| 導購 | 订阅 | 在线投稿
分享
 
 
 

關注Web安全 呼喚「新型」安全網關

來源:互聯網  2008-11-11 11:09:03  評論

Web安全對于當今企業用戶的重要性早已不言而喻,由于傳統的安全技術對此束手無策,新型的Web安全網關被推到了當前安全話題的中央。

傳統的Web安全網關誕生于2006年,經過兩年的市場磨合,感覺存在四方面的不足:第一,性能跟不上;第二,功能與檢測准確度不夠;第三,部署比較複雜;第四,維護難度較高。爲此,當前主流安全廠商在大量應用新技術的條件下,推出了「新一代」Web安全網關。細心的讀者可能發現,參與本次專題的都是外資安全廠商。確實,在占領技術的制高點上,外資公司又走到了Web安全的「風口浪尖」。

Wedge Networks全球CTO 張鴻文認爲,目前惡意Web攻擊在全球範圍內呈指數形式增長,對抗類似威脅的有效方法之一,就是和每一個Web安全方面的領導廠商建立強有力的合作夥伴關系。以Wedge Networks爲例,其一直在推動NDP網絡數據處理平台,並且在其中應用了Subsonic技術。這種技術目前在北美的大型企業網關、服務器池、以及IDC中心頗爲流行,它可以讓Web安全網關在一個高負載的網絡中從容提供實時的七層深度內容檢測。Subsonic技術在算法上取得了突破,不僅性能可以滿足繁忙網絡的需求,而且可以基于特征碼和模式識別進行安全檢測,配合NDP開放的服務總線架構與高級的網絡協議堆棧,確保一個Web安全網關可以整合更多不同安全廠商(如更專業的反病毒、反惡意軟件廠商)的技術與算法。

對于很多用戶關心Web安全防禦中的性能損耗問題,張博士認爲:「用戶在面對web安全問題時擔心和顧慮很容易理解。我們的渠道已經告訴我們在處理Web安全方面,維持一個可以接受的性能會有多麽重要。事實上,自從2003年以來,隨著單核CPU的時鍾頻率趨于穩定,每年網絡帶寬的需求都會增加四倍。作爲企業的CTO,我發現任何架構想要跨越這個性能鴻溝都不得不采用多CPU和多核系統。幸運的是,Subsonic技術可以利用行爲模式原理去管理大量並發會話,從而在多核環境中大量提高性能。」

另外,張博士認爲對于Web內容的深度檢測也應看重。他認爲:「當前防禦來自HTTP的威脅已經成爲安全網關的首要問題之一。而大量存在漏洞的Web服務器更是隨時可能被攻擊並被利用來傳播或發布惡意軟件。網站內容的可變性決定了只有進行內容檢查才能得到最可靠的結果。而HTTP訪問對于即時性有很高的要求,這也使得面對應用層安全設備有著對高性能的依賴和需求。」

「針對基于Web的安全威脅,這方面國外廠商積累了較爲資深的經驗,從實踐來看,效果還不錯。其實,任何安全防範手段都有其時效性的問題。考慮到開啓深度內容檢測功能帶來的性能下降問題,多數廠商選擇放棄,而只提供了入口級的控制手段。如果廠商能解決好處理性能問題,比如將多核處理器支持運用的如火純青,會爲用戶提供更爲穩固的安全防範手段。」

在功能的全面性與性能的平衡上,Secure Computing的做法比較獨特。Secure Computing認爲,Web安全需要全方位的技術方案,包含了從防火牆、Web控制、郵件安全的各個層面。因此對于安全問題,並非某個獨立的應用,而是需要在各種不同層次的安全設備中,提供對混合威脅(blended threat)的防護。

其技術總監曾表示:「安全做到現在的階段,我越來越感到安全本身的複雜與龐大。如果要做到全面的安全,單靠某一點的努力已經遠遠不夠了。比如我們一直在推動全球最大和曆史最久的信譽系統TrustedSource,目的就是希望通過對不同國家、多種應用的分析----包括對IP地址、域名、郵件、圖片、URL等多種對象的數據關聯分析,提供最全面、准確和實時的信譽評估,從而最大程度地保護用戶的網絡和應用。當然,這僅僅是基礎,一個優秀的Web安全網關,還需要對SSL掃描進行支持,因爲當前隱藏在SSL流量中的惡意軟件不勝枚舉----全面就不能忽視安全的細節。」

針對當前用戶比較頭疼的HTTP防禦和Web服務器漏洞保護問題,這裏有五點建議供用戶參考:第一,HTTP防禦中最困難和最複雜的是解決應用層面的攻擊,例如SQL注入、特殊編碼、惡意變換URL等;第二,Secure Computing的Sidewinder防火牆通過采用應用代理技術,可以從根本上確定安全防禦的模型,確保應用協議的規範性,以及應用的可控性,從而爲應用的安全控制提供了管理的可能;第三,利用高效IPS引擎對已經過規範性審核的HTTP流量進行特征檢查,可以即時發現惡意攻擊;第四,通過Sidewinder中的GeoLocator功能,可以針對不同地域來源的訪問設定不通的安全防護級別,優化系統資源與效能;第五,TrustedSource信譽體系提供的信譽評估數據,可以使得安全設備識別出訪問的意圖,從網絡的邊緣拒絕掉惡意的僵屍主機攻擊,提高正常訪問的比率,在提高了安全性的同時節省了帶寬。

  Web安全對于當今企業用戶的重要性早已不言而喻,由于傳統的安全技術對此束手無策,新型的Web安全網關被推到了當前安全話題的中央。   傳統的Web安全網關誕生于2006年,經過兩年的市場磨合,感覺存在四方面的不足:第一,性能跟不上;第二,功能與檢測准確度不夠;第三,部署比較複雜;第四,維護難度較高。爲此,當前主流安全廠商在大量應用新技術的條件下,推出了「新一代」Web安全網關。細心的讀者可能發現,參與本次專題的都是外資安全廠商。確實,在占領技術的制高點上,外資公司又走到了Web安全的「風口浪尖」。   Wedge Networks全球CTO 張鴻文認爲,目前惡意Web攻擊在全球範圍內呈指數形式增長,對抗類似威脅的有效方法之一,就是和每一個Web安全方面的領導廠商建立強有力的合作夥伴關系。以Wedge Networks爲例,其一直在推動NDP網絡數據處理平台,並且在其中應用了Subsonic技術。這種技術目前在北美的大型企業網關、服務器池、以及IDC中心頗爲流行,它可以讓Web安全網關在一個高負載的網絡中從容提供實時的七層深度內容檢測。Subsonic技術在算法上取得了突破,不僅性能可以滿足繁忙網絡的需求,而且可以基于特征碼和模式識別進行安全檢測,配合NDP開放的服務總線架構與高級的網絡協議堆棧,確保一個Web安全網關可以整合更多不同安全廠商(如更專業的反病毒、反惡意軟件廠商)的技術與算法。   對于很多用戶關心Web安全防禦中的性能損耗問題,張博士認爲:「用戶在面對web安全問題時擔心和顧慮很容易理解。我們的渠道已經告訴我們在處理Web安全方面,維持一個可以接受的性能會有多麽重要。事實上,自從2003年以來,隨著單核CPU的時鍾頻率趨于穩定,每年網絡帶寬的需求都會增加四倍。作爲企業的CTO,我發現任何架構想要跨越這個性能鴻溝都不得不采用多CPU和多核系統。幸運的是,Subsonic技術可以利用行爲模式原理去管理大量並發會話,從而在多核環境中大量提高性能。」   另外,張博士認爲對于Web內容的深度檢測也應看重。他認爲:「當前防禦來自HTTP的威脅已經成爲安全網關的首要問題之一。而大量存在漏洞的Web服務器更是隨時可能被攻擊並被利用來傳播或發布惡意軟件。網站內容的可變性決定了只有進行內容檢查才能得到最可靠的結果。而HTTP訪問對于即時性有很高的要求,這也使得面對應用層安全設備有著對高性能的依賴和需求。」   「針對基于Web的安全威脅,這方面國外廠商積累了較爲資深的經驗,從實踐來看,效果還不錯。其實,任何安全防範手段都有其時效性的問題。考慮到開啓深度內容檢測功能帶來的性能下降問題,多數廠商選擇放棄,而只提供了入口級的控制手段。如果廠商能解決好處理性能問題,比如將多核處理器支持運用的如火純青,會爲用戶提供更爲穩固的安全防範手段。」   在功能的全面性與性能的平衡上,Secure Computing的做法比較獨特。Secure Computing認爲,Web安全需要全方位的技術方案,包含了從防火牆、Web控制、郵件安全的各個層面。因此對于安全問題,並非某個獨立的應用,而是需要在各種不同層次的安全設備中,提供對混合威脅(blended threat)的防護。   其技術總監曾表示:「安全做到現在的階段,我越來越感到安全本身的複雜與龐大。如果要做到全面的安全,單靠某一點的努力已經遠遠不夠了。比如我們一直在推動全球最大和曆史最久的信譽系統TrustedSource,目的就是希望通過對不同國家、多種應用的分析----包括對IP地址、域名、郵件、圖片、URL等多種對象的數據關聯分析,提供最全面、准確和實時的信譽評估,從而最大程度地保護用戶的網絡和應用。當然,這僅僅是基礎,一個優秀的Web安全網關,還需要對SSL掃描進行支持,因爲當前隱藏在SSL流量中的惡意軟件不勝枚舉----全面就不能忽視安全的細節。」   針對當前用戶比較頭疼的HTTP防禦和Web服務器漏洞保護問題,這裏有五點建議供用戶參考:第一,HTTP防禦中最困難和最複雜的是解決應用層面的攻擊,例如SQL注入、特殊編碼、惡意變換URL等;第二,Secure Computing的Sidewinder防火牆通過采用應用代理技術,可以從根本上確定安全防禦的模型,確保應用協議的規範性,以及應用的可控性,從而爲應用的安全控制提供了管理的可能;第三,利用高效IPS引擎對已經過規範性審核的HTTP流量進行特征檢查,可以即時發現惡意攻擊;第四,通過Sidewinder中的GeoLocator功能,可以針對不同地域來源的訪問設定不通的安全防護級別,優化系統資源與效能;第五,TrustedSource信譽體系提供的信譽評估數據,可以使得安全設備識別出訪問的意圖,從網絡的邊緣拒絕掉惡意的僵屍主機攻擊,提高正常訪問的比率,在提高了安全性的同時節省了帶寬。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有