2011年03月,Wedge Networks(稳捷网络)宣布,公司近期完成了对新型Web安全网关设备的产品测试,并就产品的功能与压力两方面进行了同类产品的对比分析。结果显示,不论是高端UTM类安全网关,还是以防火墙为基础的集成安全网关,两者均无法实现对Web安全的完整防御,并且在木马攻击与应用防护上出现了严重短板。对此,稳捷网络公司强调,只有新型专业的Web安全网关设备才能在七层应用上做到完整保护,其功能与精确性将会保证用户获得良好的安全体验。
病毒不能成为安全短板
本次产品测试采用真实的网络环境,同时采用卡巴斯基2010年01-05月发布的病毒攻击样本库。据悉,该样本库本身并非最新,但是很有代表性,内容覆盖从几十KB到200MB的各种文件,包括可执行文件(.exe .com)、压缩包(.zip)等内容,其中的病毒木马包含在文件的头部、中部、尾部、以及随机打散。在此类AV测试环境下,安全网关需要把所有的数据包下载还原之后才能实现判断。在真实网络环境中,此类攻击也是最常见的形态。
结果显示,稳捷网络公司BeSecure 1005D以及BeSecure 1038两台SOHO级与千兆级Web安全网关都成功检测到了所有病毒木马攻击,44次攻击无一漏网。相对而言,高端UTM类安全网关和以防火墙为基础的集成安全网关,虽然可以实现千兆以上的四层以下吞吐量,但在面对七层安全攻击时仍然捉襟见肘。
当病毒处于文件头部位置时,上述两类安全设备可以很快检查到。即使是小字节病毒,也能基本扫描出来。但是,当病毒处于文件中部、尾部、随机打散组合、以及大字节病毒,这四种情况下两类网关设备的安全检测率不到50%。与此同时,在压缩包内的木马,90%全部都被漏掉了。
这种现象是非常可怕的,因为对用户而言,真实网络中的应用层防护不可忽视,其根本要求就是不论攻击字节大小,不论攻击所处位置,不论攻击压缩层数,不论攻击是文本还是图片,都需要安全网关完整地查找出来,毕竟这些来自Web的攻击都是用户本地的可执行应用。但是,目前号称高性能的UTM产品,以及以防火墙类为基础的集成安全网关,都无法真实保护此类应用。传统设备面对七层应用流量与设计的瓶颈,已经给用户带来了新的安全隐患。这种安全隐患来自用户对此类设备承诺的防毒能力的轻信。
应用防护考验品质
稳捷网络大中国区市场经理赵晓涛先生透露,对用户而言,Web安全的应用重点,除了对于病毒木马的攻击保护,还必须做到对用户各种应用服务的保护。这里面最为常见的就是对企业用户的服务器进行安全防御,比如对SQL注入、跨站、恶意脚本等攻击进行防护。换言之,对应用服务器的防护,是七层应用安全必须要做到的。
Web安全网关PK传统安全网关
从实际的测试情况看, 不论是高端UTM类安全网关,还是以防火墙为基础的集成安全网关,全都无法实现类似的保护功能,或者对应的防护功能极弱,无法起到应有的作用。从体系结构上分析,这两类产品都是通过内置的IPS库来提供防护,这种做法导致防护能力偏低,所以此类产品根本不适合做七层的应用防护,只能适合四层以下的安全。目前来看,只有专用的Web安全网关才能在功能性与精确性上对七层攻击做到游刃有余。一个完整的、先进的企业级网络安全保护方案,应该是在传统的防火墙类四层设备基础上增加部署专业的七层Web安全网关设备。(完)