浪尖上的Web威胁

    无论是美国还是中国，随着社会网络、Web2.0、SaaS的兴起，网络本身已经成为社会生活的一部分。在这种环境下，与传统的病毒制造不同，当前各种木马程序、间谍软件、恶意软件等以利益驱动的攻击手段越来越多。

    事实上，随着当前Web应用开发越来越复杂与迅速，攻击者可以很容易地通过各种漏洞实施诸如注入攻击、跨站脚本攻击以及不安全的直接对象关联攻击，从而进一步通过各种隐蔽的技术手段盗窃企业机密、用户隐私、信用卡账号、游戏账号密码等能够轻易转化成利益所得的信息。另外，通过木马、漏洞控制海量的普通用户主机组成僵尸网络，利用这些“肉鸡”，控制者可以通过多种方式获取利益，比如发起攻击、点击广告、增加流量等。

    迅雷副总裁李金波说，由于病毒的互联网化，网页浏览已经成为病毒传播的最主要渠道，网页挂马占到病毒传播总量90%以上。而且，由于应用软件漏洞、浏览器插件漏洞等频发，仅仅依靠网民自身的安全意识，很难应对复杂多变、花样翻新的病毒入侵渠道。

    随着动态页面技术的广泛应用，Web业务进入了一个新的阶段，基于静态文件防护的网页防篡改系统的应用范围缩小了，虽然攻击者最常见的攻击手段还是替换网页，但已经很难单纯用网页防篡改系统来进行保护了。这个阶段最常见的Web防御措施就是“防火墙+入侵检测产品”，并设置二者联动——入侵检测产品发现针对Web系统的攻击行为，通知防火墙进行阻断。这种方案不受Web系统的架构影响，但用户必须购买可以相互配合使用的防火墙和入侵检测产品。

    但是，传统的恶意程序检测依赖于安装在用户计算机上的威胁特征码数据库，这意味着，每台计算机上的威胁特征码数据库只有在更新并包括新威胁的特征码之后才能提供最新的防护。况且，利用网页脚本进行木马下载和执行是目前网马的主要感染方式，超过90%网马是通过网页脚本实现的。

    因此，当某个新威胁首次出现后，所有计算机必须等待一段时间才能防护此新威胁。

    要想使企业内网成为一个安全的环境，首先就要解决网络边缘的安全问题，只有网络边缘安全了，才能防止病毒、蠕虫、恶意威胁通过互联网进入企业内网。于是，许多企业开始在网络边缘部署防病毒软件、防火墙、防病毒网关、IDS等安全设备，但是这几种设备均是基于对已知攻击手段的防范，无法有效防范未知攻击手段。

    安全要“硬”起来

    当今的病毒、木马和混合攻击已经完全互联网化。由于IDS漏报、误报及事后响应的缺点，所以直接放在网关位置的IPS产品目前逐渐成为市场的热点；防病毒产品也从最早的桌面版发展出集中管理模式的网络版，从而发展出直接串在网关处的防病毒网关。而用户面对互联网的风险不断加剧，也造就了新的硬件安全网关产品——互联网硬件安全网关。

    病毒的互联网化，导致作为互联网入口的浏览器备受各种网络风险的折磨，其中网页挂马占到病毒传播总量90%以上。而且，由于应用软件漏洞、浏览器插件漏洞等频发，仅仅依靠网民自身的安全意识，很难应对复杂多变、花样翻新的病毒入侵渠道。

    在相当长一段时间里，互联网硬件安全网关仍然是Web安全解决方案最主要的力量，并且许多安全产品正在向硬件安全网关方向发展。

    传统的Web安全网关诞生于2006年，经过近3年的市场磨合，存在四方面的不足：第一，性能跟不上；第二，功能与检测准确度不够；第三，部署比较复杂；第四，维护难度较高。为此，当前主流安全厂商在大量应用新技术的条件下，陆续对互联网硬件安全网关更新。

    Hillstone首席软件架构师王钟表示，针对企业的攻击总是跟随着应用而来，越来越多的企业应用构建在互联网之上，而用户在互联网上的活动也是越来越频繁和难以控制。无论是正常的企业应用还是企业员工的个人上网行为，都会成为Web攻击的对象。从目前来看，多年的积累，使得企业具备一定的网络攻击防御能力，而针对新出现的Web活动引发的安全威胁，企业需要根据自身的特点，增强相应的防范手段。

    由于Web安全网关工作在应用层，因此对Web应用防护具有先天的技术优势。Web安全网关基于对Web应用业务和逻辑的深刻理解，对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。稳捷网络首席技术官张鸿文说，Web安全网关可以放置于防火墙后端，有效拦截HTTP与FTP数据，检测、拦截、抵御病毒、间谍软件、特洛伊木马与蠕虫攻击。