随着各种病毒木马的威胁加剧来自Web的安全隐患也逐渐加大,为此Web安全网关成为企业边界安全防护的新宠,然而企业如何选购一款功能齐全、性能优越的Web安全网关呢?本文将从Web安全网关中最重要的功能——防病毒,为您解惑。
信息化的快速发展,使得企业与互联网之间的协作愈发紧密,威胁也随之而来。知名病毒研究机构ICSA的统计表明,93%的病毒来自网络传播。面对如此严峻的网络环境,您的企业是否还仅依靠反病毒软件苦苦支撑?
日益加剧的威胁让Web安全网关(Secure Web Gateway,SWG)逐渐成为企业边界网络安全防护的新宠。众所周知,基于OSI模型第七层(应用层)的Web安全网关具有反恶意软件、上网行为管理以及安全审计等诸多安全检测或管控能力。然而面对铺天盖地的广告和琳琅满目的Web安全网关设备,如何选购真正满足企业安全需求的Web安全网关?拨开迷雾,让我们一起来揭开SWG选购谜团。
这次主要向大家介绍Web安全网关中最重要的功能—防病毒
1.恶意软件防御能力
作为一款合格的企业级Web安全网关,强大的反病毒能力是必不可小的,但遗憾的是这也是制约Web安全网关性能突破的最关键因素之一。如何提升SWG的防病毒能力也成为各个主流厂商关注的焦点。
通常恶意软件特征检测手段从其工作原理上可以概括为:特征模式匹配,特殊病毒程序脚本处理。值得注意的是90%的恶意软件检测依托特征模式匹配来完成。但是以特征模式匹配为主的文件扫描会占用95%以上的CPU资源。对于企业而言,每天需要处理大量的文件和数据,这就对Web安全网关的病毒扫描能力提出了严峻的要求。
为了提升病毒扫描能力,大多数厂商都会增加CPU的数量,但即使用到8核CPU也很难支持2000以上用户,如何突破2000用户?目前主流解决方案主要有两种:一种是串流扫描技术;一种是借助ASIC加速卡来实现对恶意软件的深度内容检测与特征匹配。客观的讲,这两种扫描技术各有所长,但是对于企业而言,找寻性能和检测率、漏判之间的平衡,将成为企业防病毒成败的关键。
串流扫描方案由于优先考虑用户的网络使用体验,不得不简化病毒扫描流程,对一些较复杂的文件不能进行深入的检测,造成一些病毒的漏判;另外当网络流量较大时,很多扫描不能在文件传输之前完成,这就造成实际上的病毒扫描功能失效。
图:硬件高速扫描
另一方面,长期以来Web安全网关在恶意软件防护方面一直存在一个误区,即以厂商的恶意软件特征数量来衡量其优劣。其实不然,不论恶意软件特征数百万还是千万数量级其实只是基础,更值得关注的应该是Web安全网关自身板载特征库容量以及威胁防御体系的建设。目前Anchiva板载特征库200多万,并且透过板载特征库能够检测的恶意软件数量超过800万。
2.威胁防御体系
Web安全网关另一个核心竞争力要属威胁防御体系。对于企业而言,威胁防御体系能够保证企业快速响应各种安全威胁,提升企业对“零”日安全威胁的防御能力,实现实时、主动的Web安全防护。
一个典型的安全防御体系通常需要有威胁采集系统、威胁处理系统和升级服务网络,这三个方面是环环相扣、缺一不可的。然而市面上许多Web安全网关往往采用OEM其他知名厂商的反病毒特征库来支持其扫描引擎,在实时响应能力上大打折扣。
图:威胁防御系统
与此同时,为了进一步应对访问Web站点可能带来的网络威胁隐患,还可通过分布在互联网中的恶意站点监测系统,对分布在互联网中的站点进行威胁检测,实时主动的捕获存在恶意行为的网络站点,并通过每天自动升级分发给各个网络节点设备,为最终用户提供高效、实时、主动的恶意站点 (Malicious Sites)过滤保护。
2009年随着越来越多的漏洞和恶意软件变种的出现,一个强大健全的威胁防御系统对于企业构建完善的信息安全防护体系建设而言至关重要。
3.操作系统解决性能瓶颈
除了具备强大的反恶意软件和威胁防御系统外,Web安全网关另外一个核心竞争力便是设备本身的性能。对于企业而言,一款强大的Web安全网关如果没有良好性能做支撑也只能望而兴叹。
如今随着多核技术的日渐成熟,多数厂商将突破性能的希望寄托在多核架构上。然而任何基础架构的最终实现都需要一个优秀的系统内核来驱动,众所周知Cisco、Juniper在网络市场的成功都借助了其核心的操作系统来保证其设备的高可用性,多核架构亦是如此。
多核并不是简单的CPU叠加,需要Web安全网关从硬件到软件,从操作系统底层到上层应用进程去全方位支持多核CPU。为此Web安全网关首先需要具备并行多核处理器控制技术来保证多核CPU快速响应不同的安全威胁;其次,突破底层TCP协议栈共享锁的束缚对于Web安全网关的性能提升至关重要。遗憾的是很少有厂商愿意花费时间来攻破这一难题。
图:AnchivaOS架构
4.重视并发性能
对于大型企业网络环境而言,并发会话数成为企业关注的另外一个核心话题。可以说并发处理能力的高低,直接决定了防病毒网关设备是否可以应用在企业级环境。安启华充分考虑到企业的高并发需求,从AnchivaOS到威胁防御系统,安启华始终将保证用户使用性能作为其重点考虑。优化重写TCP协议栈,细分文件格式,以及采用ASIC加速的内容扫描技术,这些事先的准备工作,保证了设备性能能够得到最大的发挥,因此Anchivaweb安全网关的并发性能远高于业界其他主流Web安全网关。
总结
当然Web安全网关还应具备上网行为管理、带宽管理、安全审计等功能,但对于不同规模的企业而言,安全需求也因人而异。相对于之前提到的恶意软件防御能力,威胁防御体系以及性能瓶颈,这些基于流量协议的管控是相对容易实现的。
企业的实际状况也让大家注意到,对于2000台终端以上的大型企业来说,企业针对性能的安全需求更为强烈,而对于100-2000台终端的企业,All in one的Web安全网关更能满足企业多样化的安全防护需求。
毋庸置疑,随着互联网安全威胁的扩大,Web安全网关将在企业安全防护中的作用越来越明显。企业IT管理者在选购Web安全网关时需要充分考虑企业自身的安全需求,只有兼顾性能,恶意软件防御能力同时具备完善的威胁防御系统的全功能Web安全网关,才能真正帮助企业打造牢固的Web安全防线。