HTTP過濾將對安全市場產(chǎn)生深遠影響

申請免費試用、咨詢電話：400-8352-114

準確地講，Web安全是在2007年才火起來的一個概念。從傳統(tǒng)的網(wǎng)關(guān)安全中拆分出來后，Web安全的活力與日俱增。其中，以HTTP過濾為主的產(chǎn)業(yè)鏈將會對安全市場產(chǎn)生深遠影響。

市場的期待

根據(jù)IDC公布的報告，全球Web安全市場將會在2012年前達到65億美元的規(guī)模。事實上，這一市場容量已經(jīng)超過了UTM所預期的40億美元的規(guī)模。有意思的是，根據(jù)Gartner在今年第二季度公布的統(tǒng)計數(shù)字，全球Web安全產(chǎn)品的使用程度相當?shù)?，僅有10%的企業(yè)部署了真正意義上的Web安全網(wǎng)關(guān)。換句話說，整個市場處于井噴的邊緣。

其實，很多傳統(tǒng)的網(wǎng)關(guān)型安全產(chǎn)品已經(jīng)具備了一些Web安全設(shè)備的要求。不過，這還不夠！據(jù)Gartner的分析師透露，他們之所以會把Web安全單獨分離出來，就是因為傳統(tǒng)的防火墻、入侵防御系統(tǒng)、網(wǎng)關(guān)防病毒、防垃圾郵件都無法滿足純正的Web安全要求——完整的HTTP過濾。

有專家指出，以HTTP過濾為代表的Web安全技術(shù)將會是未來企業(yè)不可或缺的安全設(shè)備。從當前的市場調(diào)查看，在企業(yè)的Internet應(yīng)用中，HTTP應(yīng)用占據(jù)了80%的份額，但遺憾的是，這一領(lǐng)域傳統(tǒng)的安全設(shè)備并沒有辦法進行控制。雖然有部分防火墻或者入侵防御設(shè)備號稱集成了應(yīng)用層防護，但不是集成后導致性能大幅度衰減，就是內(nèi)建的過濾機制過于薄弱，難以應(yīng)付當前復雜的互聯(lián)網(wǎng)威脅。

因此，不少專業(yè)人士看好以HTTP過濾為主的Web安全產(chǎn)品。據(jù)悉，目前以Anchiva、Blue Coat、SurfControl、Websense為代表的Web安全廠商已經(jīng)給市場注入了新鮮的技術(shù)血液。有人樂觀地表示，雖然目前還沒有十全十美的Web安全解決方案，但當前市場已經(jīng)足夠開放，而用戶對此的需求與認識也在與日俱增。

三大安全標準

每一種產(chǎn)品都需要標準，其實對于Web安全標準的爭論早已不絕于耳，其關(guān)注的焦點在于性能。

事實上，Web安全網(wǎng)關(guān)的顯著特征就是需要提供基于HTTP的高性能過濾。對此，Anchiva中國區(qū)總經(jīng)理李松在接受本報獨家專訪時表示，對于普通的過濾產(chǎn)品來說，比如常見的垃圾郵件過濾，時間上的要求并不苛刻。即便一封郵件晚幾分鐘到達，用戶也不會抱怨。但HTTP就不同了，如果因為過濾導致速度下降，即便每個網(wǎng)頁的打開速度晚上幾秒鐘，用戶都會嗤之以鼻。

從目前的情況看，互聯(lián)網(wǎng)頁面的復雜度在不斷增加，由此產(chǎn)生的是一個網(wǎng)頁就可能包含十幾個HTTP請求，對于某些企業(yè)或者高校用戶來說，在某個集中時間段內(nèi)的HTTP流量會非常大，這一直是困擾Web安全網(wǎng)關(guān)的難題。

為此，幾大Web安全廠商將HTTP過濾的性能劃分為三個要素：

第一，吞吐率。該指標衡量每秒可以有多少個HTTP Session通過Web安全網(wǎng)關(guān)。目前來看，低端產(chǎn)品一般要提供200M的吞吐量，而高端產(chǎn)品則要支持到800M。此外，根據(jù)ICSA（國際計算機安全協(xié)會）的規(guī)定，高端產(chǎn)品不能用緩存的方式進行過濾，而需要逐個字節(jié)進行掃描。

第二，并發(fā)連接數(shù)。在此領(lǐng)域廠商也分成兩大派別。一派是以Check Point為代表的軟件實現(xiàn)模式，另一派是以Anchiva為代表的FPGA模式。軟件模式實現(xiàn)靈活，但其每開一個HTTP連接，都要定位一個內(nèi)存塊，速度會降低。如果轉(zhuǎn)用硬件實現(xiàn)的話，內(nèi)存的開銷就不大。根據(jù)ICSA的規(guī)定，高端產(chǎn)品每秒必須支持一萬以上的并發(fā)連接，每一個連接占用的內(nèi)存在32K以下。

據(jù)專家介紹，目前高校對于并發(fā)連接數(shù)非?？粗亍哪炒髮W測試的情況看，該大學有25000名師生，從2006年9月至今的測試分析，每天傍晚都可以看到1～2千個HTTP并發(fā)連接，而每個連接平均具有5～6個Session。換句話說，一臺Web安全網(wǎng)關(guān)需要完成每秒1萬個HTTP Session。而平均一個瀏覽器可能保持5～6個HTTP連接，因此每秒處理的請求數(shù)量是相當可觀的。

第三，延時。如前文所述，用戶無法忍受在瀏覽網(wǎng)頁時要等上4～5秒，他們希望“點擊即所得”。事實上，這個標準主要由前兩個標準所決定。

獨到之處

前面說了，Web安全的發(fā)展有其特色，從某些方面看，這個特色是不可或缺的。

第一，Web安全網(wǎng)關(guān)不會替代防火墻或者IPS的角色，確切的說，它是兩者的補充。目前市場上的防火墻主要還是以封端口、抗掃描為主，但其在HTTP方面的容量，普遍只有50M～80M，這遠遠無法滿足企業(yè)80%的互聯(lián)網(wǎng)應(yīng)用的需求。換句話說，防護墻堵住了企業(yè)漏洞的一小部分，而更大的部分則暴露在外。

對IPS而言，它是依靠用戶行為進行防御的網(wǎng)關(guān)設(shè)備，但它并不能看到應(yīng)用層的信息。換句話說，絕大部分的IPS都是進行攻擊的防護，而Web安全網(wǎng)關(guān)則是通過大量的內(nèi)容安全庫來保護用戶杜絕病毒、木馬、惡意程序等不安全的內(nèi)容。當然，從某些功能上說，兩者具有相似的地方。但對于某些間諜軟件來說，他們會利用子母站點進行誘發(fā)下載（可能每秒只下載1K），而普通的IPS對此則是無能為力。對于很多7層應(yīng)用，如控制某些應(yīng)用程序的功能（QQ、MSN等），大部分IPS也無法應(yīng)對。

第二，Web安全設(shè)備不會給企業(yè)網(wǎng)絡(luò)添麻煩。目前主流的Web安全網(wǎng)關(guān)可以采取in line或者off line的模式。在in line模式下，in line安全設(shè)備可以采取及時行動（甚至可以不需要配IP地址）。通常情況下，用戶只需要在防火墻和核心交換機之間部署in line安全網(wǎng)關(guān)，并配制成scan模式就可以了。

如果用戶擔心沒有使用此類設(shè)備的經(jīng)驗，那么也可以采取off line的模式。只要采取旁路偵聽的部署方案，用戶就不必擔心自己的網(wǎng)絡(luò)受到影響。不過，無論采用哪種部署模式，都會對Web安全設(shè)備的處理速度有所要求。因為如果速度跟不上，就會漏掉很多需要檢測的數(shù)據(jù)包。

另外，從國內(nèi)外用戶測試的結(jié)果看，很多用戶的網(wǎng)絡(luò)并不如預期般的“干凈”。參考美國《Network World》公布的美國地區(qū)Web安全網(wǎng)關(guān)用戶報告，一些擁有2萬名師生的大學，其測試數(shù)據(jù)顯示，Web安全網(wǎng)關(guān)平均一周就要阻擋1萬多個有問題的HTTP連接。即便是在銀行這種安全措施較為完善的機構(gòu)中，一周仍然出現(xiàn)了6千個問題連接。

回到國內(nèi)，這個數(shù)字還要高。很多國內(nèi)高校師生不到1萬人，但有問題的HTTP連接卻超過2萬個。據(jù)專家透露，這個結(jié)果與國內(nèi)很多學校師生頻繁登錄大量破解網(wǎng)站下載資料有關(guān)。從檢測的結(jié)果看，國內(nèi)學生連接到俄羅斯的網(wǎng)站請求很多，而相應(yīng)的請求到其他國家的卻很少。據(jù)統(tǒng)計，這些網(wǎng)站很多都有安全問題。

第三，獨到的內(nèi)容安全庫。對于Web安全網(wǎng)關(guān)來說，都需要有一套集成的內(nèi)容安全庫。嚴格地說，完善的內(nèi)容安全庫不同于普通的URL分類庫或者某個IP黑名單地址庫。因為URL過濾更加傾向于用戶經(jīng)常訪問的網(wǎng)站，并將這些網(wǎng)站進行某些威脅分類。比如色情類、賭博類等等，并進一步限制用戶訪問。

而HTTP過濾的還需要包括普通用戶不經(jīng)常訪問的站點。因為對于HTTP安全隱患而言，后者才是容易出問題的地方。(ccw-cnw)