Wraz z ekspansją e-biznesu pojawiły się zagrożenia związane z wykorzystaniem Internetu oraz aplikacji webowych. Poczta elektroniczna i dostęp do WWW to aplikacje krytyczne dla współczesnego biznesu, otwierające "drzwi" do sieci przedsiębiorstwa. Coraz powszechniejsze wykorzystywanie do prowadzenia biznesu serwerów webowych i aplikacji działających w technice webowej prowokuje coraz częstsze ataki. Dla zarządców sieci problem ochrony przed zagrożeniami internetowymi staje się strategiczny.

Zagrożenia związane z aplikacjami internetowymi

W miarę stosowania coraz ściślejszej ochrony przeciwko znanym wirusom czy robakom napastnicy zaczynają wykorzystywać do ich transportu protokoły webowe używane zazwyczaj w nieszkodliwych celach (innymi słowy, przepuszczane przez zapory ogniowe), w związku z czym same zapory ogniowe nie stanowią już dostatecznego zabezpieczenia sieci przedsiębiorstwa. Statystyki podają, że 70 proc. wszystkich wtargnięć jest związanych z portem 80, zazwyczaj otwartym na zaporach ogniowych.

W tej sytuacji krytyczną rolę w kwestii bezpieczeństwa zaczyna odgrywać centralne skanowanie antywirusowe i ochrona zawartości przy dostępie do Internetu, likwidujące szkodliwą zawartość jeszcze przed strefą ochronną sieci. Zastosowanie scentralizowanych usług ochrony antywirusowej było wcześniej utrudnione z uwagi na wydajność i ograniczenia skalowalności rozwiązań opartych na zaporach ogniowych. Otwarta natura Internetu jest błogosławieństwem dla użytkowników, a przekleństwem dla zarządców sieci.

Coraz częściej wykorzystuje się techniki webowe w środowisku aplikacyjnym, takie jak ActiveX, JavaScript, aplety Javy i inne aktywne komponenty zawartości. Administratorzy ochrony mają trudności z zabezpieczaniem sieci przed zagrożeniami związanymi z szkodliwym używaniem tych właśnie technologii. Złośliwe kody wirusów "mobilnych", takich jak Nimda czy Code Red, wchodzą do sieci jako formy wykonywalne (ActiveX, JavaScript, Visual Basic Scripts itp.), dołączane do obiektów przepuszczanych przez port na zaporze ogniowej.

Zabezpieczanie się przed zagrożeniami wirusowymi utrudnia szczególnie natura Internetu – działanie w czasie rzeczywistym. Skanowanie antywirusowe zużywa znaczne zasoby przetwarzania i często opóźnia działanie aplikacji sieciowych. Wiele firm podejmuje próby wdrażania skanowania wirusowego zawartości w czasie rzeczywistym, ale szybko dochodzi do wniosku, że dostępne produkty są efektywne w przeszukiwaniu zawartości, ale za powolne, aby ich używać bez negatywnego wpływu na wydajność systemu.

Metody skanowania antywirusowego

Scentralizowane schematy ochrony antywirusowej opierają się zazwyczaj na dwóch architekturach.

Pierwsza polega na instalowaniu aplikacji antywirusowych na tych samych serwerach, co zapory ogniowe. Podejście drugie, spotykane najczęściej w połączeniu z zaporami działającymi na poziomie pakietów, polega na przesyłaniu zawartości z zapory do oddzielnych serwerów, na których pracują aplikacje antywirusowe.

Scentralizowane rozwiązania ochrony antywirusowej ze wspólnym serwerem są instalowane jako aplikacje współrezydentne z zaporami ogniowymi działającymi na poziomie aplikacyjnym (tzw. proxy firewall). W modelu tym zapora ogniowa poziomu aplikacyjnego włącza do kontroli przepływającego ruchu współrezydentną aplikację antywirusową. Takie rozwiązanie jest stosowane zazwyczaj w środowiskach charakteryzujących się umiarkowanym ruchem. Podstawowym ograniczeniem jest zapotrzebowanie aplikacji antywirusowej zasoby związane z przetwarzaniem, które muszą być jeszcze współdzielone z zaporą ogniowa.

Zapory ogniowe działające na poziomie pakietów opierają się na technice kontroli kontekstowej (stateful inspection) i stanowią bezsprzecznie największy odsetek wśród zapór. Powodem tego jest ich wydajność i skalowalność – dużo większa niż w zapór proxy.