信息化的快速發(fā)展，使得企業(yè)與互聯(lián)網(wǎng)之間的協(xié)作愈發(fā)緊密，威脅也隨之而來。知名病毒研究機構ICSA的統(tǒng)計表明，93%的病毒來自網(wǎng)絡傳播。面對如此嚴峻的網(wǎng)絡環(huán)境，您的企業(yè)是否還僅依靠反病毒軟件苦苦支撐?

這次主要向大家介紹Web安全網(wǎng)關中最重要的功能——防病毒。

1.惡意軟件防御能力

作為一款合格的企業(yè)級Web安全網(wǎng)關，強大的反病毒能力是必不可小的，但遺憾的是這也是制約Web安全網(wǎng)關性能突破的最關鍵因素之一。如何提升Web安全網(wǎng)關的防病毒能力也成為各個主流廠商關注的焦點。

通常惡意軟件特征檢測手段從其工作原理上可以概括為：特征模式匹配，特殊病毒程序腳本處理。值得注意的是90%的惡意軟件檢測依托特征模式匹配來完成。但是以特征模式匹配為主的文件掃描會占用95%以上的CPU資源。對于企業(yè)而言，每天需要處理大量的文件和數(shù)據(jù)，這就對Web安全網(wǎng)關的病毒掃描能力提出了嚴峻的要求。

為了提升病毒掃描能力，大多數(shù)廠商都會增加CPU的數(shù)量，但即使用到8核CPU也很難支持2000以上用戶，如何突破2000用戶?目前主流解決方案主要有兩種：一種是串流掃描技術;一種是借助ASIC加速卡來實現(xiàn)對惡意軟件的深度內(nèi)容檢測與特征匹配?？陀^的講，這兩種掃描技術各有所長，但是對于企業(yè)而言，找尋性能和檢測率、漏判之間的平衡，將成為企業(yè)防病毒成敗的關鍵。

對于以上兩種病毒掃描技術之間的取舍，業(yè)界優(yōu)秀的Web安全網(wǎng)關廠商Anchiva(安啟華) 技術副總鄭先生表示，“串流掃描方案由于優(yōu)先考慮用戶的網(wǎng)絡使用體驗，不得不簡化病毒掃描流程，對一些較復雜的文件不能進行深入的檢測，造成一些病毒的漏判;另外當網(wǎng)絡流量較大時，很多掃描不能在文件傳輸之前完成，這就造成實際上的病毒掃描功能失效。2005年時我們Anchiva采用串流的病毒掃描技術，http吞吐量超過1G，但很快我們發(fā)現(xiàn)漏判漏查的問題無法避免，所以為了解決漏判漏查問題，從2006起，Anchiva開發(fā)了基于ASIC芯片的深度內(nèi)容檢測和特征匹配技術，深度內(nèi)容檢測提高了病毒的檢測率，同時通過ASIC芯片的加速，成功的解決了掃描性能問題，大大減小了漏查的概率，http吞吐量亦可高達900M?！?/P>

圖：硬件高速掃描

另一方面，長期以來Web安全網(wǎng)關在惡意軟件防護方面一直存在一個誤區(qū)，即以廠商的惡意軟件特征數(shù)量來衡量其優(yōu)劣。其實不然，不論惡意軟件特征數(shù)百萬還是千萬數(shù)量級其實只是基礎，更值得關注的應該是Web安全網(wǎng)關自身板載特征庫容量以及威脅防御體系的建設。目前Anchiva板載特征庫200多萬，并且透過板載特征庫能夠檢測的惡意軟件數(shù)量超過800萬。

2.威脅防御體系

Web安全網(wǎng)關另一個核心競爭力要屬威脅防御體系。對于企業(yè)而言，威脅防御體系能夠保證企業(yè)快速響應各種安全威脅，提升企業(yè)對“零”日安全威脅的防御能力，實現(xiàn)實時、主動的Web安全防護。

一個典型的安全防御體系通常需要有威脅采集系統(tǒng)、威脅處理系統(tǒng)和升級服務網(wǎng)絡，這三個方面是環(huán)環(huán)相扣、缺一不可的。然而市面上許多Web安全網(wǎng)關往往采用OEM其他知名廠商的反病毒特征庫來支持其掃描引擎，在實時響應能力上大打折扣。

安啟華威脅防御服務中一個重要的部分就是安啟華的威脅防御系統(tǒng)，能夠為客戶提供聯(lián)網(wǎng)式、整合式的網(wǎng)絡威脅服務，它由威脅采集網(wǎng)絡、威脅處理中心和ASDN升級服務網(wǎng)絡三部分組成。安啟華RapidRx安全實驗室作為世界反病毒組織Wildlist成員，上報malware樣本到Wildlist的同時，也享受其他眾多成員的研究成果，這樣的行業(yè)交換渠道使安啟華能夠及時獲得全球***的malware樣本;除此之外，安啟華還有自己的用戶反饋系統(tǒng)、Honeynet、WebCrawler系統(tǒng)、惡意站點監(jiān)測系統(tǒng)和可疑文件監(jiān)控網(wǎng)，實時不斷的采集、監(jiān)測Internet上的威脅信息。用當今比較流行的描述，這個閉環(huán)反饋系統(tǒng)也就是其他廠商所稱之為“云”的安全防御系統(tǒng)。同時為了增強用戶體驗，安啟華在中國，美國這兩個主要銷售區(qū)域部署了眾多的服務器以加強整個威脅防御系統(tǒng)的響應速度。

圖：安啟華威脅防御系統(tǒng)

與此同時，為了進一步應對訪問Web站點可能帶來的網(wǎng)絡威脅隱患，安啟華還通過分布在互聯(lián)網(wǎng)中的惡意站點監(jiān)測系統(tǒng)，對分布在互聯(lián)網(wǎng)中的站點進行威脅檢測，實時主動的捕獲存在惡意行為的網(wǎng)絡站點，并通過每天自動升級分發(fā)給各個網(wǎng)絡節(jié)點設備，為最終用戶提供高效、實時、主動的惡意站點 (Malicious Sites)過濾保護。

2009年隨著越來越多的漏洞和惡意軟件變種的出現(xiàn)，一個強大健全的威脅防御系統(tǒng)對于企業(yè)構建完善的信息安全防護體系建設而言至關重要。

3.操作系統(tǒng)解決性能瓶頸

除了具備強大的反惡意軟件和威脅防御系統(tǒng)外，Web安全網(wǎng)關另外一個核心競爭力便是設備本身的性能。對于企業(yè)而言，一款強大的Web安全網(wǎng)關如果沒有良好性能做支撐也只能望而興嘆。

如今隨著多核技術的日漸成熟，多數(shù)廠商將突破性能的希望寄托在多核架構上。然而任何基礎架構的最終實現(xiàn)都需要一個優(yōu)秀的系統(tǒng)內(nèi)核來驅動， 眾所周知Cisco、Juniper在網(wǎng)絡市場的成功都借助了其核心的操作系統(tǒng)來保證其設備的高可用性，多核架構亦是如此。

多核并不是簡單的CPU疊加，需要Web安全網(wǎng)關從硬件到軟件，從操作系統(tǒng)底層到上層應用進程去全方位支持多核CPU。為此Web安全網(wǎng)關首先需要具備并行多核處理器控制技術來保證多核CPU快速響應不同的安全威脅;其次，突破底層TCP協(xié)議棧共享鎖的束縛對于Web安全網(wǎng)關的性能提升至關重要。遺憾的是很少有廠商愿意花費時間來攻破這一難題。

攻破TCP協(xié)議棧的束縛將成就更快的Web安全網(wǎng)關。安啟華公司在成立之初就決定優(yōu)化重寫TCP協(xié)議棧，在兼顧安全性的基礎上，開發(fā)了橫跨kernel space和user space的TCP協(xié)議棧，同時將TCP協(xié)議棧與應用進程并行結合，打破了通用操作系統(tǒng)基于kernel的TCP協(xié)議棧共享鎖的限制及user space和kernel space分離的制約，從而開發(fā)出了業(yè)界***真正意義上的多核完全并行處理操作系統(tǒng)AnchivaOS，實現(xiàn)了轉發(fā)層面和應用層面的并行處理，Web安全網(wǎng)關的性能瓶頸由此被打破。

圖：安啟華AnchivaOS架構

安啟華優(yōu)化重寫TCP協(xié)議棧不僅突破了性能的瓶頸，也使Anchiva Web安全網(wǎng)關的性能隨著硬件配置的提升，能夠做到近似線性增長。

4.重視并發(fā)性能

對于大型企業(yè)網(wǎng)絡環(huán)境而言，并發(fā)會話數(shù)成為企業(yè)關注的另外一個核心話題?？梢哉f并發(fā)處理能力的高低，直接決定了防病毒網(wǎng)關設備是否可以應用在企業(yè)級環(huán)境。安啟華充分考慮到企業(yè)的高并發(fā)需求，從AnchivaOS到威脅防御系統(tǒng)，安啟華始終將保證用戶使用性能作為其重點考慮。優(yōu)化重寫TCP協(xié)議棧，細分文件格式，以及采用ASIC加速的內(nèi)容掃描技術，這些事先的準備工作，保證了設備性能能夠得到***的發(fā)揮，因此Anchivaweb安全網(wǎng)關的并發(fā)性能遠高于業(yè)界其他主流Web安全網(wǎng)關。

總結

當然Web安全網(wǎng)關還應具備上網(wǎng)行為管理、帶寬管理、安全審計等功能，但對于不同規(guī)模的企業(yè)而言，安全需求也因人而異。相對于之前提到的惡意軟件防御能力，威脅防御體系以及性能瓶頸，這些基于流量協(xié)議的管控是相對容易實現(xiàn)的。

企業(yè)的實際狀況也讓大家注意到，對于2000臺終端以上的大型企業(yè)來說，企業(yè)針對性能的安全需求更為強烈，而對于100-2000臺終端的企業(yè)，All in one的Web安全網(wǎng)關更能滿足企業(yè)多樣化的安全防護需求。Anchiva之所以能夠在性能和用戶體驗方面得到用戶的認可，正是充分考慮了不同行業(yè)的安全需求，在性能和功能上做到全面兼顧。安啟華的多核硬件平臺+ASIC內(nèi)容加速卡+ AnchivaOS已經(jīng)成為企業(yè)Web安全網(wǎng)關的技術新標桿。

毋庸置疑，隨著互聯(lián)網(wǎng)安全威脅的擴大，Web安全網(wǎng)關將在企業(yè)安全防護中的作用越來越明顯。企業(yè)IT管理者在選購Web安全網(wǎng)關時需要充分考慮企業(yè)自身的安全需求，只有兼顧性能，惡意軟件防御能力同時具備完善的威脅防御系統(tǒng)的全功能Web安全網(wǎng)關，才能真正幫助企業(yè)打造牢固的Web安全防線。

【編輯推薦】

1. 網(wǎng)關防毒產(chǎn)品選購建議與分析
2. 如何合理選購UTM產(chǎn)品？