【CNETCOM 現場報道】2014年9月17日-19日，2014 中國係統架構師大會(SACC 2014)在北京五洲皇冠國際酒店盛大開幕。作為中國規模最大的架構師豪門盛會，本屆中國係統架構師大會以“發現架構之美”為主題，探討最具前瞻性的行業趨勢與技術熱點，分享架構在企業中的最佳實踐
，共同領略架構之美。

▲上海有雲信息技術有限公司CTO江均勇

　　在第一天的下午專場一會場
，來自上海有雲信息技術有限公司CTO江均勇帶來了《雲計算中的網絡功能虛擬化及安全應用解決方案》主題演講。

　　江均勇介紹到，傳統WAF采用的是軟硬件一體化的模式實現，在部署方案中，采用串聯或者旁路部署的方式
，對被保護的WEB服務器的流量進行安全檢測。WAF的功能包括防止黑客進行SQL注入、XSS跨站、畸形報文、文件注入、係統命令注入、網頁篡改、信息泄露等攻擊，來實現保障WEB服務應用安全。但傳統WAF在如今的安全形勢下有非常多的缺點，軟硬件一體化，可靠性同時依賴於硬件與軟件;二是升級與維護複雜，缺少集中的管理平台，硬件一旦出現故障
，必須要廠家更換設備或重新購買;三是擴容複雜

，需要重新製定解決方案;四是運維成本高，增加數據中心(或普通機房)內對設備類型的管理和監控。

▲傳統WAF

　　為了解決傳統WAF的這些缺點，業界又出現了雲WAF
，但雲WAF依然有不足。江均勇講到
，雲WAF的主要原理就是通過訪問路徑變更，通過DNS重定向的方式，將需要防護的WEB服務器的DNS定向到“WAF”上，WAF再通過反向代理的方式訪問WEB服務器。但這就又有了新的安全問題，首先是雲WAF不在需要保護的WEB Server用戶管理的範疇，所有WEB訪問數據經過雲WAF是否放心數據安全?二是雲WAF到WEB Server的後端訪問路徑
，安全性如何保障?在技術實現方案上，雲WAF是否真正的雲呢?傳統軟硬件一體化設備
、軟件反向代理等WAF同樣可以實現
，沒有體現出雲的特征！

▲雲WAF

　　江均勇總結到
，傳統的雲WAF采用了互聯網的軟件服務模式

，提供了“SecAAS”(安全作為服務)需求的特性，而並未根除WEB應用安全的最終需求

，雲的宣傳隻是一種噱頭。

　　對於傳統數據中心應用

，大規模Web集群的訪問數據量超過每秒數GB，傳統的WAF無法進行部署防護，且管理維護複雜。江均勇介紹到
，基於此有雲推出了CloudASG：

▲有雲CloudASG

　　有雲CloudASG有以下特點：

　　部署簡易：有雲CloudASG通過集中部署安全防護雲的方式，用戶環境隻需將Web流量通過簡單的策略路由的形式引入到CloudASG中
，CloudASG通過ASG實例對Web流量進行安全檢測，實現Web應用安全的防護。同時，CloudASG還可以與數據中心管理聯動，對持續攻擊的IP地址等實現黑名單阻斷，即在核心路由側對惡意IP執行阻斷，防止DOS攻擊；

　　擴容方便：客戶業務增加，Web流量隨之增大，對於安全防護來說
，僅需要在CloudASG中增加通用服務器資源，采用雲計算典型的硬件即插即用的方式即可

，無需額外的配置
；

　　CloudASG與業務完全解耦：出現故障時，客戶可以通過對交換機策略路由的配置
，直接跳過CloudASG
，恢複與部署簡便；

　　集中管理與開放接口：大規模應用安全防護，CloudASG提供集中地管理平台ASGM，可以方便安全防護的配置

，同時ASGM開放接口，用戶可通過開放接口查詢安全攻擊日誌數據和報表等
；

　　在數據中心雲計算環境中
，有雲CloudASG通過插件式管理方式
，利用雲平台的自動化部署特性，將Web應用防護實例動態的關聯部署到待防護的Web服務器前端
，在虛擬化環境中采用SDN引流的方式實現對Web服務的安全防護。

　　江均勇談到
，有雲Cloud ASG提供了靈活的部署框架模型，極大的降低了運維管理成本，較傳統軟硬件一體機及傳統雲WAF方案
，安全性、可靠性、可維護性和可操作性具備絕對的優勢，對傳統數據中心演進以及雲計算數據中心增擴容能夠平滑過渡和支持。

▲點擊查看大會報道專題