[專訪] 一次滿足企業安全、成本、效能的網路需求

2017 / 08 / 03

編輯部

數位時代下，網路成為企業連結全球市場的媒介，讓企業能不受限於時間、空間的限制持續營運，因此，網際網路成為企業不可或缺的基礎設施。但面對近年來全球不斷發生的DDoS威脅，與其他日益升高的網路攻擊事件，企業該如何維持網路的正常運作？

從攻擊防護與設備效能提高網路可用性
以流量型的DDoS攻擊為例，目前並沒有一種完美的解決方案，主要依賴ISP業者提供的流量清洗服務來減緩對企業網路的衝擊。但Citrix大中華區網路技術經理何浩祥指出，現在的DDoS多是結合流量與應用層的混合型攻擊。所以除了透過ISP過濾異常網路流量外，用戶的網路閘道也需要部署防護以阻擋像SlowPost、Slowloris、DNS這類來自應用層的攻擊。像Citrix NetScaler提供應用層的DDoS防護功能，再搭配最高可堆疊32台裝置的叢集式分散架構以提昇網路處理能力，也就是「從攻擊行為與設備效能」兩方面來達到企業網路的可用性。

簡化WAF設定
企業需要防範駭客對Web Server進行漏洞攻擊，來防止網站資料遭竊。以往國內企業通常是利用Web IPS來阻擋網路攻擊，但這種以特徵碼為基礎的偵測方式難以發現未知的網路威脅，且Citrix台灣區總經理潘先國提醒特徵碼的防護方式容易有時間差的問題。NetScaler的WAF應用程式防火牆則是根據應用程式需求，用白名單的方式，只允許看得懂的流量進行正常的網路存取行為。

以往WAF在使用者最大的問題就在於白名單的設定有一定難度，資安人員需辨別網路攻擊行為的特徵，才能據此設定出rule；一旦設定錯誤，就可能影響到正常的網站瀏覽。NetScaler WAF透過圖形化的操作介面與模組引擎來協助管理人員簡化rule設定。舉例來說，如果要設定能瀏覽的網址白名單，而一個網站可能包含成千上百的網址連結，但只要透過URL Closure功能，便可迅速按網頁回應的連結自動成生URL白名單。

至於WAF誤擋的問題，NetScaler提供客戶免費的NetScaler VPX （1M)版，所以客戶可先在測試環境中用虛擬化的NetScaler VPX進行功能性測試，測試無誤後再透過MAS（Management and Analytics System)管理分析平台改變設定參數，完成設定檔的轉移。

彈性部署降低建置成本
如何簡省成本向來是企業建置IT的重要考量。何浩祥強調Citrix是一間提供「端到端解決方案」的軟體公司，所以不管是DDoS、VPN、WAF、Server Loading Balance都是滿足網路所需的功能，企業可按需求購買所需的軟體授權安裝在同一台NetScaler設備上，將多種設備整合為一，減少設備數量與管理複雜度。

另外，針對不同網段的隔離需求，Citrix也有提供SDX解決方案，可在NetScaler設備上執行多台虛擬化的VPX，搭配vLan白名單功能，讓企業只需一台設備就能做到多網段的實體隔離效果。像國內有幾家行動支付業者就用2台SDX，建置出原本預計需要7、8台設備才能做到資料中心內DMZ、測試區、Server Farm等不同區塊隔離的網路需求。

兼顧網路效能
在一台設備上執行多種產品功能，雖然能有效節省IT建置成本，但勢必對網路處理效能產生巨大的負擔。何浩祥說明由於Citrix是從軟體思維的角度來進行產品的設計開發，所以會根據使用的硬體做軟體本身的優化。像NetScaler使用Intel CPU，所以當CPU更新時，Citrix也會對軟體進行更新優化，以提升軟體的執行效能。

此外，有別於一般多CPU執行不同功能時，因為記憶體共享所產生的效能延遲，NetScaler採用nCore的多核演算方法，可在一顆CPU上執行同一用戶所需各種功能，以分散式運算的方式大量減少記憶體共用來提升處理效能。他比喻就像是Android和iPhone手機，大家會去注意Android手機使用的CPU與記憶體，尤其是記憶體容量最好要有8GB，但相對iPhone7記憶體僅2GB而已。由此可見透過軟體設計的優化，就能充分利用硬體以提升運作效能。

以往專屬功能的網路設備就像一把剪刀或菜刀，用來執行特定的功能；但NetScaler就像一把瑞士刀，提供多樣彈性的用途以符合各種不同需求，使用者可自行變化組合，在成本與效能兼顧的考量下，協助IT建置可用且安全的企業網路。

Citrix NetScaler