全球Web安全解决方案领导厂商与高端Web安全设备提供商----Wedge Networks（稳捷网络）宣布，公司近期完成了对新型Web安全网关设备的产品测试，并就产品的功能与压力两方面进行了同类产品的对比分析。结果显示，不论是高端UTM类安全网关，还是以防火墙为基础的集成安全网关，两者均无法实现对Web安全的完整防御，并且在木马攻击与应用防护上出现了严重短板。对此，稳捷网络公司强调，只有新型专业的Web安全网关设备才能在七层应用上做到完整保护，其功能与精确性将会保证用户获得良好的安全体验。

　　病毒不能成为安全短板

　　本次产品测试采用真实的网络环境，同时采用卡巴斯基2010年01-05月发布的病毒攻击样本库。据悉，该样本库本身并非最新，但是很有代表性，内容覆盖从几十KB到200MB的各种文件，包括可执行文件（。exe .com）、压缩包（。zip）等内容，其中的病毒木马包含在文件的头部、中部、尾部、以及随机打散。在此类AV测试环境下，安全网关需要把所有的数据包下载还原之后才能实现判断。在真实网络环境中，此类攻击也是最常见的形态。

　　结果显示，稳捷网络公司BeSecure 1005D以及BeSecure 1038两台SOHO级与千兆级Web安全网关都成功检测到了所有病毒木马攻击，44次攻击无一漏网。相对而言，高端UTM类安全网关和以防火墙为基础的集成安全网关，虽然可以实现千兆以上的四层以下吞吐量，但在面对七层安全攻击时仍然捉襟见肘。

　　当病毒处于文件头部位置时，上述两类安全设备可以很快检查到。即使是小字节病毒，也能基本扫描出来。但是，当病毒处于文件中部、尾部、随机打散组合、以及大字节病毒，这四种情况下两类网关设备的安全检测率不到50%。与此同时，在压缩包内的木马，90%全部都被漏掉了。

　　这种现象是非常可怕的，因为对用户而言，真实网络中的应用层防护不可忽视，其根本要求就是不论攻击字节大小，不论攻击所处位置，不论攻击压缩层数，不论攻击是文本还是图片，都需要安全网关完整地查找出来，毕竟这些来自Web的攻击都是用户本地的可执行应用。但是，目前号称高性能的UTM产品，以及以防火墙类为基础的集成安全网关，都无法真实保护此类应用。传统设备面对七层应用流量与设计的瓶颈，已经给用户带来了新的安全隐患。这种安全隐患来自用户对此类设备承诺的防毒能力的轻信。

　　应用防护考验品质

　　稳捷网络大中国区市场经理赵晓涛先生透露，对用户而言，Web安全的应用重点，除了对于病毒木马的攻击保护，还必须做到对用户各种应用服务的保护。这里面最为常见的就是对企业用户的服务器进行安全防御，比如对SQL注入、跨站、恶意脚本等攻击进行防护。换言之，对应用服务器的防护，是七层应用安全必须要做到的。

　　Web安全网关PK传统安全网关

　　从实际的测试情况看， 不论是高端UTM类安全网关，还是以防火墙为基础的集成安全网关，全都无法实现类似的保护功能，或者对应的防护功能极弱，无法起到应有的作用。从体系结构上分析，这两类产品都是通过内置的IPS库来提供防护，这种做法导致防护能力偏低，所以此类产品根本不适合做七层的应用防护，只能适合四层以下的安全。目前来看，只有专用的Web安全网关才能在功能性与精确性上对七层攻击做到游刃有余。一个完整的、先进的企业级网络安全保护方案，应该是在传统的防火墙类四层设备基础上增加部署专业的七层Web安全网关设备。