【51CTO.com 綜合消息】網(wǎng)絡無邊界，而企業(yè)信息安全管理如果沒有邊界之說，則會讓我們進入一個“混沌的世界”。隨著IT硬件設備采購成本的降低，一些企業(yè)網(wǎng)絡規(guī)模開始迅猛增長，網(wǎng)絡承載的業(yè)務種類也變得復多起來。如何在網(wǎng)關層進行細化，確保業(yè)務系統(tǒng)的健康穩(wěn)定，已經(jīng)成為IT部門“心有馀，而力不足”的難題。

安全網(wǎng)關的發(fā)展遭遇瓶頸

對于學習網(wǎng)絡安全的人來說，防火墻幾乎是我們第一個需要接觸的安全產(chǎn)品。然而，隨著詭異的入侵技術、前所未有的破壞手法以及Web病毒的泛濫，威脅無處不在，傳統(tǒng)防火墻昔日的威風漸漸老去。

從概念上講，安全網(wǎng)關是指設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件的組合的統(tǒng)稱。而從這個概念上派生出來的產(chǎn)品包括了防火墻、VPN網(wǎng)關、防病毒網(wǎng)關、入侵防御網(wǎng)關、反垃圾郵件網(wǎng)關等等?；仡櫼酝@些設備分離開來，使得企業(yè)在安全域邊界部署網(wǎng)關時，用戶如果想要加入更多的功能，只能一層一層的“串”在一起。不但網(wǎng)絡中的數(shù)據(jù)流也被一層層的剝離和重組，如果企業(yè)修改了IT安全策略，也需要一個臺臺設備反復的調(diào)試，各個設備無法聯(lián)動起來，不但維護成本逐漸加大，正常的業(yè)務往來也會受阻。

出于市場需求的增長與改變，F(xiàn)ortinet公司在2002年首先提出了統(tǒng)一威脅管理技術，而這一技術在2004 年9月被IDC提出，并將此命名為統(tǒng)一威脅管理（United Threat Management），簡稱UTM。被人期以厚望的UTM，在這幾年中幾乎將網(wǎng)關市場一攬殆盡，但UTM也有其不足之處。

在網(wǎng)絡被人為的分割成內(nèi)外有別的場景后，針對業(yè)務內(nèi)容的安全防護已經(jīng)為各行各業(yè)所關注亮點。舉例來說，企業(yè)如果部屬了UTM，其本意在于解決應用進行細分化后的防護問題，但一臺設備所能劃分的保護區(qū)十分有限，不得已的情況下，我們只能回歸到傳統(tǒng)的DMZ區(qū)域劃分中，無法實現(xiàn)根據(jù)應用系統(tǒng)實施單一防護。而另外一個問題，則會出現(xiàn)在局域網(wǎng)規(guī)模擴后的應用需求上。例如，企業(yè)內(nèi)網(wǎng)根據(jù)職能部門和權限劃分后，如果財務部門需要訪問單獨的Internet上的資源，例如網(wǎng)上報稅、轉(zhuǎn)賬等，也只能從同一個網(wǎng)絡出口出去，看似安全的網(wǎng)關實際上最后還是無法將內(nèi)網(wǎng)用戶分出一個“三六九等”來。面對這樣的需求，妥協(xié)的方法很簡單，就是再購置一臺網(wǎng)關設備，但這樣的結果又進入了重復投資的“怪圈”。

安全網(wǎng)關如何成為業(yè)務推進器

由于UTM背負著太多的使命，在出現(xiàn)伊始就被賦予了“萬能”的光環(huán)，導致這樣一類的安全產(chǎn)品在一種非正常的環(huán)境下“努力”成長的狀態(tài)。東軟認為：“在集成安全網(wǎng)關市場發(fā)展趨勢看好的情況下，并不是應用集成度越高，就越能證明產(chǎn)品的功能越好；不是技術越好，就能理解用戶需求。分而治之，根據(jù)企業(yè)業(yè)務需求的細化趨勢，提升安全網(wǎng)關產(chǎn)品與業(yè)務融合能力才是關鍵。但這并不意味著技術就要跟在別人后面，在技術上必須有創(chuàng)新，只有做到‘人無我有，人有我優(yōu)，人優(yōu)我變’才能確保不但滿足需求，還能引領市場趨勢的結果。東軟最新推出的一款具有行業(yè)標桿意義的新產(chǎn)品NISG，正是站在‘業(yè)務推進器’這樣一個核心理念上研發(fā)的?！?/P>

據(jù)了解，東軟最新推出NISG的包含了：虛擬化技術、智能關聯(lián)技術，并將東軟專利的NEL技術融入其中。那么這三項最新的技術如何應對不斷增長的業(yè)務需求呢？ 

◆虛擬化技術釋放安全網(wǎng)關最大效能

一般來講，傳統(tǒng)的安全網(wǎng)關都是“共享型”設備。這就好比寫字樓的大門，我們所有的人都只能從這個門出入，不會區(qū)分你是哪個樓層，或者那個公司的職員。這就如在實際應用中，我們迫不得已才將所有的應用劃分在一個安全保護區(qū)中，呈現(xiàn)給最終用戶需要達到“獨占”的效果，這就為虛擬化技術在安全網(wǎng)關上的應用提供了土壤。一臺NISG在邏輯上劃分成多臺虛擬的NISG，每個虛擬系統(tǒng)都可以被看成是一臺完全獨立的NISG設備，針對不同的應用采用不同的安全策略。退一萬步來講，即使有一套業(yè)務系統(tǒng)受到威脅攻擊，而其他業(yè)務系統(tǒng)不會產(chǎn)生連帶效應。 

◆智能關聯(lián)避免網(wǎng)絡設備孤軍作戰(zhàn)

由于每一個業(yè)務部門的流量都被可以被虛擬化隔離，那么如何保證承載業(yè)務的設備也能夠按照業(yè)務部門控制起來呢？首先是NISG的三層交換技術可以與虛擬技術很好的融合，可按照業(yè)務部門劃分不同的訪問策略，為每個用戶提供靈活的網(wǎng)絡部署功能。該技術的采用，使得VLAN、Trunk、Channel等技術能夠很方便地在防火墻上實施，減輕了管理員配置維護的工作負擔。

另外，我們知道，F(xiàn)low是網(wǎng)絡設備廠商為了在網(wǎng)元設備內(nèi)部提高路由轉(zhuǎn)發(fā)速度而引入的一個技術概念，其本意是將高CPU消耗的路由表軟件查詢匹配作業(yè)部分轉(zhuǎn)移到硬件實現(xiàn)的快速轉(zhuǎn)發(fā)模塊上(如Cisco的CEF模式)。而賦予NewFlow技術的NISG設備，就可以將防火墻的流量以FLOW的方式發(fā)給NISG設備，同時NISG也可將具體指令發(fā)給防火墻，這樣的聯(lián)動功能可以成為針對安全策略執(zhí)行上的同等性。另外，也可以將FLOW信息發(fā)送到其他網(wǎng)絡設備上，與第三方產(chǎn)品配合工作，真正能夠按照某一個業(yè)務部門的需求配套執(zhí)行。 

◆NEL技術實現(xiàn)應用層的放大鏡

網(wǎng)絡威脅是每一個組織都必須認真面對的問題，而對于應用層的攻擊很多企業(yè)的IT部門都無法找到良藥。東軟NISG產(chǎn)品中核心專利技術--NEL的應用，可將引擎、協(xié)議分析和攻擊檢測數(shù)據(jù)通過NEL快速融合。NEL對于各種應用層協(xié)議的檢測粒度非常精細，這就如網(wǎng)絡中安插了一個“高倍放大鏡”，從而提高檢測的效率，更加準確的判斷網(wǎng)絡行為。例如，對于URL掛馬這種惡意的攻擊，管理員僅需要對協(xié)議指定范圍的位置進行查找即可，無需再去整個網(wǎng)頁中的其他位置查找，這既增加了檢查的效率，又避免了其它位置存在關鍵特征字符導致的誤報。而針對內(nèi)往用戶的上網(wǎng)行為管理上，由于具備了應用層檢測能力，能夠更細致的對QQ、MSN、H.323、SIP等應用協(xié)議進行控制。所以不但是增加了一個“放大鏡”，更是增加了一個網(wǎng)絡哨兵，有效地防止信息泄露這種“最恐怖的事情”發(fā)生。

縱觀IT大融合的趨勢，我們相信未來幾年安全的發(fā)展必然要與業(yè)務融合，永遠走在業(yè)務系統(tǒng)的后面，等待別人催著走的日子應該成為歷史。而IT 基礎架構最終也會成為一種技術資產(chǎn)，為企業(yè)實現(xiàn)“業(yè)務就緒”之后提供強大的保證，助企業(yè)簡化安全管理的難度，并通過安全有效的網(wǎng)絡架構提高業(yè)務的洞察力。