準確地講,Web安全是在2007年才火起來的一個概念。從傳統的網關安全中拆分出來后,Web安全的活力與日俱增。其中,以HTTP過濾為主的產業鏈將會對安全市場產生深遠影響。
市場的期待
根據IDC公布的報告,全球Web安全市場將會在2012年前達到65億美元的規模。事實上,這一市場容量已經超過了UTM所預期的40億美元的規模。有意思的是,根據Gartner在今年第二季度公布的統計數字,全球Web安全產品的使用程度相當低,僅有10%的企業部署了真正意義上的Web安全網關。換句話說,整個市場處于井噴的邊緣。
其實,很多傳統的網關型安全產品已經具備了一些Web安全設備的要求。不過,這還不夠!據Gartner的分析師透露,他們之所以會把Web安全單獨分離出來,就是因為傳統的防火墻、入侵防御系統、網關防病毒、防垃圾郵件都無法滿足純正的Web安全要求——完整的HTTP過濾。
有專家指出,以HTTP過濾為代表的Web安全技術將會是未來企業不可或缺的安全設備。從當前的市場調查看,在企業的Internet應用中,HTTP應用占據了80%的份額,但遺憾的是,這一領域傳統的安全設備并沒有辦法進行控制。雖然有部分防火墻或者入侵防御設備號稱集成了應用層防護,但不是集成后導致性能大幅度衰減,就是內建的過濾機制過于薄弱,難以應付當前復雜的互聯網威脅。
因此,不少專業人士看好以HTTP過濾為主的Web安全產品。據悉,目前以Anchiva、Blue Coat、SurfControl、Websense為代表的Web安全廠商已經給市場注入了新鮮的技術血液。有人樂觀地表示,雖然目前還沒有十全十美的Web安全解決方案,但當前市場已經足夠開放,而用戶對此的需求與認識也在與日俱增。
三大安全標準
每一種產品都需要標準,其實對于Web安全標準的爭論早已不絕于耳,其關注的焦點在于性能。
事實上,Web安全網關的顯著特征就是需要提供基于HTTP的高性能過濾。對此,Anchiva中國區總經理李松在接受本報獨家專訪時表示,對于普通的過濾產品來說,比如常見的垃圾郵件過濾,時間上的要求并不苛刻。即便一封郵件晚幾分鐘到達,用戶也不會抱怨。但HTTP就不同了,如果因為過濾導致速度下降,即便每個網頁的打開速度晚上幾秒鐘,用戶都會嗤之以鼻。
從目前的情況看,互聯網頁面的復雜度在不斷增加,由此產生的是一個網頁就可能包含十幾個HTTP請求,對于某些企業或者高校用戶來說,在某個集中時間段內的HTTP流量會非常大,這一直是困擾Web安全網關的難題。
為此,幾大Web安全廠商將HTTP過濾的性能劃分為三個要素:
第一,吞吐率。該指標衡量每秒可以有多少個HTTP Session通過Web安全網關。目前來看,低端產品一般要提供200M的吞吐量,而高端產品則要支持到800M。此外,根據ICSA(國際計算機安全協會)的規定,高端產品不能用緩存的方式進行過濾,而需要逐個字節進行掃描。
第二,并發連接數。在此領域廠商也分成兩大派別。一派是以Check Point為代表的軟件實現模式,另一派是以Anchiva為代表的FPGA模式。軟件模式實現靈活,但其每開一個HTTP連接,都要定位一個內存塊,速度會降低。如果轉用硬件實現的話,內存的開銷就不大。根據ICSA的規定,高端產品每秒必須支持一萬以上的并發連接,每一個連接占用的內存在32K以下。
據專家介紹,目前高校對于并發連接數非常看重。從某大學測試的情況看,該大學有25000名師生,從2006年9月至今的測試分析,每天傍晚都可以看到1~2千個HTTP并發連接,而每個連接平均具有5~6個Session。換句話說,一臺Web安全網關需要完成每秒1萬個HTTP Session。而平均一個瀏覽器可能保持5~6個HTTP連接,因此每秒處理的請求數量是相當可觀的。
第三,延時。如前文所述,用戶無法忍受在瀏覽網頁時要等上4~5秒,他們希望“點擊即所得”。事實上,這個標準主要由前兩個標準所決定。
獨到之處
前面說了,Web安全的發展有其特色,從某些方面看,這個特色是不可或缺的。
第一,Web安全網關不會替代防火墻或者IPS的角色,確切的說,它是兩者的補充。目前市場上的防火墻主要還是以封端口、抗掃描為主,但其在HTTP方面的容量,普遍只有50M~80M,這遠遠無法滿足企業80%的互聯網應用的需求。換句話說,防護墻堵住了企業漏洞的一小部分,而更大的部分則暴露在外。
對IPS而言,它是依靠用戶行為進行防御的網關設備,但它并不能看到應用層的信息。換句話說,絕大部分的IPS都是進行攻擊的防護,而Web安全網關則是通過大量的內容安全庫來保護用戶杜絕病毒、木馬、惡意程序等不安全的內容。當然,從某些功能上說,兩者具有相似的地方。但對于某些間諜軟件來說,他們會利用子母站點進行誘發下載(可能每秒只下載1K),而普通的IPS對此則是無能為力。對于很多7層應用,如控制某些應用程序的功能(QQ、MSN等),大部分IPS也無法應對。
第二,Web安全設備不會給企業網絡添麻煩。目前主流的Web安全網關可以采取in line或者off line的模式。在in line模式下,in line安全設備可以采取及時行動(甚至可以不需要配IP地址)。通常情況下,用戶只需要在防火墻和核心交換機之間部署in line安全網關,并配制成scan模式就可以了。
如果用戶擔心沒有使用此類設備的經驗,那么也可以采取off line的模式。只要采取旁路偵聽的部署方案,用戶就不必擔心自己的網絡受到影響。不過,無論采用哪種部署模式,都會對Web安全設備的處理速度有所要求。因為如果速度跟不上,就會漏掉很多需要檢測的數據包。
另外,從國內外用戶測試的結果看,很多用戶的網絡并不如預期般的“干凈”。參考美國《Network World》公布的美國地區Web安全網關用戶報告,一些擁有2萬名師生的大學,其測試數據顯示,Web安全網關平均一周就要阻擋1萬多個有問題的HTTP連接。即便是在銀行這種安全措施較為完善的機構中,一周仍然出現了6千個問題連接。
回到國內,這個數字還要高。很多國內高校師生不到1萬人,但有問題的HTTP連接卻超過2萬個。據專家透露,這個結果與國內很多學校師生頻繁登錄大量破解網站下載資料有關。從檢測的結果看,國內學生連接到俄羅斯的網站請求很多,而相應的請求到其他國家的卻很少。據統計,這些網站很多都有安全問題。
