書店使用者連線穩定度,以及提升安全性,以此為基礎推動營運持續成長。」陳俊雄強調。

針對雲端平台的應用,也就是「Cloud ADC」概念的實踐,Citrix大中華區網路技術經理何浩祥指出,主要是透過NetScaler Control Center內建Cloud Adaptor,運用開放的API介接VMware NSX、OpenStack、CloudStack。北向整合完成後,才有能力提供ADCaaS,藉此協助企業用戶降低應用門檻。

「其實現代資料中心朝向軟體定義的作法,不見得是所有問題的解決方案,或許可解決八成目前維運上的問題,但某些特定應用仍舊得仰賴專用硬體才能達成。除非CPU的處理能力提升,之後再加上軟體定義的堆疊技術,例如NetScaler VPX,才有可能滿足需求。」何浩祥說。

他進一步提及,NetScaler之所以能夠做到軟體堆疊,主要即是基於最初發展的nCore設計架構。目前設備廠商對於多核心處理晶片的設計,大多存在Memory Band瓶頸問題,而nCore的設計基礎是「Shared Nothing」,讓多核心的CPU環境不須彼此交換資料,在Cluster環境同樣沿用此概念,讓機器設備之間盡量不交換資料,才得以承受龐大的連線數。「儘管Virtual Appliance版本各家都有,但運行在x86平台上,就未必皆可順暢運行,畢竟設備廠商的系統大多是基於ASIC設計,預設是單一處理器的執行序,難以跨越至平行運算。」

至於配置方式,NetScaler AppExpert提供的是下拉式選單,並且在介面中即有說明文字,可協助工程師降低學習曲線。甚至連熱門的魔獸世界遊戲所提供採Lua程式設計讓玩家自創人物角色的開放接口模組,AppExpert都已跟進支援。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!