【IT168 应用方案】根据Gartner的预测，今后的网络攻击更多的针对应用层，网络层的攻击会逐渐减少。根据Secure Computing对2007年网络安全状况的检测和分析，在过去的12个月，电子邮件从每天的800亿封增加到1600亿封，垃圾邮件的比例从85%上升到90%;病毒从去年的15种增加到60万种;每个月平均新出现的钓鱼网站有37，444个;报告的网络漏洞攻击行为从2006年的8064个增加到超过1万起;每天通过TrustedSource系统检测到新增加的木马僵尸主机超过40万台，而在去年同期只有25万台。

　　提到网络安全，很多人会马上想到防火墙，IPS，病毒墙这些设备，在很多的企业里面，这已经成为了网络安全的“老三样”，但是有了这些设备就可以高枕无忧了吗?

　　传统的防火墙只能识别网络层的攻击行为，对于应用层的攻击行为无法识别，就更不能谈到拦截，例如垃圾邮件，SQL注入攻击，Web诱惑攻击等。现在有一些防火墙，声称可以做到应用层检测，但是在打开应用层检测之后，性能会急剧下降，这些功能仅仅成为了摆设，而无法实际应用。

　　IPS只能特征库来检测已知的攻击行为和流量，对于未知的攻击无法发现。IPS设备为了能达到最好的安全效果，需要串接进网络，不可避免的会带来网络延时。同时因为所有的网络流量会通过IPS设备，IPS设备本身就需要有一个安全的平台，比如一个IPS系统运行在Linux系统上，如果一个攻击针对的Linux平台，IPS系统还没有检测到攻击之前，Linux系统可能就崩溃了。

　　在过去的一年，新病毒出现了大量的变种，传统的特征吗检测技术已经不能满足现在的需求。 很多防病毒厂商开始引入新的一些技术，如个人防火墙，行为推理等，在提高了安全防护水平的时候，也带来了性能的降低和网络的延迟加大。 同时，僵尸网络(BotNet)已经成为病毒传播和网络攻击，垃圾邮件等网络攻击的最大的来源，对通过僵尸主机发起的攻击，越来越侧重在应用层，如果识别僵尸主机已经成为安全领域新的课题。

　　在2008年，加密技术必然会被黑客和病毒利用，试想一下，如果网页中的病毒通过HTTPS的加密通道来传播，现在的IPS和病毒墙设备怎么来检测，特别是在网桥或者透明的部署方式，安全防护要求能过扫描所有的流量，扫除网络中的盲点。

　　Sidewinder作为从一开始就提供应用层检测的应用代理安全设备，从1995年开始就为网络提供了较高级别的安全防护。 在Sidewinder 7。0中，集成了应用层防护，应用协议规范审核，URL地址过滤，病毒扫描，和高效的IPS检测引擎，更值得称道的是在专利的SecureOS平台上，提供了业界最高的应用层吞吐率，和12年无安全漏洞的非常好的安全记录。

　　SecureOS最早是SecureComputing公司为美国NSA(国家安全局)定制开发的一个安全系统，开发和使用了SecureComputing专利的TypeEnforement技术。Sidewinder 安全网关的Type Enforcement安全机制，简单可以理解形如蜂窝，重要的系统部件都放置在单独的安全区内，每个进程也都被限制在一个安全区，它只能访问完成其自身工作所需的系统资源，如文件、套接字和目录等，更重要的是Type Enforcement机制可控制各进程要执行的代码和系统调用接口。严格的安全区隔离完全消除了堆栈溢出的可能性，而堆栈溢出是黑客攻击和本地权限提升的主要攻击手段。

　　Type Enforcement技术结构示意

　　Sidewinder网关中的 Application Defenses™ 功能，包括了防病毒、反垃圾邮件、URL 过滤、HTTPS/SSL加/解密加速、流量异常检测、IDS/IPS以及其它一整套重要保护功能。Sidewinder包括的应用层代理有：HTTP, HTTPS, SMTP, Citrix, FTP, IIOP, T120, H.323, Oracle, MS SQL, SOCKS, SNMP, SIP等。这些应用层代理可以通过Application Defender控制应用层的设置，例如允许的HTTP命令种类，URL长度，MIME类型等，应用协议RFC规范检查的强度，以及允许的会话数量等。

　　通过SSL加速引擎，保证了隐藏在SSL加密通道中的攻击和病毒也无法逃脱Sidewinder的检测，同时专业的硬件加速引擎，提供了高效的加解密效率。 灵活的配置方式，可以选择性的针对特定流量进行解密运算，有效的利用了硬件资源，提供最优化的安全配置和效率。

　　集成的IPS引擎，包含了超过1万多种的攻击特征，更可以自定义特征，灵活的选择操作方式，可以拒绝检测到特征的流量，或者只是产生告警。 IPS特征库每日定时更新，及时提供最新的攻击特征和流量特征。通过IPS可以发现内网中的BT流量，木马更新或者DoS攻击等数据。

　　Sidewinder安全网关集成了Secure Computing的TrustedSource技术，通过TrustedSource数据中心的实时数据分析，Sidewinder可以在网关边界识别数据意图，实现积极主动的防御。传统的安全设备依靠设备本身来完成所有的安全防护功能，TrustedSource则是通过对全球数据流量的实时检测，评估安全风险，识别攻击来源，达到了“御敌于千里之外”，例如：TrustedSource发现了美国东部发生了一起网络攻击事件，通过分析，发现工作来源是僵尸网络(botnet)最新的一些僵尸主机，同时发现了僵尸主机升级和发布指令的来源，在这些僵尸主机被利用来攻击国内的某网站之前，TrustedSource已经为它们打上了高危害性的标签，实现了真正意义上的主动防御。

　　通过Sidewinder的4S: Secure OS，SSL加速，IPS引擎和TrustedSource结合Secure Computing积累了15年的应用代理防护技术，减少了网络中部署多种设备造成的网络延时，和带来了管理负担，以及增加的安全隐患，保证了客户网络安全和高效。