【51CTO.com 綜合消息】網絡無邊界，而企業信息安全管理如果沒有邊界之說，則會讓我們進入一個“混沌的世界”。隨著IT硬件設備采購成本的降低，一些企業網絡規模開始迅猛增長，網絡承載的業務種類也變得復多起來。如何在網關層進行細化，確保業務系統的健康穩定，已經成為IT部門“心有馀，而力不足”的難題。

安全網關的發展遭遇瓶頸

對于學習網絡安全的人來說，防火墻幾乎是我們第一個需要接觸的安全產品。然而，隨著詭異的入侵技術、前所未有的破壞手法以及Web病毒的泛濫，威脅無處不在，傳統防火墻昔日的威風漸漸老去。

從概念上講，安全網關是指設置在不同網絡或網絡安全域之間的一系列部件的組合的統稱。而從這個概念上派生出來的產品包括了防火墻、VPN網關、防病毒網關、入侵防御網關、反垃圾郵件網關等等。回顧以往，這些設備分離開來，使得企業在安全域邊界部署網關時，用戶如果想要加入更多的功能，只能一層一層的“串”在一起。不但網絡中的數據流也被一層層的剝離和重組，如果企業修改了IT安全策略，也需要一個臺臺設備反復的調試，各個設備無法聯動起來，不但維護成本逐漸加大，正常的業務往來也會受阻。

出于市場需求的增長與改變，Fortinet公司在2002年首先提出了統一威脅管理技術，而這一技術在2004 年9月被IDC提出，并將此命名為統一威脅管理（United Threat Management），簡稱UTM。被人期以厚望的UTM，在這幾年中幾乎將網關市場一攬殆盡，但UTM也有其不足之處。

在網絡被人為的分割成內外有別的場景后，針對業務內容的安全防護已經為各行各業所關注亮點。舉例來說，企業如果部屬了UTM，其本意在于解決應用進行細分化后的防護問題，但一臺設備所能劃分的保護區十分有限，不得已的情況下，我們只能回歸到傳統的DMZ區域劃分中，無法實現根據應用系統實施單一防護。而另外一個問題，則會出現在局域網規模擴后的應用需求上。例如，企業內網根據職能部門和權限劃分后，如果財務部門需要訪問單獨的Internet上的資源，例如網上報稅、轉賬等，也只能從同一個網絡出口出去，看似安全的網關實際上最后還是無法將內網用戶分出一個“三六九等”來。面對這樣的需求，妥協的方法很簡單，就是再購置一臺網關設備，但這樣的結果又進入了重復投資的“怪圈”。

安全網關如何成為業務推進器

由于UTM背負著太多的使命，在出現伊始就被賦予了“萬能”的光環，導致這樣一類的安全產品在一種非正常的環境下“努力”成長的狀態。東軟認為：“在集成安全網關市場發展趨勢看好的情況下，并不是應用集成度越高，就越能證明產品的功能越好；不是技術越好，就能理解用戶需求。分而治之，根據企業業務需求的細化趨勢，提升安全網關產品與業務融合能力才是關鍵。但這并不意味著技術就要跟在別人后面，在技術上必須有創新，只有做到‘人無我有，人有我優，人優我變’才能確保不但滿足需求，還能引領市場趨勢的結果。東軟最新推出的一款具有行業標桿意義的新產品NISG，正是站在‘業務推進器’這樣一個核心理念上研發的。”

據了解，東軟最新推出NISG的包含了：虛擬化技術、智能關聯技術，并將東軟專利的NEL技術融入其中。那么這三項最新的技術如何應對不斷增長的業務需求呢？ 

◆虛擬化技術釋放安全網關最大效能

一般來講，傳統的安全網關都是“共享型”設備。這就好比寫字樓的大門，我們所有的人都只能從這個門出入，不會區分你是哪個樓層，或者那個公司的職員。這就如在實際應用中，我們迫不得已才將所有的應用劃分在一個安全保護區中，呈現給最終用戶需要達到“獨占”的效果，這就為虛擬化技術在安全網關上的應用提供了土壤。一臺NISG在邏輯上劃分成多臺虛擬的NISG，每個虛擬系統都可以被看成是一臺完全獨立的NISG設備，針對不同的應用采用不同的安全策略。退一萬步來講，即使有一套業務系統受到威脅攻擊，而其他業務系統不會產生連帶效應。 

◆智能關聯避免網絡設備孤軍作戰

由于每一個業務部門的流量都被可以被虛擬化隔離，那么如何保證承載業務的設備也能夠按照業務部門控制起來呢？首先是NISG的三層交換技術可以與虛擬技術很好的融合，可按照業務部門劃分不同的訪問策略，為每個用戶提供靈活的網絡部署功能。該技術的采用，使得VLAN、Trunk、Channel等技術能夠很方便地在防火墻上實施，減輕了管理員配置維護的工作負擔。

另外，我們知道，Flow是網絡設備廠商為了在網元設備內部提高路由轉發速度而引入的一個技術概念，其本意是將高CPU消耗的路由表軟件查詢匹配作業部分轉移到硬件實現的快速轉發模塊上(如Cisco的CEF模式)。而賦予NewFlow技術的NISG設備，就可以將防火墻的流量以FLOW的方式發給NISG設備，同時NISG也可將具體指令發給防火墻，這樣的聯動功能可以成為針對安全策略執行上的同等性。另外，也可以將FLOW信息發送到其他網絡設備上，與第三方產品配合工作，真正能夠按照某一個業務部門的需求配套執行。 

◆NEL技術實現應用層的放大鏡

網絡威脅是每一個組織都必須認真面對的問題，而對于應用層的攻擊很多企業的IT部門都無法找到良藥。東軟NISG產品中核心專利技術--NEL的應用，可將引擎、協議分析和攻擊檢測數據通過NEL快速融合。NEL對于各種應用層協議的檢測粒度非常精細，這就如網絡中安插了一個“高倍放大鏡”，從而提高檢測的效率，更加準確的判斷網絡行為。例如，對于URL掛馬這種惡意的攻擊，管理員僅需要對協議指定范圍的位置進行查找即可，無需再去整個網頁中的其他位置查找，這既增加了檢查的效率，又避免了其它位置存在關鍵特征字符導致的誤報。而針對內往用戶的上網行為管理上，由于具備了應用層檢測能力，能夠更細致的對QQ、MSN、H.323、SIP等應用協議進行控制。所以不但是增加了一個“放大鏡”，更是增加了一個網絡哨兵，有效地防止信息泄露這種“最恐怖的事情”發生。

縱觀IT大融合的趨勢，我們相信未來幾年安全的發展必然要與業務融合，永遠走在業務系統的后面，等待別人催著走的日子應該成為歷史。而IT 基礎架構最終也會成為一種技術資產，為企業實現“業務就緒”之后提供強大的保證，助企業簡化安全管理的難度，并通過安全有效的網絡架構提高業務的洞察力。