|
Web安全對于當(dāng)今企業(yè)用戶的重要性早已不言而喻,由于傳統(tǒng)的安全技術(shù)對此束手無策��,新型的Web安全網(wǎng)關(guān)被推到了當(dāng)前安全話題的中央���。傳統(tǒng)的Web安全網(wǎng)關(guān)誕生于2006年�����,經(jīng)過兩年的市場磨合�,感覺存在四方面的不足:
第一,性能跟不上����;
第二,功能與檢測準確度不夠���;
第三����,部署比較復(fù)雜�;
第四,維護難度較高��。
為此��,當(dāng)前主流安全廠商在大量應(yīng)用新技術(shù)的條件下�,推出了“新一代”Web安全網(wǎng)關(guān)。細心的讀者可能發(fā)現(xiàn)�����,參與本次專題的都是外資安全廠商����。確實,在占領(lǐng)技術(shù)的制高點上��,外資公司又走到了Web安全的“風(fēng)口浪尖”�。
Wedge Networks全球CTO 張鴻文認為,目前惡意Web攻擊在全球范圍內(nèi)呈指數(shù)形式增長�,對抗類似威脅的有效方法之一,就是和每一個Web安全方面的領(lǐng)導(dǎo)廠商建立強有力的合作伙伴關(guān)系��。以Wedge Networks為例���,其一直在推動NDP網(wǎng)絡(luò)數(shù)據(jù)處理平臺����,并且在其中應(yīng)用了Subsonic技術(shù)��。
這種技術(shù)目前在北美的大型企業(yè)網(wǎng)關(guān)��、服務(wù)器池����、以及IDC中心頗為流行,它可以讓W(xué)eb安全網(wǎng)關(guān)在一個高負載的網(wǎng)絡(luò)中從容提供實時的七層深度內(nèi)容檢測。Subsonic技術(shù)在算法上取得了突破�����,不僅性能可以滿足繁忙網(wǎng)絡(luò)的需求����,而且可以基于特征碼和模式識別進行安全檢測,配合NDP開放的服務(wù)總線架構(gòu)與高級的網(wǎng)絡(luò)協(xié)議堆棧�,確保一個Web安全網(wǎng)關(guān)可以整合更多不同安全廠商(如更專業(yè)的反病毒、反惡意軟件廠商)的技術(shù)與算法����。
對于很多用戶關(guān)心Web安全防御中的性能損耗問題,張博士認為:“用戶在面對web安全問題時擔(dān)心和顧慮很容易理解�����。我們的渠道已經(jīng)告訴我們在處理Web安全方面��,維持一個可以接受的性能會有多么重要���。事實上��,自從2003年以來���,隨著單核CPU的時鐘頻率趨于穩(wěn)定����,每年網(wǎng)絡(luò)帶寬的需求都會增加四倍����。作為企業(yè)的CTO�,我發(fā)現(xiàn)任何架構(gòu)想要跨越這個性能鴻溝都不得不采用多CPU和多核系統(tǒng)。幸運的是���,Subsonic技術(shù)可以利用行為模式原理去管理大量并發(fā)會話�����,從而在多核環(huán)境中大量提高性能�����。”
另外�,張博士認為對于Web內(nèi)容的深度檢測也應(yīng)看重���。他認為:“當(dāng)前防御來自HTTP的威脅已經(jīng)成為安全網(wǎng)關(guān)的首要問題之一���。而大量存在漏洞的Web服務(wù)器更是隨時可能被攻擊并被利用來傳播或發(fā)布惡意軟件���。網(wǎng)站內(nèi)容的可變性決定了只有進行內(nèi)容檢查才能得到最可靠的結(jié)果。而HTTP訪問對于即時性有很高的要求�,這也使得面對應(yīng)用層安全設(shè)備有著對高性能的依賴和需求。”
“針對基于Web的安全威脅���,這方面國外廠商積累了較為資深的經(jīng)驗�,從實踐來看��,效果還不錯�。其實,任何安全防范手段都有其時效性的問題�。考慮到開啟深度內(nèi)容檢測功能帶來的性能下降問題��,多數(shù)廠商選擇放棄����,而只提供了入口級的控制手段。如果廠商能解決好處理性能問題���,比如將多核處理器支持運用的如火純青��,會為用戶提供更為穩(wěn)固的安全防范手段���。”
在功能的全面性與性能的平衡上���,Secure Computing的做法比較獨特。Secure Computing認為���,Web安全需要全方位的技術(shù)方案,包含了從防火墻���、Web控制����、郵件安全的各個層面���。因此對于安全問題���,并非某個獨立的應(yīng)用,而是需要在各種不同層次的安全設(shè)備中��,提供對混合威脅(blended threat)的防護��。
其技術(shù)總監(jiān)曾表示:“安全做到現(xiàn)在的階段,我越來越感到安全本身的復(fù)雜與龐大�。如果要做到全面的安全,單靠某一點的努力已經(jīng)遠遠不夠了�����。比如我們一直在推動全球最大和歷史最久的信譽系統(tǒng)TrustedSource��,目的就是希望通過對不同國家�����、多種應(yīng)用的分析----包括對IP地址�、域名、郵件���、圖片�����、URL等多種對象的數(shù)據(jù)關(guān)聯(lián)分析�,提供最全面���、準確和實時的信譽評估�����,從而最大程度地保護用戶的網(wǎng)絡(luò)和應(yīng)用����。當(dāng)然,這僅僅是基礎(chǔ)��,一個優(yōu)秀的Web安全網(wǎng)關(guān)��,還需要對SSL掃描進行支持�����,因為當(dāng)前隱藏在SSL流量中的惡意軟件不勝枚舉----全面就不能忽視安全的細節(jié)���。”
針對當(dāng)前用戶比較頭疼的HTTP防御和Web服務(wù)器漏洞保護問題,這里有五點建議供用戶參考:
第一����,HTTP防御中最困難和最復(fù)雜的是解決應(yīng)用層面的攻擊,例如SQL注入�、特殊編碼、惡意變換URL等���;
第二���,Secure Computing的Sidewinder防火墻通過采用應(yīng)用代理技術(shù)����,可以從根本上確定安全防御的模型�����,確保應(yīng)用協(xié)議的規(guī)范性����,以及應(yīng)用的可控性,從而為應(yīng)用的安全控制提供了管理的可能����;
第三,利用高效IPS引擎對已經(jīng)過規(guī)范性審核的HTTP流量進行特征檢查��,可以即時發(fā)現(xiàn)惡意攻擊���;
第四����,通過Sidewinder中的GeoLocator功能,可以針對不同地域來源的訪問設(shè)定不通的安全防護級別�����,優(yōu)化系統(tǒng)資源與效能����;
第五,TrustedSource信譽體系提供的信譽評估數(shù)據(jù)���,可以使得安全設(shè)備識別出訪問的意圖����,從網(wǎng)絡(luò)的邊緣拒絕掉惡意的僵尸主機攻擊��,提高正常訪問的比率�����,在提高了安全性的同時節(jié)省了帶寬�。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商���!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
