高速 安全 可控

时间:2022-08-14 10:27:08

高速 安全 可控

ADN(Application Delivery Networking,应用交付网络)是近一年来频繁出现在媒体与厂商资料中的一个新词汇,它的出现拉近了厂商与用户的距离,将关注的焦点聚集在了用户的真实诉求上。不过,这一词汇目前代表的是个比较宽泛的概念,并没有任何标准去约束、衡量。虽然已有越来越多的厂商开始为用户提供ADN解决方案,其思路与出发点却不尽相同,功能侧重和实现效果更存在着较大差异。传统安全厂商Blue Coat的ADN解决方案,就结合自身优势,将重点放在了应用监控、广域网优化与Web安全三大领域。

通常,用户在面临应用交付方面的问题时,首先想到的是“开源”的做法。但无休止地升级网络基础架构、扩大广域网出口带宽,并不是一个有延续性的解决方案,也有悖于当前经济形势下用户的投入能力。Blue Coat的解决思路则是先为用户“截流”,即剔除占用资源的非业务流量、阻止各类安全威胁、再优化加速真正的业务流量,发挥用户现有网络基础架构与接入带宽的最大潜力。与某些拼接起来的ADN解决方案不同,Blue Coat提供的三种技术手段之间环环相扣,部属起来具有很好的衔接性。为验证这些特点,计算机世界实验室近日联合Blue Coat,对其提供的ADN解决方案进行了详细测试。

走出实验室

既然测试对象是应用交付解决方案,我们也一改针对产品的测试模式,站在用户角度,选取了移动办公这种应用模型进行考察。这是企业网络中比较有代表性的一类应用,涉及到管理、加速、安全等多种需求,传统方案实现起来较为复杂,并且很难做到统一协调。针对这种情况,Blue Coat的ADN解决方案使用了ProxyClient客户端软件与ProxySG网关的搭配方式,将应用交付的相关特性无缝延展至远程节点。经验表明,实验室环境下的测试很难反映出真实的广域网加速效果,我们索性将测试环境完整地搭建在互联网上,使用一台主流配置的笔记本电脑(Intel Core 2 Duo T7500/2G内存)在不同网络接入条件下进行测试。部署在模拟企业网络边缘的是一台ProxySG 510,该产品提供了Blue Coat ADN解决方案中涉及到的丰富特性,并负责与ProxyClient实施联动。考虑到绝大多数企业都会为移动办公用户提供VPN接入,在ProxySG 510的外部也部署有IPSec VPN网关。远程用户必须先与之建立隧道,才可以访问企业网络。

广域网加速―

让应用畅通无阻

移动办公用户最大的需求,莫过于随时随地访问企业内部资源。在带宽、链路质量等多种因素的制约下,大多数通过广域网的访问并不会有很好的应用体验,ADN解决方案带来的改善是值得评估的重点。我们在ProxySG 510的后端部署了三台服务器,分别提供文件共享(CIFS)、邮件(SMTP/POP3)与Web(HTTP)服务,再使用装有ProxyClient的电脑从外部进行访问,考察ProxyClient开启与关闭状态下的实际效果。为更加真实地模拟实际情况,我们还抽象了一些用户行为,制定了三个比较复杂的测试用例。考虑到链路质量在不同的时间段可能存在差异,测试分别被安排在9~10点、17~18点、0~1点三个时间段进行,每个项目都重复执行3遍。由于文件与Web服务都有一定的缓存机制,我们在每次测试后都会重启笔记本电脑,并删除IE临时文件;在ProxyClient启用的情况下,我们还会将缓存与统计信息清零,以便于取得未经干扰的准确数据。

我们首先在北京联通的ADSL链路(上行512Kbps/下行1Mbps)上进行测试。长时间的监测表明,该链路质量较为出色,访问国内站点没有丢包等现象发生。但由于测试使用的VPN网关部署在美国,PING三台应用服务器时会有比较多的丢包,实际访问效果很不理想。从测试结果中可以看出,文件复制用时相当漫长,并且同一时段的三次测试结果也有不小差异;邮件及Web服务的情况也与之类似,载入CRM页面动辄一、两分钟的耗时说不定会让销售人员与商机失之交臂。而启用ProxyClient后的测试结果则大为改观,文件复制所用的时间只有先前的数十分之一,个别较小的文件甚至在进度条出现前就已完成复制;邮件与Web服务方面的改善在数值上虽然没有那么惊人,却也有效缩减了之前难以忍受的等待时间,让应用真正有了可用性。

必须承认,移动办公用户独享一条ADSL链路的机会并不多。在宾馆、机场等场合,一般只有更加复杂(通常也更慢)的共享型网络提供使用。针对这种情况,我们将装有ProxyClient的笔记本电脑接入《计算机世界》报社的办公网络进行了第二轮测试。虽然报社网络出口的带宽远远大于家用ADSL,但由于用户众多、应用复杂,链路质量并不稳定,不同时间段内效果差异很大。禁用ProxyClient的情况下,网络最繁忙的9~10点所测得的结果明显不如凌晨0~1点,且单项所需时间越长,差异越明显。由于上午的网络丢包率与抖动较高,在大文件复制过程中甚至还出现过长时间无响应,最终出错的情况;启用ProxyClient后,三种应用在不同时间段内都有较好的应用体验。我们感觉,这种稳定性方面的提高有效避免了突如其来的等待或中断,比单纯速度提升更有价值。

链路质量不可改变,ProxyClient却能为应用的效果带来翻天覆地的变化,其内置的优化手段功不可没。该软件使用了协议优化、字节缓存、对象缓存与压缩等技术,通过减少广域网流量的方式起到加速作用。协议优化是比较关键的一项技术,大多数应用都可以从中受益。以文件服务为例,我们抓取了禁用ProxyClient时登录服务器过程中的数据包进行分析,发现在47秒钟内双向仅传输了93个包,大量时间都消耗在交互等待及丢包重传上。而TCP与CIFS协议的优化大幅减少了两点间交互次数,将登录时间压缩到5秒以内,与局域网效果相类似。压缩功能可以有效降低需要发送的数据量,对文件复制等大数据量传输操作最为有效。不过,本次我们测试使用的RAR文件与BMP文件大小相仿,启用ProxyClient时前者用时至少超过后者一倍,可见压缩效果与数据类型息息相关。字节缓存与对象缓存的意义则主要体现在应用模型中,邮件服务就是最好的例子。当乙收到邮件时,两端的缓存中都保存了附件Word文档;修改后再次发送时,只需将变更部分内容与其他部分的指针地址回传即可,从而使达到加速的效果。此外,我们还尝试在文件复制后和文件复制中途取消后,再次进行复制操作,所用时间都有较大程度的减少,原因自然与邮件服务如出一辙。

经过分析,我们发现很多应用模型都是从多种优化技术的共同作用中受益。但也有一些极端的例子,如网络管理者常用的远程桌面,RDP协议本身就对传输数据做了优化,缓存与压缩技术在这里基本不起作用。我们专门做了一个针对远程桌面功能的主观对比测试:禁用ProxyClient时,远程服务器响应非常慢,光登录界面就要等很久,输入用户名与密码时回显延迟较大,框选目标时也有明显的迟滞感;启用ProxyClient后,远端主机屏幕的刷新速度快了很多,输入用户名和密码时立即可以看到回显,框选目标时感觉也很流畅。测试结果表明,这类时延敏感型应用的效果也可以从协议优化中得到改善。并且越是糟糕的链路,效果越明显。

安全性与易用性

既然是应用交付解决方案,就必须尽量全面地提供用户需要的功能特性。移动办公用户在物理上游离于企业网络之外,安全方面的需求决不亚于广域网加速特性。ProxyClient提供了被动防护与主动防御相结合的安全解决方案,一方面,可以利用Blue Coat现有的WebFilter网站数据库,屏蔽已知的可能带有威胁因素的网站。另一方面,装有ProxyClient的电脑会自动加入WebPulse云安全体系,成为一个分享并受益的节点。如果遭遇恶意软件入侵或蠕虫病毒爆发等突发事件,WebPulse有可能在本地防病毒软件未能识别前做出反应,将安全威胁拦截在外。此外,利用WebFilter网站数据库的分类与分级特性,移动办公用户也可以同步执行企业内部的访问控制策略,在节省成本的同时规避不必要的风险。我们尝试着在装有ProxyClient的笔记本电脑上访问几个属于ProxySG策略中禁止类别的网站,都被有效拒绝,效果令人满意。

没有几个移动办公用户能精通IT专业知识,他们需要的是无障碍解决方案。所以在测试过程中,我们也着重注意了Blue Coat ADN解决方案的易用性。策略制定与ProxySG的调配是管理员的任务,普通用户无需费心;而唯一需要打交道的ProxyClient,则“简单”得令人印象深刻。以部署过程为例,移动办公用户只需到指定网址下载安装一个文件即可,操作起来没有任何难度。此文件中包含了所有的设置信息,可以做到即装即用。软件主界面下设状态、网络与高级三个子页面,诸如运行模式、资源统计等用户比较感兴趣的信息都被集中在首页。ProxyClient的维护也令人省心,软件升级与策略同步都会自动进行,不需要人工干预;管理、加速等功能全部都在后成,客户端不需要也不能进行设定。简而言之,虽然ProxyClient实现了许多复杂特性,对于移动办公用户来说却是完全透明的。(因版面限制,测试数据表未能刊登,请登录.cn获取完整报告。)

测试点评

ProxyClient的主界面上有一个很有意思的统计图,用百分比的形式显示出广域网加速特性节省的带宽。经历了完整测试后,我们反倒觉得这并不是最贴切的表现方式。因为,Blue Coat ADN解决方案给工程师最深刻的感受是时间上的节省,以及为移动办公用户降低风险、提高安全系数。这才是工作效率提高的根本原因,也是企业降低总体拥有成本的重要因素。

测试用例

文件服务

模拟场景:从企业内部文件服务器上获取文档(7个不同类型文件样本)。

步骤:将文件复制到本地。

邮件服务

模拟场景:通过邮件进行文档审阅。

步骤1:甲发送一封附带182KB大小DOC文档的邮件给乙;

步骤2:乙接收该邮件;

步骤3:乙将修改过的DOC文档(插入一段内容,共计184KB)发送给甲。

Web服务

模拟场景:从企业CRM中查找客户联系方式。

步骤1:进入登录页面;

步骤2:输入用户名、密码,进入主界面;

步骤3:主界面载入完成后,进入通讯录(Contacts)页面;

步骤4:返回主界面。

上一篇:做好“冬训” 储备未来 下一篇:2010:LTE商用元年