結合安全管理，落實網路應用程式加速

余健添 Blue Coat大中華區總經理，曾經在Cisco、NCR等網路設備供應業者服務。

應用程式加速是廣域網路近年來的新興議題。相關廠商藉由代理伺服器（Proxy）、QoS（Quality of Service），以及壓縮等多種不同技術的整合運用，加快資料在網路上的傳輸速度。

以目前的情況來說，只是加大頻寬，並不代表可以立即加快網路的傳輸速度。Blue Coat（步立康）大中華區總經理余健添認為，應用程式加速產品除了加速資料在廣域網路上的傳輸之外，也應該要有辦法管理和約束內部員工的網路行為，以減少頻寬的浪費，同時將有限的資源留給真正有需求的服務，將可以進一步提高這類產品加快傳輸資料的效果。

問：企業購買應用程式加速產品，主要是基於那些因素？
答：在我們接觸到的使用案例當中，有許多用戶，他們的設備建置，出發點都是和資料備份有關。

以銀行為例，開設在總公司以外的分行（Branch Office），都是利用凌晨這種網路頻寬的離峰時間，將白天所產生的交易資料傳回總部備份。

一旦遇上資料量過於龐大，無法在次日的上班時間前完成備份作業，將會造成分行營運的諸多困擾，況且在一天之中，也很難找到其他可供備份資料的時間，因此這些公司才會決定購買應用程式加速產品，以便改善網路傳輸的效能。

講到效能，依照企業實際上線的應用程式類別，實際使用的效果也會因此有所落差，例如原本需要7個小時才能完成的備份工作，在應用程式加速產品的輔助之下，也許可以縮短到只要5個小時，甚至3個小時就可以完成工作。當然也有可能時間只縮短了一點點。

在美國，由於企業必須按照法令備份重要資料，否則將可能因為資安事件的發生，而造成使用者權益的損失，一旦如此，企業將為此受到重罰。雖然目前臺灣沒有制定類似的法規，不過未來一旦有這樣子的需求，在應用程式加速設備的輔助之下，備份工作的推行上將相對順利。

另一項原因，則是為了提升使用者存取網頁伺服器的速度，以及安全防護層面的考量。

舉例來說，我們可以先在企業網路的閘道端，設置負載量較大的加速設備，而在伺服器前方，則可以放置負載量較小的設備，藉此加快存取資料的速度。

不但如此，還可以因為這樣子的架構，不讓有心人士有機可乘，阻止他們發起像是DDoS（Distributed Denial of Service）的惡意攻擊，阻斷網站的正常服務。

問：這類設備結合資安功能的意義為何？
答：很多員工會在上班時間上網瀏覽一些和工作無關的內容，這也是造成企業網路壅塞的原因，因此需要結合一些過濾機制，禁止員工閱覽和工作無關的內容，或者依時段有條件地開放。

當頻寬不夠充裕的時侯，企業就更有必要採取一些措施加以控管。舉例來說，可能需要設定排程，僅開放某些網路頻寬的閒置時段，才開放員工使用某些網路服務的權限。除此之外，也可以結合QoS服務，防止應用程式彼此之間搶占頻寬，進而遲滯了重要資料傳輸的效率。

多數應用程式加速設備都支援QoS的機制，保障網路應用程式執行時，至少能夠享有最低限度的頻寬維持一定的傳輸品質。

不過大多數設備只有支援到網路第四層的QoS，也就是依服務目前所使用的TCP/UDP網路埠，判斷來源封包是屬於何種應用程式所有。現在只有少數設備可以支援到網路第七層，也就是從封包內容下手，檢測來源封包的真實身分，判別上較前者要來得精準。

問：應用程式加速產品通常對於那些類型的網路封包會有比較好的處理效果？除此之外，是否對於一些含有不當內容的封包提供控管，讓無害內容的封包先行傳送？
答：目前企業較常使用到應用類型包括MAPI（Messaging Application Programming Interface，電子郵件）、SIP、Video，以及HTTP/ HTTPS等，多數設備預設會將這些應用程式所產生的封包優先傳輸。

但在此同時，也應該更聰明地判別出含有不當或者是有害內容的封包，例如垃圾郵件，不針對這些資料傳輸，啟動應用程式加速的功能，如此才能進一步地看出應用程式加速的效果。整理⊙楊啟倫