信息化的快速發展，使得企業與互聯網之間的協作愈發緊密，威脅也隨之而來。知名病毒研究機構ICSA的統計表明，93%的病毒來自網絡傳播。面對如此嚴峻的網絡環境，您的企業是否還僅依靠反病毒軟件苦苦支撐?

日益加劇的威脅讓Web安全網關(Secure Web Gateway，SWG)逐漸成為企業邊界網絡安全防護的新寵。眾所周知，基于OSI模型第七層(應用層)的Web安全網關具有反惡意軟件、上網行為管理以及安全審計等諸多安全檢測或管控能力。然而面對鋪天蓋地的廣告和琳瑯滿目的Web安全網關設備，如何選購真正滿足企業安全需求的Web安全網關？撥開迷霧，讓我們一起來揭開SWG選購謎團。

這次主要向大家介紹Web安全網關中最重要的功能—防病毒

1.惡意軟件防御能力

作為一款合格的企業級Web安全網關，強大的反病毒能力是必不可小的，但遺憾的是這也是制約Web安全網關性能突破的最關鍵因素之一。如何提升SWG的防病毒能力也成為各個主流廠商關注的焦點。

通常惡意軟件特征檢測手段從其工作原理上可以概括為：特征模式匹配，特殊病毒程序腳本處理。值得注意的是90%的惡意軟件檢測依托特征模式匹配來完成。但是以特征模式匹配為主的文件掃描會占用95%以上的CPU資源。對于企業而言，每天需要處理大量的文件和數據，這就對Web安全網關的病毒掃描能力提出了嚴峻的要求。

為了提升病毒掃描能力，大多數廠商都會增加CPU的數量，但即使用到8核CPU也很難支持2000以上用戶，如何突破2000用戶？目前主流解決方案主要有兩種：一種是串流掃描技術；一種是借助ASIC加速卡來實現對惡意軟件的深度內容檢測與特征匹配。客觀的講，這兩種掃描技術各有所長，但是對于企業而言，找尋性能和檢測率、漏判之間的平衡，將成為企業防病毒成敗的關鍵。

對于以上兩種病毒掃描技術之間的取舍，業界領先的Web安全網關廠商Anchiva(安啟華) 技術副總鄭先生表示，“串流掃描方案由于優先考慮用戶的網絡使用體驗，不得不簡化病毒掃描流程，對一些較復雜的文件不能進行深入的檢測，造成一些病毒的漏判；另外當網絡流量較大時，很多掃描不能在文件傳輸之前完成，這就造成實際上的病毒掃描功能失效。2005年時我們Anchiva采用串流的病毒掃描技術，http吞吐量超過1G，但很快我們發現漏判漏查的問題無法避免，所以為了解決漏判漏查問題，從2006起，Anchiva開發了基于ASIC芯片的深度內容檢測和特征匹配技術，深度內容檢測提高了病毒的檢測率，同時通過ASIC芯片的加速，成功的解決了掃描性能問題，大大減小了漏查的概率，http吞吐量亦可高達900M。”

圖：硬件高速掃描

另一方面，長期以來Web安全網關在惡意軟件防護方面一直存在一個誤區，即以廠商的惡意軟件特征數量來衡量其優劣。其實不然，不論惡意軟件特征數百萬還是千萬數量級其實只是基礎，更值得關注的應該是Web安全網關自身板載特征庫容量以及威脅防御體系的建設。目前Anchiva板載特征庫200多萬，并且透過板載特征庫能夠檢測的惡意軟件數量超過800萬。

2.威脅防御體系

Web安全網關另一個核心競爭力要屬威脅防御體系。對于企業而言，威脅防御體系能夠保證企業快速響應各種安全威脅，提升企業對“零”日安全威脅的防御能力，實現實時、主動的Web安全防護。

一個典型的安全防御體系通常需要有威脅采集系統、威脅處理系統和升級服務網絡，這三個方面是環環相扣、缺一不可的。然而市面上許多Web安全網關往往采用OEM其他知名廠商的反病毒特征庫來支持其掃描引擎，在實時響應能力上大打折扣。

安啟華威脅防御服務中一個重要的部分就是安啟華的威脅防御系統，能夠為客戶提供聯網式、整合式的網絡威脅服務，它由威脅采集網絡、威脅處理中心和ASDN升級服務網絡三部分組成。安啟華RapidRx安全實驗室作為世界反病毒組織Wildlist成員，上報malware樣本到Wildlist的同時，也享受其他眾多成員的研究成果，這樣的行業交換渠道使安啟華能夠及時獲得全球最新的malware樣本；除此之外，安啟華還有自己的用戶反饋系統、Honeynet、WebCrawler系統、惡意站點監測系統和可疑文件監控網，實時不斷的采集、監測Internet上的威脅信息。用當今比較流行的描述，這個閉環反饋系統也就是其他廠商所稱之為“云”的安全防御系統。同時為了增強用戶體驗，安啟華在中國，美國這兩個主要銷售區域部署了眾多的服務器以加強整個威脅防御系統的響應速度。

圖：安啟華威脅防御系統

與此同時，為了進一步應對訪問Web站點可能帶來的網絡威脅隱患，安啟華還通過分布在互聯網中的惡意站點監測系統，對分布在互聯網中的站點進行威脅檢測，實時主動的捕獲存在惡意行為的網絡站點，并通過每天自動升級分發給各個網絡節點設備，為最終用戶提供高效、實時、主動的惡意站點 (Malicious Sites)過濾保護。

2009年隨著越來越多的漏洞和惡意軟件變種的出現，一個強大健全的威脅防御系統對于企業構建完善的信息安全防護體系建設而言至關重要。

#p#

3.操作系統解決性能瓶頸

除了具備強大的反惡意軟件和威脅防御系統外，Web安全網關另外一個核心競爭力便是設備本身的性能。對于企業而言，一款強大的Web安全網關如果沒有良好性能做支撐也只能望而興嘆。

如今隨著多核技術的日漸成熟，多數廠商將突破性能的希望寄托在多核架構上。然而任何基礎架構的最終實現都需要一個優秀的系統內核來驅動， 眾所周知Cisco、Juniper在網絡市場的成功都借助了其核心的操作系統來保證其設備的高可用性，多核架構亦是如此。

多核并不是簡單的CPU疊加，需要Web安全網關從硬件到軟件，從操作系統底層到上層應用進程去全方位支持多核CPU。為此Web安全網關首先需要具備并行多核處理器控制技術來保證多核CPU快速響應不同的安全威脅；其次，突破底層TCP協議棧共享鎖的束縛對于Web安全網關的性能提升至關重要。遺憾的是很少有廠商愿意花費時間來攻破這一難題。

攻破TCP協議棧的束縛將成就更快的Web安全網關。安啟華公司在成立之初就決定優化重寫TCP協議棧，在兼顧安全性的基礎上，開發了橫跨kernel space和user space的TCP協議棧，同時將TCP協議棧與應用進程并行結合，打破了通用操作系統基于kernel的TCP協議棧共享鎖的限制及user space和kernel space分離的制約，從而開發出了業界首個真正意義上的多核完全并行處理操作系統AnchivaOS，實現了轉發層面和應用層面的并行處理，Web安全網關的性能瓶頸由此被打破。

圖：安啟華AnchivaOS架構

安啟華優化重寫TCP協議棧不僅突破了性能的瓶頸，也使Anchiva Web安全網關的性能隨著硬件配置的提升，能夠做到近似線性增長。

4.重視并發性能

對于大型企業網絡環境而言，并發會話數成為企業關注的另外一個核心話題。可以說并發處理能力的高低，直接決定了防病毒網關設備是否可以應用在企業級環境。安啟華充分考慮到企業的高并發需求，從AnchivaOS到威脅防御系統，安啟華始終將保證用戶使用性能作為其重點考慮。優化重寫TCP協議棧，細分文件格式，以及采用ASIC加速的內容掃描技術，這些事先的準備工作，保證了設備性能能夠得到最大的發揮，因此Anchivaweb安全網關的并發性能遠高于業界其他主流Web安全網關。

總結

當然Web安全網關還應具備上網行為管理、帶寬管理、安全審計等功能，但對于不同規模的企業而言，安全需求也因人而異。相對于之前提到的惡意軟件防御能力，威脅防御體系以及性能瓶頸，這些基于流量協議的管控是相對容易實現的。

企業的實際狀況也讓大家注意到，對于2000臺終端以上的大型企業來說，企業針對性能的安全需求更為強烈，而對于100-2000臺終端的企業，All in one的Web安全網關更能滿足企業多樣化的安全防護需求。Anchiva之所以能夠在性能和用戶體驗方面得到用戶的認可，正是充分考慮了不同行業的安全需求，在性能和功能上做到全面兼顧。安啟華的多核硬件平臺+ASIC內容加速卡+ AnchivaOS已經成為企業Web安全網關的技術新標桿。

毋庸置疑，隨著互聯網安全威脅的擴大，Web安全網關將在企業安全防護中的作用越來越明顯。企業IT管理者在選購Web安全網關時需要充分考慮企業自身的安全需求，只有兼顧性能，惡意軟件防御能力同時具備完善的威脅防御系統的全功能Web安全網關，才能真正幫助企業打造牢固的Web安全防線。