硬件隔離，信息擺渡，應(yīng)用層的細粒度檢查是信息交換系統(tǒng)中最關(guān)鍵的三個技術(shù)，隨著電子政務(wù)和各種社會化便民網(wǎng)絡(luò)工程的建設(shè)完成，各政府部門和社會管理服務(wù)系統(tǒng)希望通過安全的信息系統(tǒng)建設(shè)，提高了辦事效率，增加了辦公的透明度，加強了監(jiān)管力度。

因此，各種網(wǎng)上便民應(yīng)用要求相關(guān)部門的業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)實現(xiàn)信息交換系統(tǒng)，同時業(yè)務(wù)部門之間的網(wǎng)上辦公系統(tǒng)要求相關(guān)業(yè)務(wù)網(wǎng)也要實現(xiàn)信息交換系統(tǒng)。在這些網(wǎng)絡(luò)安全需求中，安全隔離與信息交換系統(tǒng)（以下簡稱“安全隔離網(wǎng)閘”）得到了廣泛應(yīng)用。安全隔離網(wǎng)閘市場已經(jīng)開始進入高速增長期。安全隔離網(wǎng)閘的高安全性已經(jīng)逐漸地被政府網(wǎng)絡(luò)管理者所認可，從安全隔離網(wǎng)閘現(xiàn)在在公安專網(wǎng)與其外聯(lián)網(wǎng)絡(luò)（如印章制作中心網(wǎng)絡(luò)、旅店監(jiān)管網(wǎng)絡(luò)等），稅務(wù)專網(wǎng)與互聯(lián)網(wǎng)、工商專網(wǎng)與互聯(lián)網(wǎng)等政府部門網(wǎng)絡(luò)中的廣泛應(yīng)用就可以得到印證，并且數(shù)十臺以上的集中采購項目已經(jīng)是經(jīng)?？梢姷?。除了政府應(yīng)用外，軍隊、金融、電力等行業(yè)也認識到了安全隔離網(wǎng)閘的安全價值，在重要的網(wǎng)絡(luò)隔離中采購安全隔離網(wǎng)閘來實現(xiàn)高安全的數(shù)據(jù)交換。

安全隔離網(wǎng)閘需求量的迅速增長是以產(chǎn)品成熟為前提的！國家相關(guān)部門對安全隔離網(wǎng)閘最基本的技術(shù)要求有兩點：一點是硬件架構(gòu)為“2＋1”結(jié)構(gòu)，即由兩個擁有獨立操作系統(tǒng)的主機系統(tǒng)和一個專有的隔離交換模塊組成；另一點是對流經(jīng)的數(shù)據(jù)處理方式，對數(shù)據(jù)包全部在應(yīng)用層進行重組、深度內(nèi)容檢測之后在網(wǎng)間進行信息“擺渡”。這兩點技術(shù)要求已經(jīng)在主流廠商的安全隔離網(wǎng)閘上得到了嚴格的執(zhí)行。

但是，各安全隔離網(wǎng)閘廠商研發(fā)的重點都只是集中在對“擺渡”數(shù)據(jù)的深度檢測實現(xiàn)和提高處理性能上了，筆者在進行廣泛地調(diào)研后認識到安全隔離網(wǎng)閘的技術(shù)發(fā)展忽視了其作為網(wǎng)關(guān)級安全設(shè)備應(yīng)該進一步具有適應(yīng)性、可管理性以及自身安全性。以下筆者將從客戶應(yīng)用需求的角度，展望安全隔離網(wǎng)閘下一步的幾個最新發(fā)展動向。

多網(wǎng)接入安全隔離需求

現(xiàn)在，交警、電業(yè)局、自來水公司等單位在通過銀行實現(xiàn)相關(guān)費用代收時一般要與多家銀行進行網(wǎng)絡(luò)連接。安全隔離網(wǎng)閘在這樣的網(wǎng)絡(luò)中部署時使客戶出現(xiàn)了困擾，原因在于現(xiàn)有各廠商的安全隔離網(wǎng)閘部署時每個主機系統(tǒng)只能連接一個網(wǎng)絡(luò)，那么在不能將各家銀行網(wǎng)絡(luò)連接到同一個信息交換系統(tǒng)設(shè)備上的安全要求下，一般的解決方式只能是有幾家銀行接入就部署幾臺安全隔離網(wǎng)閘。這樣的解決方案很明顯是過于浪費的！

以交警網(wǎng)絡(luò)與銀行網(wǎng)絡(luò)連接為例，我們仔細分析發(fā)現(xiàn)各銀行網(wǎng)絡(luò)相對于交警內(nèi)網(wǎng)都是相同安全級別的網(wǎng)絡(luò)。在各銀行網(wǎng)絡(luò)在實現(xiàn)無法互訪和分別能與交警內(nèi)網(wǎng)進行數(shù)據(jù)信息交換系統(tǒng)的前提下，是可以通過一臺安全隔離網(wǎng)閘與交警內(nèi)網(wǎng)相連接的。這就要求安全隔離網(wǎng)閘滿足主機系統(tǒng)有多個網(wǎng)絡(luò)連接接口，從而實現(xiàn)每一主機系統(tǒng)可以同時連接多個相同安全級別的網(wǎng)絡(luò)，并且每個網(wǎng)絡(luò)接口之間在系統(tǒng)內(nèi)部固化實現(xiàn)無法互訪。

集中管理需求

防火墻從最初作為獨立的安全設(shè)備部署在網(wǎng)絡(luò)中，到現(xiàn)在可以通過集中管理控制平臺來實現(xiàn)對多臺防火墻的統(tǒng)一協(xié)同安全防護和設(shè)備狀態(tài)監(jiān)控等管理。安全隔離網(wǎng)閘作為與防火墻相類似的網(wǎng)關(guān)級安全設(shè)備，其管理上也必然有相類似的管理技術(shù)發(fā)展脈絡(luò)。

當前，市場上的安全隔離網(wǎng)閘還無法實現(xiàn)集中管理功能，但由于安全隔離網(wǎng)閘的規(guī)模性部署增多和對管理人員技能要求更高，所以用戶對安全隔離網(wǎng)閘的集中管理功能的需求已經(jīng)相當迫切。集中式安全管理系統(tǒng)，要以統(tǒng)一的策略和集成的平臺對受控網(wǎng)絡(luò)進行安全配置和管理。集中管理員能通過集中管理中心可以對全局網(wǎng)絡(luò)中的安全隔離網(wǎng)閘完成集中、統(tǒng)一的配置、管理和系統(tǒng)監(jiān)視工作。

集中管理模式對于擁有多臺安全隔離網(wǎng)閘的網(wǎng)絡(luò)的安全管理尤為重要。它一方面提高了網(wǎng)絡(luò)安全規(guī)則的一致性，增進網(wǎng)絡(luò)的安全性，另一方面也為管理員提供了方便的配置和診斷工具，使管理員可以騰出更多精力的關(guān)注更高級的安全管理工作。

操作系統(tǒng)抗攻擊需求

用戶對安全隔離網(wǎng)閘操作系統(tǒng)抗攻擊的需求越來越迫切。安全隔離網(wǎng)閘作為網(wǎng)關(guān)級網(wǎng)絡(luò)安全設(shè)備，并且對所有的應(yīng)用協(xié)議都是在應(yīng)用層采取代理的方式進行處理，從而導(dǎo)致安全隔離網(wǎng)閘的并發(fā)連接數(shù)都是不高的，如百兆平臺一般并發(fā)連接數(shù)不超過一萬個，這個數(shù)量級與防火墻的少則幾十萬和多則上百萬相比實在太少了。因此，如果在相連網(wǎng)絡(luò)中有主機感染網(wǎng)絡(luò)病毒或者蓄意發(fā)起DDOS攻擊時，就會導(dǎo)致安全隔離網(wǎng)閘無法響應(yīng)正常的連接請求，由此出現(xiàn)的網(wǎng)絡(luò)故障時有發(fā)生。

安全隔離網(wǎng)閘的操作系統(tǒng)內(nèi)置獨立的入侵檢測功能和抗DDOS攻擊功能將成為必需。其入侵檢測功能要與系統(tǒng)緊密集成，包括包解碼、規(guī)則解析及檢測引擎、日志記錄及報警等子模塊。采用實時入侵檢測機制和自動響應(yīng)技術(shù)，可選擇配置不同的攻擊特征碼，并且支持攻擊特征碼分類，可根據(jù)大類進行特征碼選擇。攻擊的特征庫應(yīng)包括掃描攻擊、SMTP攻擊、HTTP攻擊、FTP攻擊等多類攻擊，可以檢測到網(wǎng)絡(luò)中的絕大多數(shù)入侵行為，可以實時設(shè)置阻斷規(guī)則，將入侵及時阻斷。市場需求是產(chǎn)品技術(shù)發(fā)展的指揮棒，用戶的迫切需求需要具有研發(fā)實力和市場遠見的安全隔離網(wǎng)閘廠商來完成。

技術(shù)發(fā)展需要

安全隔離與信息交換系統(tǒng)（以下簡稱“網(wǎng)閘”）的三項關(guān)鍵技術(shù)是：硬件隔離，信息擺渡，應(yīng)用層的細粒度檢查。網(wǎng)閘作為對網(wǎng)絡(luò)保護程度接近于物理隔離的安全產(chǎn)品，首先要在硬件上實現(xiàn)物理隔離。因此，網(wǎng)閘的硬件架構(gòu)上就要是“2＋1”，即有兩個主機模塊和一個隔離交換模塊?，F(xiàn)在除了個別廠商采用兩個主機模塊直接連接之外，大部分廠商都是采用“2＋ 1”的架構(gòu)，只是各自的交換模塊設(shè)計方式不同。

現(xiàn)在國內(nèi)網(wǎng)閘業(yè)內(nèi)的交換模塊設(shè)計主要有三類實現(xiàn)方式：專有隔離交換硬件、與主機模塊相同的主機和數(shù)據(jù)存儲模塊。基于要在硬件上實現(xiàn)物理隔離的原則，就要求三個模塊的系統(tǒng)必須互相獨立，并且通過隔離交換模塊控制開關(guān)的切換確保兩個主機系統(tǒng)任何時刻不直接相連。網(wǎng)閘支持的應(yīng)用通常包括數(shù)據(jù)庫的同步和訪問、文件交換、郵件交換和訪問、HTTP訪問、FTP訪問等等。對于各種應(yīng)用的控制強度和在應(yīng)用層的檢查力度是檢驗各廠商產(chǎn)品的安全防護能力的驗金石。

用戶安全需要

現(xiàn)在我國各級政府的網(wǎng)絡(luò)建設(shè)重心已經(jīng)由最初的面子工程轉(zhuǎn)變成為各級政府電子政務(wù)提供基礎(chǔ)應(yīng)用平臺。政府的網(wǎng)絡(luò)基礎(chǔ)建設(shè)已經(jīng)基本完成，如網(wǎng)上報稅、網(wǎng)上工商、政府辦公大廳等網(wǎng)絡(luò)應(yīng)用已經(jīng)開始全面展開，大大地方便了公民或企業(yè)辦事。這些應(yīng)用都要求各政府單位的業(yè)務(wù)網(wǎng)與國際互聯(lián)網(wǎng)直接或者間接的進行連接，同時各政府單位又擔心安全和保密問題。網(wǎng)閘基于其自身的高安全性，因此是解決此問題的最佳選擇。網(wǎng)閘以自身的安全隔離特性和極高的檢測機制保證了其保護的網(wǎng)絡(luò)主機和網(wǎng)絡(luò)不會被入侵。在高安全需求的網(wǎng)絡(luò)環(huán)境下，網(wǎng)閘正在全面取代防火墻。

聯(lián)想網(wǎng)御通過多年防火墻的研發(fā)積蓄了豐富的硬件設(shè)計、訪問控制、主機安全防護、數(shù)據(jù)深層次檢查等安全產(chǎn)品研發(fā)經(jīng)驗。很多安全技術(shù)就已經(jīng)成功移植到網(wǎng)閘上，例如多機負載均衡技術(shù)的移植，使聯(lián)想網(wǎng)御網(wǎng)閘最大支持32節(jié)點群集，無需任何第三方負載均衡軟硬件支持。經(jīng)過多年的高速增長，聯(lián)想網(wǎng)御積累了雄厚的資金，從而保障了網(wǎng)御產(chǎn)品擁有相當數(shù)量的、穩(wěn)定的、高素質(zhì)的研發(fā)人員，使聯(lián)想網(wǎng)御的網(wǎng)閘技術(shù)能夠傲視群雄，不斷開拓新的市場。同時還有遍布全國的服務(wù)體系，可以全方位的7×24小時的支持，保證了用戶的利益和安全。

另外，聯(lián)想網(wǎng)御作為國家《電子政務(wù)信息安全等級保護實施指南》的執(zhí)筆單位，對各政府部門的電子政務(wù)的安全防護有更深層次的理解。聯(lián)想網(wǎng)御網(wǎng)閘正是在其安全理論的指引下，按照電子政務(wù)各種應(yīng)用特點進行了多種定制開發(fā)，真正做到了想用戶之所想。正如使用了聯(lián)想網(wǎng)御網(wǎng)閘的某市政府信息中心主任所說，“網(wǎng)絡(luò)安全工作有聯(lián)想網(wǎng)御幫助使我們感到踏實！”