科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道专家点评:Web安全呼唤“新型”安全网关

专家点评:Web安全呼唤“新型”安全网关

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Web安全对于当今企业用户的重要性早已不言而喻,由于传统的安全技术对此束手无策,新型的Web安全网关被推到了当前安全话题的中央。对于很多用户关心Web安全防御中的性能损耗问题,张博士认为:“用户在面对web安全问题时担心和顾虑很容易理解。

作者:吴荣华 来源:比特网 2008年11月11日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

  Web安全对于当今企业用户的重要性早已不言而喻,由于传统的安全技术对此束手无策,新型的Web安全网关被推到了当前安全话题的中央。

  传统的Web安全网关诞生于2006年,经过两年的市场磨合,感觉存在四方面的不足:第一,性能跟不上;第二,功能与检测准确度不够;第三,部署比较复杂;第四,维护难度较高。为此,当前主流安全厂商在大量应用新技术的条件下,推出了“新一代”Web安全网关。细心的读者可能发现,参与本次专题的都是外资安全厂商。确实,在占领技术的制高点上,外资公司又走到了Web安全的“风口浪尖”。

  Wedge Networks全球CTO 张鸿文认为,目前恶意Web攻击在全球范围内呈指数形式增长,对抗类似威胁的有效方法之一,就是和每一个Web安全方面的领导厂商建立强有力的合作伙伴关系。以Wedge Networks为例,其一直在推动NDP网络数据处理平台,并且在其中应用了Subsonic技术。这种技术目前在北美的大型企业网关、服务器池、以及IDC中心颇为流行,它可以让Web安全网关在一个高负载的网络中从容提供实时的七层深度内容检测。Subsonic技术在算法上取得了突破,不仅性能可以满足繁忙网络的需求,而且可以基于特征码和模式识别进行安全检测,配合NDP开放的服务总线架构与高级的网络协议堆栈,确保一个Web安全网关可以整合更多不同安全厂商(如更专业的反病毒、反恶意软件厂商)的技术与算法。

  对于很多用户关心Web安全防御中的性能损耗问题,张博士认为:“用户在面对web安全问题时担心和顾虑很容易理解。我们的渠道已经告诉我们在处理Web安全方面,维持一个可以接受的性能会有多么重要。事实上,自从2003年以来,随着单核CPU的时钟频率趋于稳定,每年网络带宽的需求都会增加四倍。作为企业的CTO,我发现任何架构想要跨越这个性能鸿沟都不得不采用多CPU和多核系统。幸运的是,Subsonic技术可以利用行为模式原理去管理大量并发会话,从而在多核环境中大量提高性能。”

  另外,张博士认为对于Web内容的深度检测也应看重。他认为:“当前防御来自HTTP的威胁已经成为安全网关的首要问题之一。而大量存在漏洞的Web服务器更是随时可能被攻击并被利用来传播或发布恶意软件。网站内容的可变性决定了只有进行内容检查才能得到最可靠的结果。而HTTP访问对于即时性有很高的要求,这也使得面对应用层安全设备有着对高性能的依赖和需求。”

  “针对基于Web的安全威胁,这方面国外厂商积累了较为资深的经验,从实践来看,效果还不错。其实,任何安全防范手段都有其时效性的问题。考虑到开启深度内容检测功能带来的性能下降问题,多数厂商选择放弃,而只提供了入口级的控制手段。如果厂商能解决好处理性能问题,比如将多核处理器支持运用的如火纯青,会为用户提供更为稳固的安全防范手段。”

  在功能的全面性与性能的平衡上,Secure Computing的做法比较独特。Secure Computing认为,Web安全需要全方位的技术方案,包含了从防火墙、Web控制、邮件安全的各个层面。因此对于安全问题,并非某个独立的应用,而是需要在各种不同层次的安全设备中,提供对混合威胁(blended threat)的防护。

  其技术总监曾表示:“安全做到现在的阶段,我越来越感到安全本身的复杂与庞大。如果要做到全面的安全,单靠某一点的努力已经远远不够了。比如我们一直在推动全球最大和历史最久的信誉系统TrustedSource,目的就是希望通过对不同国家、多种应用的分析----包括对IP地址、域名、邮件、图片、URL等多种对象的数据关联分析,提供最全面、准确和实时的信誉评估,从而最大程度地保护用户的网络和应用。当然,这仅仅是基础,一个优秀的Web安全网关,还需要对SSL扫描进行支持,因为当前隐藏在SSL流量中的恶意软件不胜枚举----全面就不能忽视安全的细节。”

  针对当前用户比较头疼的HTTP防御和Web服务器漏洞保护问题,这里有五点建议供用户参考:第一,HTTP防御中最困难和最复杂的是解决应用层面的攻击,例如SQL注入、特殊编码、恶意变换URL等;第二,Secure Computing的Sidewinder防火墙通过采用应用代理技术,可以从根本上确定安全防御的模型,确保应用协议的规范性,以及应用的可控性,从而为应用的安全控制提供了管理的可能;第三,利用高效IPS引擎对已经过规范性审核的HTTP流量进行特征检查,可以即时发现恶意攻击;第四,通过Sidewinder中的GeoLocator功能,可以针对不同地域来源的访问设定不通的安全防护级别,优化系统资源与效能;第五,TrustedSource信誉体系提供的信誉评估数据,可以使得安全设备识别出访问的意图,从网络的边缘拒绝掉恶意的僵尸主机攻击,提高正常访问的比率,在提高了安全性的同时节省了带宽。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章