安全应用代理弥补防火墙的完全盲区

　　企业网络面临的安全问题

　　当前的企业网络正在面临着Web滥用、病毒泛滥和黑客攻击等安全问题，这些问题直接导致企业生产力下降。尽管大多数企业都安装了防火墙，但是攻击者知道正面攻破防火墙十分困难，于是从简单的端口扫描攻击转向通过应用层协议进入企业内部。具体来说，通过Web、Web邮件、聊天工具和P2P攻击企业网络。　　

　　众所周知，几乎所有的企业防火墙都会打开Web端口，攻击者想方设法将病毒隐藏在下载软件或网页的恶意代码中，使不知情的用户执行了下载文件或恶意代码之后就会感染病毒。有的恶意代码还弹出欺骗性的提示信息引诱用户执行，这种方式非常隐蔽，并且能绕过防火墙过滤以及防毒机制的扫描。尽管企业能够防止病毒通过SMTP传播，但很多用户利用基于Web的邮件服务(如hotmail、Yahoo)发送或接收文件，避开SMTP邮件扫描系统。　　

　　聊天工具是传播蠕虫病毒和混合威胁的理想平台。这些工具提供的文件交换能力使病毒传播更迅速。聊天系统在设计时着重考虑了灵活性，但是没有考虑到安全问题。几乎所有的免费聊天工具都具备绕过防火墙的功能，防火墙无法对其进行阻挡。而且聊天用户之间的信息交换是穿越公网，通过聊天服务器转发，信息在网络上清楚可见，这就容易导致企业机密被窃取。　　

　　点对点文件共享应用（P2P）是近年来迅速流行的一种文件共享应用。在这种应用中，每个人都可从其他用户那里下载自己需要的数据，也可将已下载的数据共享给其他需要这部分数据的用户。在企业网络中，这种应用不仅会对网络可用性造成严重影响，还有可能成为病毒的传播途径，给企业带来潜在的法律问题。　　

　　安全应用代理弥补防火墙不足

　　目前企业使用的防火墙大多是包过滤和状态监测防火墙，其主要功能是根据管理员设定的规则，将攻击者阻挡在网络外面，但是对于内部人员访问外部资源而引起的入侵攻击大都束手无策。绝大多数防火墙工作在网络层，虽然有的防火墙对部分协议实现了应用层处理，但由于硬件和操作系统是针对数据包过滤和状态检查而设计，如果要求防火墙将网络层数据包进行组装，并抽取其中的应用层数据进行复杂的模式匹配的话，就无法实现满意的性能。事实上，现在用户很少打开防火墙的应用层检查功能，主要就是出于性能考虑。　　

　　由此看来，企业网络面临的许多安全问题单靠防火墙是无法解决的，必须通过一种全新设计的高性能安全代理专用设备来配合防火墙。具体来说，利用防火墙阻挡外面的端口扫描攻击，利用安全代理专用设备深层管理和控制由用户访问外部资源而引起的应用层攻击，解决针对应用的、具有破坏性的复杂攻击。　　

　　由于所有用户访问流量都必须通过代理专用设备，用户可以在代理专用设备上针对网络协议、时间等因素实施深层次的访问策略控制，同时提供完整的访问日志、病毒扫描日志、聊天日志等，并经统计分析形成报告，以尽早发现问题，使控制策略进一步完善。　　

　　代理专用设备的控制策略具体包括以下内容：内容过滤策略，过滤与工作无关的站点，提高工作效率；Web病毒扫描策略，对可能携带病毒的Web页面进行扫描和剥离；控制Web邮件使用，全面禁止使用Web邮件或允许使用Web邮件但禁止收发附件；聊天控制策略，记录聊天内容、跟踪聊天关键字、禁止收发文件或通过语音、视频聊天；对P2P进行屏蔽，屏蔽P2P应用。　　

　　需要说明的是，安全代理专用设备是现有网络安全架构的一个重要的补充，并不是取代防火墙。防火墙阻挡攻击者从正面入侵，着重进行网络层过滤；而安全代理专用设备管理和控制内部用户对外部的访问，着重进行应用层的内容检查，两者相辅相成，共同构成全方位的安全防护体系。