在最近召开的美国“黑帽”大会上，黑客们谈及最多的就是各种应用层攻击和防御技术。无独有偶，此前IDC和Gartner接连发布报告称，未来5年内，基于应用层的安全威胁将会有超过100%的增长，而届时此类安全市场份额将会超过40亿美元。

事实上，自从UTM的概念被提出以来，应用层防御的话题就没有中断过。进入到2007年，一大批传统的安全设备中整合应用层防御的趋势越发明显：防火墙、入侵防御系统、防病毒网关、邮件安全网关以及内容/Web过滤设备，都在其中整合了大量的应用层防御技术。而一些新的安全技术，如NAC、上网行为管理，也在向应用防御的边界上靠近。

当然，这个“贴近应用”的过程并非一帆风顺。Secure Computing中国区总经理蔡勇先生在接受本报独家专访时表示，应用层防御必须从产品的底层架构进行设计。对此，他以支持应用层防御的Sidewinder防火墙为例，指出这种转变会涉及到多种性能的过渡：从网络层、传输层的过滤转发，到会话层、应用层的扫描，涉及了一整套多级安全过滤体系。这对于传统设备的性能造成了挑战。因为无论是采用包过滤还是状态检测技术，这些防火墙在设计之初都是从三层和四层出发的。

他表示，在此情况下如果打开防火墙的应用层代理和防护功能，会造成吞吐率有50%-80%的下降。事实上，此前本报评测实验室也进行过类似应用层防御的测试，结果显示，单纯的网络层和传输层指标仅仅反映了设备的连通性，其无法体现设备的应用层防御效果，甚至有专家认为这样的产品并不安全。

应用层防御的模糊性与瓶颈已经成为了目前阶段困扰业界发展的挑战之一。但无法忽视的是，目前在互联网上，来自于应用层的攻击才是对企业、机构、个人网络、主机系统的主要威胁。

另外，蔡勇先生也指出，真正可靠的应用层防御设备必须具备两个基本条件。第一，设备底层操作系统的稳定可靠，因为一个补丁成群的系统很难保证安全的万无一失；第二，对于HTTP流量能提供高性能的过滤。

在第二个问题上，本报28期曾有过专门报道。当时Anchiva公司的中国区总经理李松先生指出，应用层防御中有40%的工作要围绕HTTP开展，因此各种防御设备必须能够精于此道，如果对于HTTP流量的支持能力不足，则在应用层防御效果上势必大打折扣。

在此，记者期待业内能有更多的厂商能够加入到应用层防御大潮中来，毕竟这对于用户是最有意义的安全体验。

(c113)