信息化的快速發(fā)展，使得企業(yè)與互聯(lián)網(wǎng)之間的協(xié)作愈發(fā)緊密，威脅也隨之而來。知名病毒研究機(jī)構(gòu)ICSA的統(tǒng)計(jì)表明，93%的病毒來自網(wǎng)絡(luò)傳播。面對(duì)如此嚴(yán)峻的網(wǎng)絡(luò)環(huán)境，您的企業(yè)是否還僅依靠反病毒軟件苦苦支撐?

這次主要向大家介紹Web安全網(wǎng)關(guān)中最重要的功能——防病毒。

1.惡意軟件防御能力

作為一款合格的企業(yè)級(jí)Web安全網(wǎng)關(guān)，強(qiáng)大的反病毒能力是必不可小的，但遺憾的是這也是制約Web安全網(wǎng)關(guān)性能突破的最關(guān)鍵因素之一。如何提升Web安全網(wǎng)關(guān)的防病毒能力也成為各個(gè)主流廠商關(guān)注的焦點(diǎn)。

通常惡意軟件特征檢測(cè)手段從其工作原理上可以概括為：特征模式匹配，特殊病毒程序腳本處理。值得注意的是90%的惡意軟件檢測(cè)依托特征模式匹配來完成。但是以特征模式匹配為主的文件掃描會(huì)占用95%以上的CPU資源。對(duì)于企業(yè)而言，每天需要處理大量的文件和數(shù)據(jù)，這就對(duì)Web安全網(wǎng)關(guān)的病毒掃描能力提出了嚴(yán)峻的要求。

為了提升病毒掃描能力，大多數(shù)廠商都會(huì)增加CPU的數(shù)量，但即使用到8核CPU也很難支持2000以上用戶，如何突破2000用戶?目前主流解決方案主要有兩種：一種是串流掃描技術(shù);一種是借助ASIC加速卡來實(shí)現(xiàn)對(duì)惡意軟件的深度內(nèi)容檢測(cè)與特征匹配?？陀^的講，這兩種掃描技術(shù)各有所長(zhǎng)，但是對(duì)于企業(yè)而言，找尋性能和檢測(cè)率、漏判之間的平衡，將成為企業(yè)防病毒成敗的關(guān)鍵。

對(duì)于以上兩種病毒掃描技術(shù)之間的取舍，業(yè)界優(yōu)秀的Web安全網(wǎng)關(guān)廠商Anchiva(安啟華) 技術(shù)副總鄭先生表示，“串流掃描方案由于優(yōu)先考慮用戶的網(wǎng)絡(luò)使用體驗(yàn)，不得不簡(jiǎn)化病毒掃描流程，對(duì)一些較復(fù)雜的文件不能進(jìn)行深入的檢測(cè)，造成一些病毒的漏判;另外當(dāng)網(wǎng)絡(luò)流量較大時(shí)，很多掃描不能在文件傳輸之前完成，這就造成實(shí)際上的病毒掃描功能失效。2005年時(shí)我們Anchiva采用串流的病毒掃描技術(shù)，http吞吐量超過1G，但很快我們發(fā)現(xiàn)漏判漏查的問題無法避免，所以為了解決漏判漏查問題，從2006起，Anchiva開發(fā)了基于ASIC芯片的深度內(nèi)容檢測(cè)和特征匹配技術(shù)，深度內(nèi)容檢測(cè)提高了病毒的檢測(cè)率，同時(shí)通過ASIC芯片的加速，成功的解決了掃描性能問題，大大減小了漏查的概率，http吞吐量亦可高達(dá)900M?！?/P>

圖：硬件高速掃描

另一方面，長(zhǎng)期以來Web安全網(wǎng)關(guān)在惡意軟件防護(hù)方面一直存在一個(gè)誤區(qū)，即以廠商的惡意軟件特征數(shù)量來衡量其優(yōu)劣。其實(shí)不然，不論惡意軟件特征數(shù)百萬還是千萬數(shù)量級(jí)其實(shí)只是基礎(chǔ)，更值得關(guān)注的應(yīng)該是Web安全網(wǎng)關(guān)自身板載特征庫容量以及威脅防御體系的建設(shè)。目前Anchiva板載特征庫200多萬，并且透過板載特征庫能夠檢測(cè)的惡意軟件數(shù)量超過800萬。

2.威脅防御體系

Web安全網(wǎng)關(guān)另一個(gè)核心競(jìng)爭(zhēng)力要屬威脅防御體系。對(duì)于企業(yè)而言，威脅防御體系能夠保證企業(yè)快速響應(yīng)各種安全威脅，提升企業(yè)對(duì)“零”日安全威脅的防御能力，實(shí)現(xiàn)實(shí)時(shí)、主動(dòng)的Web安全防護(hù)。

一個(gè)典型的安全防御體系通常需要有威脅采集系統(tǒng)、威脅處理系統(tǒng)和升級(jí)服務(wù)網(wǎng)絡(luò)，這三個(gè)方面是環(huán)環(huán)相扣、缺一不可的。然而市面上許多Web安全網(wǎng)關(guān)往往采用OEM其他知名廠商的反病毒特征庫來支持其掃描引擎，在實(shí)時(shí)響應(yīng)能力上大打折扣。

安啟華威脅防御服務(wù)中一個(gè)重要的部分就是安啟華的威脅防御系統(tǒng)，能夠?yàn)榭蛻籼峁┞?lián)網(wǎng)式、整合式的網(wǎng)絡(luò)威脅服務(wù)，它由威脅采集網(wǎng)絡(luò)、威脅處理中心和ASDN升級(jí)服務(wù)網(wǎng)絡(luò)三部分組成。安啟華RapidRx安全實(shí)驗(yàn)室作為世界反病毒組織Wildlist成員，上報(bào)malware樣本到Wildlist的同時(shí)，也享受其他眾多成員的研究成果，這樣的行業(yè)交換渠道使安啟華能夠及時(shí)獲得全球***的malware樣本;除此之外，安啟華還有自己的用戶反饋系統(tǒng)、Honeynet、WebCrawler系統(tǒng)、惡意站點(diǎn)監(jiān)測(cè)系統(tǒng)和可疑文件監(jiān)控網(wǎng)，實(shí)時(shí)不斷的采集、監(jiān)測(cè)Internet上的威脅信息。用當(dāng)今比較流行的描述，這個(gè)閉環(huán)反饋系統(tǒng)也就是其他廠商所稱之為“云”的安全防御系統(tǒng)。同時(shí)為了增強(qiáng)用戶體驗(yàn)，安啟華在中國，美國這兩個(gè)主要銷售區(qū)域部署了眾多的服務(wù)器以加強(qiáng)整個(gè)威脅防御系統(tǒng)的響應(yīng)速度。

圖：安啟華威脅防御系統(tǒng)

與此同時(shí)，為了進(jìn)一步應(yīng)對(duì)訪問Web站點(diǎn)可能帶來的網(wǎng)絡(luò)威脅隱患，安啟華還通過分布在互聯(lián)網(wǎng)中的惡意站點(diǎn)監(jiān)測(cè)系統(tǒng)，對(duì)分布在互聯(lián)網(wǎng)中的站點(diǎn)進(jìn)行威脅檢測(cè)，實(shí)時(shí)主動(dòng)的捕獲存在惡意行為的網(wǎng)絡(luò)站點(diǎn)，并通過每天自動(dòng)升級(jí)分發(fā)給各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備，為最終用戶提供高效、實(shí)時(shí)、主動(dòng)的惡意站點(diǎn) (Malicious Sites)過濾保護(hù)。

2009年隨著越來越多的漏洞和惡意軟件變種的出現(xiàn)，一個(gè)強(qiáng)大健全的威脅防御系統(tǒng)對(duì)于企業(yè)構(gòu)建完善的信息安全防護(hù)體系建設(shè)而言至關(guān)重要。

3.操作系統(tǒng)解決性能瓶頸

除了具備強(qiáng)大的反惡意軟件和威脅防御系統(tǒng)外，Web安全網(wǎng)關(guān)另外一個(gè)核心競(jìng)爭(zhēng)力便是設(shè)備本身的性能。對(duì)于企業(yè)而言，一款強(qiáng)大的Web安全網(wǎng)關(guān)如果沒有良好性能做支撐也只能望而興嘆。

如今隨著多核技術(shù)的日漸成熟，多數(shù)廠商將突破性能的希望寄托在多核架構(gòu)上。然而任何基礎(chǔ)架構(gòu)的最終實(shí)現(xiàn)都需要一個(gè)優(yōu)秀的系統(tǒng)內(nèi)核來驅(qū)動(dòng)， 眾所周知Cisco、Juniper在網(wǎng)絡(luò)市場(chǎng)的成功都借助了其核心的操作系統(tǒng)來保證其設(shè)備的高可用性，多核架構(gòu)亦是如此。

多核并不是簡(jiǎn)單的CPU疊加，需要Web安全網(wǎng)關(guān)從硬件到軟件，從操作系統(tǒng)底層到上層應(yīng)用進(jìn)程去全方位支持多核CPU。為此Web安全網(wǎng)關(guān)首先需要具備并行多核處理器控制技術(shù)來保證多核CPU快速響應(yīng)不同的安全威脅;其次，突破底層TCP協(xié)議棧共享鎖的束縛對(duì)于Web安全網(wǎng)關(guān)的性能提升至關(guān)重要。遺憾的是很少有廠商愿意花費(fèi)時(shí)間來攻破這一難題。

攻破TCP協(xié)議棧的束縛將成就更快的Web安全網(wǎng)關(guān)。安啟華公司在成立之初就決定優(yōu)化重寫TCP協(xié)議棧，在兼顧安全性的基礎(chǔ)上，開發(fā)了橫跨kernel space和user space的TCP協(xié)議棧，同時(shí)將TCP協(xié)議棧與應(yīng)用進(jìn)程并行結(jié)合，打破了通用操作系統(tǒng)基于kernel的TCP協(xié)議棧共享鎖的限制及user space和kernel space分離的制約，從而開發(fā)出了業(yè)界***真正意義上的多核完全并行處理操作系統(tǒng)AnchivaOS，實(shí)現(xiàn)了轉(zhuǎn)發(fā)層面和應(yīng)用層面的并行處理，Web安全網(wǎng)關(guān)的性能瓶頸由此被打破。

圖：安啟華AnchivaOS架構(gòu)

安啟華優(yōu)化重寫TCP協(xié)議棧不僅突破了性能的瓶頸，也使Anchiva Web安全網(wǎng)關(guān)的性能隨著硬件配置的提升，能夠做到近似線性增長(zhǎng)。

4.重視并發(fā)性能

對(duì)于大型企業(yè)網(wǎng)絡(luò)環(huán)境而言，并發(fā)會(huì)話數(shù)成為企業(yè)關(guān)注的另外一個(gè)核心話題?？梢哉f并發(fā)處理能力的高低，直接決定了防病毒網(wǎng)關(guān)設(shè)備是否可以應(yīng)用在企業(yè)級(jí)環(huán)境。安啟華充分考慮到企業(yè)的高并發(fā)需求，從AnchivaOS到威脅防御系統(tǒng)，安啟華始終將保證用戶使用性能作為其重點(diǎn)考慮。優(yōu)化重寫TCP協(xié)議棧，細(xì)分文件格式，以及采用ASIC加速的內(nèi)容掃描技術(shù)，這些事先的準(zhǔn)備工作，保證了設(shè)備性能能夠得到***的發(fā)揮，因此Anchivaweb安全網(wǎng)關(guān)的并發(fā)性能遠(yuǎn)高于業(yè)界其他主流Web安全網(wǎng)關(guān)。

總結(jié)

當(dāng)然Web安全網(wǎng)關(guān)還應(yīng)具備上網(wǎng)行為管理、帶寬管理、安全審計(jì)等功能，但對(duì)于不同規(guī)模的企業(yè)而言，安全需求也因人而異。相對(duì)于之前提到的惡意軟件防御能力，威脅防御體系以及性能瓶頸，這些基于流量協(xié)議的管控是相對(duì)容易實(shí)現(xiàn)的。

企業(yè)的實(shí)際狀況也讓大家注意到，對(duì)于2000臺(tái)終端以上的大型企業(yè)來說，企業(yè)針對(duì)性能的安全需求更為強(qiáng)烈，而對(duì)于100-2000臺(tái)終端的企業(yè)，All in one的Web安全網(wǎng)關(guān)更能滿足企業(yè)多樣化的安全防護(hù)需求。Anchiva之所以能夠在性能和用戶體驗(yàn)方面得到用戶的認(rèn)可，正是充分考慮了不同行業(yè)的安全需求，在性能和功能上做到全面兼顧。安啟華的多核硬件平臺(tái)+ASIC內(nèi)容加速卡+ AnchivaOS已經(jīng)成為企業(yè)Web安全網(wǎng)關(guān)的技術(shù)新標(biāo)桿。

毋庸置疑，隨著互聯(lián)網(wǎng)安全威脅的擴(kuò)大，Web安全網(wǎng)關(guān)將在企業(yè)安全防護(hù)中的作用越來越明顯。企業(yè)IT管理者在選購Web安全網(wǎng)關(guān)時(shí)需要充分考慮企業(yè)自身的安全需求，只有兼顧性能，惡意軟件防御能力同時(shí)具備完善的威脅防御系統(tǒng)的全功能Web安全網(wǎng)關(guān)，才能真正幫助企業(yè)打造牢固的Web安全防線。

【編輯推薦】

1. 網(wǎng)關(guān)防毒產(chǎn)品選購建議與分析
2. 如何合理選購UTM產(chǎn)品？