2011年03月，Wedge Networks（穩捷網絡）宣布，公司近期完成了對新型Web安全網關設備的產品測試，并就產品的功能與壓力兩方面進行了同類產品的對比分析。結果顯示，不論是高端UTM類安全網關，還是以防火墻為基礎的集成安全網關，兩者均無法實現對Web安全的完整防御，并且在木馬攻擊與應用防護上出現了嚴重短板。對此，穩捷網絡公司強調，只有新型專業的Web安全網關設備才能在七層應用上做到完整保護，其功能與精確性將會保證用戶獲得良好的安全體驗。

病毒不能成為安全短板

本次產品測試采用真實的網絡環境，同時采用卡巴斯基2010年01-05月發布的病毒攻擊樣本庫。據悉，該樣本庫本身并非最新，但是很有代表性，內容覆蓋從幾十KB到200MB的各種文件，包括可執行文件（.exe .com）、壓縮包（.zip）等內容，其中的病毒木馬包含在文件的頭部、中部、尾部、以及隨機打散。在此類AV測試環境下，安全網關需要把所有的數據包下載還原之后才能實現判斷。在真實網絡環境中，此類攻擊也是最常見的形態。

結果顯示，穩捷網絡公司BeSecure 1005D以及BeSecure 1038兩臺SOHO級與千兆級Web安全網關都成功檢測到了所有病毒木馬攻擊，44次攻擊無一漏網。相對而言，高端UTM類安全網關和以防火墻為基礎的集成安全網關，雖然可以實現千兆以上的四層以下吞吐量，但在面對七層安全攻擊時仍然捉襟見肘。

當病毒處于文件頭部位置時，上述兩類安全設備可以很快檢查到。即使是小字節病毒，也能基本掃描出來。但是，當病毒處于文件中部、尾部、隨機打散組合、以及大字節病毒，這四種情況下兩類網關設備的安全檢測率不到50%。與此同時，在壓縮包內的木馬，90%全部都被漏掉了。

這種現象是非常可怕的，因為對用戶而言，真實網絡中的應用層防護不可忽視，其根本要求就是不論攻擊字節大小，不論攻擊所處位置，不論攻擊壓縮層數，不論攻擊是文本還是圖片，都需要安全網關完整地查找出來，畢竟這些來自Web的攻擊都是用戶本地的可執行應用。但是，目前號稱高性能的UTM產品，以及以防火墻類為基礎的集成安全網關，都無法真實保護此類應用。傳統設備面對七層應用流量與設計的瓶頸，已經給用戶帶來了新的安全隱患。這種安全隱患來自用戶對此類設備承諾的防毒能力的輕信。

應用防護考驗品質

穩捷網絡大中國區市場經理趙曉濤先生透露，對用戶而言，Web安全的應用重點，除了對于病毒木馬的攻擊保護，還必須做到對用戶各種應用服務的保護。這里面最為常見的就是對企業用戶的服務器進行安全防御，比如對SQL注入、跨站、惡意腳本等攻擊進行防護。換言之，對應用服務器的防護，是七層應用安全必須要做到的。

[[20434]]

Web安全網關PK傳統安全網關

從實際的測試情況看， 不論是高端UTM類安全網關，還是以防火墻為基礎的集成安全網關，全都無法實現類似的保護功能，或者對應的防護功能極弱，無法起到應有的作用。從體系結構上分析，這兩類產品都是通過內置的IPS庫來提供防護，這種做法導致防護能力偏低，所以此類產品根本不適合做七層的應用防護，只能適合四層以下的安全。目前來看，只有專用的Web安全網關才能在功能性與精確性上對七層攻擊做到游刃有余。一個完整的、先進的企業級網絡安全保護方案，應該是在傳統的防火墻類四層設備基礎上增加部署專業的七層Web安全網關設備。（完）