信息化的快速發(fā)展，使得企業(yè)與互聯(lián)網(wǎng)之間的協(xié)作愈發(fā)緊密，威脅也隨之而來。知名病毒研究機構(gòu)ICSA的統(tǒng)計表明，93%的病毒來自網(wǎng)絡(luò)傳播。面對如此嚴峻的網(wǎng)絡(luò)環(huán)境，您的企業(yè)是否還僅依靠反病毒軟件苦苦支撐?

日益加劇的威脅讓Web安全網(wǎng)關(guān)(Secure Web Gateway，SWG)逐漸成為企業(yè)邊界網(wǎng)絡(luò)安全防護的新寵。眾所周知，基于OSI模型第七層(應(yīng)用層)的Web安全網(wǎng)關(guān)具有反惡意軟件、上網(wǎng)行為管理以及安全審計等諸多安全檢測或管控能力。然而面對鋪天蓋地的廣告和琳瑯滿目的Web安全網(wǎng)關(guān)設(shè)備，如何選購真正滿足企業(yè)安全需求的Web安全網(wǎng)關(guān)？撥開迷霧，讓我們一起來揭開SWG選購謎團。

這次主要向大家介紹Web安全網(wǎng)關(guān)中最重要的功能—防病毒

1.惡意軟件防御能力

作為一款合格的企業(yè)級Web安全網(wǎng)關(guān)，強大的反病毒能力是必不可小的，但遺憾的是這也是制約Web安全網(wǎng)關(guān)性能突破的最關(guān)鍵因素之一。如何提升SWG的防病毒能力也成為各個主流廠商關(guān)注的焦點。

通常惡意軟件特征檢測手段從其工作原理上可以概括為：特征模式匹配，特殊病毒程序腳本處理。值得注意的是90%的惡意軟件檢測依托特征模式匹配來完成。但是以特征模式匹配為主的文件掃描會占用95%以上的CPU資源。對于企業(yè)而言，每天需要處理大量的文件和數(shù)據(jù)，這就對Web安全網(wǎng)關(guān)的病毒掃描能力提出了嚴峻的要求。

為了提升病毒掃描能力，大多數(shù)廠商都會增加CPU的數(shù)量，但即使用到8核CPU也很難支持2000以上用戶，如何突破2000用戶？目前主流解決方案主要有兩種：一種是串流掃描技術(shù)；一種是借助ASIC加速卡來實現(xiàn)對惡意軟件的深度內(nèi)容檢測與特征匹配。客觀的講，這兩種掃描技術(shù)各有所長，但是對于企業(yè)而言，找尋性能和檢測率、漏判之間的平衡，將成為企業(yè)防病毒成敗的關(guān)鍵。

對于以上兩種病毒掃描技術(shù)之間的取舍，業(yè)界領(lǐng)先的Web安全網(wǎng)關(guān)廠商Anchiva(安啟華) 技術(shù)副總鄭先生表示，“串流掃描方案由于優(yōu)先考慮用戶的網(wǎng)絡(luò)使用體驗，不得不簡化病毒掃描流程，對一些較復雜的文件不能進行深入的檢測，造成一些病毒的漏判；另外當網(wǎng)絡(luò)流量較大時，很多掃描不能在文件傳輸之前完成，這就造成實際上的病毒掃描功能失效。2005年時我們Anchiva采用串流的病毒掃描技術(shù)，http吞吐量超過1G，但很快我們發(fā)現(xiàn)漏判漏查的問題無法避免，所以為了解決漏判漏查問題，從2006起，Anchiva開發(fā)了基于ASIC芯片的深度內(nèi)容檢測和特征匹配技術(shù)，深度內(nèi)容檢測提高了病毒的檢測率，同時通過ASIC芯片的加速，成功的解決了掃描性能問題，大大減小了漏查的概率，http吞吐量亦可高達900M。”

圖：硬件高速掃描

另一方面，長期以來Web安全網(wǎng)關(guān)在惡意軟件防護方面一直存在一個誤區(qū)，即以廠商的惡意軟件特征數(shù)量來衡量其優(yōu)劣。其實不然，不論惡意軟件特征數(shù)百萬還是千萬數(shù)量級其實只是基礎(chǔ)，更值得關(guān)注的應(yīng)該是Web安全網(wǎng)關(guān)自身板載特征庫容量以及威脅防御體系的建設(shè)。目前Anchiva板載特征庫200多萬，并且透過板載特征庫能夠檢測的惡意軟件數(shù)量超過800萬。

2.威脅防御體系

Web安全網(wǎng)關(guān)另一個核心競爭力要屬威脅防御體系。對于企業(yè)而言，威脅防御體系能夠保證企業(yè)快速響應(yīng)各種安全威脅，提升企業(yè)對“零”日安全威脅的防御能力，實現(xiàn)實時、主動的Web安全防護。

一個典型的安全防御體系通常需要有威脅采集系統(tǒng)、威脅處理系統(tǒng)和升級服務(wù)網(wǎng)絡(luò)，這三個方面是環(huán)環(huán)相扣、缺一不可的。然而市面上許多Web安全網(wǎng)關(guān)往往采用OEM其他知名廠商的反病毒特征庫來支持其掃描引擎，在實時響應(yīng)能力上大打折扣。

安啟華威脅防御服務(wù)中一個重要的部分就是安啟華的威脅防御系統(tǒng)，能夠為客戶提供聯(lián)網(wǎng)式、整合式的網(wǎng)絡(luò)威脅服務(wù)，它由威脅采集網(wǎng)絡(luò)、威脅處理中心和ASDN升級服務(wù)網(wǎng)絡(luò)三部分組成。安啟華RapidRx安全實驗室作為世界反病毒組織Wildlist成員，上報malware樣本到Wildlist的同時，也享受其他眾多成員的研究成果，這樣的行業(yè)交換渠道使安啟華能夠及時獲得全球最新的malware樣本；除此之外，安啟華還有自己的用戶反饋系統(tǒng)、Honeynet、WebCrawler系統(tǒng)、惡意站點監(jiān)測系統(tǒng)和可疑文件監(jiān)控網(wǎng)，實時不斷的采集、監(jiān)測Internet上的威脅信息。用當今比較流行的描述，這個閉環(huán)反饋系統(tǒng)也就是其他廠商所稱之為“云”的安全防御系統(tǒng)。同時為了增強用戶體驗，安啟華在中國，美國這兩個主要銷售區(qū)域部署了眾多的服務(wù)器以加強整個威脅防御系統(tǒng)的響應(yīng)速度。

圖：安啟華威脅防御系統(tǒng)

與此同時，為了進一步應(yīng)對訪問Web站點可能帶來的網(wǎng)絡(luò)威脅隱患，安啟華還通過分布在互聯(lián)網(wǎng)中的惡意站點監(jiān)測系統(tǒng)，對分布在互聯(lián)網(wǎng)中的站點進行威脅檢測，實時主動的捕獲存在惡意行為的網(wǎng)絡(luò)站點，并通過每天自動升級分發(fā)給各個網(wǎng)絡(luò)節(jié)點設(shè)備，為最終用戶提供高效、實時、主動的惡意站點 (Malicious Sites)過濾保護。

2009年隨著越來越多的漏洞和惡意軟件變種的出現(xiàn)，一個強大健全的威脅防御系統(tǒng)對于企業(yè)構(gòu)建完善的信息安全防護體系建設(shè)而言至關(guān)重要。

#p#

3.操作系統(tǒng)解決性能瓶頸

除了具備強大的反惡意軟件和威脅防御系統(tǒng)外，Web安全網(wǎng)關(guān)另外一個核心競爭力便是設(shè)備本身的性能。對于企業(yè)而言，一款強大的Web安全網(wǎng)關(guān)如果沒有良好性能做支撐也只能望而興嘆。

如今隨著多核技術(shù)的日漸成熟，多數(shù)廠商將突破性能的希望寄托在多核架構(gòu)上。然而任何基礎(chǔ)架構(gòu)的最終實現(xiàn)都需要一個優(yōu)秀的系統(tǒng)內(nèi)核來驅(qū)動， 眾所周知Cisco、Juniper在網(wǎng)絡(luò)市場的成功都借助了其核心的操作系統(tǒng)來保證其設(shè)備的高可用性，多核架構(gòu)亦是如此。

多核并不是簡單的CPU疊加，需要Web安全網(wǎng)關(guān)從硬件到軟件，從操作系統(tǒng)底層到上層應(yīng)用進程去全方位支持多核CPU。為此Web安全網(wǎng)關(guān)首先需要具備并行多核處理器控制技術(shù)來保證多核CPU快速響應(yīng)不同的安全威脅；其次，突破底層TCP協(xié)議棧共享鎖的束縛對于Web安全網(wǎng)關(guān)的性能提升至關(guān)重要。遺憾的是很少有廠商愿意花費時間來攻破這一難題。

攻破TCP協(xié)議棧的束縛將成就更快的Web安全網(wǎng)關(guān)。安啟華公司在成立之初就決定優(yōu)化重寫TCP協(xié)議棧，在兼顧安全性的基礎(chǔ)上，開發(fā)了橫跨kernel space和user space的TCP協(xié)議棧，同時將TCP協(xié)議棧與應(yīng)用進程并行結(jié)合，打破了通用操作系統(tǒng)基于kernel的TCP協(xié)議棧共享鎖的限制及user space和kernel space分離的制約，從而開發(fā)出了業(yè)界首個真正意義上的多核完全并行處理操作系統(tǒng)AnchivaOS，實現(xiàn)了轉(zhuǎn)發(fā)層面和應(yīng)用層面的并行處理，Web安全網(wǎng)關(guān)的性能瓶頸由此被打破。

圖：安啟華AnchivaOS架構(gòu)

安啟華優(yōu)化重寫TCP協(xié)議棧不僅突破了性能的瓶頸，也使Anchiva Web安全網(wǎng)關(guān)的性能隨著硬件配置的提升，能夠做到近似線性增長。

4.重視并發(fā)性能

對于大型企業(yè)網(wǎng)絡(luò)環(huán)境而言，并發(fā)會話數(shù)成為企業(yè)關(guān)注的另外一個核心話題。可以說并發(fā)處理能力的高低，直接決定了防病毒網(wǎng)關(guān)設(shè)備是否可以應(yīng)用在企業(yè)級環(huán)境。安啟華充分考慮到企業(yè)的高并發(fā)需求，從AnchivaOS到威脅防御系統(tǒng)，安啟華始終將保證用戶使用性能作為其重點考慮。優(yōu)化重寫TCP協(xié)議棧，細分文件格式，以及采用ASIC加速的內(nèi)容掃描技術(shù)，這些事先的準備工作，保證了設(shè)備性能能夠得到最大的發(fā)揮，因此Anchivaweb安全網(wǎng)關(guān)的并發(fā)性能遠高于業(yè)界其他主流Web安全網(wǎng)關(guān)。

總結(jié)

當然Web安全網(wǎng)關(guān)還應(yīng)具備上網(wǎng)行為管理、帶寬管理、安全審計等功能，但對于不同規(guī)模的企業(yè)而言，安全需求也因人而異。相對于之前提到的惡意軟件防御能力，威脅防御體系以及性能瓶頸，這些基于流量協(xié)議的管控是相對容易實現(xiàn)的。

企業(yè)的實際狀況也讓大家注意到，對于2000臺終端以上的大型企業(yè)來說，企業(yè)針對性能的安全需求更為強烈，而對于100-2000臺終端的企業(yè)，All in one的Web安全網(wǎng)關(guān)更能滿足企業(yè)多樣化的安全防護需求。Anchiva之所以能夠在性能和用戶體驗方面得到用戶的認可，正是充分考慮了不同行業(yè)的安全需求，在性能和功能上做到全面兼顧。安啟華的多核硬件平臺+ASIC內(nèi)容加速卡+ AnchivaOS已經(jīng)成為企業(yè)Web安全網(wǎng)關(guān)的技術(shù)新標桿。

毋庸置疑，隨著互聯(lián)網(wǎng)安全威脅的擴大，Web安全網(wǎng)關(guān)將在企業(yè)安全防護中的作用越來越明顯。企業(yè)IT管理者在選購Web安全網(wǎng)關(guān)時需要充分考慮企業(yè)自身的安全需求，只有兼顧性能，惡意軟件防御能力同時具備完善的威脅防御系統(tǒng)的全功能Web安全網(wǎng)關(guān)，才能真正幫助企業(yè)打造牢固的Web安全防線。