准确地讲，Web安全是在2007年才火起来的一个概念。从传统的网关安全中拆分出来后，Web安全的活力与日俱增。其中，以HTTP过滤为主的产业链将会对安全市场产生深远影响。

　　市场的期待

　　根据IDC公布的报告，全球Web安全市场将会在2012年前达到65亿美元的规模。事实上，这一市场容量已经超过了UTM所预期的40亿美元的规模。有意思的是，根据Gartner在今年第二季度公布的统计数字，全球Web安全产品的使用程度相当低，仅有10%的企业部署了真正意义上的Web安全网关。换句话说，整个市场处于井喷的边缘。

　　其实，很多传统的网关型安全产品已经具备了一些Web安全设备的要求。不过，这还不够!据Gartner的分析师透露，他们之所以会把Web安全单独分离出来，就是因为传统的防火墙、入侵防御系统、网关防病毒、防垃圾邮件都无法满足纯正的Web安全要求——完整的HTTP过滤。

　　有专家指出，以HTTP过滤为代表的Web安全技术将会是未来企业不可或缺的安全设备。从当前的市场调查看，在企业的Internet应用中，HTTP应用占据了80%的份额，但遗憾的是，这一领域传统的安全设备并没有办法进行控制。虽然有部分防火墙或者入侵防御设备号称集成了应用层防护，但不是集成后导致性能大幅度衰减，就是内建的过滤机制过于薄弱，难以应付当前复杂的互联网威胁。

　　因此，不少专业人士看好以HTTP过滤为主的Web安全产品。据悉，目前以Anchiva、Blue Coat、SurfControl、Websense为代表的Web安全厂商已经给市场注入了新鲜的技术血液。有人乐观地表示，虽然目前还没有十全十美的Web安全解决方案，但当前市场已经足够开放，而用户对此的需求与认识也在与日俱增。

　　三大安全标准

　　每一种产品都需要标准，其实对于Web安全标准的争论早已不绝于耳，其关注的焦点在于性能。

　　事实上，Web安全网关的显著特征就是需要提供基于HTTP的高性能过滤。对此，Anchiva中国区总经理李松在接受本报独家专访时表示，对于普通的过滤产品来说，比如常见的垃圾邮件过滤，时间上的要求并不苛刻。即便一封邮件晚几分钟到达，用户也不会抱怨。但HTTP就不同了，如果因为过滤导致速度下降，即便每个网页的打开速度晚上几秒钟，用户都会嗤之以鼻。

　　从目前的情况看，互联网页面的复杂度在不断增加，由此产生的是一个网页就可能包含十几个HTTP请求，对于某些企业或者高校用户来说，在某个集中时间段内的HTTP流量会非常大，这一直是困扰Web安全网关的难题。

　　为此，几大Web安全厂商将HTTP过滤的性能划分为三个要素：

　　第一，吞吐率。该指标衡量每秒可以有多少个HTTP Session通过Web安全网关。目前来看，低端产品一般要提供200M的吞吐量，而高端产品则要支持到800M。此外，根据ICSA(国际计算机安全协会)的规定，高端产品不能用缓存的方式进行过滤，而需要逐个字节进行扫描。

　　第二，并发连接数。在此领域厂商也分成两大派别。一派是以Check Point为代表的软件实现模式，另一派是以Anchiva为代表的FPGA模式。软件模式实现灵活，但其每开一个HTTP连接，都要定位一个内存块，速度会降低。如果转用硬件实现的话，内存的开销就不大。根据ICSA的规定，高端产品每秒必须支持一万以上的并发连接，每一个连接占用的内存在32K以下。

　　据专家介绍，目前高校对于并发连接数非常看重。从某大学测试的情况看，该大学有25000名师生，从2006年9月至今的测试分析，每天傍晚都可以看到1～2千个HTTP并发连接，而每个连接平均具有5～6个Session。换句话说，一台Web安全网关需要完成每秒1万个HTTP Session。而平均一个浏览器可能保持5～6个HTTP连接，因此每秒处理的请求数量是相当可观的。

　　第三，延时。如前文所述，用户无法忍受在浏览网页时要等上4～5秒，他们希望“点击即所得”。事实上，这个标准主要由前两个标准所决定。

        独到之处

　　前面说了，Web安全的发展有其特色，从某些方面看，这个特色是不可或缺的。

　　第一，Web安全网关不会替代防火墙或者IPS的角色，确切的说，它是两者的补充。目前市场上的防火墙主要还是以封端口、抗扫描为主，但其在HTTP方面的容量，普遍只有50M～80M，这远远无法满足企业80%的互联网应用的需求。换句话说，防护墙堵住了企业漏洞的一小部分，而更大的部分则暴露在外。

　　对IPS而言，它是依靠用户行为进行防御的网关设备，但它并不能看到应用层的信息。换句话说，绝大部分的IPS都是进行攻击的防护，而Web安全网关则是通过大量的内容安全库来保护用户杜绝病毒、木马、恶意程序等不安全的内容。当然，从某些功能上说，两者具有相似的地方。但对于某些间谍软件来说，他们会利用子母站点进行诱发下载(可能每秒只下载1K)，而普通的IPS对此则是无能为力。对于很多7层应用，如控制某些应用程序的功能(QQ、MSN等)，大部分IPS也无法应对。

　　第二，Web安全设备不会给企业网络添麻烦。目前主流的Web安全网关可以采取in line或者off line的模式。在in line模式下，in line安全设备可以采取及时行动(甚至可以不需要配IP地址)。通常情况下，用户只需要在防火墙和核心交换机之间部署in line安全网关，并配制成scan模式就可以了。

　　如果用户担心没有使用此类设备的经验，那么也可以采取off line的模式。只要采取旁路侦听的部署方案，用户就不必担心自己的网络受到影响。不过，无论采用哪种部署模式，都会对Web安全设备的处理速度有所要求。因为如果速度跟不上，就会漏掉很多需要检测的数据包。

　　另外，从国内外用户测试的结果看，很多用户的网络并不如预期般的“干净”。参考美国《Network World》公布的美国地区Web安全网关用户报告，一些拥有2万名师生的大学，其测试数据显示，Web安全网关平均一周就要阻挡1万多个有问题的HTTP连接。即便是在银行这种安全措施较为完善的机构中，一周仍然出现了6千个问题连接。

　　回到国内，这个数字还要高。很多国内高校师生不到1万人，但有问题的HTTP连接却超过2万个。据专家透露，这个结果与国内很多学校师生频繁登录大量破解网站下载资料有关。从检测的结果看，国内学生连接到俄罗斯的网站请求很多，而相应的请求到其他国家的却很少。据统计，这些网站很多都有安全问题。

　　第三，独到的内容安全库。对于Web安全网关来说，都需要有一套集成的内容安全库。严格地说，完善的内容安全库不同于普通的URL分类库或者某个IP黑名单地址库。因为URL过滤更加倾向于用户经常访问的网站，并将这些网站进行某些威胁分类。比如色情类、赌博类等等，并进一步限制用户访问。

　　而HTTP过滤的还需要包括普通用户不经常访问的站点。因为对于HTTP安全隐患而言，后者才是容易出问题的地方。