随着网络技术的飞速发展与网络应用的不断拓展,单一功能的网关设备已经无法应对网络应用所带来的问题与挑战。于是有了集多种功能于一身的UTM产品,有了众多厂家最近不断推出的下一代安全网关,更有目前逐渐成为企业边界应用新宠的Web安全网关(Secure Web Gateway)。无论是UTM、下一代安全网关还是Web安全网关,它们都具备了Internet应用安全防御和管控能力。面对种类繁多的应用安全网关,如何选购成为困扰用户的谜团。
我们应该注意到,目前在金融、电信、医疗、大企业等行业,用户对多功能应用安全网关非常感兴趣,从功能的专业性而言无论是UTM、下一代安全网关还是Web安全网关都能一定程度上满足这些行业用户的需求,但作为合格的企业级多功能应用安全网关,除了具有全面的功能外,开启所有功能后的性能也是不容忽视的,也是用户选择多功能安全网关时需要多方面评测的重要指标之一。这就需要用户不仅对各个功能模块的实现技术与原理进行深入研究以辨明安全防御和管控功能的同时,也需要辨明设备架构、操作系统以及扫描处理算法,甚至功能实现技术所带来的性能差异。功能再全面,如果没有良好的性能,那也只能是花架子。本篇主要向大家介绍Web安全网关最重要的选购指标之一:性能。
Web 安全网关是Gartner在其2008年的报告中所重点提及的边界应用安全网关。其主要功能包括防病毒、URL过滤、Internet应用控制和带宽管理等。下面,我们将对Web安全网关的相关性能指标进行一一分析解读,希望能对广大消费者选购Web安全网关提供一个帮助。
一、防病毒处理能力
网关防病毒主要针对HTTP/HTTPS、FTP、SMTP、POP3等协议流量进行双向的过滤扫描,来达到对企业内网用户和服务器的保护,并防止内网已感染病毒的客户端和服务器对外扩散病毒。随着Internet,尤其是Http应用的日益普及发展,使得越来越多的企业应用转为了B/S构架,借助HTTP协议的方便和易用提高企业效率。同时Internet上无穷无尽的各类资源、虚拟社区、Web游戏等等使得内网用户访问Internet的需求在不断增加,Web应用已经成为客户的最主要流量;而安全网关作为内外网之间的唯一数据通道,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响。因此,考察网关的HTTP吞吐能力将有助于我们更好的评价其性能,这里需要注意的是网关防病毒关键性能是HTTP的吞吐量,而不是UDP的吞吐量,企业在选购产品时一定要搞清楚这两个吞吐量的差别。UDP吞吐量代表的是整个设备的包转发能力,而网关防病毒针对的是具体应用协议和数据内容的扫描与检测性能,因此对于网关防病毒产品来说UDP的吞吐量参考意义不大,UDP的吞吐量高,并不一定内容检测性能就高。在企业的internet应用协议流量中通常http流量所占的比重最大,因此HTTP协议的检测性能才是网关防病毒的关键性能指标。为了提升病毒检测的性能,目前主流解决方案主要有两种:一种是串流扫描技术;一种是借助ASIC加速卡将由代理缓存下来的整个文件做深度内容扫描检测与特征匹配。客观的讲,这两种扫描技术各有所长,但是对于企业而言,找寻性能和检测率、漏判之间的平衡,将成为企业防病毒成败的关键。串流扫描方案由于优先考虑用户的网络使用体验,不得不简化病毒扫描流程,对一些较复杂的文件不能进行深入的检测,会造成病毒的漏判;另外当网络流量较大时,很多扫描不能在文件传输之前完成,这就造成实际上的病毒扫描功能失效。2005年市面上采用串流病毒扫描技术的网关产品较多,但很快发现漏判漏查的问题无法避免,所以为了解决漏判漏查问题,Web安全网关厂商Anchiva(安启华)在2006毅然抛开串流扫描的做法,坚持要用深度内容检测的方式提高病毒检测率,于是Anchiva(安启华)利用1年多的时间开发了基于ASIC芯片的深度内容检测与特征匹配引擎,成功的解决了扫描性能问题,并且提高了病毒检测率。Anchiva(安启华)通过测试对比发现,ASIC硬件扫描引擎在相同测试条件下的Http吞吐量是纯软件扫描引擎的4-5倍。当然,网络流量中需要扫描杀毒的文件类型很多,有txt文本文件,有二进制文件,有可执行的pe文件等,因此企业在选购产品时还需要重点考察防病毒网关产品对这三类主要文件类型进行扫描杀毒的http吞吐量。
除了http吞吐量外,http的并发连接数也是网关防病毒的关键性能指标,这里同样需要注意的是http的并发连接数,并不是TCP并发连接数。TCP并发连接数是指设备能够同时处理的点对点TCP连接的最大数目,主要反映的是防火墙、路由器等设备对多个TCP连接的访问控制能力和连接状态跟踪能力。对网关防病毒来说,因为需要针对某个具体的应用协议进行扫描过滤,TCP并发连接数并不能完全反映设备的访问控制能力和连接状态跟踪能力,http并发连接数才是真正反映网关防病毒能支持的最大信息点数的性能指标。一般厂家会通过增加内存的方式来提高http并发连接数,但是Anchiva(安启华)公司总架构师贺先生说:“http并发连接数跟内存大小有直接的关系,但是没有很好的扫描处理算法来降低每一个连接的开销,即使内存大小一样,http并发连接数也是有明显差别的;另外还有关键的一点是传统的TCP协议栈在透明代理情况下会受限于端口数目65535的限制,”。从这一点可以看出如果是传统的TCP协议栈,即使内存再大,HTTP并发连接数也不可能超过65535,否则就是欺骗。除非像Anchiva(安启华)公司那样经过优化改写过的TCP协议栈才有可能并发连接数突破65535个。
本文来源:天下网盟 作者:佚名