ICP的平衡之美

　　随着Web 2.0的普及，ICP的信息安全再次被提上了日程。与以往不同的是，为了应对Web 2.0对于性能的挑战，安全与性能的平衡将是ICP关注的重点。

　　应用的挑战

　　随着网络技术的发展，当前各种网站，包括博客、论坛、门户网站，基本上所有的ICP服务商，都可以在其中找到与Web 2.0有关的东西。

　　Web 2.0的直观印象就是以用户为中心，提供个性化的服务，像博客、播客等就是代表。

　　从应用上分析，Web 2.0具有两个明显特点：第一，容量巨大。这直接导致了ICP自身就汇聚了海量的内容。以前一个网站可能就是几百个G就差不多了，但是当前都要T级；第二，Web 2.0导致了ICP与终端用户强大的互动性。应用Web 2.0的ICP用户访问、交互性与日俱增，特别是动态变化内容，比如股市变化行情的页面、行情、图线经常变化，这种应用特点给企业后台的服务器造成巨大压力，其业务连续性安全随着访问量的攀升逐渐降低。

　　新算法助阵

　　为了应对海量内容、超强交互性以及高自主性的挑战，此前很多ICP基本上都采用了一个SQUID技术—在Web服务器前面摆上一堆SQUID缓存服务器。SQUID 缓存重复内容会缓冲在缓存里面，所以下一次有人同样访问同一个内容，就会由缓存来反映，服务器压力就变轻了。

　　但是在Web 2.0的情况下，海量容量却对缓存服务器造成了挑战。从应用的实际情况分析，由于网站内容过于庞大，随着访问时间的延长，现有架构模式下大量缓存服务器里面的内容会趋于一致，由此不仅导致服务器资源的浪费，服务器的性能也得不到发挥，而且也变相增加了ICP业务连续性运行的风险。

　　对此，Array Networks的市场总监陈凯在接受采访时表示说：“目前Web 2.0性能与业务连续性安全的矛盾在逐渐显现，但有意思的是，我们发现如果将以前在网络上进行负载均衡的算法进行改进，可以很好地解决这个难题。”

　　据悉，在新一代应用交付控制设备厂商的负载均衡解决方案当中，有一个特殊的Hash URL安全算法，即可以根据URL的多样性，将请求发送到不同服务器上。而Array则将此技术集成到最新发布的APV产品系列中，应用到ICP的Web 2.0环境里，可以获得意想不到的效果。比如某ICP买了十台缓存服务器，通过这些服务器做负载均衡，然后利用这种特殊的安全算法，就可以将用户的不同请求发送到不同的缓存上。即便内容数百T的ICP，经过测试，采用特殊的Hash URL算法仍然可以满足服务器的负载均衡需求。

　　平衡安全

　　在Web 2.0的大环境下，既要保证性能，又要考虑安全性，确实是ICP的一大难题。据陈凯介绍，目前有效的方法是在Web 2.0环境中采用完全的代理架构。

　　一般来说，代理架构隔离了用户和应用，把用户连接终结在应用交付控制设备上，应用连接是由代理发起，因此，从网络上把这两边完全隔离开来。采用代理架构可以获得很高的安全性，特别是具有抵抗DDoS攻击的能力。因为代理架构在接受DDoS的SYN之后，会发回一个SYN-ACK给对方，而只有收到对方的回馈之后才会建立连接。换句话说，在代理模式下，服务器的资源不会因为大量DDoS攻击消耗掉，同时也不需要分配内存去处理连接的相应事务，从而增大业务连续性的安全度。

　　另外从代理设备本身来看，一般此类设备的协议处理速度比服务器要快很多，因此从某种意义上说，还会提高ICP的服务效率，可以获得性能与安全的平衡。