科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网关变形:多重过滤与性能杀手的代表

网关变形:多重过滤与性能杀手的代表

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

IDC在公布的报告中指出,当前互联网已经成为一个不可控的黑洞,无数不怀好意的网站使用户上网冲浪时如履薄冰。

作者:赵晓涛 来源:网界网  2008年6月11日

关键字: 统一威胁管理 UTM

  • 评论
  • 分享微博
  • 分享邮件

  IDC在公布的报告中指出,当前互联网已经成为一个不可控的黑洞,无数不怀好意的网站使用户上网冲浪时如履薄冰:隐藏蠕虫病毒、木马插件的非法网站、以及各类层出不穷的钓鱼网站,都会让企业在分享互联网便利的同时带来巨大的隐患。

  对于这些安全威胁,主流的反制手段就是过滤技术。对此王景辉表示,在内容过滤技术中最常见的是URL库过滤。通过24x7地收集威胁站点的URL,安全厂商可以做到对常见恶意站点的过滤。据悉,目前一些安全厂商甚至在自己的防火墙中都集成了URL过滤技术,大家普遍认为将包含潜在威胁的网站拦截在外是保障上网安全的有效方式之一。

  当然,仅仅这样还不够。企业用户还应该考虑到一些钓鱼网站采用的是SSL加密页面,所以还需要结合证书验证、链接黑白名单等措施。此外他表示,企业的安全管理员需要对文件下载传输行为进行规范,特别是将关键字、文件类型、网络服务与IP地址组进行关联,规范下载策略,可以控制大部分由主动下载造成的损害。

  不过在应用这些技术之前,传统的问题依然存在。如果说邮件安全网关能把UTM拖得疲惫不堪的话,那么内容过滤就是对UTM的致命一击:很少有UTM能在内容过滤中安然无恙。

  对于UTM中集成的内容过滤模块,目前最好的处理技术就是通过一体化的设计思想来做。据陈胜权介绍,他们已经利用格式化、归并和标签技术实现了特征库的统一,即将病毒特征库、入侵特征库、内容过滤特征库、垃圾邮件特征库统一格式化为USG统一特征库,从而实现了基于统一特征库进行模式匹配的一体化分析处理引擎。这样做的好处是,分析处理引擎的统一不但保证了众多安全防护功能的融合,而且将UTM网关的关键性能消耗单元最小化,从而降低对性能的影响。

  此前,Websense的全球技术负责人在接受本报独家专访时表示,独立的URL过滤设备可以实现基于全球的URL动态过滤与更新,平均每3-4天就可以扫描一次全球的URL地址,对于大部分恶意站点来说,可以对其实现主动防御,而性能的开销则不会很大。

  另一个值得关注的是,内容过滤设备本身也在出现变化。除了URL过滤,HTTP过滤也在异军突起,并逐渐从内容过滤中独立出来,为此Gartner将其定义为Web过滤。

  之所以会出现这种变化,性能仍就是主要因素。本报28期安全栏目曾特别就Web安全的问题进行过专题报道。事实上,这种以HTTP为主要过滤对象的技术对于性能的消耗仍是相当大的。

  目前困扰Web过滤的主要问题,还是安全设备的吞吐率、并发连接数和延迟三大指标。要知道如果邮件晚收到几分钟,用户也许不会察觉,但如果打开网页慢个几秒钟,用户可能就会抱怨。

  正是出于以上考虑,才会有越来越多的公司专门关注Web过滤领域。Anchiva公司中国区总经理李松向记者表示,目前对企业网络中的各种应用进行分析,HTTP流量超过20%。以国内5000人以上规模的企业、大学为例,通常的HTTP并发连接处于6000-16000个之间。在此基础上,TCP Session的开销很大,即便是专用过滤设备,如果没有专门的硬件支持,仅靠软件处理也会因内存不足而死机。事实上,如果开启P2P应用的话,一般会瞬间吞掉50%的网络带宽。

  庞大的流量造成的直接问题,就是对网关防病毒、防木马、防间谍软件的巨大挑战。因此网关安全设备的死机问题,设备自身的稳定性问题,一直都是用户最担心的事情。在此基础上,依靠UTM进行基于HTTP的过滤显然是不现实的。

  另一个不能忽视的问题,凡是涉及到内容过滤,都必须关注本地化问题,否则国内用户不能使用。要注意的是,本地化不仅仅是支持双字节应用,真正的安全需要本地的采集队伍。很多安全厂商采用全球研发的系统,但是如果无法应对中国的特色,比如此前引发关注的流氓软件插件,也无法成为好的产品。事实上,当前当前流行的大多数安全威胁都来自国内。

  最后,大部分业内专家都认为,无论是UTM中的内容过滤模块,还是独立的内容过滤网关或者Web安全网关,其核心数据库的容量与设备数据库中配置的容量都需要用户关注。同邮件安全网关类似,过滤网关对于病毒、木马、间谍软件的防御也是有要求的。受制于设备本身的性能,其内建的安全数据库的容量往往与厂商自己收集的容量有较大的差距。

  对此李松解释说,很多厂商自身的安全书库中有几十万条记录,但真正在网关中集成的仅仅2-3万条,显然这不是完善的做法。如果希望过滤设备能够对大部分威胁进行防御,至少要放置一半或者更多的数据库条目。毕竟对木马类威胁来说,很多威胁并非针对操作系统,而是更多地跨平台发作,有时候威胁能够持续好几年。

  话说回来,如果要对几十万条信息进行遍历与检索,硬件设计也需要加强,特别是处理单元的性能需要特别关注,而这也再次体现了过滤设备的独立性。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章