2011年03月，Wedge Networks（穩(wěn)捷網(wǎng)絡(luò)）宣布，公司近期完成了對新型Web安全網(wǎng)關(guān)設(shè)備的產(chǎn)品測試，并就產(chǎn)品的功能與壓力兩方面進(jìn)行了同類產(chǎn)品的對比分析。結(jié)果顯示，不論是高端UTM類安全網(wǎng)關(guān)，還是以防火墻為基礎(chǔ)的集成安全網(wǎng)關(guān)，兩者均無法實現(xiàn)對Web安全的完整防御，并且在木馬攻擊與應(yīng)用防護上出現(xiàn)了嚴(yán)重短板。對此，穩(wěn)捷網(wǎng)絡(luò)公司強調(diào)，只有新型專業(yè)的Web安全網(wǎng)關(guān)設(shè)備才能在七層應(yīng)用上做到完整保護，其功能與精確性將會保證用戶獲得良好的安全體驗。

病毒不能成為安全短板

本次產(chǎn)品測試采用真實的網(wǎng)絡(luò)環(huán)境，同時采用卡巴斯基2010年01-05月發(fā)布的病毒攻擊樣本庫。據(jù)悉，該樣本庫本身并非最新，但是很有代表性，內(nèi)容覆蓋從幾十KB到200MB的各種文件，包括可執(zhí)行文件（.exe .com）、壓縮包（.zip）等內(nèi)容，其中的病毒木馬包含在文件的頭部、中部、尾部、以及隨機打散。在此類AV測試環(huán)境下，安全網(wǎng)關(guān)需要把所有的數(shù)據(jù)包下載還原之后才能實現(xiàn)判斷。在真實網(wǎng)絡(luò)環(huán)境中，此類攻擊也是最常見的形態(tài)。

結(jié)果顯示，穩(wěn)捷網(wǎng)絡(luò)公司BeSecure 1005D以及BeSecure 1038兩臺SOHO級與千兆級Web安全網(wǎng)關(guān)都成功檢測到了所有病毒木馬攻擊，44次攻擊無一漏網(wǎng)。相對而言，高端UTM類安全網(wǎng)關(guān)和以防火墻為基礎(chǔ)的集成安全網(wǎng)關(guān)，雖然可以實現(xiàn)千兆以上的四層以下吞吐量，但在面對七層安全攻擊時仍然捉襟見肘。

當(dāng)病毒處于文件頭部位置時，上述兩類安全設(shè)備可以很快檢查到。即使是小字節(jié)病毒，也能基本掃描出來。但是，當(dāng)病毒處于文件中部、尾部、隨機打散組合、以及大字節(jié)病毒，這四種情況下兩類網(wǎng)關(guān)設(shè)備的安全檢測率不到50%。與此同時，在壓縮包內(nèi)的木馬，90%全部都被漏掉了。

這種現(xiàn)象是非?？膳碌?，因為對用戶而言，真實網(wǎng)絡(luò)中的應(yīng)用層防護不可忽視，其根本要求就是不論攻擊字節(jié)大小，不論攻擊所處位置，不論攻擊壓縮層數(shù)，不論攻擊是文本還是圖片，都需要安全網(wǎng)關(guān)完整地查找出來，畢竟這些來自Web的攻擊都是用戶本地的可執(zhí)行應(yīng)用。但是，目前號稱高性能的UTM產(chǎn)品，以及以防火墻類為基礎(chǔ)的集成安全網(wǎng)關(guān)，都無法真實保護此類應(yīng)用。傳統(tǒng)設(shè)備面對七層應(yīng)用流量與設(shè)計的瓶頸，已經(jīng)給用戶帶來了新的安全隱患。這種安全隱患來自用戶對此類設(shè)備承諾的防毒能力的輕信。

應(yīng)用防護考驗品質(zhì)

穩(wěn)捷網(wǎng)絡(luò)大中國區(qū)市場經(jīng)理趙曉濤先生透露，對用戶而言，Web安全的應(yīng)用重點，除了對于病毒木馬的攻擊保護，還必須做到對用戶各種應(yīng)用服務(wù)的保護。這里面最為常見的就是對企業(yè)用戶的服務(wù)器進(jìn)行安全防御，比如對SQL注入、跨站、惡意腳本等攻擊進(jìn)行防護。換言之，對應(yīng)用服務(wù)器的防護，是七層應(yīng)用安全必須要做到的。

[[20434]]

Web安全網(wǎng)關(guān)PK傳統(tǒng)安全網(wǎng)關(guān)

從實際的測試情況看， 不論是高端UTM類安全網(wǎng)關(guān)，還是以防火墻為基礎(chǔ)的集成安全網(wǎng)關(guān)，全都無法實現(xiàn)類似的保護功能，或者對應(yīng)的防護功能極弱，無法起到應(yīng)有的作用。從體系結(jié)構(gòu)上分析，這兩類產(chǎn)品都是通過內(nèi)置的IPS庫來提供防護，這種做法導(dǎo)致防護能力偏低，所以此類產(chǎn)品根本不適合做七層的應(yīng)用防護，只能適合四層以下的安全。目前來看，只有專用的Web安全網(wǎng)關(guān)才能在功能性與精確性上對七層攻擊做到游刃有余。一個完整的、先進(jìn)的企業(yè)級網(wǎng)絡(luò)安全保護方案，應(yīng)該是在傳統(tǒng)的防火墻類四層設(shè)備基礎(chǔ)上增加部署專業(yè)的七層Web安全網(wǎng)關(guān)設(shè)備。（完）