Co zatem oferuje rynek? Koncepcji jest kilka. Od dedykowanych rozwiązań przeznaczonych tylko do ochrony weba i kojarzonych z nim aplikacji, poprzez wszelkiego rodzaju produkty typu "add-on" do już istniejących rozwiązań - najczęściej firewalli lub serwerów proxy, aż po wbudowywanie odpowiednich funkcjonalności w produkty typu UTM.

Każde podejście, jak zwykle, ma wady i zalety. Rozwiązanie dedykowane jest oczywiście najpotężniejsze, jednak wymaga większych nakładów finansowych zarówno na zakup, jak i późniejsze utrzymanie (przeszkolony administrator). Takie rozwiązania najczęściej nazywane są "Web Security Gateway" (WSG) lub "Content Security Gateway" (CSG). Z drugiej jednak strony stojące na przeciwległym biegunie UTM to niskie koszty, łatwa obsługa, ale też i uboga w porównaniu ze swoimi "dużymi" krewnymi funkcjonalność. W przypadku rozwiązań UTM - oferowanych przez producentów niemających doświadczenia w filtrowaniu WWW - zauważalna jest tendencja do nawiązywania współpracy z tuzami rynku ochrony webowej. Przykładami takich aliansów mogą być SurfControl w przypadku Junipera, czy WebSense - Check Pointa. Warto na marginesie wspomnieć, że całkiem niedawno WebSense wykupił SufrControl. Jak ta fuzja wpłynie na rynek, zobaczymy w najbliższym czasie. Dedykowane rozwiązania typu WSG stosują obecnie cały zakres technologii, które sprawiają, że system zaczyna powoli przypominać krzyżówkę firewalla i IPS-a skrojonego pod kątem analizy ruchu webowego.

Nie wystarczy filtrowanie URL

Trzonem WSG jest w dalszym ciągu filtrowanie URL, oparte na wcześniejszym skategoryzowaniu określonych stron. O tym, czy filtr URL jest mniej czy bardziej skuteczny, decydują przede wszystkim obszerność i aktualność bazy objętych indeksacją portali i stron oraz dokładność kategoryzacji. To również umiejętność "czytania" stron wielojęzycznych. W proces indeksacji zaprzęgane są zarówno maszyny (tzw. crawlery, które skanują zawartość Internetu i na podstawie mniej lub bardziej złożonych algorytmów określają kategorię strony), jak i ludzie - kiedy maszyny nie mają pewności co do kategorii. Producenci prześcigają się tutaj w liczbach. Można powiedzieć, że baza poniżej 25 milionów rekordów to rezultat raczej średni. Dla przykładu: Alladin chwali się 60 milionami wpisów zgrupowanymi w 60 kategoriach, WebSense 35 milionami w ponad 95 kategoriach, Fortinet 30 milionami w 75 kategoriach, BorderWare 21 milionami w 50 kategoriach, Cisco 20 milionami w 50 kategoriach.

Ale samo proste filtrowanie URL to jednak, jak już wspomnieliśmy, nie wszystko. Przydałyby się narzędzia biorące pod uwagę inne kryteria, niż tylko kategorie. Dlatego też - podobnie jak w przypadku bramek antyspamowych - i tutaj wkroczyły i rozwijają się wszelkiego rodzaju technologie oparte na określaniu reputacji portali. W zależności od producenta noszą one różne nazwy, ale zasada działania jest podobna. Chodzi tutaj o badanie takich danych, jak adresy IP serwerów webowych, czas życia witryny, kraj pochodzenia, dostępności informacji o rejestrującym domenę itp. - w powiązaniu z treściami, które dany portal zawiera.

Ponadto, w związku z dużą dynamiką internetu, zwłaszcza Web 2.0, konieczne jest skanowanie ruchu przychodzącego i wychodzącego w czasie rzeczywistym i podejmowanie działań proaktywnych (ostatnio bardzo modne słowo), a nie reaktywnych. Temu znowu służą różne technologie.

Podstawa to skaner antywirusowy/antyspyware'owy. W dobrych rozwiązaniach skaner taki potrafi badać ruch nie tylko na podstawie sygnatur (choć jest to skanowanie najszybsze i skuteczne w przypadku znanych wzorców), lecz także stosować mechanizmy heurystyczne - wykrywać wszelkie warianty znanych sobie zagrożeń. Do pracy zostają wykorzystane także techniki wirtualizacji i analizy kodu, co pozwala na zbadanie jego zachowania i na tej podstawie klasyfikację. W związku z mnogością protokołów i portów, które stosowane są w Web 2.0, konieczna staje się umiejętność ich identyfikacji i analizy w celu prowadzenia skutecznej kontroli, także bez wykorzystania sygnatur. Kontrolując ruch webowy, systemy ochrony włączają do wykorzystywanych przez siebie mechanizmów także te, które dają szansę na kontrolowanie ruchu konkretnych aplikacji - głównie spod znaku P2P oraz Instant Messaging.

Skoro mowa o zaglądaniu w ruch - niektóre rozwiązania są pośrednikiem w komunikacji SSL. Potrafią one "rozszyć" ruch SSL, zbadać jego zawartość, a następnie ponownie zaszyfrować (operacje te ze względów bezpieczeństwa powinny odbywać się w pamięci). Urządzenie widoczne jest dla serwera webowego jako zwykła przeglądarka, a dla klienta jako serwer.

Jak już zostało powiedziane, niezwykle istotna jest kontrola treści, która opuszcza firmę. Aby była ona możliwa, rozwiązanie musi zostać "nakarmione" określonymi informacjami. Tworzone są więc bazy zwrotów, numerów czy określonych ich kombinacji. Na tej podstawie istnieje możliwość prowadzenia inspekcji ruchu i np. zablokowania wyświetlania określonych rezultatów w wyszukiwarkach, czy też publikowania zakazanych treści na blogach czy forach internetowych.

Urządzenie czy oprogramowanie?

Na co więc należy zwracać szczególną uwagę podczas doboru konkretnego rozwiązania? Jedną z pierwszych spraw, które należy wziąć pod uwagę, jest wybór potrzebnych funkcjonalności - nie zawsze będą potrzebne wszystkie wodotryski. Druga sprawa, to oszacowanie potrzeb pod kątem wydajność i skalowalność rozwiązania - wymagania zależne będą od natężenia ruchu i liczby użytkowników. Większość producentów oferujących rozwiązania filtrujące ruch webowy ma w swojej ofercie zarówno wersje software'owe, jak i dedykowane urządzenia. Wybór - jak zwykle w takim przypadku - zależy od wielu czynników. Jeżeli dysponujemy odpowiednio wydajnymi maszynami w serwerowni (kompleksowa ochrona - w zależności od natężenia ruchu - wymaga min. 2 GB RAM, wydajnego procesora, redundancji), to dobrym pomysłem jest rozwiązanie programowe.

W wielu przypadkach bardziej opłacalne jest skorzystanie z gotowej wersji appliance (czasami wzbogaconej o akceleratory sprzętowe). Oszczędza nam to wiele problemów ze skalowalnością - to już zmartwienie producenta, a także swoistej schizofrenii wsparcia technicznego w  razie kłopotów (osobne wsparcie na sprzęt, osobne na oprogramowanie).

Nie bez znaczenia jest też dobranie rozwiązania, mając na uwadze tryb, w jakim może pracować np. inline, jako proxy, tryb sniffera podłączany do portu span na switchu itp. Od trybu będzie zależała "przezroczystość" monitoringu/filtrowania dla użytkownika. Im większa, tym mniejsze obciążenie zgłoszeniami help desku. Do tego należy dołożyć kwestie związane z HA/LB (High Availability/Load Balancing). Nie wszystkie rozwiązania dają takie możliwości. Wtedy dobrze jest sprawdzić - zwłaszcza w odniesieniu do tych pracujących w trybie inline - czy pozwalają na podjęcie decyzji: czy w razie awarii ruch zostanie puszczony bez filtrowania (fail-open), czy też całkowicie zablokowany (fail-close) - jak w dobrych IPS-ach.