【51CTO.com 綜合消息】網(wǎng)絡(luò)無邊界，而企業(yè)信息安全管理如果沒有邊界之說，則會讓我們進(jìn)入一個“混沌的世界”。隨著IT硬件設(shè)備采購成本的降低，一些企業(yè)網(wǎng)絡(luò)規(guī)模開始迅猛增長，網(wǎng)絡(luò)承載的業(yè)務(wù)種類也變得復(fù)多起來。如何在網(wǎng)關(guān)層進(jìn)行細(xì)化，確保業(yè)務(wù)系統(tǒng)的健康穩(wěn)定，已經(jīng)成為IT部門“心有馀，而力不足”的難題。

安全網(wǎng)關(guān)的發(fā)展遭遇瓶頸

對于學(xué)習(xí)網(wǎng)絡(luò)安全的人來說，防火墻幾乎是我們第一個需要接觸的安全產(chǎn)品。然而，隨著詭異的入侵技術(shù)、前所未有的破壞手法以及Web病毒的泛濫，威脅無處不在，傳統(tǒng)防火墻昔日的威風(fēng)漸漸老去。

從概念上講，安全網(wǎng)關(guān)是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合的統(tǒng)稱。而從這個概念上派生出來的產(chǎn)品包括了防火墻、VPN網(wǎng)關(guān)、防病毒網(wǎng)關(guān)、入侵防御網(wǎng)關(guān)、反垃圾郵件網(wǎng)關(guān)等等?；仡櫼酝@些設(shè)備分離開來，使得企業(yè)在安全域邊界部署網(wǎng)關(guān)時，用戶如果想要加入更多的功能，只能一層一層的“串”在一起。不但網(wǎng)絡(luò)中的數(shù)據(jù)流也被一層層的剝離和重組，如果企業(yè)修改了IT安全策略，也需要一個臺臺設(shè)備反復(fù)的調(diào)試，各個設(shè)備無法聯(lián)動起來，不但維護(hù)成本逐漸加大，正常的業(yè)務(wù)往來也會受阻。

出于市場需求的增長與改變，F(xiàn)ortinet公司在2002年首先提出了統(tǒng)一威脅管理技術(shù)，而這一技術(shù)在2004 年9月被IDC提出，并將此命名為統(tǒng)一威脅管理（United Threat Management），簡稱UTM。被人期以厚望的UTM，在這幾年中幾乎將網(wǎng)關(guān)市場一攬殆盡，但UTM也有其不足之處。

在網(wǎng)絡(luò)被人為的分割成內(nèi)外有別的場景后，針對業(yè)務(wù)內(nèi)容的安全防護(hù)已經(jīng)為各行各業(yè)所關(guān)注亮點。舉例來說，企業(yè)如果部屬了UTM，其本意在于解決應(yīng)用進(jìn)行細(xì)分化后的防護(hù)問題，但一臺設(shè)備所能劃分的保護(hù)區(qū)十分有限，不得已的情況下，我們只能回歸到傳統(tǒng)的DMZ區(qū)域劃分中，無法實現(xiàn)根據(jù)應(yīng)用系統(tǒng)實施單一防護(hù)。而另外一個問題，則會出現(xiàn)在局域網(wǎng)規(guī)模擴后的應(yīng)用需求上。例如，企業(yè)內(nèi)網(wǎng)根據(jù)職能部門和權(quán)限劃分后，如果財務(wù)部門需要訪問單獨的Internet上的資源，例如網(wǎng)上報稅、轉(zhuǎn)賬等，也只能從同一個網(wǎng)絡(luò)出口出去，看似安全的網(wǎng)關(guān)實際上最后還是無法將內(nèi)網(wǎng)用戶分出一個“三六九等”來。面對這樣的需求，妥協(xié)的方法很簡單，就是再購置一臺網(wǎng)關(guān)設(shè)備，但這樣的結(jié)果又進(jìn)入了重復(fù)投資的“怪圈”。

安全網(wǎng)關(guān)如何成為業(yè)務(wù)推進(jìn)器

由于UTM背負(fù)著太多的使命，在出現(xiàn)伊始就被賦予了“萬能”的光環(huán)，導(dǎo)致這樣一類的安全產(chǎn)品在一種非正常的環(huán)境下“努力”成長的狀態(tài)。東軟認(rèn)為：“在集成安全網(wǎng)關(guān)市場發(fā)展趨勢看好的情況下，并不是應(yīng)用集成度越高，就越能證明產(chǎn)品的功能越好；不是技術(shù)越好，就能理解用戶需求。分而治之，根據(jù)企業(yè)業(yè)務(wù)需求的細(xì)化趨勢，提升安全網(wǎng)關(guān)產(chǎn)品與業(yè)務(wù)融合能力才是關(guān)鍵。但這并不意味著技術(shù)就要跟在別人后面，在技術(shù)上必須有創(chuàng)新，只有做到‘人無我有，人有我優(yōu)，人優(yōu)我變’才能確保不但滿足需求，還能引領(lǐng)市場趨勢的結(jié)果。東軟最新推出的一款具有行業(yè)標(biāo)桿意義的新產(chǎn)品NISG，正是站在‘業(yè)務(wù)推進(jìn)器’這樣一個核心理念上研發(fā)的。”

據(jù)了解，東軟最新推出NISG的包含了：虛擬化技術(shù)、智能關(guān)聯(lián)技術(shù)，并將東軟專利的NEL技術(shù)融入其中。那么這三項最新的技術(shù)如何應(yīng)對不斷增長的業(yè)務(wù)需求呢？ 

◆虛擬化技術(shù)釋放安全網(wǎng)關(guān)最大效能

一般來講，傳統(tǒng)的安全網(wǎng)關(guān)都是“共享型”設(shè)備。這就好比寫字樓的大門，我們所有的人都只能從這個門出入，不會區(qū)分你是哪個樓層，或者那個公司的職員。這就如在實際應(yīng)用中，我們迫不得已才將所有的應(yīng)用劃分在一個安全保護(hù)區(qū)中，呈現(xiàn)給最終用戶需要達(dá)到“獨占”的效果，這就為虛擬化技術(shù)在安全網(wǎng)關(guān)上的應(yīng)用提供了土壤。一臺NISG在邏輯上劃分成多臺虛擬的NISG，每個虛擬系統(tǒng)都可以被看成是一臺完全獨立的NISG設(shè)備，針對不同的應(yīng)用采用不同的安全策略。退一萬步來講，即使有一套業(yè)務(wù)系統(tǒng)受到威脅攻擊，而其他業(yè)務(wù)系統(tǒng)不會產(chǎn)生連帶效應(yīng)。 

◆智能關(guān)聯(lián)避免網(wǎng)絡(luò)設(shè)備孤軍作戰(zhàn)

由于每一個業(yè)務(wù)部門的流量都被可以被虛擬化隔離，那么如何保證承載業(yè)務(wù)的設(shè)備也能夠按照業(yè)務(wù)部門控制起來呢？首先是NISG的三層交換技術(shù)可以與虛擬技術(shù)很好的融合，可按照業(yè)務(wù)部門劃分不同的訪問策略，為每個用戶提供靈活的網(wǎng)絡(luò)部署功能。該技術(shù)的采用，使得VLAN、Trunk、Channel等技術(shù)能夠很方便地在防火墻上實施，減輕了管理員配置維護(hù)的工作負(fù)擔(dān)。

另外，我們知道，F(xiàn)low是網(wǎng)絡(luò)設(shè)備廠商為了在網(wǎng)元設(shè)備內(nèi)部提高路由轉(zhuǎn)發(fā)速度而引入的一個技術(shù)概念，其本意是將高CPU消耗的路由表軟件查詢匹配作業(yè)部分轉(zhuǎn)移到硬件實現(xiàn)的快速轉(zhuǎn)發(fā)模塊上(如Cisco的CEF模式)。而賦予NewFlow技術(shù)的NISG設(shè)備，就可以將防火墻的流量以FLOW的方式發(fā)給NISG設(shè)備，同時NISG也可將具體指令發(fā)給防火墻，這樣的聯(lián)動功能可以成為針對安全策略執(zhí)行上的同等性。另外，也可以將FLOW信息發(fā)送到其他網(wǎng)絡(luò)設(shè)備上，與第三方產(chǎn)品配合工作，真正能夠按照某一個業(yè)務(wù)部門的需求配套執(zhí)行。 

◆NEL技術(shù)實現(xiàn)應(yīng)用層的放大鏡

網(wǎng)絡(luò)威脅是每一個組織都必須認(rèn)真面對的問題，而對于應(yīng)用層的攻擊很多企業(yè)的IT部門都無法找到良藥。東軟NISG產(chǎn)品中核心專利技術(shù)--NEL的應(yīng)用，可將引擎、協(xié)議分析和攻擊檢測數(shù)據(jù)通過NEL快速融合。NEL對于各種應(yīng)用層協(xié)議的檢測粒度非常精細(xì)，這就如網(wǎng)絡(luò)中安插了一個“高倍放大鏡”，從而提高檢測的效率，更加準(zhǔn)確的判斷網(wǎng)絡(luò)行為。例如，對于URL掛馬這種惡意的攻擊，管理員僅需要對協(xié)議指定范圍的位置進(jìn)行查找即可，無需再去整個網(wǎng)頁中的其他位置查找，這既增加了檢查的效率，又避免了其它位置存在關(guān)鍵特征字符導(dǎo)致的誤報。而針對內(nèi)往用戶的上網(wǎng)行為管理上，由于具備了應(yīng)用層檢測能力，能夠更細(xì)致的對QQ、MSN、H.323、SIP等應(yīng)用協(xié)議進(jìn)行控制。所以不但是增加了一個“放大鏡”，更是增加了一個網(wǎng)絡(luò)哨兵，有效地防止信息泄露這種“最恐怖的事情”發(fā)生。

縱觀IT大融合的趨勢，我們相信未來幾年安全的發(fā)展必然要與業(yè)務(wù)融合，永遠(yuǎn)走在業(yè)務(wù)系統(tǒng)的后面，等待別人催著走的日子應(yīng)該成為歷史。而IT 基礎(chǔ)架構(gòu)最終也會成為一種技術(shù)資產(chǎn)，為企業(yè)實現(xiàn)“業(yè)務(wù)就緒”之后提供強大的保證，助企業(yè)簡化安全管理的難度，并通過安全有效的網(wǎng)絡(luò)架構(gòu)提高業(yè)務(wù)的洞察力。