IDC在公布的報(bào)告中指出，當(dāng)前互聯(lián)網(wǎng)已經(jīng)成為一個(gè)不可控的黑洞，無(wú)數(shù)不懷好意的網(wǎng)站使用戶上網(wǎng)沖浪時(shí)如履薄冰：隱藏蠕蟲(chóng)病毒、木馬插件的非法網(wǎng)站、以及各類層出不窮的釣魚(yú)網(wǎng)站，都會(huì)讓企業(yè)在分享互聯(lián)網(wǎng)便利的同時(shí)帶來(lái)巨大的隱患。
對(duì)于這些安全威脅，主流的反制手段就是過(guò)濾技術(shù)。對(duì)此王景輝表示，在內(nèi)容過(guò)濾技術(shù)中最常見(jiàn)的是URL庫(kù)過(guò)濾。通過(guò)24x7地收集威脅站點(diǎn)的URL，安全廠商可以做到對(duì)常見(jiàn)惡意站點(diǎn)的過(guò)濾。據(jù)悉，目前一些安全廠商甚至在自己的防火墻中都集成了URL過(guò)濾技術(shù)，大家普遍認(rèn)為將包含潛在威脅的網(wǎng)站攔截在外是保障上網(wǎng)安全的有效方式之一。
當(dāng)然，僅僅這樣還不夠。企業(yè)用戶還應(yīng)該考慮到一些釣魚(yú)網(wǎng)站采用的是SSL加密頁(yè)面，所以還需要結(jié)合證書(shū)驗(yàn)證、鏈接黑白名單等措施。此外他表示，企業(yè)的安全管理員需要對(duì)文件下載傳輸行為進(jìn)行規(guī)范，特別是將關(guān)鍵字、文件類型、網(wǎng)絡(luò)服務(wù)與IP地址組進(jìn)行關(guān)聯(lián)，規(guī)范下載策略，可以控制大部分由主動(dòng)下載造成的損害。
不過(guò)在應(yīng)用這些技術(shù)之前，傳統(tǒng)的問(wèn)題依然存在。如果說(shuō)郵件安全網(wǎng)關(guān)能把UTM拖得疲憊不堪的話，那么內(nèi)容過(guò)濾就是對(duì)UTM的致命一擊：很少有UTM能在內(nèi)容過(guò)濾中安然無(wú)恙。
對(duì)于UTM中集成的內(nèi)容過(guò)濾模塊，目前最好的處理技術(shù)就是通過(guò)一體化的設(shè)計(jì)思想來(lái)做。據(jù)陳勝權(quán)介紹，他們已經(jīng)利用格式化、歸并和標(biāo)簽技術(shù)實(shí)現(xiàn)了特征庫(kù)的統(tǒng)一，即將病毒特征庫(kù)、入侵特征庫(kù)、內(nèi)容過(guò)濾特征庫(kù)、垃圾郵件特征庫(kù)統(tǒng)一格式化為USG統(tǒng)一特征庫(kù)，從而實(shí)現(xiàn)了基于統(tǒng)一特征庫(kù)進(jìn)行模式匹配的一體化分析處理引擎。這樣做的好處是，分析處理引擎的統(tǒng)一不但保證了眾多安全防護(hù)功能的融合，而且將UTM網(wǎng)關(guān)的關(guān)鍵性能消耗單元最小化，從而降低對(duì)性能的影響。
此前，Websense的全球技術(shù)負(fù)責(zé)人在接受本報(bào)獨(dú)家專訪時(shí)表示，獨(dú)立的URL過(guò)濾設(shè)備可以實(shí)現(xiàn)基于全球的URL動(dòng)態(tài)過(guò)濾與更新，平均每3-4天就可以掃描一次全球的URL地址，對(duì)于大部分惡意站點(diǎn)來(lái)說(shuō)，可以對(duì)其實(shí)現(xiàn)主動(dòng)防御，而性能的開(kāi)銷則不會(huì)很大。
另一個(gè)值得關(guān)注的是，內(nèi)容過(guò)濾設(shè)備本身也在出現(xiàn)變化。除了URL過(guò)濾，HTTP過(guò)濾也在異軍突起，并逐漸從內(nèi)容過(guò)濾中獨(dú)立出來(lái)，為此Gartner將其定義為Web過(guò)濾。
之所以會(huì)出現(xiàn)這種變化，性能仍就是主要因素。本報(bào)28期安全欄目曾特別就Web安全的問(wèn)題進(jìn)行過(guò)專題報(bào)道。事實(shí)上，這種以HTTP為主要過(guò)濾對(duì)象的技術(shù)對(duì)于性能的消耗仍是相當(dāng)大的。
目前困擾Web過(guò)濾的主要問(wèn)題，還是安全設(shè)備的吞吐率、并發(fā)連接數(shù)和延遲三大指標(biāo)。要知道如果郵件晚收到幾分鐘，用戶也許不會(huì)察覺(jué)，但如果打開(kāi)網(wǎng)頁(yè)慢個(gè)幾秒鐘，用戶可能就會(huì)抱怨。
正是出于以上考慮，才會(huì)有越來(lái)越多的公司專門(mén)關(guān)注Web過(guò)濾領(lǐng)域。Anchiva公司中國(guó)區(qū)總經(jīng)理李松向記者表示，目前對(duì)企業(yè)網(wǎng)絡(luò)中的各種應(yīng)用進(jìn)行分析，HTTP流量超過(guò)20%。以國(guó)內(nèi)5000人以上規(guī)模的企業(yè)、大學(xué)為例，通常的HTTP并發(fā)連接處于6000-16000個(gè)之間。在此基礎(chǔ)上，TCP Session的開(kāi)銷很大，即便是專用過(guò)濾設(shè)備，如果沒(méi)有專門(mén)的硬件支持，僅靠軟件處理也會(huì)因內(nèi)存不足而死機(jī)。事實(shí)上，如果開(kāi)啟P2P應(yīng)用的話，一般會(huì)瞬間吞掉50%的網(wǎng)絡(luò)帶寬。
龐大的流量造成的直接問(wèn)題，就是對(duì)網(wǎng)關(guān)防病毒、防木馬、防間諜軟件的巨大挑戰(zhàn)。因此網(wǎng)關(guān)安全設(shè)備的死機(jī)問(wèn)題，設(shè)備自身的穩(wěn)定性問(wèn)題，一直都是用戶最擔(dān)心的事情。在此基礎(chǔ)上，依靠UTM進(jìn)行基于HTTP的過(guò)濾顯然是不現(xiàn)實(shí)的。
另一個(gè)不能忽視的問(wèn)題，凡是涉及到內(nèi)容過(guò)濾，都必須關(guān)注本地化問(wèn)題，否則國(guó)內(nèi)用戶不能使用。要注意的是，本地化不僅僅是支持雙字節(jié)應(yīng)用，真正的安全需要本地的采集隊(duì)伍。很多安全廠商采用全球研發(fā)的系統(tǒng)，但是如果無(wú)法應(yīng)對(duì)中國(guó)的特色，比如此前引發(fā)關(guān)注的流氓軟件插件，也無(wú)法成為好的產(chǎn)品。事實(shí)上，當(dāng)前當(dāng)前流行的大多數(shù)安全威脅都來(lái)自國(guó)內(nèi)。
最后，大部分業(yè)內(nèi)專家都認(rèn)為，無(wú)論是UTM中的內(nèi)容過(guò)濾模塊，還是獨(dú)立的內(nèi)容過(guò)濾網(wǎng)關(guān)或者Web安全網(wǎng)關(guān)，其核心數(shù)據(jù)庫(kù)的容量與設(shè)備數(shù)據(jù)庫(kù)中配置的容量都需要用戶關(guān)注。同郵件安全網(wǎng)關(guān)類似，過(guò)濾網(wǎng)關(guān)對(duì)于病毒、木馬、間諜軟件的防御也是有要求的。受制于設(shè)備本身的性能，其內(nèi)建的安全數(shù)據(jù)庫(kù)的容量往往與廠商自己收集的容量有較大的差距。
對(duì)此李松解釋說(shuō)，很多廠商自身的安全書(shū)庫(kù)中有幾十萬(wàn)條記錄，但真正在網(wǎng)關(guān)中集成的僅僅2-3萬(wàn)條，顯然這不是完善的做法。如果希望過(guò)濾設(shè)備能夠?qū)Υ蟛糠滞{進(jìn)行防御，至少要放置一半或者更多的數(shù)據(jù)庫(kù)條目。畢竟對(duì)木馬類威脅來(lái)說(shuō)，很多威脅并非針對(duì)操作系統(tǒng)，而是更多地跨平臺(tái)發(fā)作，有時(shí)候威脅能夠持續(xù)好幾年。
話說(shuō)回來(lái)，如果要對(duì)幾十萬(wàn)條信息進(jìn)行遍歷與檢索，硬件設(shè)計(jì)也需要加強(qiáng)，特別是處理單元的性能需要特別關(guān)注，而這也再次體現(xiàn)了過(guò)濾設(shè)備的獨(dú)立性。