對(duì)于以上兩種病毒掃描技術(shù)之間的取舍,業(yè)界領(lǐng)先的Web安全網(wǎng)關(guān)廠商Anchiva(安啟華) 技術(shù)副總鄭先生表示,"串流掃描方案由于優(yōu)先考慮用戶的網(wǎng)絡(luò)使用體驗(yàn),不得不簡(jiǎn)化病毒掃描流程,對(duì)一些較復(fù)雜的文件不能進(jìn)行深入的檢測(cè),造成一些病毒的漏判;另外當(dāng)網(wǎng)絡(luò)流量較大時(shí),很多掃描不能在文件傳輸之前完成,這就造成實(shí)際上的病毒掃描功能失效。2005年時(shí)我們Anchiva采用串流的病毒掃描技術(shù),http吞吐量超過(guò)1G,但很快我們發(fā)現(xiàn)漏判漏查的問(wèn)題無(wú)法避免,所以為了解決漏判漏查問(wèn)題,從2006起,Anchiva開(kāi)發(fā)了基于ASIC芯片的深度內(nèi)容檢測(cè)和特征匹配技術(shù),深度內(nèi)容檢測(cè)提高了病毒的檢測(cè)率,同時(shí)通過(guò)ASIC芯片的加速,成功的解決了掃描性能問(wèn)題,大大減小了漏查的概率,http吞吐量亦可高達(dá)900M。"

圖:硬件高速掃描

另一方面,長(zhǎng)期以來(lái)Web安全網(wǎng)關(guān)在惡意軟件防護(hù)方面一直存在一個(gè)誤區(qū),即以廠商的惡意軟件特征數(shù)量來(lái)衡量其優(yōu)劣。其實(shí)不然,不論惡意軟件特征數(shù)百萬(wàn)還是千萬(wàn)數(shù)量級(jí)其實(shí)只是基礎(chǔ),更值得關(guān)注的應(yīng)該是Web安全網(wǎng)關(guān)自身板載特征庫(kù)容量以及威脅防御體系的建設(shè)。目前Anchiva板載特征庫(kù)200多萬(wàn),并且透過(guò)板載特征庫(kù)能夠檢測(cè)的惡意軟件數(shù)量超過(guò)800萬(wàn)。

2.威脅防御體系

Web安全網(wǎng)關(guān)另一個(gè)核心競(jìng)爭(zhēng)力要屬威脅防御體系。對(duì)于企業(yè)而言,威脅防御體系能夠保證企業(yè)快速響應(yīng)各種安全威脅,提升企業(yè)對(duì)"零"日安全威脅的防御能力,實(shí)現(xiàn)實(shí)時(shí)、主動(dòng)的Web安全防護(hù)。

一個(gè)典型的安全防御體系通常需要有威脅采集系統(tǒng)、威脅處理系統(tǒng)和升級(jí)服務(wù)網(wǎng)絡(luò),這三個(gè)方面是環(huán)環(huán)相扣、缺一不可的。然而市面上許多Web安全網(wǎng)關(guān)往往采用OEM其他知名廠商的反病毒特征庫(kù)來(lái)支持其掃描引擎,在實(shí)時(shí)響應(yīng)能力上大打折扣。

安啟華威脅防御服務(wù)中一個(gè)重要的部分就是安啟華的威脅防御系統(tǒng),能夠?yàn)榭蛻籼峁┞?lián)網(wǎng)式、整合式的網(wǎng)絡(luò)威脅服務(wù),它由威脅采集網(wǎng)絡(luò)、威脅處理中心和ASDN升級(jí)服務(wù)網(wǎng)絡(luò)三部分組成。安啟華RapidRx安全實(shí)驗(yàn)室作為世界反病毒組織Wildlist成員,上報(bào)malware樣本到Wildlist的同時(shí),也享受其他眾多成員的研究成果,這樣的行業(yè)交換渠道使安啟華能夠及時(shí)獲得全球最新的malware樣本;除此之外,安啟華還有自己的用戶反饋系統(tǒng)、Honeynet、WebCrawler系統(tǒng)、惡意站點(diǎn)監(jiān)測(cè)系統(tǒng)和可疑文件監(jiān)控網(wǎng),實(shí)時(shí)不斷的采集、監(jiān)測(cè)Internet上的威脅信息。用當(dāng)今比較流行的描述,這個(gè)閉環(huán)反饋系統(tǒng)也就是其他廠商所稱之為"云"的安全防御系統(tǒng)。同時(shí)為了增強(qiáng)用戶體驗(yàn),安啟華在中國(guó),美國(guó)這兩個(gè)主要銷售區(qū)域部署了眾多的服務(wù)器以加強(qiáng)整個(gè)威脅防御系統(tǒng)的響應(yīng)速度。

圖:安啟華威脅防御系統(tǒng)

與此同時(shí),為了進(jìn)一步應(yīng)對(duì)訪問(wèn)Web站點(diǎn)可能帶來(lái)的網(wǎng)絡(luò)威脅隱患,安啟華還通過(guò)分布在互聯(lián)網(wǎng)中的惡意站點(diǎn)監(jiān)測(cè)系統(tǒng),對(duì)分布在互聯(lián)網(wǎng)中的站點(diǎn)進(jìn)行威脅檢測(cè),實(shí)時(shí)主動(dòng)的捕獲存在惡意行為的網(wǎng)絡(luò)站點(diǎn),并通過(guò)每天自動(dòng)升級(jí)分發(fā)給各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備,為最終用戶提供高效、實(shí)時(shí)、主動(dòng)的惡意站點(diǎn) (Malicious Sites)過(guò)濾保護(hù)。

2009年隨著越來(lái)越多的漏洞和惡意軟件變種的出現(xiàn),一個(gè)強(qiáng)大健全的威脅防御系統(tǒng)對(duì)于企業(yè)構(gòu)建完善的信息安全防護(hù)體系建設(shè)而言至關(guān)重要。

3.操作系統(tǒng)解決性能瓶頸

除了具備強(qiáng)大的反惡意軟件和威脅防御系統(tǒng)外,Web安全網(wǎng)關(guān)另外一個(gè)核心競(jìng)爭(zhēng)力便是設(shè)備本身的性能。對(duì)于企業(yè)而言,一款強(qiáng)大的Web安全網(wǎng)關(guān)如果沒(méi)有良好性能做支撐也只能望而興嘆。

如今隨著多核技術(shù)的日漸成熟,多數(shù)廠商將突破性能的希望寄托在多核架構(gòu)上。然而任何基礎(chǔ)架構(gòu)的最終實(shí)現(xiàn)都需要一個(gè)優(yōu)秀的系統(tǒng)內(nèi)核來(lái)驅(qū)動(dòng), 眾所周知Cisco、Juniper在網(wǎng)絡(luò)市場(chǎng)的成功都借助了其核心的操作系統(tǒng)來(lái)保證其設(shè)備的高可用性,多核架構(gòu)亦是如此。

多核并不是簡(jiǎn)單的CPU疊加,需要Web安全網(wǎng)關(guān)從硬件到軟件,從操作系統(tǒng)底層到上層應(yīng)用進(jìn)程去全方位支持多核CPU。為此Web安全網(wǎng)關(guān)首先需要具備并行多核處理器控制技術(shù)來(lái)保證多核CPU快速響應(yīng)不同的安全威脅;其次,突破底層TCP協(xié)議棧共享鎖的束縛對(duì)于Web安全網(wǎng)關(guān)的性能提升至關(guān)重要。遺憾的是很少有廠商愿意花費(fèi)時(shí)間來(lái)攻破這一難題。
攻破TCP協(xié)議棧的束縛將成就更快的Web安全網(wǎng)關(guān)。安啟華公司在成立之初就決定優(yōu)化重寫TCP協(xié)議棧,在兼顧安全性的基礎(chǔ)上,開(kāi)發(fā)了橫跨kernel space和user space的TCP協(xié)議棧,同時(shí)將TCP協(xié)議棧與應(yīng)用進(jìn)程并行結(jié)合,打破了通用操作系統(tǒng)基于kernel的TCP協(xié)議棧共享鎖的限制及user space和kernel space分離的制約,從而開(kāi)發(fā)出了業(yè)界首個(gè)真正意義上的多核完全并行處理操作系統(tǒng)AnchivaOS,實(shí)現(xiàn)了轉(zhuǎn)發(fā)層面和應(yīng)用層面的并行處理,Web安全網(wǎng)關(guān)的性能瓶頸由此被打破。

圖:安啟華AnchivaOS架構(gòu)

安啟華優(yōu)化重寫TCP協(xié)議棧不僅突破了性能的瓶頸,也使Anchiva Web安全網(wǎng)關(guān)的性能隨著硬件配置的提升,能夠做到近似線性增長(zhǎng)。

4.重視并發(fā)性能

對(duì)于大型企業(yè)網(wǎng)絡(luò)環(huán)境而言,并發(fā)會(huì)話數(shù)成為企業(yè)關(guān)注的另外一個(gè)核心話題。可以說(shuō)并發(fā)處理能力的高低,直接決定了防病毒網(wǎng)關(guān)設(shè)備是否可以應(yīng)用在企業(yè)級(jí)環(huán)境。安啟華充分考慮到企業(yè)的高并發(fā)需求,從AnchivaOS到威脅防御系統(tǒng),安啟華始終將保證用戶使用性能作為其重點(diǎn)考慮。優(yōu)化重寫TCP協(xié)議棧,細(xì)分文件格式,以及采用ASIC加速的內(nèi)容掃描技術(shù),這些事先的準(zhǔn)備工作,保證了設(shè)備性能能夠得到最大的發(fā)揮,因此Anchivaweb安全網(wǎng)關(guān)的并發(fā)性能遠(yuǎn)高于業(yè)界其他主流Web安全網(wǎng)關(guān)。

總結(jié)

當(dāng)然Web安全網(wǎng)關(guān)還應(yīng)具備上網(wǎng)行為管理、帶寬管理、安全審計(jì)等功能,但對(duì)于不同規(guī)模的企業(yè)而言,安全需求也因人而異。相對(duì)于之前提到的惡意軟件防御能力,威脅防御體系以及性能瓶頸,這些基于流量協(xié)議的管控是相對(duì)容易實(shí)現(xiàn)的。

企業(yè)的實(shí)際狀況也讓大家注意到,對(duì)于2000臺(tái)終端以上的大型企業(yè)來(lái)說(shuō),企業(yè)針對(duì)性能的安全需求更為強(qiáng)烈,而對(duì)于100-2000臺(tái)終端的企業(yè),All in one的Web安全網(wǎng)關(guān)更能滿足企業(yè)多樣化的安全防護(hù)需求。Anchiva之所以能夠在性能和用戶體驗(yàn)方面得到用戶的認(rèn)可,正是充分考慮了不同行業(yè)的安全需求,在性能和功能上做到全面兼顧。安啟華的多核硬件平臺(tái)+ASIC內(nèi)容加速卡+ AnchivaOS已經(jīng)成為企業(yè)Web安全網(wǎng)關(guān)的技術(shù)新標(biāo)桿。

毋庸置疑,隨著互聯(lián)網(wǎng)安全威脅的擴(kuò)大,Web安全網(wǎng)關(guān)將在企業(yè)安全防護(hù)中的作用越來(lái)越明顯。企業(yè)IT管理者在選購(gòu)Web安全網(wǎng)關(guān)時(shí)需要充分考慮企業(yè)自身的安全需求,只有兼顧性能,惡意軟件防御能力同時(shí)具備完善的威脅防御系統(tǒng)的全功能Web安全網(wǎng)關(guān),才能真正幫助企業(yè)打造牢固的Web安全防線。

分享到

yajing

相關(guān)推薦