在最近召開的美國“黑帽”大會上，黑客們談及最多的就是各種應(yīng)用層攻擊和防御技術(shù)。無獨有偶，此前IDC和Gartner接連發(fā)布報告稱，未來5年內(nèi)，基于應(yīng)用層的安全威脅將會有超過100%的增長，而屆時此類安全市場份額將會超過40億美元。

　　事實上，自從UTM的概念被提出以來，應(yīng)用層防御的話題就沒有中斷過。進入到2007年，一大批傳統(tǒng)的安全設(shè)備中整合應(yīng)用層防御的趨勢越發(fā)明顯：防火墻、入侵防御系統(tǒng)、防病毒網(wǎng)關(guān)、郵件安全網(wǎng)關(guān)以及內(nèi)容/Web過濾設(shè)備，都在其中整合了大量的應(yīng)用層防御技術(shù)。而一些新的安全技術(shù)，如NAC、上網(wǎng)行為管理，也在向應(yīng)用防御的邊界上靠近。

　　當然，這個“貼近應(yīng)用”的過程并非一帆風順。Secure Computing中國區(qū)總經(jīng)理蔡勇先生在接受本報獨家專訪時表示，應(yīng)用層防御必須從產(chǎn)品的底層架構(gòu)進行設(shè)計。對此，他以支持應(yīng)用層防御的Sidewinder防火墻為例，指出這種轉(zhuǎn)變會涉及到多種性能的過渡：從網(wǎng)絡(luò)層、傳輸層的過濾轉(zhuǎn)發(fā)，到會話層、應(yīng)用層的掃描，涉及了一整套多級安全過濾體系。這對于傳統(tǒng)設(shè)備的性能造成了挑戰(zhàn)。因為無論是采用包過濾還是狀態(tài)檢測技術(shù)，這些防火墻在設(shè)計之初都是從三層和四層出發(fā)的。

　　他表示，在此情況下如果打開防火墻的應(yīng)用層代理和防護功能，會造成吞吐率有50%-80%的下降。事實上，此前本報評測實驗室也進行過類似應(yīng)用層防御的測試，結(jié)果顯示，單純的網(wǎng)絡(luò)層和傳輸層指標僅僅反映了設(shè)備的連通性，其無法體現(xiàn)設(shè)備的應(yīng)用層防御效果，甚至有專家認為這樣的產(chǎn)品并不安全。

　　應(yīng)用層防御的模糊性與瓶頸已經(jīng)成為了目前階段困擾業(yè)界發(fā)展的挑戰(zhàn)之一。但無法忽視的是，目前在互聯(lián)網(wǎng)上，來自于應(yīng)用層的攻擊才是對企業(yè)、機構(gòu)、個人網(wǎng)絡(luò)、主機系統(tǒng)的主要威脅。

　　另外，蔡勇先生也指出，真正可靠的應(yīng)用層防御設(shè)備必須具備兩個基本條件。第一，設(shè)備底層操作系統(tǒng)的穩(wěn)定可靠，因為一個補丁成群的系統(tǒng)很難保證安全的萬無一失;第二，對于HTTP流量能提供高性能的過濾。

　　在第二個問題上，本報28期曾有過專門報道。當時Anchiva公司的中國區(qū)總經(jīng)理李松先生指出，應(yīng)用層防御中有40%的工作要圍繞HTTP開展，因此各種防御設(shè)備必須能夠精于此道，如果對于HTTP流量的支持能力不足，則在應(yīng)用層防御效果上勢必大打折扣。

　　在此，記者期待業(yè)內(nèi)能有更多的廠商能夠加入到應(yīng)用層防御大潮中來，畢竟這對于用戶是最有意義的安全體驗。

標簽： idc 安全 打開防火墻 防火墻 互聯(lián)網(wǎng) 評測 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。