近年來，來自互聯網的攻擊，已經逐漸從網絡層轉向應用層，WEB惡意代碼、蠕蟲病毒、間諜軟件、垃圾郵件、木馬在互聯網上屢見不鮮，針對內容的安全防護已經為各行各業所關注，為了解決這些問題，東軟推出NISG集成安全解決方案。

事實上，銀行、電信、電力等大型行業用戶的數據中心通常部署著數十臺甚至數百臺網絡服務器，分屬于數十個不同的業務部門。這些服務器都有安全防護的需求，在部署NISG對服務器進行安全防護時，每個業務部門都會有一些個性化需求，而且隨著業務系統的建設和調整也需要NISG的安全策略相應調整。

因此，采用單一NISG對整個內部服務器群進行防護，很難同時滿足不同業務部門服務器的實際安全需求，并且一個部門的安全策略的改變可能導致整體的網絡安全策略和網絡結構都要進行相應的調整，增加了管理維護的復雜性和難度。如果為每個部門采購獨立的NISG設備，又會帶來安全投資的增加，占用緊張的機架空間，而且使網絡中的故障點增多。

另外，NISG部署中也存在性能浪費的情況。大多數網絡環境中網絡利用率不到20%，即使在峰值的時候通常也不會超過40%，而企業對安全產品采購的標準通常都是以其處理性能遠高于峰值來確定的，這無疑造成了NISG性能在使用周期內的浪費。

對于一些比較重要的業務部門，如財務部或總經理辦公室，出于加強內控的考慮，企業往往會采購一臺單獨的NISG進行安全防護，而這些部門的流量往往很小，大多數情況下部署的NISG發揮出的性能不到10%。因此，在部署多臺NISG的網絡環境中，由于存在性能上的浪費，在解決管理獨立性的前提下，NISG的數量完全可以壓縮而對網絡和應用性能不產生任何影響。

那么，有沒有一種辦法，既可以充分利用NISG的處理能力，保證管理的獨立性，又可以降低NISG的數量和采購投資呢？答案很簡單，就是采用虛擬集成安全網關技術。虛擬集成安全網關技術可以在充分發揮NISG性能的同時，大幅降低用戶的NISG購置成本和整體擁有成本（TCO），己成為安全網關領域的一個主流技術。

虛擬集成安全網關就是將一臺NISG在邏輯上劃分成多臺虛擬的NISG，每個虛擬系統都可以被看成是一臺完全獨立的NISG設備。虛擬系統在電信、電力調度、金融等行業得到了廣泛的應用。其中，在IDC(互聯網數據中心)提供的安全保障服務中，虛擬系統在降低安全建設投資和運行維護成本，滿足用戶安全防護的個性化需求方面，起到了重要的作用。

目前來看，東軟虛擬集成安全網關的一大技術亮點，就是NEL檢測技術。據悉，源于東軟專利應用協議的NEL技術是一種成熟的、先進的檢測技術，與傳統檢測技術相比較，該技術能夠大幅提升對攻擊檢測的命中率和科學性。

NEL專利技術（應用協議的擴展優勢及超大的控制力度）提高了應用層檢測能力，能夠更細致的對QQ、MSN、H.323、SIP等應用協議進行控制。此功能國內對手均具備，但東軟的控制粒度更細，占有優勢。

例如，對URL掛馬攻擊，NEL僅需要對協議指定范圍的位置進行查找即可，無需再去整個網頁中的其他位置查找，這既增加了檢查的效率，又避免了其它位置存在關鍵特征字符導致的誤報。所以該技術能夠提升東軟NISG產品檢查的效率及準確性，成為該產品的核心技術特點。

總體看來，采用虛擬集成安全解決方案不僅可以在最大程度上避免內網其它區域的安全隱患或事故影響到財務部門網絡和系統的穩定運行，而且大大加強了對敏感數據的訪問控制，企業運營的IT系統風險控制得到了有效增強。
 

【編輯推薦】

1. 技巧分享：動態ARP檢測防止中間人攻擊
2. 應用實例：某電力系統服務器群組防護系統方案
3. 從檢測到預防 解析IDS演化與革命