【51CTO.com 綜合消息】網(wǎng)絡(luò)無邊界，而企業(yè)信息安全管理如果沒有邊界之說，則會(huì)讓我們進(jìn)入一個(gè)“混沌的世界”。隨著IT硬件設(shè)備采購成本的降低，一些企業(yè)網(wǎng)絡(luò)規(guī)模開始迅猛增長，網(wǎng)絡(luò)承載的業(yè)務(wù)種類也變得復(fù)多起來。如何在網(wǎng)關(guān)層進(jìn)行細(xì)化，確保業(yè)務(wù)系統(tǒng)的健康穩(wěn)定，已經(jīng)成為IT部門“心有馀，而力不足”的難題。

安全網(wǎng)關(guān)的發(fā)展遭遇瓶頸

對(duì)于學(xué)習(xí)網(wǎng)絡(luò)安全的人來說，防火墻幾乎是我們第一個(gè)需要接觸的安全產(chǎn)品。然而，隨著詭異的入侵技術(shù)、前所未有的破壞手法以及Web病毒的泛濫，威脅無處不在，傳統(tǒng)防火墻昔日的威風(fēng)漸漸老去。

從概念上講，安全網(wǎng)關(guān)是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合的統(tǒng)稱。而從這個(gè)概念上派生出來的產(chǎn)品包括了防火墻、VPN網(wǎng)關(guān)、防病毒網(wǎng)關(guān)、入侵防御網(wǎng)關(guān)、反垃圾郵件網(wǎng)關(guān)等等。回顧以往，這些設(shè)備分離開來，使得企業(yè)在安全域邊界部署網(wǎng)關(guān)時(shí)，用戶如果想要加入更多的功能，只能一層一層的“串”在一起。不但網(wǎng)絡(luò)中的數(shù)據(jù)流也被一層層的剝離和重組，如果企業(yè)修改了IT安全策略，也需要一個(gè)臺(tái)臺(tái)設(shè)備反復(fù)的調(diào)試，各個(gè)設(shè)備無法聯(lián)動(dòng)起來，不但維護(hù)成本逐漸加大，正常的業(yè)務(wù)往來也會(huì)受阻。

出于市場(chǎng)需求的增長與改變，F(xiàn)ortinet公司在2002年首先提出了統(tǒng)一威脅管理技術(shù)，而這一技術(shù)在2004 年9月被IDC提出，并將此命名為統(tǒng)一威脅管理（United Threat Management），簡稱UTM。被人期以厚望的UTM，在這幾年中幾乎將網(wǎng)關(guān)市場(chǎng)一攬殆盡，但UTM也有其不足之處。

在網(wǎng)絡(luò)被人為的分割成內(nèi)外有別的場(chǎng)景后，針對(duì)業(yè)務(wù)內(nèi)容的安全防護(hù)已經(jīng)為各行各業(yè)所關(guān)注亮點(diǎn)。舉例來說，企業(yè)如果部屬了UTM，其本意在于解決應(yīng)用進(jìn)行細(xì)分化后的防護(hù)問題，但一臺(tái)設(shè)備所能劃分的保護(hù)區(qū)十分有限，不得已的情況下，我們只能回歸到傳統(tǒng)的DMZ區(qū)域劃分中，無法實(shí)現(xiàn)根據(jù)應(yīng)用系統(tǒng)實(shí)施單一防護(hù)。而另外一個(gè)問題，則會(huì)出現(xiàn)在局域網(wǎng)規(guī)模擴(kuò)后的應(yīng)用需求上。例如，企業(yè)內(nèi)網(wǎng)根據(jù)職能部門和權(quán)限劃分后，如果財(cái)務(wù)部門需要訪問單獨(dú)的Internet上的資源，例如網(wǎng)上報(bào)稅、轉(zhuǎn)賬等，也只能從同一個(gè)網(wǎng)絡(luò)出口出去，看似安全的網(wǎng)關(guān)實(shí)際上最后還是無法將內(nèi)網(wǎng)用戶分出一個(gè)“三六九等”來。面對(duì)這樣的需求，妥協(xié)的方法很簡單，就是再購置一臺(tái)網(wǎng)關(guān)設(shè)備，但這樣的結(jié)果又進(jìn)入了重復(fù)投資的“怪圈”。

安全網(wǎng)關(guān)如何成為業(yè)務(wù)推進(jìn)器

由于UTM背負(fù)著太多的使命，在出現(xiàn)伊始就被賦予了“萬能”的光環(huán)，導(dǎo)致這樣一類的安全產(chǎn)品在一種非正常的環(huán)境下“努力”成長的狀態(tài)。東軟認(rèn)為：“在集成安全網(wǎng)關(guān)市場(chǎng)發(fā)展趨勢(shì)看好的情況下，并不是應(yīng)用集成度越高，就越能證明產(chǎn)品的功能越好；不是技術(shù)越好，就能理解用戶需求。分而治之，根據(jù)企業(yè)業(yè)務(wù)需求的細(xì)化趨勢(shì)，提升安全網(wǎng)關(guān)產(chǎn)品與業(yè)務(wù)融合能力才是關(guān)鍵。但這并不意味著技術(shù)就要跟在別人后面，在技術(shù)上必須有創(chuàng)新，只有做到‘人無我有，人有我優(yōu)，人優(yōu)我變’才能確保不但滿足需求，還能引領(lǐng)市場(chǎng)趨勢(shì)的結(jié)果。東軟最新推出的一款具有行業(yè)標(biāo)桿意義的新產(chǎn)品NISG，正是站在‘業(yè)務(wù)推進(jìn)器’這樣一個(gè)核心理念上研發(fā)的。”

據(jù)了解，東軟最新推出NISG的包含了：虛擬化技術(shù)、智能關(guān)聯(lián)技術(shù)，并將東軟專利的NEL技術(shù)融入其中。那么這三項(xiàng)最新的技術(shù)如何應(yīng)對(duì)不斷增長的業(yè)務(wù)需求呢？ 

◆虛擬化技術(shù)釋放安全網(wǎng)關(guān)最大效能

一般來講，傳統(tǒng)的安全網(wǎng)關(guān)都是“共享型”設(shè)備。這就好比寫字樓的大門，我們所有的人都只能從這個(gè)門出入，不會(huì)區(qū)分你是哪個(gè)樓層，或者那個(gè)公司的職員。這就如在實(shí)際應(yīng)用中，我們迫不得已才將所有的應(yīng)用劃分在一個(gè)安全保護(hù)區(qū)中，呈現(xiàn)給最終用戶需要達(dá)到“獨(dú)占”的效果，這就為虛擬化技術(shù)在安全網(wǎng)關(guān)上的應(yīng)用提供了土壤。一臺(tái)NISG在邏輯上劃分成多臺(tái)虛擬的NISG，每個(gè)虛擬系統(tǒng)都可以被看成是一臺(tái)完全獨(dú)立的NISG設(shè)備，針對(duì)不同的應(yīng)用采用不同的安全策略。退一萬步來講，即使有一套業(yè)務(wù)系統(tǒng)受到威脅攻擊，而其他業(yè)務(wù)系統(tǒng)不會(huì)產(chǎn)生連帶效應(yīng)。 

◆智能關(guān)聯(lián)避免網(wǎng)絡(luò)設(shè)備孤軍作戰(zhàn)

由于每一個(gè)業(yè)務(wù)部門的流量都被可以被虛擬化隔離，那么如何保證承載業(yè)務(wù)的設(shè)備也能夠按照業(yè)務(wù)部門控制起來呢？首先是NISG的三層交換技術(shù)可以與虛擬技術(shù)很好的融合，可按照業(yè)務(wù)部門劃分不同的訪問策略，為每個(gè)用戶提供靈活的網(wǎng)絡(luò)部署功能。該技術(shù)的采用，使得VLAN、Trunk、Channel等技術(shù)能夠很方便地在防火墻上實(shí)施，減輕了管理員配置維護(hù)的工作負(fù)擔(dān)。

另外，我們知道，F(xiàn)low是網(wǎng)絡(luò)設(shè)備廠商為了在網(wǎng)元設(shè)備內(nèi)部提高路由轉(zhuǎn)發(fā)速度而引入的一個(gè)技術(shù)概念，其本意是將高CPU消耗的路由表軟件查詢匹配作業(yè)部分轉(zhuǎn)移到硬件實(shí)現(xiàn)的快速轉(zhuǎn)發(fā)模塊上(如Cisco的CEF模式)。而賦予NewFlow技術(shù)的NISG設(shè)備，就可以將防火墻的流量以FLOW的方式發(fā)給NISG設(shè)備，同時(shí)NISG也可將具體指令發(fā)給防火墻，這樣的聯(lián)動(dòng)功能可以成為針對(duì)安全策略執(zhí)行上的同等性。另外，也可以將FLOW信息發(fā)送到其他網(wǎng)絡(luò)設(shè)備上，與第三方產(chǎn)品配合工作，真正能夠按照某一個(gè)業(yè)務(wù)部門的需求配套執(zhí)行。 

◆NEL技術(shù)實(shí)現(xiàn)應(yīng)用層的放大鏡

網(wǎng)絡(luò)威脅是每一個(gè)組織都必須認(rèn)真面對(duì)的問題，而對(duì)于應(yīng)用層的攻擊很多企業(yè)的IT部門都無法找到良藥。東軟NISG產(chǎn)品中核心專利技術(shù)--NEL的應(yīng)用，可將引擎、協(xié)議分析和攻擊檢測(cè)數(shù)據(jù)通過NEL快速融合。NEL對(duì)于各種應(yīng)用層協(xié)議的檢測(cè)粒度非常精細(xì)，這就如網(wǎng)絡(luò)中安插了一個(gè)“高倍放大鏡”，從而提高檢測(cè)的效率，更加準(zhǔn)確的判斷網(wǎng)絡(luò)行為。例如，對(duì)于URL掛馬這種惡意的攻擊，管理員僅需要對(duì)協(xié)議指定范圍的位置進(jìn)行查找即可，無需再去整個(gè)網(wǎng)頁中的其他位置查找，這既增加了檢查的效率，又避免了其它位置存在關(guān)鍵特征字符導(dǎo)致的誤報(bào)。而針對(duì)內(nèi)往用戶的上網(wǎng)行為管理上，由于具備了應(yīng)用層檢測(cè)能力，能夠更細(xì)致的對(duì)QQ、MSN、H.323、SIP等應(yīng)用協(xié)議進(jìn)行控制。所以不但是增加了一個(gè)“放大鏡”，更是增加了一個(gè)網(wǎng)絡(luò)哨兵，有效地防止信息泄露這種“最恐怖的事情”發(fā)生。

縱觀IT大融合的趨勢(shì)，我們相信未來幾年安全的發(fā)展必然要與業(yè)務(wù)融合，永遠(yuǎn)走在業(yè)務(wù)系統(tǒng)的后面，等待別人催著走的日子應(yīng)該成為歷史。而IT 基礎(chǔ)架構(gòu)最終也會(huì)成為一種技術(shù)資產(chǎn)，為企業(yè)實(shí)現(xiàn)“業(yè)務(wù)就緒”之后提供強(qiáng)大的保證，助企業(yè)簡化安全管理的難度，并通過安全有效的網(wǎng)絡(luò)架構(gòu)提高業(yè)務(wù)的洞察力。