基于OSI模型第七层的Web安全网关(Secure Web Gateway,SWG)具有反恶意软件、上网行为管理以及安全审计等诸多安全检测或管控能力,是当前安全领域的热门产品。然而,面对市场上各式各样的Web安全网关设备,用户该如何选购真正满足企业安全需求的Web安全网关呢?可以从以下几点入手。
1、威胁防御体系
Web安全网关的核心竞争力之一要属威胁防御体系。对于企业而言,威胁防御体系能够保证企业快速响应各种安全威胁,提升企业对"零"日安全威胁的防御能力,实现实时、主动的Web安全防护。
一个典型的安全防御体系通常需要有威胁采集系统、威胁处理系统和升级服务网络,这三个方面是环环相扣、缺一不可的。然而市面上许多Web安全网关往往采用OEM其他知名厂商的反病毒特征库来支持其扫描引擎,在实时响应能力上大打折扣。
2009年随着越来越多的漏洞和恶意软件变种的出现,一个强大健全的威胁防御系统对于企业构建完善的信息安全防护体系建设而言至关重要。
2、操作系统解决性能瓶颈
除了具备强大的反恶意软件和威胁防御系统外,Web安全网关另外一个核心竞争力便是设备本身的性能。随着多核技术的日渐成熟,多数厂商将突破性能的希望寄托在多核架构上。然而任何基础架构的最终实现都需要一个优秀的系统内核来驱动, 众所周知Cisco、Juniper在网络市场的成功都借助了其核心的操作系统来保证其设备的高可用性,多核架构亦是如此。
多核并不是简单的CPU叠加,需要Web安全网关从硬件到软件,从操作系统底层到上层应用进程去全方位支持多核CPU。为此Web安全网关首先需要具备并行多核处理器控制技术来保证多核CPU快速响应不同的安全威胁;其次,突破底层TCP协议栈共享锁的束缚对于Web安全网关的性能提升至关重要。遗憾的是很少有厂商愿意花费时间来攻破这一难题。
攻破TCP协议栈的束缚将成就更快的Web安全网关。安启华公司在成立之初就决定优化重写TCP协议栈,在兼顾安全性的基础上,开发了横跨kernel space和user space的TCP协议栈,同时将TCP协议栈与应用进程并行结合,打破了通用操作系统基于kernel的TCP协议栈共享锁的限制及user space和kernel space分离的制约,从而开发出了业界首个真正意义上的多核完全并行处理操作系统AnchivaOS,实现了转发层面和应用层面的并行处理,Web安全网关的性能瓶颈由此被打破。
安启华优化重写TCP协议栈不仅突破了性能的瓶颈,也使安启华Web安全网关的性能随着硬件配置的提升,能够做到近似线性增长。
3、重视并发性能
对于大型企业网络环境而言,并发会话数成为企业关注的另外一个核心话题。可以说并发处理能力的高低,直接决定了Web安全网关设备是否可以应用在企业级环境。安启华充分考虑到企业的高并发需求,从AnchivaOS到威胁防御系统,安启华始终将保证用户使用性能作为其重点考虑。优化重写TCP协议栈,细分文件格式,以及采用ASIC加速的内容扫描技术,这些事先的准备工作,保证了设备性能能够得到最大的发挥,因此安启华Web安全网关的并发性能在业界处于领先地位。
随着互联网安全威胁的扩大,Web安全网关将在企业安全防护中的作用越来越明显。企业IT管理者在选购Web安全网关时需要充分考虑企业自身的安全需求,只有兼顾性能、恶意软件防御能力同时具备完善的威胁防御系统的全功能Web安全网关,才能真正帮助企业打造牢固的Web安全防线。