Web安全呼喚“新型”安全網(wǎng)關(guān)

第一，性能跟不上；

第二，功能與檢測(cè)準(zhǔn)確度不夠；

第三，部署比較復(fù)雜；

第四，維護(hù)難度較高。

為此，當(dāng)前主流安全廠商在大量應(yīng)用新技術(shù)的條件下，推出了“新一代”Web安全網(wǎng)關(guān)。細(xì)心的讀者可能發(fā)現(xiàn)，參與本次專題的都是外資安全廠商。確實(shí)，在占領(lǐng)技術(shù)的制高點(diǎn)上，外資公司又走到了Web安全的“風(fēng)口浪尖”。

Wedge Networks全球CTO 張鴻文認(rèn)為，目前惡意Web攻擊在全球范圍內(nèi)呈指數(shù)形式增長(zhǎng)，對(duì)抗類似威脅的有效方法之一，就是和每一個(gè)Web安全方面的領(lǐng)導(dǎo)廠商建立強(qiáng)有力的合作伙伴關(guān)系。以Wedge Networks為例，其一直在推動(dòng)NDP網(wǎng)絡(luò)數(shù)據(jù)處理平臺(tái)，并且在其中應(yīng)用了Subsonic技術(shù)。

這種技術(shù)目前在北美的大型企業(yè)網(wǎng)關(guān)、服務(wù)器池、以及IDC中心頗為流行，它可以讓W(xué)eb安全網(wǎng)關(guān)在一個(gè)高負(fù)載的網(wǎng)絡(luò)中從容提供實(shí)時(shí)的七層深度內(nèi)容檢測(cè)。Subsonic技術(shù)在算法上取得了突破，不僅性能可以滿足繁忙網(wǎng)絡(luò)的需求，而且可以基于特征碼和模式識(shí)別進(jìn)行安全檢測(cè)，配合NDP開放的服務(wù)總線架構(gòu)與高級(jí)的網(wǎng)絡(luò)協(xié)議堆棧，確保一個(gè)Web安全網(wǎng)關(guān)可以整合更多不同安全廠商（如更專業(yè)的反病毒、反惡意軟件廠商）的技術(shù)與算法。

對(duì)于很多用戶關(guān)心Web安全防御中的性能損耗問題，張博士認(rèn)為：“用戶在面對(duì)web安全問題時(shí)擔(dān)心和顧慮很容易理解。我們的渠道已經(jīng)告訴我們?cè)谔幚鞼eb安全方面，維持一個(gè)可以接受的性能會(huì)有多么重要。事實(shí)上，自從2003年以來，隨著單核CPU的時(shí)鐘頻率趨于穩(wěn)定，每年網(wǎng)絡(luò)帶寬的需求都會(huì)增加四倍。作為企業(yè)的CTO，我發(fā)現(xiàn)任何架構(gòu)想要跨越這個(gè)性能鴻溝都不得不采用多CPU和多核系統(tǒng)。幸運(yùn)的是，Subsonic技術(shù)可以利用行為模式原理去管理大量并發(fā)會(huì)話，從而在多核環(huán)境中大量提高性能。”

另外，張博士認(rèn)為對(duì)于Web內(nèi)容的深度檢測(cè)也應(yīng)看重。他認(rèn)為：“當(dāng)前防御來自HTTP的威脅已經(jīng)成為安全網(wǎng)關(guān)的首要問題之一。而大量存在漏洞的Web服務(wù)器更是隨時(shí)可能被攻擊并被利用來傳播或發(fā)布惡意軟件。網(wǎng)站內(nèi)容的可變性決定了只有進(jìn)行內(nèi)容檢查才能得到最可靠的結(jié)果。而HTTP訪問對(duì)于即時(shí)性有很高的要求，這也使得面對(duì)應(yīng)用層安全設(shè)備有著對(duì)高性能的依賴和需求。”

“針對(duì)基于Web的安全威脅，這方面國(guó)外廠商積累了較為資深的經(jīng)驗(yàn)，從實(shí)踐來看，效果還不錯(cuò)。其實(shí)，任何安全防范手段都有其時(shí)效性的問題�？紤]到開啟深度內(nèi)容檢測(cè)功能帶來的性能下降問題，多數(shù)廠商選擇放棄，而只提供了入口級(jí)的控制手段。如果廠商能解決好處理性能問題，比如將多核處理器支持運(yùn)用的如火純青，會(huì)為用戶提供更為穩(wěn)固的安全防范手段。”

在功能的全面性與性能的平衡上，Secure Computing的做法比較獨(dú)特。Secure Computing認(rèn)為，Web安全需要全方位的技術(shù)方案，包含了從防火墻、Web控制、郵件安全的各個(gè)層面。因此對(duì)于安全問題，并非某個(gè)獨(dú)立的應(yīng)用，而是需要在各種不同層次的安全設(shè)備中，提供對(duì)混合威脅（blended threat）的防護(hù)。

其技術(shù)總監(jiān)曾表示：“安全做到現(xiàn)在的階段，我越來越感到安全本身的復(fù)雜與龐大。如果要做到全面的安全，單靠某一點(diǎn)的努力已經(jīng)遠(yuǎn)遠(yuǎn)不夠了。比如我們一直在推動(dòng)全球最大和歷史最久的信譽(yù)系統(tǒng)TrustedSource，目的就是希望通過對(duì)不同國(guó)家、多種應(yīng)用的分析----包括對(duì)IP地址、域名、郵件、圖片、URL等多種對(duì)象的數(shù)據(jù)關(guān)聯(lián)分析，提供最全面、準(zhǔn)確和實(shí)時(shí)的信譽(yù)評(píng)估，從而最大程度地保護(hù)用戶的網(wǎng)絡(luò)和應(yīng)用。當(dāng)然，這僅僅是基礎(chǔ)，一個(gè)優(yōu)秀的Web安全網(wǎng)關(guān)，還需要對(duì)SSL掃描進(jìn)行支持，因?yàn)楫?dāng)前隱藏在SSL流量中的惡意軟件不勝枚舉----全面就不能忽視安全的細(xì)節(jié)。”

針對(duì)當(dāng)前用戶比較頭疼的HTTP防御和Web服務(wù)器漏洞保護(hù)問題，這里有五點(diǎn)建議供用戶參考：

第一，HTTP防御中最困難和最復(fù)雜的是解決應(yīng)用層面的攻擊，例如SQL注入、特殊編碼、惡意變換URL等；

第二，Secure Computing的Sidewinder防火墻通過采用應(yīng)用代理技術(shù)，可以從根本上確定安全防御的模型，確保應(yīng)用協(xié)議的規(guī)范性，以及應(yīng)用的可控性，從而為應(yīng)用的安全控制提供了管理的可能；

第三，利用高效IPS引擎對(duì)已經(jīng)過規(guī)范性審核的HTTP流量進(jìn)行特征檢查，可以即時(shí)發(fā)現(xiàn)惡意攻擊；

第四，通過Sidewinder中的GeoLocator功能，可以針對(duì)不同地域來源的訪問設(shè)定不通的安全防護(hù)級(jí)別，優(yōu)化系統(tǒng)資源與效能；

第五，TrustedSource信譽(yù)體系提供的信譽(yù)評(píng)估數(shù)據(jù)，可以使得安全設(shè)備識(shí)別出訪問的意圖，從網(wǎng)絡(luò)的邊緣拒絕掉惡意的僵尸主機(jī)攻擊，提高正常訪問的比率，在提高了安全性的同時(shí)節(jié)省了帶寬。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]