【正文】 其進(jìn)行了定義。 間諜軟件在未來將會(huì)變得更具威脅性，不僅可以竊取口令、信用卡號(hào)，而且還可以偷走各種類型的身份信息，用于一些更加險(xiǎn)惡的目的，如捕捉和傳送Word和Excel文檔，竊取企業(yè)秘密等。主要被企業(yè)、私人偵探、司法機(jī)構(gòu)、間諜機(jī)構(gòu)等使用。而且軟件設(shè)置簡(jiǎn)單，只要填寫自己的郵件地址和設(shè)置一下運(yùn)行即可。記錄用戶的姓名、性別、年齡、密碼、域、電話號(hào)碼、郵件地址、VPN、Web瀏覽記錄、網(wǎng)上購物活動(dòng)、硬件或軟件設(shè)置等信息。間諜軟件可分為兩類，一類是“廣告型間諜軟件”。最新統(tǒng)計(jì)顯示，在過去的12個(gè)月中，全球感染間諜軟件的企業(yè)數(shù)量增長(zhǎng)了近50%。它還能夠竊取密碼、信用卡號(hào)和其它機(jī)密數(shù)據(jù)。由于間諜軟件隱藏在用戶計(jì)算機(jī)中、秘密監(jiān)視用戶活動(dòng)，并已經(jīng)建立了一個(gè)進(jìn)入個(gè)人電腦的通道，很容易對(duì)用戶電腦做后續(xù)的攻擊。 間諜軟件間諜軟件（英文名稱為“spyware”）是一種來自互聯(lián)網(wǎng)的，能夠在用戶不知情的情況下偷偷進(jìn)行非法安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機(jī)密信息發(fā)送給第三者的軟件。“極光”IE漏洞掛馬攻擊在國(guó)內(nèi)最早出現(xiàn)在1月17日晚間，初期規(guī)模并不大，18日全天也僅有220家網(wǎng)站，但隨著部分黑客論壇公開提供“極光木馬生成器”下載，針對(duì)該漏洞的掛馬網(wǎng)站數(shù)量在20日全天就超過了1萬家，掛馬網(wǎng)頁更是超過14萬個(gè)。回顧歷史，可以發(fā)現(xiàn)從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到用戶遭受攻擊的時(shí)間正快速縮短，即零時(shí)差攻擊的可能性越來越大。 零時(shí)差攻擊零時(shí)差攻擊（Zeroday Attack）是指從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到黑客制造出針對(duì)該漏洞、弱點(diǎn)的惡意代碼并發(fā)起攻擊之間的時(shí)間差幾乎為零的攻擊。已發(fā)現(xiàn)的DOS攻擊程序有ICMP Smurf、UDP 反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo 和 Stacheldraht。用一臺(tái)攻擊機(jī)來攻擊不再起作用的話，攻擊者使用10臺(tái)攻擊機(jī)、100臺(tái)呢共同發(fā)起攻擊呢？DDoS就是利用大量的傀儡機(jī)來發(fā)起攻擊，積少成多超過網(wǎng)絡(luò)和系統(tǒng)的能力的極限，最終擊潰高性能的網(wǎng)絡(luò)和系統(tǒng)。隨著網(wǎng)絡(luò)和系統(tǒng)性能的大幅提高，CPU的主頻已達(dá)數(shù)G，服務(wù)器的內(nèi)存通常在2G以上，此外網(wǎng)絡(luò)的吞吐能力已達(dá)萬兆，單機(jī)發(fā)起的DoS攻擊好比孤狼斗猛虎，沒有什么威脅。這類供給典型的例子如Teardrop、Land、KoD和Winnuke；對(duì)第一種DOS攻擊可以通過打補(bǔ)丁的方法來防御，但對(duì)付第二種攻擊就沒那么簡(jiǎn)單了，另一類DOS和DDOS利用看似合理的海量服務(wù)請(qǐng)求來耗盡網(wǎng)絡(luò)和系統(tǒng)的資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。 拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊除了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議存在漏洞和缺陷，而可能遭受攻擊外，現(xiàn)在IT部門還會(huì)拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）的挑戰(zhàn)。圖 19952004安全漏洞報(bào)告情況統(tǒng)計(jì)如此多的漏洞，對(duì)IT部門意味著什么？安全小組必須采取行動(dòng)獲得補(bǔ)丁程序、測(cè)試、最后將其部署在服務(wù)器上，為什么不直接給服務(wù)器打補(bǔ)丁呢？因?yàn)椴荒鼙ＷC補(bǔ)丁對(duì)應(yīng)用系統(tǒng)沒有影響，為了以防萬一，必須對(duì)補(bǔ)丁程序進(jìn)行測(cè)試和驗(yàn)證，然后才允許將其投入生產(chǎn)系統(tǒng)。自計(jì)算機(jī)緊急事件相應(yīng)組（CERT）與1995年開始對(duì)系統(tǒng)漏洞進(jìn)行跟蹤以來，到2004年已有超過12，000個(gè)漏洞被報(bào)告，而且自1999年以來，每年的數(shù)量都翻翻，增長(zhǎng)如此迅猛。 面臨的內(nèi)容安全威脅當(dāng)前業(yè)務(wù)系統(tǒng)“曾經(jīng)出現(xiàn)過”和“潛在出現(xiàn)”的各種內(nèi)容安全威脅主要包括如下： 漏洞利用無可厚非，軟件開發(fā)人員在開發(fā)一個(gè)系統(tǒng)的時(shí)候，將實(shí)現(xiàn)相應(yīng)的功能作為首要的任務(wù)，而且他們?cè)诰帉懞驼{(diào)試程序時(shí)通常僅考慮用戶正常使用的情況，而對(duì)誤用和惡意使用這些例外和異常情況處理考慮不周之處，也就形成了系統(tǒng)漏洞，或稱系統(tǒng)的弱點(diǎn)。NGAF可以為不同規(guī)模的行業(yè)用戶的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場(chǎng)景提供更加精細(xì)、更加全面、更高性能的應(yīng)用內(nèi)容防護(hù)方案。NGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用管控、應(yīng)用可視化、應(yīng)用內(nèi)容防護(hù)等方面的巨大不足，同時(shí)開啟所有功能后性能不會(huì)大幅下降。 深信服NGAF的特點(diǎn)與用戶價(jià)值通過將中國(guó)用戶的安全需求與Garnter定義的“NGFW”功能特性相結(jié)合，深信服推出了下一代應(yīng)用防火墻NGAF產(chǎn)品。不斷變化的威脅環(huán)境，以及不斷變化的業(yè)務(wù)和IT流程將促使網(wǎng)絡(luò)安全經(jīng)理在他們的下一個(gè)防火墻/IPS更新周期時(shí)尋找NGFW。例子包括利用目錄集成將阻止行為與用戶身份綁在一起，或建立地址的黑白名單。例子包括允許使用Skype，但關(guān)閉Skype中的文件共享或始終阻止GoToMyPC。集成具有高質(zhì)量的IPS引擎和特征碼，是NGFW的一個(gè)主要特征。例如提供防火墻規(guī)則來阻止某個(gè)地址不斷向IPS加載惡意傳輸流。（2）集成的而非僅僅共處一個(gè)位置的網(wǎng)絡(luò)入侵檢測(cè)：支持面向安全漏洞的特征碼和面向威脅的特征碼。在Gartner 看來，NGFW 應(yīng)該是一個(gè)線速（wirespeed）網(wǎng)絡(luò)安全處理平臺(tái)， 在功能上至少應(yīng)當(dāng)具備以下幾個(gè)屬性：1．支持聯(lián)機(jī)“bumpinthewire”配置，不中斷網(wǎng)絡(luò)運(yùn)行。因此，UTM的方案只能滿足部分規(guī)模較小、應(yīng)用簡(jiǎn)單網(wǎng)絡(luò)環(huán)境的安全防護(hù)要求，但是面對(duì)應(yīng)用復(fù)雜、網(wǎng)絡(luò)性能較高的高端部署場(chǎng)景來說（數(shù)據(jù)中心、廣域骨干網(wǎng)、大型互聯(lián)網(wǎng)出口等），UTM依然無力。同時(shí)，由于應(yīng)用層安全防護(hù)強(qiáng)調(diào)的是計(jì)算的靈活性與并行處理能力（特征比對(duì)等），而傳統(tǒng)網(wǎng)絡(luò)層安全設(shè)備強(qiáng)調(diào)的是單一功能的、重復(fù)計(jì)算的高性能（基于端口的狀態(tài)檢測(cè)）。所以，部分UTM可以稱為“帶著半個(gè)眼罩”的保安。 簡(jiǎn)單堆砌的UTMUTM的出現(xiàn)曾經(jīng)很好的解決了“補(bǔ)丁式”安全方案高成本的問題，但是依然無法有效的與網(wǎng)絡(luò)環(huán)境相匹配，無法提供完整的防護(hù)功能。因此，這種補(bǔ)丁式的建設(shè)方案，缺乏站在整體角度審視用戶安全需求。 防護(hù)效果不理想：這種方案在性能、檢測(cè)精度、可靠性等方面均存在較多問題。但是，隨著業(yè)務(wù)的開展，其問題日益凸顯： 投資成本高：首先，同樣性能的應(yīng)用層安全設(shè)備要比網(wǎng)絡(luò)層安全設(shè)備高數(shù)倍，再部署多臺(tái)，整個(gè)方面的前期硬件投資就會(huì)增加4倍甚至10倍。 IPS+AV+WAF補(bǔ)丁式的方案面對(duì)防火墻成為“擺設(shè)”的現(xiàn)實(shí)，出現(xiàn)了不少補(bǔ)充型的加固方案，其中最典型的方式就是FW+IPS+AV+WAF這種“串糖葫蘆式”的建設(shè)。防火墻存在的問題如下： 戴著眼罩的保安：如果防火墻依然通過端口設(shè)置訪問權(quán)限，那么針對(duì)單一端口下的多種應(yīng)用和動(dòng)作，針對(duì)端口動(dòng)態(tài)變化的應(yīng)用來說，防火墻只能霧里看花，無法實(shí)現(xiàn)有效地、精細(xì)地訪問權(quán)限控制； 過時(shí)的盾牌：如果把網(wǎng)絡(luò)層攻擊比喻成冷兵器時(shí)代的“刀槍劍戟”，把應(yīng)用層混合威脅比喻成熱兵器時(shí)代的“長(zhǎng)槍大炮”，那么防火墻就好比是過時(shí)的“盾牌”，面對(duì)已經(jīng)不常出沒的冷兵器還是可以防護(hù)的，但是面對(duì)“長(zhǎng)槍大炮”防火墻就自身難保。 防火墻成為了“擺設(shè)”從1990開始，隨著Internet的快速發(fā)展，網(wǎng)絡(luò)安全的問題也逐步為人們所重視，從最初采用簡(jiǎn)單的訪問控制列表，到部署防火墻來保護(hù)周界安全。因此，基于傳統(tǒng)網(wǎng)絡(luò)層安全設(shè)備ASIC的設(shè)計(jì)思路需要調(diào)整，并重新設(shè)計(jì)系統(tǒng)架構(gòu)，才能滿足萬兆級(jí)完整的應(yīng)用層防護(hù)處理能力。而當(dāng)前應(yīng)用層安全處理能力僅僅停留在準(zhǔn)千兆級(jí)別，往往只有600800兆左右的線速能力，成為了嚴(yán)重的網(wǎng)絡(luò)性能瓶頸。 端到端的萬兆處理能力當(dāng)前的IT系統(tǒng)已經(jīng)全面具備了萬兆處理能力，萬兆網(wǎng)絡(luò)、萬兆存儲(chǔ)、萬兆計(jì)算，甚至100G/40G的網(wǎng)絡(luò)標(biāo)準(zhǔn)已經(jīng)誕生。因此，面