HTTP过滤将对安全市场产生深远影响

日期: 2008-01-12 作者:赵晓涛 来源:TechTarget中国

        准确地讲,Web安全是在2007年才火起来的一个概念。从传统的网关安全中拆分出来后,Web安全的活力与日俱增。其中,以HTTP过滤为主的产业链将会对安全市场产生深远影响。

  市场的期待

  根据IDC公布的报告,全球Web安全市场将会在2012年前达到65亿美元的规模。事实上,这一市场容量已经超过了UTM所预期的40亿美元的规模。有意思的是,根据Gartner在今年第二季度公布的统计数字,全球Web安全产品的使用程度相当低,仅有10%的企业部署了真正意义上的Web安全网关。换句话说,整个市场处于井喷的边缘。

  其实,很多传统的网关型安全产品已经具备了一些Web安全设备的要求。不过,这还不够!据Gartner的分析师透露,他们之所以会把Web安全单独分离出来,就是因为传统的防火墙、入侵防御系统、网关防病毒、防垃圾邮件都无法满足纯正的Web安全要求——完整的HTTP过滤。

  有专家指出,以HTTP过滤为代表的Web安全技术将会是未来企业不可或缺的安全设备。从当前的市场调查看,在企业的Internet应用中,HTTP应用占据了80%的份额,但遗憾的是,这一领域传统的安全设备并没有办法进行控制。虽然有部分防火墙或者入侵防御设备号称集成了应用层防护,但不是集成后导致性能大幅度衰减,就是内建的过滤机制过于薄弱,难以应付当前复杂的互联网威胁。

  因此,不少专业人士看好以HTTP过滤为主的Web安全产品。据悉,目前以Anchiva、Blue Coat、SurfControl、Websense为代表的Web安全厂商已经给市场注入了新鲜的技术血液。有人乐观地表示,虽然目前还没有十全十美的Web安全解决方案,但当前市场已经足够开放,而用户对此的需求与认识也在与日俱增。

  三大安全标准

  每一种产品都需要标准,其实对于Web安全标准的争论早已不绝于耳,其关注的焦点在于性能。

  事实上,Web安全网关的显著特征就是需要提供基于HTTP的高性能过滤。对此,Anchiva中国区总经理李松在接受本报独家专访时表示,对于普通的过滤产品来说,比如常见的垃圾邮件过滤,时间上的要求并不苛刻。即便一封邮件晚几分钟到达,用户也不会抱怨。但HTTP就不同了,如果因为过滤导致速度下降,即便每个网页的打开速度晚上几秒钟,用户都会嗤之以鼻。

  从目前的情况看,互联网页面的复杂度在不断增加,由此产生的是一个网页就可能包含十几个HTTP请求,对于某些企业或者高校用户来说,在某个集中时间段内的HTTP流量会非常大,这一直是困扰Web安全网关的难题。

  为此,几大Web安全厂商将HTTP过滤的性能划分为三个要素:

  第一,吞吐率。该指标衡量每秒可以有多少个HTTP Session通过Web安全网关。目前来看,低端产品一般要提供200M的吞吐量,而高端产品则要支持到800M。此外,根据ICSA(国际计算机安全协会)的规定,高端产品不能用缓存的方式进行过滤,而需要逐个字节进行扫描。

  第二,并发连接数。在此领域厂商也分成两大派别。一派是以Check Point为代表的软件实现模式,另一派是以Anchiva为代表的FPGA模式。软件模式实现灵活,但其每开一个HTTP连接,都要定位一个内存块,速度会降低。如果转用硬件实现的话,内存的开销就不大。根据ICSA的规定,高端产品每秒必须支持一万以上的并发连接,每一个连接占用的内存在32K以下。

  据专家介绍,目前高校对于并发连接数非常看重。从某大学测试的情况看,该大学有25000名师生,从2006年9月至今的测试分析,每天傍晚都可以看到1~2千个HTTP并发连接,而每个连接平均具有5~6个Session。换句话说,一台Web安全网关需要完成每秒1万个HTTP Session。而平均一个浏览器可能保持5~6个HTTP连接,因此每秒处理的请求数量是相当可观的。

  第三,延时。如前文所述,用户无法忍受在浏览网页时要等上4~5秒,他们希望“点击即所得”。事实上,这个标准主要由前两个标准所决定。

        独到之处

  前面说了,Web安全的发展有其特色,从某些方面看,这个特色是不可或缺的。

  第一,Web安全网关不会替代防火墙或者IPS的角色,确切的说,它是两者的补充。目前市场上的防火墙主要还是以封端口、抗扫描为主,但其在HTTP方面的容量,普遍只有50M~80M,这远远无法满足企业80%的互联网应用的需求。换句话说,防护墙堵住了企业漏洞的一小部分,而更大的部分则暴露在外。

  对IPS而言,它是依靠用户行为进行防御的网关设备,但它并不能看到应用层的信息。换句话说,绝大部分的IPS都是进行攻击的防护,而Web安全网关则是通过大量的内容安全库来保护用户杜绝病毒、木马、恶意程序等不安全的内容。当然,从某些功能上说,两者具有相似的地方。但对于某些间谍软件来说,他们会利用子母站点进行诱发下载(可能每秒只下载1K),而普通的IPS对此则是无能为力。对于很多7层应用,如控制某些应用程序的功能(QQ、MSN等),大部分IPS也无法应对。

  第二,Web安全设备不会给企业网络添麻烦。目前主流的Web安全网关可以采取in line或者off line的模式。在in line模式下,in line安全设备可以采取及时行动(甚至可以不需要配IP地址)。通常情况下,用户只需要在防火墙和核心交换机之间部署in line安全网关,并配制成scan模式就可以了。

  如果用户担心没有使用此类设备的经验,那么也可以采取off line的模式。只要采取旁路侦听的部署方案,用户就不必担心自己的网络受到影响。不过,无论采用哪种部署模式,都会对Web安全设备的处理速度有所要求。因为如果速度跟不上,就会漏掉很多需要检测的数据包。

  另外,从国内外用户测试的结果看,很多用户的网络并不如预期般的“干净”。参考美国《Network World》公布的美国地区Web安全网关用户报告,一些拥有2万名师生的大学,其测试数据显示,Web安全网关平均一周就要阻挡1万多个有问题的HTTP连接。即便是在银行这种安全措施较为完善的机构中,一周仍然出现了6千个问题连接。

  回到国内,这个数字还要高。很多国内高校师生不到1万人,但有问题的HTTP连接却超过2万个。据专家透露,这个结果与国内很多学校师生频繁登录大量破解网站下载资料有关。从检测的结果看,国内学生连接到俄罗斯的网站请求很多,而相应的请求到其他国家的却很少。据统计,这些网站很多都有安全问题。

  第三,独到的内容安全库。对于Web安全网关来说,都需要有一套集成的内容安全库。严格地说,完善的内容安全库不同于普通的URL分类库或者某个IP黑名单地址库。因为URL过滤更加倾向于用户经常访问的网站,并将这些网站进行某些威胁分类。比如色情类、赌博类等等,并进一步限制用户访问。

  而HTTP过滤的还需要包括普通用户不经常访问的站点。因为对于HTTP安全隐患而言,后者才是容易出问题的地方。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐