主動面對更迅速的混合式攻擊
眾所周知，目前網絡安全防范的主要難點，其一在于攻擊的“快速性”:漏洞從被發現到受到第一波攻擊，可能只有一天的時間;病毒從某一臺電腦到感染全球，也許只需要幾個小時。這一切都讓被動式防御變得越來越被動，越來越力不從心;其二，安全威脅越來越趨向于“復合性”:這種復合性包含了攻擊手段和傳播途徑兩個層面，一方面，我們面對的是包括了病毒、木馬、釣魚、間諜軟件、黑客、內部攻擊在內的安全威脅，另一方面，這些威脅感染網絡的途徑也多種多樣，包括郵件、網絡資源共享、P2P、即時消息……等等。我們需要更先進、更全面化的主動防御技術和產品，才能在攻擊面前泰然自若。
以防火墻、防病毒軟件和IDS為首的安全產品中，越來越多地體現出了主動防御的特性，從而給用戶帶來了越來越多的信心。
安全威脅愈演愈烈，而且入侵手段也越來越隱蔽、狡猾、快速。相應的，安全產品也在不斷“進化”，不斷完善自己，發展出應對安全威脅的更好的方法。在相互較量的過程中，網絡安全產品需要變被動防御為主動出擊，以一種更積極的姿態去化解安全危機。
像防病毒軟件、防火墻、反垃圾郵件、反間諜軟件、入侵檢測系統(IDS)、SSL VPN、統一威脅管理(UTM)等產品都已經找到了自己演進的方向，并正在付諸行動。
防病毒軟件:主動防御依靠行為識別技術
防毒關鍵在于主動
人們長期以來對于計算機病毒只能被動防御的局面必須要改變，才能真正確保網絡的安全。趨勢科技(中國)有限公司資深技術顧問齊軍認為，對于企業來說，面臨的最大問題是基于簽名的識別技術不能有效防御新病毒，比如蠕蟲和特洛伊木馬。企業要想有效地制止攻擊，行為識別是首選的解決方案。
軟件采用行為識別和特征識別技術，可非常高效的實現對計算機病毒、蠕蟲、木馬等惡意攻擊行為的主動防御，能較好地解決現有產品或系統以被動防御為主、識別未知攻擊行為能力弱的缺陷。基于行為的反防毒保護并不依靠一對一的簽名校對來實現惡性代碼的識別，而是通過檢查病毒及蠕蟲的共有特征發現可能的惡性軟件。采用這一技術的優勢在于:該技術可識別未知的病毒，以抵御“零日”攻擊。
隨著其他設備的網絡化，比如打印機與復印機，或者IP語音硬件日益普及，它們也成了攻擊目標，或者成為新的攻擊手段。這些攻擊類型在未來一兩年內將變得司空見慣。特別是隨著像PDA以及智能手機之類網絡電子產品的普及，今后的反病毒技術必將從現有的基于簽名的技術，轉向下一代基于行為的策略。
行為識別技術暫時不能商業化
可以說由簽名識別技術轉移到行為識別技術，是大勢所趨。但是，目前的事實是，行為識別技術暫時還沒有走向商業化。趨勢科技進行了多次市場評估，得出的結論是:1. 由于簽名識別技術在網絡安全中的應用已經很成熟，因此，不可能一下就停用。用戶接納行為識別技術需要一個過程。2.目前，行為識別技術還不是十分完善，存在一定的弊端。例如，誤報率容易對用戶產生不良影響、性能消耗大、目前流行配置的PC難以承受，這也是它目前不能走向商業化的一個重要原因。
兩種技術并用
綜合各方面因素，反病毒軟件在接下來的2-4年將會更多地走向簽名識別技術和行為識別技術并用的時代。目前，已經有越來越多的廠商投入到行為識別技術的研究當中，并相繼推出了新產品。安全專家表示，這兩種技術的結合接下來還會有更大的突破。
反垃圾郵件產品:行為判別技術成新方向
國內外主要的反垃圾郵件系統，普遍采用的是關鍵字內容過濾技術，采取“截獲樣本，解析特征，生成規則，規則下發，內容過濾” 這種類似傳統殺病毒系統的原理，而這種技術存在著許多難以克服的問題:
◆垃圾郵件內容變化快，數量遠遠大于病毒，任何一家安全公司都很難保證樣本采集的數量和及時性，也就很難保證反垃圾郵件的使用效果和效果的持久性;
◆必須比對完所有的關鍵字規則，一封信才能被確信不是垃圾郵件，導致效率低下、資源消耗大、網關系統不穩定，尤其是在遭受巨量郵件攻擊時，可能導致系統崩潰;
◆依賴關鍵字規則判別垃圾郵件，導致誤判率較高，垃圾郵件識別準確性低，效果差;
◆系統自維護能力差，管理員維護大量規則庫，工作量大;
◆信件必須接收完整才能進行內容過濾，導致國際網絡流量費用高;
◆通過拆信檢查內容的方式進行反垃圾郵件，侵犯了公民電子郵件通信自由權和隱私權，這種內容過濾技術將受到廣泛的法律質疑。
傳統反垃圾郵件技術，只能提升信噪比，以免垃圾郵件淹沒正常郵件，但垃圾郵件與病毒郵件仍然占用了大量帶寬與存儲資源，垃圾郵件的發送仍處于非受控狀態。
要想從根本上解決反垃圾郵件的技術難題，就要采用主動型垃圾郵件行為模式識別的技術，這樣才能做到主動的郵件攻擊行為防御、主動的垃圾郵件阻斷，從而最大程度地提高垃圾郵件識別率、攔截率，降低資源消耗，真正達到電信級的網關處理速度。
行為模式識別模型包含了郵件發送過程中的各類行為要素，例如:時間、頻度、發送IP、協議聲明特征、發送指紋等。在統計分析中，可以發現在行為特征上，垃圾郵件與正常郵件具有極高的區分度，且不論內容如何均相對為固有特征，特別是對大量的采用動態IP發送的郵件更是如此。垃圾郵件行為模式識別模型在理論計算上有著較高的垃圾郵件區分度(>90%)，在實證分析中也暗合“小偷的行為心理異于常人”的道理，經得起邏輯和哲學理論的推敲。
采用垃圾郵件行為模式識別模型不僅大大提高了垃圾郵件辨別的準確率，而且不需要對信件的全部內容進行掃描，所以又可以大大提高計算處理能力，為電信級的郵件過濾打下了堅實的基礎。
此外，采用垃圾郵件行為模式識別模型識別垃圾郵件，也可以從另一方面給垃圾郵件攻擊者以壓力，迫使發送者必須按照一定的規范發送郵件。也就是說迫使郵件發送者只能從正常渠道，以正常方式發送郵件，從而使得郵件的發送處于受控狀態。
垃圾郵件行為模式識別模型是完全不同其他郵件過濾技術或算法的技術，雖說依然是站在巨人的肩膀上，但通過推出這種行為識別技術，可以說是將目前的郵件過濾技術帶入到下一代的技術革新中。相信不久的將來，在全球的郵件過濾器上都會應用到行為識別技術
防火墻:多種技術齊頭并進
作為網絡安全領域的旗艦產品，防火墻發揮了重要的網絡保護作用。但是隨著網絡應用的發展，對于各種網絡危機的防范，傳統的狀態檢測防火墻顯得捉襟見肘。需求產生新的市場，市場促進技術發展，這個規則在網絡安全領域同樣有效。目前的防火墻已經不僅僅只是進行狀態檢測，還提供了更多的安全功能，從各個方面對網絡安全威脅進行防護，主動擴大戰線。
新一代NP技術
用CPU、ASIC還是NP，一直是大家不斷爭論的一個問題，其實這個問題非常簡單。在能達到同樣性能的情況下，優選CPU，其次是NP，然后是ASIC。目前很多廠商使用CPU+特定業務ASIC來實現高速處理，這是比較常見的方式。在性能不能解決的情況下，選擇NP是必然的做法。但不管是IBM，還是Intel的NP，一個主要問題是開發成本太高，微碼的開發難度和進度都不是普通公司能夠短期搞定的，而帶來的維護成本和對客戶的響應速度都是很大的問題。這兩年推出的新一代網絡業務NP，通過直接集成多個通用CPU在一個處理器中，既可以保證高性能，又能借助軟件的靈活性處理高層業務數據。新一代NP直接支持C語言和標準協議棧，性能高達10G，是期望中的業務網關處理芯片。使用新一代NP技術的防火墻將會獲得性能和功能上兩全的保障。
防火墻深包檢測
防火墻最初的功能就是進行訪問控制、狀態檢測，以及地址轉換功能。通過對報文網絡層信息的檢測，來實現在網絡層上對報文的控制。比如，哪些用戶可以訪問哪些地址(訪問控制)，哪些流量可以從外網進入內網(狀態檢測)，如何隱藏內部網絡的地址(地址轉換)。隨著網絡應用的發展，高層協議得到越來越多的應用，互聯網也從多種協議并駕齊驅發展成少數應用協議成為主流。而針對這些協議，用戶需要進行控制。比如，需要控制用戶不能訪問非法網址，帶有惡意信息的報文不能進入內網。而這些功能，僅僅依靠傳統防火墻技術實現的對網絡層信息進行檢查和判斷，是不能實現的，需要檢查報文中的更深層次的內容，于是發展出了深度檢測技術。深度檢測可以檢測報文中的內容信息，從而實現URL過濾、FTP命令過濾、網頁中ActiveX控件過濾等功能，達到控制應用內容的目的。集成深包檢測的防火墻將會越來越多。通過深包檢測對內容進行控制，而不僅僅是對網絡層信息進行控制，使防火墻對智能攻擊有了主動防護能力。
應用狀態檢測
安全領域中長期依賴、發揮最大作用的無非是狀態防火墻，通過協議狀態檢測技術實現數據訪問單向流動，從而有效的保護內部網絡不受攻擊。而對服務器，采取暴露端口的形式。隨著應用的增多和對安全性要求的提高，對這種開放端口的服務器同樣需要保護，在網絡層狀態檢查的基礎上需要擴展到應用層的狀態檢查，從而對暴露在網絡中的服務器進行保護。這種趨勢會產生一系列的應用層安全網關，比如Web安全網關、語音安全網關等專用協議網關。當然，其網絡位置不必是整個網絡的出口，只要在保護資源的通路上即可。目前的專有過濾網關就是這一趨勢的一個表現。這種技術在具體產品形態上表現為:防垃圾郵件網關——針對目前網絡垃圾郵件泛濫的產品;應用防火墻——專門保護應用層安全的防火墻，其中的代表是Web應用防火墻。
安全技術融合
傳統的網絡層安全技術，如NAT、狀態防火墻、VPN將不再作為專有設備，網絡中路由器、交換機性能的提升和硬件構架的換代將直接提供網絡層的安全功能，傳統意義上的防火墻功能可以集成在路由器中。而另一方面，隨著協議和接口的統一，防火墻也可以取代路由器或者交換機的位置。安全廠商或許會變化成網絡設備廠商，網絡設備廠商也能變為安全廠商，而由于積累的不同，網絡設備廠商具有更大的優勢。比如，現在的交換機成本和以前的Hub一樣，但是拋棄了原來的交換芯片，使用新的硬件，不但提供交換，而且提供安全和業務特性，將來會直接把安全延伸到整個內部網絡，徹底解決目前的內網安全問題。那么，傳統的安全廠商如何發展?1、把自己融合進網絡設備廠商。2、向安全的新領域—業務安全(而不是網絡安全)進軍。3、組建安全聯盟，形成一個大的安全體系，自己成為其中一個基石。
VPN功能集成
從廠商的角度來說，希望一個環境中既使用VPN設備，又使用防火墻。但是，由于VPN設備對數據的隧道封裝會導致防火墻設備上對VPN數據檢測出現失準的現象，而同時維護兩套配置策略也是沒有必要的。為了減少重復處理，降低維護工作，提高防火墻的防護范圍，直接在防火墻上集成VPN功能是非常有效的方法。如IPSec VPN、SSL VPN、L2TP VPN直接通過防火墻來支持，應用效果提高，而且降低了用戶的投入成本。
防火墻技術在新的挑戰下會繼續向前發展，提供越來越多的智能和主動防御功能。防火墻中各個功能的協調工作，以及和網絡中其他硬件、軟件組件的配合聯動，才能達到真正意義上的智能安全和主動防御。而這些，都需要安全廠商不斷的創新。
反間諜軟件:摸索中前行
與其他網絡安全產品相比，反間諜軟件可謂后起之秀，但它卻是今年最耀眼的產品之一。
對付間諜軟件，第一個任務就是要有一個清晰的標準來定義它，并以此作為準繩進行判斷和查殺。但難點恰巧是這個標準很難定義。通常情況下我們可以這樣定義:任何在計算機用戶不知不覺的情況下，秘密搜集使用者的相關信息，并將其發給幕后操縱者的軟件都可以稱之為間諜軟件，但是，很多合法的廣告軟件實現的也是類似的功能，這使得界定起來非常困難。
有的人認為，可以通過傳送信息的最終結果是否帶有惡意來進行判定，但實際上，是否具有“惡意”，人類能夠通過智力和直覺來判斷，但要沒有意識的計算機軟件來進行區分，卻難以實現。
由于缺乏統一的標準，不同的廠家都有不同的方式，像賽門鐵克所采取的“風險影響模型”，就是綜合多種行為因素，包括能否讓用戶自由選擇刪除等，來判定是不是間諜軟件。
反間諜軟件和防病毒類似，都需要一種可靠的解決方案和專門的研究及響應機制，來跟蹤新的間諜軟件風險，并及時提供隨威脅變化而變化的升級版本。雖然惡意軟件與傳統病毒存在區別，但是防范它們的目標是相同的，即保護客戶電腦不受有害軟件的侵擾。
由于防病毒廠商能夠迅速探測到全球爆發的威脅，在第一時間內發布計算機防護和恢復的安全更新，并且能夠集中管理已部署解決方案，因此面對不斷增長的間諜軟件風險，防病毒廠商在提供長期全面解決方案方面擁有無可比擬的優勢。
一款好的反間諜軟件工具，要給用戶提供實時的保護。不僅應該能夠檢測盡可能多的間諜軟件，毫無殘留地消除“間諜”在系統每一個角落中留下的殘渣余孽，避免死灰復燃，還應該安裝和部署簡便，可以方便地升級間諜軟件特征表。好的反間諜工具應該提供迅捷明了的狀態顯示報告，可以讓用戶及時了解間諜軟件給公司造成多大的損害，最大的風險和威脅在哪里。當然，在企業中，一個方便管理的中央控制臺也是必不可少的。反間諜軟件可見的發展趨勢和防病毒軟件類似，也是依靠行為識別技術實現主動防御。
目前，“從什么位置阻擋間諜軟件是最有效的”這個問題還有爭論。有的廠商認為應當從桌面阻止，因為移動技術在企業內的大量應用，使得越來越多的計算設備脫離了由網關所劃定的安全疆域，如果用戶在網關的保護之外感染了間諜軟件，然后又再次接入網絡，這臺機器本身就成了協助“間諜”潛入的跳板。所以，先要保證每一個“內部成員”的可靠性。
而另外一部分廠商則認為，桌面工具始終是被動防線，“更好的”間諜軟件總會突破這道防線。因此，應該在網關處采取防護措施。
當然，如果資金足夠，企業應該采取多層次的防護措施來阻止間諜軟件，這樣才能收到理想的效果。
IDS:強調可用性
“IDS會被IPS取代”、 “IDS要和防火墻聯動”……這兩年來，市場上關于IDS的技術觀點層出不窮。但是，這些概念更多地是在炒作。
長期以來，IDS的“漏報”和“誤報”問題一直困擾著用戶。加強攻擊檢測是減少“漏報”和“誤報”現象的首要手段。過去，攻擊檢測是IDS的全部。而今天，它只是IDS的一個重要方面。IDS要實現全面關注網絡健康，還應該能夠做到幫助用戶對檢測內容進行深層次的分析，主動防御，最終提交給用戶一份有意義的報告。
在某些IDS產品中已經新增加了內容恢復和應用審計功能，能針對常用的多種應用協議，比如HTTP、FTP、SMTP、POP3、Telnet、NNTP、IMAP、DNS、Rlogin、MSN等進行內容恢復，能完全真實地記錄通信的全部過程與內容，并將其進行回放。此功能對于了解攻擊者的攻擊過程、監控內部網絡中的用戶是否濫用網絡資源、發現未知的攻擊具有重要和積極的作用。例如，在恢復HTTP的通信內容時，可恢復出其中的文本與圖形等信息;而應用內容的審計則可發現內部的攻擊，了解哪些人員查看了不該查看的內容。
此外，實時監測網絡流量并及時發現攻擊行為，亦是IDS的一項基本特征。現在的IDS產品增加了對網絡實時監控和診斷功能，尤其是增加了掃描器，能對全網絡進行主動掃描，實時發現網絡中的異常，并給出詳細的檢測報告。
這種在審計和監控等多項功能上得到加強的IDS已經超越了傳統意義上的IDS，是適用于用戶需求、保護用戶網絡健康的新型IDS。
IPS:御敵于網外
入侵防護系統(IPS)的檢測功能類似于IDS，但IPS檢測到攻擊后會采取行動阻止攻擊。真正的入侵防護解決方案，可使企業不必進行分析即可采取措施保護系統。同時，它可防止攻擊對操作系統、應用程序和數據造成損壞。一個理想的入侵防護解決方案應該包括以下8大特點:
1. 主動、實時預防攻擊。IPS解決方案應該提供對攻擊的實時預防和分析。它應該在任何未授權活動開始前找出攻擊，并防止它進入重要的服務器資源。
2. 補丁等待保護。補丁管理是一個復雜的過程。在補丁被開發和安裝之間，黑客會對服務器和重要數據造成破壞，入侵防護解決方案需要為系統管理員提供補丁等待期內的保護和足夠的時間，以測試并安裝補丁。
3. 保護每個重要的服務器。服務器中有最敏感的企業數據，是大多數黑客攻擊的主要目標。所以，擁有專門為保護服務器定制的入侵防護解決方案十分重要。
4. 簽名和行為規則。檢測入侵最有效的方法是采取混合方式，即整合針對具體攻擊的簽名和行為規則的力量。這一混合方式可提供已知和未知攻擊保護，而同時將誤報率保持在最低，從而無須做出任何損失性讓步。
5. 深層防護。強大的安全都是基于深度防御的概念，可進行深層防護。
6. 可管理性。理想的入侵防護解決方案可使安全設置和政策被各種應用程序、用戶組和代理程序利用，從而降低安裝并維護大型安全產品的成本。
7. 可擴展性。企業級入侵防護解決方案必須可升級，以滿足企業不斷發展的需求，而同時保持高水平的安全。可擴展性體現在可支持眾多受保護的服務器、支持大流量和支持分散型安全管理，以滿足大型分散式企業的需求。
8. 經驗證的防護技術。企業要確認所選擇的IPS解決方案是否采用了業界先進的新技術，是否經過充分測試、使用，并在受到持續不斷地維護，這一點很重要。
SSL VPN:越走越寬的安全大道
在VPN領域，SSL VPN無疑是個新貴。總體來看，SSL VPN還沒有達到廠商們期望的大規模應用，然而種種跡象表明，SSL VPN的前景看好。
一份最近的研究表明，近90%的企業利用VPN進行的內部網和外部網的連接都只是用來進行Internet訪問和電子郵件通信，而這些應用都利用了一種更加簡單的VPN技術——SSL VPN。基于SSL協議的VPN遠程訪問方案的確更加容易配置和管理，由于不需要客戶端軟件，網絡配置成本比起目前主流的IPSec VPN要低很多，所以許多企業已經開始利用基于SSL加密協議的遠程訪問技術來實現VPN通信了。
SSL VPN的優勢包括:
◆由于客戶端與SSL VPN網關之間實現高強度的加密信息傳輸，因此雖然信息傳輸是通過公網進行的，但是其安全性是可以得到保證的。第三方即使可以得到傳輸數據，但是卻無法得到隱藏在其中的明文信息;
◆SSL VPN的訪問要經過認證和授權，充分保證用戶身份的合法性。如果請求連接的用戶沒有合法身份，則SSL VPN將拒絕其連接請求，從而限制了非法用戶對內網的訪問;
◆SSL VPN方案實施起來非常簡單，只需要在企業的數據中心部署SSL VPN網關即可，無需在各分支機構部署硬件或軟件設備。SSL VPN方案是無客戶端的VPN方案，客戶端只需要具備標準的瀏覽器即可。SSL VPN的管理工作屬于集中管理和集中維護模式，可以極大地降低管理和維護成本。
在去年的時候，SSL VPN的性能曾經遭到過質疑。在《網絡世界》評測實驗室組織的2005年度SSL VPN網關公開比較評測中，我們發現，性能已不是問題，SSL VPN完全可以滿足用戶在遠程安全連接方面的需求。據我們了解，即便是最高端的用戶，也很少會分配高達100Mbps的帶寬給SSL VPN應用，再加上Internet網速受多方面影響，因此，從實際吞吐量角度看，100Mbps是實際應用環境的極限。而且VPN設備可以提供數據壓縮能力，即數據經過壓縮后向外網發送，這可使用戶更加有效地利用昂貴的帶寬資源。
UTM:性能功能兩手抓
統一威脅管理(UTM)是將企業防火墻、入侵檢測和防御以及防病毒結合于一體的設備。IDC極為看好UTM設備，并認為UTM市場到2008年時，將占有整個信息安全市場的半壁江山，達到57.6%。
由于集成了多個功能，因此UTM的性能提升是一個發展方向，這取決于硬件技術的發展。除了性能之外，UTM的功能也在不斷的升級，以實現更主動的防御。比如SonicWALL的產品中就新加入了反間諜軟件，能夠封堵最新的聊天軟件Skype、BT、eMule等等。還有Fortinet的實時掃描技術在其產品中的應用，使網絡防毒墻這一產品形態真正靠近了用戶需求。它集成狀態防火墻功能，并對報文進行流還原、深度檢查，從而在報文轉發過程中對網絡數據進行病毒掃描，實現病毒實時掃描的產品，解決了用戶對各個終端不能有效監控的問題，至少對病毒的來源之一——網絡進行了有效的封堵，能解決用戶的實際問題。
UTM要想被用戶廣泛接受和認可，還有一個重要的工作要做，那就是提高UTM的穩定性和防范的有效性。因為各安全功能在同一個系統中工作，各功能之間需要保證完全的協調和穩定。另外，UTM設備需要加強邏輯關系分析，提升關聯性。