硬件隔離，信息擺渡，應(yīng)用層的細(xì)粒度檢查是信息交換系統(tǒng)中最關(guān)鍵的三個技術(shù)，隨著電子政務(wù)和各種社會化便民網(wǎng)絡(luò)工程的建設(shè)完成，各政府部門和社會管理服務(wù)系統(tǒng)希望通過安全的信息系統(tǒng)建設(shè)，提高了辦事效率，增加了辦公的透明度，加強(qiáng)了監(jiān)管力度。

因此，各種網(wǎng)上便民應(yīng)用要求相關(guān)部門的業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)實(shí)現(xiàn)信息交換系統(tǒng)，同時業(yè)務(wù)部門之間的網(wǎng)上辦公系統(tǒng)要求相關(guān)業(yè)務(wù)網(wǎng)也要實(shí)現(xiàn)信息交換系統(tǒng)。在這些網(wǎng)絡(luò)安全需求中，安全隔離與信息交換系統(tǒng)（以下簡稱“安全隔離網(wǎng)閘”）得到了廣泛應(yīng)用。安全隔離網(wǎng)閘市場已經(jīng)開始進(jìn)入高速增長期。安全隔離網(wǎng)閘的高安全性已經(jīng)逐漸地被政府網(wǎng)絡(luò)管理者所認(rèn)可，從安全隔離網(wǎng)閘現(xiàn)在在公安專網(wǎng)與其外聯(lián)網(wǎng)絡(luò)（如印章制作中心網(wǎng)絡(luò)、旅店監(jiān)管網(wǎng)絡(luò)等），稅務(wù)專網(wǎng)與互聯(lián)網(wǎng)、工商專網(wǎng)與互聯(lián)網(wǎng)等政府部門網(wǎng)絡(luò)中的廣泛應(yīng)用就可以得到印證，并且數(shù)十臺以上的集中采購項(xiàng)目已經(jīng)是經(jīng)常可見的。除了政府應(yīng)用外，軍隊(duì)、金融、電力等行業(yè)也認(rèn)識到了安全隔離網(wǎng)閘的安全價值，在重要的網(wǎng)絡(luò)隔離中采購安全隔離網(wǎng)閘來實(shí)現(xiàn)高安全的數(shù)據(jù)交換。

安全隔離網(wǎng)閘需求量的迅速增長是以產(chǎn)品成熟為前提的！國家相關(guān)部門對安全隔離網(wǎng)閘最基本的技術(shù)要求有兩點(diǎn)：一點(diǎn)是硬件架構(gòu)為“2＋1”結(jié)構(gòu)，即由兩個擁有獨(dú)立操作系統(tǒng)的主機(jī)系統(tǒng)和一個專有的隔離交換模塊組成；另一點(diǎn)是對流經(jīng)的數(shù)據(jù)處理方式，對數(shù)據(jù)包全部在應(yīng)用層進(jìn)行重組、深度內(nèi)容檢測之后在網(wǎng)間進(jìn)行信息“擺渡”。這兩點(diǎn)技術(shù)要求已經(jīng)在主流廠商的安全隔離網(wǎng)閘上得到了嚴(yán)格的執(zhí)行。

但是，各安全隔離網(wǎng)閘廠商研發(fā)的重點(diǎn)都只是集中在對“擺渡”數(shù)據(jù)的深度檢測實(shí)現(xiàn)和提高處理性能上了，筆者在進(jìn)行廣泛地調(diào)研后認(rèn)識到安全隔離網(wǎng)閘的技術(shù)發(fā)展忽視了其作為網(wǎng)關(guān)級安全設(shè)備應(yīng)該進(jìn)一步具有適應(yīng)性、可管理性以及自身安全性。以下筆者將從客戶應(yīng)用需求的角度，展望安全隔離網(wǎng)閘下一步的幾個最新發(fā)展動向。

多網(wǎng)接入安全隔離需求

現(xiàn)在，交警、電業(yè)局、自來水公司等單位在通過銀行實(shí)現(xiàn)相關(guān)費(fèi)用代收時一般要與多家銀行進(jìn)行網(wǎng)絡(luò)連接。安全隔離網(wǎng)閘在這樣的網(wǎng)絡(luò)中部署時使客戶出現(xiàn)了困擾，原因在于現(xiàn)有各廠商的安全隔離網(wǎng)閘部署時每個主機(jī)系統(tǒng)只能連接一個網(wǎng)絡(luò)，那么在不能將各家銀行網(wǎng)絡(luò)連接到同一個信息交換系統(tǒng)設(shè)備上的安全要求下，一般的解決方式只能是有幾家銀行接入就部署幾臺安全隔離網(wǎng)閘。這樣的解決方案很明顯是過于浪費(fèi)的！

以交警網(wǎng)絡(luò)與銀行網(wǎng)絡(luò)連接為例，我們仔細(xì)分析發(fā)現(xiàn)各銀行網(wǎng)絡(luò)相對于交警內(nèi)網(wǎng)都是相同安全級別的網(wǎng)絡(luò)。在各銀行網(wǎng)絡(luò)在實(shí)現(xiàn)無法互訪和分別能與交警內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)信息交換系統(tǒng)的前提下，是可以通過一臺安全隔離網(wǎng)閘與交警內(nèi)網(wǎng)相連接的。這就要求安全隔離網(wǎng)閘滿足主機(jī)系統(tǒng)有多個網(wǎng)絡(luò)連接接口，從而實(shí)現(xiàn)每一主機(jī)系統(tǒng)可以同時連接多個相同安全級別的網(wǎng)絡(luò)，并且每個網(wǎng)絡(luò)接口之間在系統(tǒng)內(nèi)部固化實(shí)現(xiàn)無法互訪。

集中管理需求

防火墻從最初作為獨(dú)立的安全設(shè)備部署在網(wǎng)絡(luò)中，到現(xiàn)在可以通過集中管理控制平臺來實(shí)現(xiàn)對多臺防火墻的統(tǒng)一協(xié)同安全防護(hù)和設(shè)備狀態(tài)監(jiān)控等管理。安全隔離網(wǎng)閘作為與防火墻相類似的網(wǎng)關(guān)級安全設(shè)備，其管理上也必然有相類似的管理技術(shù)發(fā)展脈絡(luò)。

當(dāng)前，市場上的安全隔離網(wǎng)閘還無法實(shí)現(xiàn)集中管理功能，但由于安全隔離網(wǎng)閘的規(guī)模性部署增多和對管理人員技能要求更高，所以用戶對安全隔離網(wǎng)閘的集中管理功能的需求已經(jīng)相當(dāng)迫切。集中式安全管理系統(tǒng)，要以統(tǒng)一的策略和集成的平臺對受控網(wǎng)絡(luò)進(jìn)行安全配置和管理。集中管理員能通過集中管理中心可以對全局網(wǎng)絡(luò)中的安全隔離網(wǎng)閘完成集中、統(tǒng)一的配置、管理和系統(tǒng)監(jiān)視工作。

集中管理模式對于擁有多臺安全隔離網(wǎng)閘的網(wǎng)絡(luò)的安全管理尤為重要。它一方面提高了網(wǎng)絡(luò)安全規(guī)則的一致性，增進(jìn)網(wǎng)絡(luò)的安全性，另一方面也為管理員提供了方便的配置和診斷工具，使管理員可以騰出更多精力的關(guān)注更高級的安全管理工作。

操作系統(tǒng)抗攻擊需求

用戶對安全隔離網(wǎng)閘操作系統(tǒng)抗攻擊的需求越來越迫切。安全隔離網(wǎng)閘作為網(wǎng)關(guān)級網(wǎng)絡(luò)安全設(shè)備，并且對所有的應(yīng)用協(xié)議都是在應(yīng)用層采取代理的方式進(jìn)行處理，從而導(dǎo)致安全隔離網(wǎng)閘的并發(fā)連接數(shù)都是不高的，如百兆平臺一般并發(fā)連接數(shù)不超過一萬個，這個數(shù)量級與防火墻的少則幾十萬和多則上百萬相比實(shí)在太少了。因此，如果在相連網(wǎng)絡(luò)中有主機(jī)感染網(wǎng)絡(luò)病毒或者蓄意發(fā)起DDOS攻擊時，就會導(dǎo)致安全隔離網(wǎng)閘無法響應(yīng)正常的連接請求，由此出現(xiàn)的網(wǎng)絡(luò)故障時有發(fā)生。

安全隔離網(wǎng)閘的操作系統(tǒng)內(nèi)置獨(dú)立的入侵檢測功能和抗DDOS攻擊功能將成為必需。其入侵檢測功能要與系統(tǒng)緊密集成，包括包解碼、規(guī)則解析及檢測引擎、日志記錄及報警等子模塊。采用實(shí)時入侵檢測機(jī)制和自動響應(yīng)技術(shù)，可選擇配置不同的攻擊特征碼，并且支持攻擊特征碼分類，可根據(jù)大類進(jìn)行特征碼選擇。攻擊的特征庫應(yīng)包括掃描攻擊、SMTP攻擊、HTTP攻擊、FTP攻擊等多類攻擊，可以檢測到網(wǎng)絡(luò)中的絕大多數(shù)入侵行為，可以實(shí)時設(shè)置阻斷規(guī)則，將入侵及時阻斷。市場需求是產(chǎn)品技術(shù)發(fā)展的指揮棒，用戶的迫切需求需要具有研發(fā)實(shí)力和市場遠(yuǎn)見的安全隔離網(wǎng)閘廠商來完成。

技術(shù)發(fā)展需要

安全隔離與信息交換系統(tǒng)（以下簡稱“網(wǎng)閘”）的三項(xiàng)關(guān)鍵技術(shù)是：硬件隔離，信息擺渡，應(yīng)用層的細(xì)粒度檢查。網(wǎng)閘作為對網(wǎng)絡(luò)保護(hù)程度接近于物理隔離的安全產(chǎn)品，首先要在硬件上實(shí)現(xiàn)物理隔離。因此，網(wǎng)閘的硬件架構(gòu)上就要是“2＋1”，即有兩個主機(jī)模塊和一個隔離交換模塊。現(xiàn)在除了個別廠商采用兩個主機(jī)模塊直接連接之外，大部分廠商都是采用“2＋ 1”的架構(gòu)，只是各自的交換模塊設(shè)計方式不同。

現(xiàn)在國內(nèi)網(wǎng)閘業(yè)內(nèi)的交換模塊設(shè)計主要有三類實(shí)現(xiàn)方式：專有隔離交換硬件、與主機(jī)模塊相同的主機(jī)和數(shù)據(jù)存儲模塊。基于要在硬件上實(shí)現(xiàn)物理隔離的原則，就要求三個模塊的系統(tǒng)必須互相獨(dú)立，并且通過隔離交換模塊控制開關(guān)的切換確保兩個主機(jī)系統(tǒng)任何時刻不直接相連。網(wǎng)閘支持的應(yīng)用通常包括數(shù)據(jù)庫的同步和訪問、文件交換、郵件交換和訪問、HTTP訪問、FTP訪問等等。對于各種應(yīng)用的控制強(qiáng)度和在應(yīng)用層的檢查力度是檢驗(yàn)各廠商產(chǎn)品的安全防護(hù)能力的驗(yàn)金石。

用戶安全需要

現(xiàn)在我國各級政府的網(wǎng)絡(luò)建設(shè)重心已經(jīng)由最初的面子工程轉(zhuǎn)變成為各級政府電子政務(wù)提供基礎(chǔ)應(yīng)用平臺。政府的網(wǎng)絡(luò)基礎(chǔ)建設(shè)已經(jīng)基本完成，如網(wǎng)上報稅、網(wǎng)上工商、政府辦公大廳等網(wǎng)絡(luò)應(yīng)用已經(jīng)開始全面展開，大大地方便了公民或企業(yè)辦事。這些應(yīng)用都要求各政府單位的業(yè)務(wù)網(wǎng)與國際互聯(lián)網(wǎng)直接或者間接的進(jìn)行連接，同時各政府單位又擔(dān)心安全和保密問題。網(wǎng)閘基于其自身的高安全性，因此是解決此問題的最佳選擇。網(wǎng)閘以自身的安全隔離特性和極高的檢測機(jī)制保證了其保護(hù)的網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)不會被入侵。在高安全需求的網(wǎng)絡(luò)環(huán)境下，網(wǎng)閘正在全面取代防火墻。

聯(lián)想網(wǎng)御通過多年防火墻的研發(fā)積蓄了豐富的硬件設(shè)計、訪問控制、主機(jī)安全防護(hù)、數(shù)據(jù)深層次檢查等安全產(chǎn)品研發(fā)經(jīng)驗(yàn)。很多安全技術(shù)就已經(jīng)成功移植到網(wǎng)閘上，例如多機(jī)負(fù)載均衡技術(shù)的移植，使聯(lián)想網(wǎng)御網(wǎng)閘最大支持32節(jié)點(diǎn)群集，無需任何第三方負(fù)載均衡軟硬件支持。經(jīng)過多年的高速增長，聯(lián)想網(wǎng)御積累了雄厚的資金，從而保障了網(wǎng)御產(chǎn)品擁有相當(dāng)數(shù)量的、穩(wěn)定的、高素質(zhì)的研發(fā)人員，使聯(lián)想網(wǎng)御的網(wǎng)閘技術(shù)能夠傲視群雄，不斷開拓新的市場。同時還有遍布全國的服務(wù)體系，可以全方位的7×24小時的支持，保證了用戶的利益和安全。

另外，聯(lián)想網(wǎng)御作為國家《電子政務(wù)信息安全等級保護(hù)實(shí)施指南》的執(zhí)筆單位，對各政府部門的電子政務(wù)的安全防護(hù)有更深層次的理解。聯(lián)想網(wǎng)御網(wǎng)閘正是在其安全理論的指引下，按照電子政務(wù)各種應(yīng)用特點(diǎn)進(jìn)行了多種定制開發(fā)，真正做到了想用戶之所想。正如使用了聯(lián)想網(wǎng)御網(wǎng)閘的某市政府信息中心主任所說，“網(wǎng)絡(luò)安全工作有聯(lián)想網(wǎng)御幫助使我們感到踏實(shí)！”