| 出版日期:2004-09-27 总期号:1351 本年期号:72 |
|
 |
网关防毒需要“代理”加速
■ 文/ 沈生 因特网在如今的工作场所扮演着重要作用:从基于Web的个人电子邮件,到日益普及的公众即时传信(IM),因特网的应用是越来越广泛。尽管Web为员工带来了诸多好处,包括便利性和易用性,但它也为病毒避开现有的电子邮件防病毒措施、感染网络留下了一道后门。 如今电子邮件防病毒安全采取的分层模型可能会让人觉得:由于防病毒软件运行在电子邮件服务器、文件服务器和桌面系统上,已经有了足够的防护机制,可以阻挡大多数病毒。然而,如果你认真分析一下,就会发现,“震荡波”(Sasser)、“清醒”(Sober)和“贝格热”(Bagle)等频频出现的病毒威胁仍然可以避开这些防御层,经过许多不安全的网络通道传播。这些不安全的通道包括:网络电子邮件应用、即时消息通信,以及通过常用网络浏览器的文件下载。许多企业因为这些敞开的后门而纷纷被感染,这是因为不像对电子邮件流量采取多层病毒防御机制,企业往往完全依赖桌面病毒防护来阻挡基于Web的威胁——如果病毒爆发后,成千上万的桌面系统没有迅速打上补丁更新,或者如果高级病毒在补丁安装前就绕开了桌面防病毒软件,这一策略很快就会失效。 传统防毒网关影响Web访问 那么,为什么大企业不在内部网关部署一层网络防病毒安全以防止这种威胁呢?回答很简单:针对内部网关的现有的网络防病毒解决方案缺乏跟上具有“实时性”的网络流量所需的性能。有别于存储转发性质的电子邮件,Web是一种实时媒介,用户希望每次点击鼠标之后,就能看到实时结果。如果安装的防病毒解决方案延长了网络流量响应时间,用户就会开始抱怨,这样IT部门就会面临这一难题:到底是牺牲业务流程?还是牺牲业务流程需要的安全?由于如今的众多业务流程依赖Web,后者往往成了牺牲品。 提供网络防病毒保护的产品之所以没有效果,是因为它们采用了传统的病毒扫描方法,虽然这种方法对扫描电子邮件流量很有效,但对于扫描Web流量还缺乏足够性能,还会增加时延。这种时延的增加通常发生在下列情况:一、防病毒产品试图扫描Web流量里面的所有Web对象时,甚至会扫描不容易受病毒感染的Web对象;二、网络防病毒扫描与某种电子邮件扫描功能结合在一起时,如果电子邮件扫描与网络流量扫描同时激活,后者性能就会受到影响;三、网络防病毒解决方案没有必要地多次扫描同样的Web对象时,给设备增添了额外的处理量,导致网络流量时延增加。 加入代理技术解决难题 那么,应该怎么办呢?结合防病毒扫描技术和代理设备技术的一种新架构,使企业能够非常必要地部署网络防病毒安全。在设计上,该代理设备能够以对大量网络流量实现线速处理,为管理员对因特网上的用户提供细粒度监控。如果集成了代理设备处理Web对象的功能和高速缓存能力以及专用的防病毒扫描设备,企业就可以利用代理设备作为扫描工作的“大脑”,防病毒扫描引擎则作为“肌肉”。下面介绍一下工作原理。 作为网上用户和因特网之间的“中间人”,代理设备是关键所在,它可以终止Web通信,确定哪些Web对象容易遭到病毒感染。只有被代理设备确认为可疑的对象才被发送到独立的防病毒扫描设备,而这个设备其实为代理设备充当高性能的“协处理器”,专门负责以尽可能快的速度扫描Web对象。一旦扫描完毕,防病毒扫描设备就会把干净内容发回到代理设备,然后在代理设备处高速缓存起来,这样以后用户一有请求,就可以立马提供。由于可以高速缓存的Web对象在30%到50%之间,这种“扫描一次、提供多次”的方法对提供网络流量病毒扫描所需的足够性能和时延来说是至关重要的一环。 防病毒变被动为主动 如今企业网络上网络流量和基于Web的病毒威胁在与日俱增,就好比事实证明对电子邮件基础设施来说非常有效的分层防病毒方案一样,企业应当设计分层的网络防病毒模型,而集成代理设备和防病毒设备的架构将使企业能够把如今网络防病毒解决方案面临的被动局面改为主动层面。 |
||||||||||||||||||||||||||||||
