企业Web安全网关采购指南—防病毒篇

息化的快速发展,使得企业与互联网之间的协作愈发紧密,威胁也随之而来。知名病毒研究机构ICSA的统计表明,93%的病毒来自网络传播。面对如此严峻的网络环境,您的企业是否还仅依靠反病毒软件苦苦支撑?

日益加剧的威胁让Web安全网关(Secure Web Gateway,SWG)逐渐成为企业边界网络安全防护的新宠。众所周知,基于OSI模型第七层(应用层)的Web安全网关具有反恶意软件、上网行为管理以及安全审计等诸多安全检测或管控能力。然而面对铺天盖地的广告和琳琅满目的Web安全网关设备,如何选购真正满足企业安全需求的Web安全网关?拨开迷雾,让我们一起来揭开SWG选购谜团。

这次主要向大家介绍Web安全网关中最重要的功能-防病毒

1.恶意软件防御能力

作为一款合格的企业级Web安全网关,强大的反病毒能力是必不可小的,但遗憾的是这也是制约Web安全网关性能突破的最关键因素之一。如何提升SWG的防病毒能力也成为各个主流厂商关注的焦点。

通常恶意软件特征检测手段从其工作原理上可以概括为:特征模式匹配,特殊病毒程序脚本处理。值得注意的是90%的恶意软件检测依托特征模式匹配来完成。但是以特征模式匹配为主的文件扫描会占用95%以上的CPU资源。对于企业而言,每天需要处理大量的文件和数据,这就对Web安全网关的病毒扫描能力提出了严峻的要求。

为了提升病毒扫描能力,大多数厂商都会增加CPU的数量,但即使用到8核CPU也很难支持2000以上用户,如何突破2000用户?目前主流解决方案主要有两种:一种是串流扫描技术;一种是借助ASIC加速卡来实现对恶意软件的深度内容检测与特征匹配。客观的讲,这两种扫描技术各有所长,但是对于企业而言,找寻性能和检测率、漏判之间的平衡,将成为企业防病毒成败的关键。
对于以上两种病毒扫描技术之间的取舍,业界领先的Web安全网关厂商Anchiva(安启华) 技术副总郑先生表示,"串流扫描方案由于优先考虑用户的网络使用体验,不得不简化病毒扫描流程,对一些较复杂的文件不能进行深入的检测,造成一些病毒的漏判;另外当网络流量较大时,很多扫描不能在文件传输之前完成,这就造成实际上的病毒扫描功能失效。2005年时我们Anchiva采用串流的病毒扫描技术,http吞吐量超过1G,但很快我们发现漏判漏查的问题无法避免,所以为了解决漏判漏查问题,从2006起,Anchiva开发了基于ASIC芯片的深度内容检测和特征匹配技术,深度内容检测提高了病毒的检测率,同时通过ASIC芯片的加速,成功的解决了扫描性能问题,大大减小了漏查的概率,http吞吐量亦可高达900M。"

图:硬件高速扫描

另一方面,长期以来Web安全网关在恶意软件防护方面一直存在一个误区,即以厂商的恶意软件特征数量来衡量其优劣。其实不然,不论恶意软件特征数百万还是千万数量级其实只是基础,更值得关注的应该是Web安全网关自身板载特征库容量以及威胁防御体系的建设。目前Anchiva板载特征库200多万,并且透过板载特征库能够检测的恶意软件数量超过800万。

2.威胁防御体系

Web安全网关另一个核心竞争力要属威胁防御体系。对于企业而言,威胁防御体系能够保证企业快速响应各种安全威胁,提升企业对"零"日安全威胁的防御能力,实现实时、主动的Web安全防护。

一个典型的安全防御体系通常需要有威胁采集系统、威胁处理系统和升级服务网络,这三个方面是环环相扣、缺一不可的。然而市面上许多Web安全网关往往采用OEM其他知名厂商的反病毒特征库来支持其扫描引擎,在实时响应能力上大打折扣。

安启华威胁防御服务中一个重要的部分就是安启华的威胁防御系统,能够为客户提供联网式、整合式的网络威胁服务,它由威胁采集网络、威胁处理中心和ASDN升级服务网络三部分组成。安启华RapidRx安全实验室作为世界反病毒组织Wildlist成员,上报malware样本到Wildlist的同时,也享受其他众多成员的研究成果,这样的行业交换渠道使安启华能够及时获得全球最新的malware样本;除此之外,安启华还有自己的用户反馈系统、Honeynet、WebCrawler系统、恶意站点监测系统和可疑文件监控网,实时不断的采集、监测Internet上的威胁信息。用当今比较流行的描述,这个闭环反馈系统也就是其他厂商所称之为"云"的安全防御系统。同时为了增强用户体验,安启华在中国,美国这两个主要销售区域部署了众多的服务器以加强整个威胁防御系统的响应速度。

图:安启华威胁防御系统

与此同时,为了进一步应对访问Web站点可能带来的网络威胁隐患,安启华还通过分布在互联网中的恶意站点监测系统,对分布在互联网中的站点进行威胁检测,实时主动的捕获存在恶意行为的网络站点,并通过每天自动升级分发给各个网络节点设备,为最终用户提供高效、实时、主动的恶意站点 (Malicious Sites)过滤保护。

2009年随着越来越多的漏洞和恶意软件变种的出现,一个强大健全的威胁防御系统对于企业构建完善的信息安全防护体系建设而言至关重要。

3.操作系统解决性能瓶颈

除了具备强大的反恶意软件和威胁防御系统外,Web安全网关另外一个核心竞争力便是设备本身的性能。对于企业而言,一款强大的Web安全网关如果没有良好性能做支撑也只能望而兴叹。

如今随着多核技术的日渐成熟,多数厂商将突破性能的希望寄托在多核架构上。然而任何基础架构的最终实现都需要一个优秀的系统内核来驱动, 众所周知Cisco、Juniper在网络市场的成功都借助了其核心的操作系统来保证其设备的高可用性,多核架构亦是如此。

多核并不是简单的CPU叠加,需要Web安全网关从硬件到软件,从操作系统底层到上层应用进程去全方位支持多核CPU。为此Web安全网关首先需要具备并行多核处理器控制技术来保证多核CPU快速响应不同的安全威胁;其次,突破底层TCP协议栈共享锁的束缚对于Web安全网关的性能提升至关重要。遗憾的是很少有厂商愿意花费时间来攻破这一难题。
攻破TCP协议栈的束缚将成就更快的Web安全网关。安启华公司在成立之初就决定优化重写TCP协议栈,在兼顾安全性的基础上,开发了横跨kernel space和user space的TCP协议栈,同时将TCP协议栈与应用进程并行结合,打破了通用操作系统基于kernel的TCP协议栈共享锁的限制及user space和kernel space分离的制约,从而开发出了业界首个真正意义上的多核完全并行处理操作系统AnchivaOS,实现了转发层面和应用层面的并行处理,Web安全网关的性能瓶颈由此被打破。

图:安启华AnchivaOS架构

安启华优化重写TCP协议栈不仅突破了性能的瓶颈,也使Anchiva Web安全网关的性能随着硬件配置的提升,能够做到近似线性增长。

4.重视并发性能

对于大型企业网络环境而言,并发会话数成为企业关注的另外一个核心话题。可以说并发处理能力的高低,直接决定了防病毒网关设备是否可以应用在企业级环境。安启华充分考虑到企业的高并发需求,从AnchivaOS到威胁防御系统,安启华始终将保证用户使用性能作为其重点考虑。优化重写TCP协议栈,细分文件格式,以及采用ASIC加速的内容扫描技术,这些事先的准备工作,保证了设备性能能够得到最大的发挥,因此Anchivaweb安全网关的并发性能远高于业界其他主流Web安全网关。

总结

当然Web安全网关还应具备上网行为管理、带宽管理、安全审计等功能,但对于不同规模的企业而言,安全需求也因人而异。相对于之前提到的恶意软件防御能力,威胁防御体系以及性能瓶颈,这些基于流量协议的管控是相对容易实现的。

企业的实际状况也让大家注意到,对于2000台终端以上的大型企业来说,企业针对性能的安全需求更为强烈,而对于100-2000台终端的企业,All in one的Web安全网关更能满足企业多样化的安全防护需求。Anchiva之所以能够在性能和用户体验方面得到用户的认可,正是充分考虑了不同行业的安全需求,在性能和功能上做到全面兼顾。安启华的多核硬件平台+ASIC内容加速卡+ AnchivaOS已经成为企业Web安全网关的技术新标杆。

毋庸置疑,随着互联网安全威胁的扩大,Web安全网关将在企业安全防护中的作用越来越明显。企业IT管理者在选购Web安全网关时需要充分考虑企业自身的安全需求,只有兼顾性能,恶意软件防御能力同时具备完善的威胁防御系统的全功能Web安全网关,才能真正帮助企业打造牢固的Web安全防线。