【51CTO.com 綜合報道】51CTO安全頻道獲悉，Cascadia Labs 在近期公布了對URL過濾和網(wǎng)絡(luò)安全最新的研究報告和結(jié)果。

執(zhí)行綜述

公司依賴URL過濾和網(wǎng)絡(luò)安全產(chǎn)品來保護其員工、計算機和網(wǎng)絡(luò)免受危險的、不適當?shù)暮筒皇軞g迎的網(wǎng)絡(luò)內(nèi)容的攻擊。除了攔截含有色情內(nèi)容、暴力或非法內(nèi)容的網(wǎng)頁外，這些產(chǎn)品還在保護企業(yè)網(wǎng)絡(luò)方面發(fā)揮著日益重要的作用——它們鑄成了防止惡意網(wǎng)頁的第一道防線，限制了占用帶寬的下載。盡管過濾成人級別和浪費生產(chǎn)力的網(wǎng)站是非常平常的，但是各個產(chǎn)品在應(yīng)對更具挑戰(zhàn)性的網(wǎng)絡(luò)內(nèi)容類型方面卻大為不同，而且攔截安全威脅時也有很大差異。

Cascadia Labs建立了一個由150多萬個分類網(wǎng)頁構(gòu)成的獨立而有效的數(shù)據(jù)集合，并定期從該集合中選擇URL來測試URL過濾產(chǎn)品的有效性。主要針對英語類網(wǎng)頁，把網(wǎng)頁分成6大類22個小類，以此測試這些產(chǎn)品攔截此類網(wǎng)頁所含內(nèi)容的能力：安全、成人內(nèi)容、帶寬占用、通信、責(zé)任和生產(chǎn)效率以及娛樂。

在2008年12月的《網(wǎng)絡(luò)安全測試》中，我們測試了六種市場領(lǐng)先的URL過濾和網(wǎng)絡(luò)安全產(chǎn)品，其中包括外圍設(shè)備和服務(wù)器軟件，趨勢科技以遙遙領(lǐng)先的優(yōu)勢成為優(yōu)勝者。如圖1所示，趨勢科技的Web安全網(wǎng)關(guān)解決方案（IWSA）獲得了70%的加權(quán)總分，而亞軍產(chǎn)品McAfee網(wǎng)絡(luò)安全設(shè)備3300的得分則為64%，該產(chǎn)品配備了增強型URL過濾數(shù)據(jù)庫（Enhanced URL Filtering Database）。趨勢科技不僅獲得了最高的總分，而且在攔截針對網(wǎng)絡(luò)威脅的URL方面也榮膺冠軍寶座。

實際上，攔截大量導(dǎo)致安全威脅的URL明顯使得領(lǐng)先產(chǎn)品鶴立雞群，如圖2所示。含有高效網(wǎng)絡(luò)安全功能的URL過濾產(chǎn)品可以提供第一道防線，保護用戶和公司不受惡意內(nèi)容的侵害。除了安全，URL過濾產(chǎn)品在增強企業(yè)廣泛的網(wǎng)絡(luò)使用政策方面還發(fā)揮著重要作用。我們的測試表明，所有產(chǎn)品都能攔截。

大多數(shù)成人內(nèi)容和生產(chǎn)效率&娛樂URL，而且在帶寬占用、通信和責(zé)任方面的表現(xiàn)非常出色——盡管還有改進空間。

我們對原始的攔截得分應(yīng)用加權(quán)而得出總分，我們認為原始得分反映了一般企業(yè)客戶心目中的相對重要性。Cascadia Labs每個季度都會重新評估加權(quán)結(jié)果，在過去幾年中，安全的重要性不斷增加；在本季度的測試中，安全類占我們總分的30%。成人內(nèi)容占20%；帶寬占用占15%；責(zé)任占15%；通信占10%；生產(chǎn)效率&娛樂占10%。（由于趨勢科技的有效性在每個分類中都是最高分或接近最高分，因此趨勢科技在我們所選擇的幾乎任何一種加權(quán)合理集合中均名列第一。）

盡管加權(quán)結(jié)果反映出作為深度防御安全戰(zhàn)略組成部分的URL過濾的重要性日益提升，但是它也表明公司需要不斷攔截可視內(nèi)容，例如攻擊性的網(wǎng)頁。對于后者，趨勢科技在責(zé)任、通信和生產(chǎn)效率&娛樂方面遙遙領(lǐng)先，而SurfControl在帶寬方面表現(xiàn)最好，McAfee則在成人內(nèi)容方面拔得頭籌。

#p#

參加測試的產(chǎn)品

2008年第四季度中，Cascadia Labs報告測試了以下六種產(chǎn)品：

趨勢科技InterScan網(wǎng)絡(luò)安全設(shè)備2500 v3.1_sp1_Build_Linux_1218；

Websense企業(yè)和網(wǎng)絡(luò)安全套件v7.0（數(shù)據(jù)庫版03026-03211）；

SurfControl面向Microsoft ISA Server網(wǎng)絡(luò)過濾器v5.5.3.201 SP3（數(shù)據(jù)庫版2170-2173）；

Blue Coat ProxySG 200 v5.3.2.1（數(shù)據(jù)庫版20086322-200900104）；

配備了增強型URL過濾數(shù)據(jù)庫McAfee網(wǎng)絡(luò)安全設(shè)備3300 v5.0（數(shù)據(jù)庫版14789-14869）；

IronPort網(wǎng)絡(luò)安全設(shè)備S650 v5.6.0-626（數(shù)據(jù)庫版2170-2173）。

趨勢科技的ISWA將借助在云中數(shù)據(jù)庫，因此只要URL出現(xiàn)在趨勢科技的服務(wù)器上，就會獲得評分，而不必等到設(shè)備本地數(shù)據(jù)庫的定期更新。趨勢科技、McAfee、Blue Coat和IronPort還結(jié)合了Web信譽功能。由于Web信譽主要是針對安全性URL，因此我們僅在安全類別中進行了測試。

Cascadia Labs的測試和分析專門關(guān)注產(chǎn)品的URL數(shù)據(jù)庫攔截有效性和Web信譽功能。為了區(qū)分產(chǎn)品的核心URL過濾功能，Cascadia Labs測試的產(chǎn)品中沒有包括協(xié)議過濾、防病毒掃描儀或防間諜軟件掃描儀。協(xié)議過濾可以有效攔截即時訊息和其它不受歡迎的服務(wù)，但是由于網(wǎng)絡(luò)的重要性，協(xié)議過濾對于HTTP（和我們測試的URL）卻并不實用。外圍設(shè)備的二進掃描也提供了另一層保護，但是卻可能給用戶帶來較長的潛伏期。

#p#

主要結(jié)果和分析

Cascadia Labs使用其超過150萬個分類URL組成的專用數(shù)據(jù)集合對URL過濾產(chǎn)品進行了季度測試。每個季度Cascadia Labs都會在測試之前添加新的URL以反應(yīng)網(wǎng)絡(luò)的當前狀態(tài)，清理到期或無效URL，并收集新的安全威脅URL。Cascadia Labs應(yīng)用各種向量而不僅僅是搜索引擎的結(jié)果來辨別其專用數(shù)據(jù)集合的候選網(wǎng)頁。我們應(yīng)用了嚴格的質(zhì)量保障流程以確保URL準確適當，因此我們可以獲得關(guān)于產(chǎn)品行為的有意義的結(jié)果和深刻了解。

傳統(tǒng)上，產(chǎn)品是應(yīng)用供應(yīng)商定期更新的本地數(shù)據(jù)庫來攔截URL。近年來，越來越多的產(chǎn)品增加了遠程數(shù)據(jù)庫查看功能，通常稱為在云中或“安全即服務(wù)（SaaS）”保護，可以更加及時地響應(yīng)快速變化的網(wǎng)絡(luò)。這些產(chǎn)品還增加了Web信譽和實時分類功能來補充基于數(shù)據(jù)庫的攔截方法。盡管我們分析了各種方法的益處，但是客戶最終關(guān)心的是產(chǎn)品對不受歡迎的URL的攔截能力而非其背后所采用的技術(shù)。我們的測試結(jié)果如下圖4所示，趨勢科技IWSA包含了遠程評分和Web信譽功能，在各個內(nèi)容分類方面，其攔截有效性均排名最高或接近最高。

一、安全性

最好的產(chǎn)品證明它們可以作為寶貴的第一道防線來應(yīng)對安全威脅。Cascadia Lab的安全組包含五類實際威脅URL：惡件、隨看隨下、網(wǎng)絡(luò)釣魚、代理和可能的不受歡迎的應(yīng)用。為了確保時間限制和準確性，我們在一個小時的產(chǎn)品測試中驗證了惡意URL。Cascadia Labs采用了直接針對惡件二進制等惡意內(nèi)容的安全性URL，惡件二進制本身可能就是一個URL，或者會把用戶重新指向一個隨看隨下的URL或網(wǎng)絡(luò)釣魚URL。

趨勢科技在我們的安全測試中獲得了最高分，攔截了53%的威脅性URL，McAfee以42%的得分緊隨其后。其它產(chǎn)品得分在9-31%之間。表3說明了各個產(chǎn)品在我們的5大安全類別中的表現(xiàn)。
 
1、惡意軟件

惡意下載——包括特洛伊、蠕蟲和病毒——繼續(xù)構(gòu)成對網(wǎng)絡(luò)用戶的威脅。趨勢科技在這個分類中獲得了最高的攔截總分，攔截了49%的惡件URL，為應(yīng)對指向惡意文件的URL構(gòu)筑了有用的第一道防線。McAfee以41%的攔截率排名第二。其它產(chǎn)品的表現(xiàn)非常糟糕，得分從25%直至SurfControl的只有6%。

2、漏洞利用

漏洞利用或“隨看隨下”會給URL過濾產(chǎn)品帶來獨特的挑戰(zhàn)。隨看隨下通常都是短暫的，甚至可以在高流量的信譽好的網(wǎng)站上突然出現(xiàn)。測試100個網(wǎng)絡(luò)漏洞利用程序時，趨勢科技、Blue Coat和Websense表現(xiàn)搶眼，攔截了65-68%的威脅。McAfee的得分為61%，IronPort攔截了53%的威脅，它們的表現(xiàn)均值得稱道，但是SurfControl僅攔截了0.3%的隨看隨下下載URL。

3、網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚URL的壽命一般都很短，給URL過濾產(chǎn)品提出了一個實實在在的挑戰(zhàn)。Cascadia Labs收集了各種網(wǎng)絡(luò)釣魚威脅，包括網(wǎng)絡(luò)釣魚的目標eBay和PayPal以及Abbey和Chase等銀行。只有趨勢科技和IronPort在攔截這些URL時表現(xiàn)出色，攔截率分別為76%和78%。其它產(chǎn)品對這些威脅的攔截率均低于10%。網(wǎng)絡(luò)釣魚有效性表明公司幾乎在實時分析和公布網(wǎng)絡(luò)釣魚威脅。

4、代理

提供代理服務(wù)或公布公開代理和匿名服務(wù)名單的網(wǎng)站可能成為公司的一大擔憂，因為這些網(wǎng)站允許員工改變URL過濾規(guī)則。在這些URL中，SurfControl和IronPort獲得了67%的最高分，其它產(chǎn)品攔截率則在52-60%之間。

5、潛在不受歡迎的應(yīng)用程序

PUA（潛在不受歡迎的應(yīng)用程序）包括可疑但不一定是惡意的URL，例如廣告軟件下載。趨勢科技攔截了47%的此類應(yīng)用程序，相比該組30%的平均得分可謂遙遙領(lǐng)先。McAfee和Blue Coat并列第二名，攔截率為36%。

6、成人內(nèi)容

URL過濾最初是用來攔截成人內(nèi)容，對于這個成熟的類別，六種產(chǎn)品均攔截了超過90%的成人內(nèi)容URL，這樣的成績并不令人意外。沒有哪種產(chǎn)品可以攔截所有令人討厭的URL，但是如果產(chǎn)品都能達到80%或更好的水平，則我們認為差異太小將不足以影響采購決定。

二、帶寬占用

帶寬占用組由下載、點對點和流媒體URL組成，包括Torrent網(wǎng)站和網(wǎng)絡(luò)視頻內(nèi)容。SurfControl以大比分優(yōu)勢成為本組的獲勝者，得分為75%，而該組的平均分只有59%。IronPort和趨勢科技以62%和59%的得分分列其后，最低得分為47%。請注意，我們的帶寬占用測試所測試的是產(chǎn)品基于URL自身而非協(xié)議或文件類型的攔截URL的能力——公司也可以使用后兩種方法作為補充。

三、通信

通信組包括電子郵件和聊天等個人通信以及博客和論壇等社區(qū)通信。該組別中，趨勢科技以69%的攔截率奪冠——比第二名高出4個百分點，比該組平均分高出7個百分點。趨勢科技在博客攔截方面表現(xiàn)尤為出色，攔截了80%的URL，比該組別平均分高出12個百分點。

四、責(zé)任

我們的責(zé)任組包括犯罪活動、憎恨和暴力以及非法藥品等類別 —— 這些是公司需要攔截的高度關(guān)注的敏感內(nèi)容。通常產(chǎn)品更難攔截該組中的URL，因為其創(chuàng)始人經(jīng)常試圖將其隱藏在主流觀眾中。趨勢科技在該組中以微弱優(yōu)勢領(lǐng)先，攔截了71%的URL，緊隨其后的產(chǎn)品攔截率則為62%。

五、生產(chǎn)效率&娛樂

該組包括潛在的浪費時間的類別，例如運動、游戲和娛樂。在成人內(nèi)容組中，所有產(chǎn)品均獲得了高分；趨勢科技以94%的攔截率排名第一。

#p#

方法和測試數(shù)據(jù)集

Cascadia Labs提供客觀而獨立的技術(shù)產(chǎn)品評估。在我們2008年12月的網(wǎng)絡(luò)安全測試中，Cascadia Labs評估了六大市場領(lǐng)先產(chǎn)品的URL攔截功能有效性。Cascadia Labs沒有評估產(chǎn)品的用戶界面、特征、功能或可擴展性，也沒有測試二進制掃描或基于協(xié)議的掃描。

一、數(shù)據(jù)集

我們維護我們的英語URL數(shù)據(jù)集合來滿足企業(yè)市場的要求。該數(shù)據(jù)集合包括150多萬個URL，這些URL來自約10萬個獨特的域名，分成六組22個小類。Cascadia Labs為成人內(nèi)容、帶寬占用、通信、責(zé)任和生產(chǎn)效率&娛樂中的每個組別隨機選擇至少1,000個樣本——足以得出重要的統(tǒng)計結(jié)論。Cascadia Labs為安全組別共選擇了1,000個樣本：750個不同類型的惡意二進URL、100個漏洞利用程序、50個網(wǎng)絡(luò)釣魚URL、50個代理和50個潛在不受歡迎的應(yīng)用程序。

二、組別和小類

我們在我們的數(shù)據(jù)集合中選擇小類和URL分布來滿足大型企業(yè)的要求。例如，我們的數(shù)據(jù)集合包括內(nèi)容類，例如色情渲染、非法藥物、犯罪活動、購物、流媒體和惡件。我們的數(shù)據(jù)集合不包括藝術(shù)、健康和醫(yī)藥、博愛網(wǎng)站、教育和文化等，因為這些小類主要針對的是K-12教育類客戶，他們一般會攔截所有內(nèi)容，然后在“允許”規(guī)則（白名單）中應(yīng)用這些小類。我們的數(shù)據(jù)集合包括來自各類頂級域和各個國家的大眾化和專業(yè)網(wǎng)站，內(nèi)容主要以英文為主。

每個廠商都使用了其自己的分類集合來對URL進行分類。我們根據(jù)我們的分類和廠商選擇的分類來創(chuàng)建小類，確保我們對每個產(chǎn)品都應(yīng)用可比的攔截配置。我們執(zhí)行了初步測試，確保每個產(chǎn)品都有合適的類別映射。

三、測試方法

我們針對互聯(lián)網(wǎng)上的有效服務(wù)器測試攔截準確性。我們的設(shè)置是讓每個產(chǎn)品攔截各個小類組成的整個大類，這樣我們的攔截結(jié)果就不會因廠商類別選擇的微小差異而受到影響。例如，有些廠商可能把保齡球URL放入體育類別中，而其它廠商可能將其歸入業(yè)余愛好和娛樂類別中。在我們的測試中，兩種情況下保齡球頁面都會遭到攔截，因為體育和業(yè)余愛好及娛樂都包括在我們的生產(chǎn)效率&娛樂組中。

我們以代理配置來配置所有測試產(chǎn)品。我們把SurfControl和Websense與Microsoft ISA服務(wù)器集成在一起；其它產(chǎn)品都是設(shè)備。我們每天至少更新一次所有產(chǎn)品，而且在測試期間為采用本地數(shù)據(jù)庫的各個產(chǎn)品記錄所使用的數(shù)據(jù)庫的版本。

Cascadia Labs在測試中應(yīng)用了趨勢科技的防網(wǎng)絡(luò)釣魚模塊和Blue Coat的可疑URL分類。此外，趨勢科技、McAfee和IronPort都能提供Web信譽特征，我們在安全性測試中使用了這一特征。

除了Amazon.com和espn.go.com等流量較大網(wǎng)站之外，我們會在我們的數(shù)據(jù)集合中去除測試中使用過的URL，以防止任何廠商在以后的測試中獲得優(yōu)勢。