论文部分内容阅读
应用交付产品的市场规模并不大,2012年中国市场规模仅15亿元,与防火墙、UTM等产品的市场份额无法比肩,但随着超过七成网络威胁发生在应用层,应用交付产品市场的热度也随之增加,不断有中国安全厂商进入这一长期被国外厂商主导的领域,并且将安全功能与之融合,试着寻找新的突破点。
顺理成章的事
事实上,从负载均衡产品演进而来的应用交付产品,以往并不是安全厂商而是数据通信厂商的业务范围。北京信安世纪科技有限公司(简称信安世纪)技术总监郭珂告诉本报记者:“负载均衡产品最早只是基于应用服务的分发,随后发展成融合了服务器负载均衡、广域网负载均衡、链路负载均衡、前端加速,甚至防火墙等功能和技术的产品,并且产生了应用交付的概念。”
之所以有这一发展路径,是因为云计算、虚拟化改变了传统的网络基础架构,用户需求也随之改变。正如东软集团网络安全营销中心副总经理曹鹏所言:“用户不再关心基础硬件架构和网络架构是什么,也不关心传统安全设备部署在网络架构的什么位置,而最关注的是应用程序能否得到有效的安全防护,安全策略能够在多大程度上起到实效。”在接受本报记者专访时,曹鹏告诉记者,用户对安全设备的关注点已经从网络控制层转向应用层,安全厂商的产品发展方向也正在改变。
郭珂认为,随着应用层安全的重要性日益凸显,国内安全厂商进入应用交付产品领域是顺理成章的事情,并且具有一定优势:“国内安全厂商已经熟知现有的网络协议、应用层协议。同时,针对国内网络用户数多,移动用户基数大、增长快的特点,国内厂商的应用交付安全网关产品可以更贴近国内用户,满足其对于大并发处理、应用协议的特殊化处理、针对业务快速请求处理等个性化需求。”
强化安全
网络安全产品正在走向“大而全”,应用交付产品亦是如此,网络安全厂商为其加入了更多安全功能,以满足用户所需。例如,天融信TopApp-AD应用交付系统集成了状态监测防火墙,实现高性能的访问控制,IP/Mac地址自动扫描及绑定。启明星辰在今年6月推出天清应用交付(ADC)产品,将Web安全解决方案集成到ADC产品中,用于Web服务器的安全保护。
“除了加强业务服务器资源的负载均衡之外,应用交付安全产品可以在更深的业务层面上融合更多安全功能。”曹鹏表示,“这需要深入到业务领域,比如后台是B/S架构的企业系统,当出现一个IP地址反复链接登录界面的情况,或者每天只有十几个人访问该系统,但是某一时间点突然有成百上千的访问量的情况,要判断其是否属于异常行为,就需要深入企业业务系统才行。这是用户对于应用交付安全网关真正感兴趣的内容。”
此外,由于应用交付产品部署在网络前端,产品自身的安全性就显得尤为重要。因此,将防火墙功能融入应用交付产品之中,就成为许多安全厂商的必然选择。
“尽管当前一些厂商仍然选择将应用交付产品和防火墙功能相分离,但是融合的好处也显而易见。”郭珂认为,这样做主要有两个好处,“第一,应用交付产品部署在链路的最外端,加上安全防护功能,整个应用交付平台本身的安全性就得以保障;第二,网络访问的所有流量都通过应用交付产品进行转发和分析,并且应用交付产品对应用层的协议分析非常细致,所有数据包都会被逐层分解和审查,这对抗击针对性的DDoS攻击等能起到一定作用。”
但这并不意味着防火墙和应用交付产品可以互相取代。郭珂介绍称:“防火墙与应用交付产品是相辅相成、不可替代的,防火墙可以部署在网络最外层,也可能部署在应用交付产品之后进行数据包的分析。而针对防火墙转发到应用交付平台的数据,应用交付平台可以进行更细致的应用层协议分析,并且进行更细致的过滤处理。”
突破性能瓶颈
随着功能越来越丰富,应用交付产品的性能问题也就越来越凸显。郭珂表示:“应用交付产品既要分析入侵流量,又要负责整个应用平台信息处理的负载,所以从性能架构上需要进行调整。”这一观点得到了曹鹏的认可,“应用交付网关对吞吐量和计算能力的性能要求指标较高,并且要对应用进行深度识别,传统的安全硬件的数据转发性能以及对应用的分析性能不足使其难以达到这一水平。”
不过,随着底层基础平台的加强,性能瓶颈问题已经基本得到解决,一些安全厂商甚至推出了万兆级的高端应用交付网关。曹鹏认为,性能瓶颈问题得到解决正是应用交付产品市场能够发展起来的主要原因之一。
在提升性能上,安全厂商“八仙过海,各显神通”。例如,在单边加速技术方面,天融信TopApp-AD应用交付系统利用其TopUltra-TCP技术,大幅提升了带宽利用率;信安世纪Netopti应用交付网关,采用模块化设计,将应用交付网关的功能分布在不同模块上,每一层只处理特定的业务数据,并且互相之间并不影响。
未来创新点
尽管市场规模并不大,但应用交付产品的市场前景仍被业界看好。正如郭珂所言:“应用交付产品目前仍在成长期,用户已经了解到应用交付系统对其业务的优化作用,逐渐在开拓思路,将现有业务与应用交付平台相结合。由于信息化的不断推动,应用交付产品也将越来越多地融入到用户的核心业务系统中。”即便是认为用户需求尚待培养的曹鹏,也认为应用交付产品突出应用层防护的概念,将有更大发展空间。在他看来,未来的安全网关将是大而全的产品,功能单一的安全产品的前景则越来越黯淡。
由于应用交付产品部署在网络前端,负责所有流量的分发和处理,因此一些安全厂商在流量分析上做起了文章。深信服科技在其应用交付网关中加入商业智能分析功能,在保证应用交付过程的稳定性的前提下,不仅可以获悉企业网络和服务器的运行状况,而且可以帮助客户分析自身业务系统的运行状况,为企业进行网络优化提供决策。
对此,郭珂表示:“应用交付系统可以针对数据进行通过统计分析和挖掘,实现负载均衡的智能商业报表功能。将应用交付平台与实时的商业智能分析系统结合,可以帮助用户更好地了解整个网络的实际情况。”在他看来,基于业务的智能网络流量分析将是未来应用交付产品市场新的增长点。
记者手记
融合创新出商机
在诞生之初,防火墙只是地址、端口判定控制。如今,传统的防火墙已经难以生存,必然要走向融合应用层控制等多功能的一体化产品。
在安全领域,这种融合的趋势日趋明显,并且正在给安全厂商带来新商机。比如,单独的IPS产品被业界看衰,但是融合了入侵检测、防病毒、未知威胁分析的能够实现L2-L7层全面防护的下一代防火墙,正在成为业界的新宠。
应用交付产品亦是如此,与业务系统紧密结合,使其有了更具诱惑力的卖点。国内安全厂商以安全为切入点,融合防火墙,乃至更多其他的安全功能,将使其在这一领域赢得更多机会。
融合出效益,通过融合创新寻找新的价值增长点,安全厂商应该抓住机会。
顺理成章的事
事实上,从负载均衡产品演进而来的应用交付产品,以往并不是安全厂商而是数据通信厂商的业务范围。北京信安世纪科技有限公司(简称信安世纪)技术总监郭珂告诉本报记者:“负载均衡产品最早只是基于应用服务的分发,随后发展成融合了服务器负载均衡、广域网负载均衡、链路负载均衡、前端加速,甚至防火墙等功能和技术的产品,并且产生了应用交付的概念。”
之所以有这一发展路径,是因为云计算、虚拟化改变了传统的网络基础架构,用户需求也随之改变。正如东软集团网络安全营销中心副总经理曹鹏所言:“用户不再关心基础硬件架构和网络架构是什么,也不关心传统安全设备部署在网络架构的什么位置,而最关注的是应用程序能否得到有效的安全防护,安全策略能够在多大程度上起到实效。”在接受本报记者专访时,曹鹏告诉记者,用户对安全设备的关注点已经从网络控制层转向应用层,安全厂商的产品发展方向也正在改变。
郭珂认为,随着应用层安全的重要性日益凸显,国内安全厂商进入应用交付产品领域是顺理成章的事情,并且具有一定优势:“国内安全厂商已经熟知现有的网络协议、应用层协议。同时,针对国内网络用户数多,移动用户基数大、增长快的特点,国内厂商的应用交付安全网关产品可以更贴近国内用户,满足其对于大并发处理、应用协议的特殊化处理、针对业务快速请求处理等个性化需求。”
强化安全
网络安全产品正在走向“大而全”,应用交付产品亦是如此,网络安全厂商为其加入了更多安全功能,以满足用户所需。例如,天融信TopApp-AD应用交付系统集成了状态监测防火墙,实现高性能的访问控制,IP/Mac地址自动扫描及绑定。启明星辰在今年6月推出天清应用交付(ADC)产品,将Web安全解决方案集成到ADC产品中,用于Web服务器的安全保护。
“除了加强业务服务器资源的负载均衡之外,应用交付安全产品可以在更深的业务层面上融合更多安全功能。”曹鹏表示,“这需要深入到业务领域,比如后台是B/S架构的企业系统,当出现一个IP地址反复链接登录界面的情况,或者每天只有十几个人访问该系统,但是某一时间点突然有成百上千的访问量的情况,要判断其是否属于异常行为,就需要深入企业业务系统才行。这是用户对于应用交付安全网关真正感兴趣的内容。”
此外,由于应用交付产品部署在网络前端,产品自身的安全性就显得尤为重要。因此,将防火墙功能融入应用交付产品之中,就成为许多安全厂商的必然选择。
“尽管当前一些厂商仍然选择将应用交付产品和防火墙功能相分离,但是融合的好处也显而易见。”郭珂认为,这样做主要有两个好处,“第一,应用交付产品部署在链路的最外端,加上安全防护功能,整个应用交付平台本身的安全性就得以保障;第二,网络访问的所有流量都通过应用交付产品进行转发和分析,并且应用交付产品对应用层的协议分析非常细致,所有数据包都会被逐层分解和审查,这对抗击针对性的DDoS攻击等能起到一定作用。”
但这并不意味着防火墙和应用交付产品可以互相取代。郭珂介绍称:“防火墙与应用交付产品是相辅相成、不可替代的,防火墙可以部署在网络最外层,也可能部署在应用交付产品之后进行数据包的分析。而针对防火墙转发到应用交付平台的数据,应用交付平台可以进行更细致的应用层协议分析,并且进行更细致的过滤处理。”
突破性能瓶颈
随着功能越来越丰富,应用交付产品的性能问题也就越来越凸显。郭珂表示:“应用交付产品既要分析入侵流量,又要负责整个应用平台信息处理的负载,所以从性能架构上需要进行调整。”这一观点得到了曹鹏的认可,“应用交付网关对吞吐量和计算能力的性能要求指标较高,并且要对应用进行深度识别,传统的安全硬件的数据转发性能以及对应用的分析性能不足使其难以达到这一水平。”
不过,随着底层基础平台的加强,性能瓶颈问题已经基本得到解决,一些安全厂商甚至推出了万兆级的高端应用交付网关。曹鹏认为,性能瓶颈问题得到解决正是应用交付产品市场能够发展起来的主要原因之一。
在提升性能上,安全厂商“八仙过海,各显神通”。例如,在单边加速技术方面,天融信TopApp-AD应用交付系统利用其TopUltra-TCP技术,大幅提升了带宽利用率;信安世纪Netopti应用交付网关,采用模块化设计,将应用交付网关的功能分布在不同模块上,每一层只处理特定的业务数据,并且互相之间并不影响。
未来创新点
尽管市场规模并不大,但应用交付产品的市场前景仍被业界看好。正如郭珂所言:“应用交付产品目前仍在成长期,用户已经了解到应用交付系统对其业务的优化作用,逐渐在开拓思路,将现有业务与应用交付平台相结合。由于信息化的不断推动,应用交付产品也将越来越多地融入到用户的核心业务系统中。”即便是认为用户需求尚待培养的曹鹏,也认为应用交付产品突出应用层防护的概念,将有更大发展空间。在他看来,未来的安全网关将是大而全的产品,功能单一的安全产品的前景则越来越黯淡。
由于应用交付产品部署在网络前端,负责所有流量的分发和处理,因此一些安全厂商在流量分析上做起了文章。深信服科技在其应用交付网关中加入商业智能分析功能,在保证应用交付过程的稳定性的前提下,不仅可以获悉企业网络和服务器的运行状况,而且可以帮助客户分析自身业务系统的运行状况,为企业进行网络优化提供决策。
对此,郭珂表示:“应用交付系统可以针对数据进行通过统计分析和挖掘,实现负载均衡的智能商业报表功能。将应用交付平台与实时的商业智能分析系统结合,可以帮助用户更好地了解整个网络的实际情况。”在他看来,基于业务的智能网络流量分析将是未来应用交付产品市场新的增长点。
记者手记
融合创新出商机
在诞生之初,防火墙只是地址、端口判定控制。如今,传统的防火墙已经难以生存,必然要走向融合应用层控制等多功能的一体化产品。
在安全领域,这种融合的趋势日趋明显,并且正在给安全厂商带来新商机。比如,单独的IPS产品被业界看衰,但是融合了入侵检测、防病毒、未知威胁分析的能够实现L2-L7层全面防护的下一代防火墙,正在成为业界的新宠。
应用交付产品亦是如此,与业务系统紧密结合,使其有了更具诱惑力的卖点。国内安全厂商以安全为切入点,融合防火墙,乃至更多其他的安全功能,将使其在这一领域赢得更多机会。
融合出效益,通过融合创新寻找新的价值增长点,安全厂商应该抓住机会。