网关是企业网络连接到另一个网络的关口，企业所有与外界的网络交流都要流经这个关口。网关就象是一扇大门，一旦大门敞开，企业的整个网络信息就会暴露无遗。从安全角度来看，对网关防护得当，就能起到“一夫当关，万夫莫开”的作用；反之，病毒和恶意代码就会从网关进入企业内部网，为企业带来巨大损失。

基于网关的重要性，企业纷纷开始部署网关安全产品，例如防病毒网关，主要的功能就是阻挡病毒进入网络；而反垃圾邮件网关主要的功能是阻挡携带大量木马、恶意程序、网络钓鱼等邮件。这些网关安全产品能够检测进出网络内部的数据，对HTTP、FTP、SMTP三种协议的数据进行病毒扫描，一旦发现病毒就会采取相应的手段进行隔离或查杀，在防护病毒方面起到了非常大的作用。然而，当今的威胁已经不仅仅是病毒，而且经常伴有恶意程序、黑客攻击以及垃圾邮件等多种威胁。

网关从单一功能走向整合
根据MessageLabs发布的调查报告显示，目前垃圾邮件的比例已经接近80%。在发送的垃圾邮件中，钓鱼欺诈性邮件占了24%，这使得它成为了增长速度最快的垃圾邮件类型，其它数量较大的垃圾邮件类型包括广告、色情网站等。因此，安全系统的首要任务就是阻止病毒以电子邮件的形式入侵。电子邮件进出企业网络的惟一通道就是网关，网关成为阻挡病毒进入企业网络的第一道关卡。因此，邮件安全网关也成为市场上最受用户关注的安全设备，众多厂商纷纷推出邮件网关产品。顾名思义，邮件网关位于邮件服务器之前、防火墙之后，部署相应的反恶意攻击、反垃圾邮件和邮件病毒过滤系统，从而防止垃圾邮件和病毒进入企业内部。目前，电子邮件还是互联网时代主要的通信方式之一，优秀的邮件网关产品担负着极为重要的邮件安全任务。

调查还显示，具有更大破坏性的垃圾邮件发展迅猛，其中病毒邮件和钓鱼欺诈性邮件占垃圾邮件的比例达到50%以上。垃圾邮件给全球的生产力造成的损失和其他反垃圾邮件的投资将达到500亿美元。面对以上这些问题，企业用户迫切希望能够有整合杀毒和反垃圾邮件的综合方案，在携毒电子邮件到达企业前就拦截它们。据预测，基于这种需求，2008年反垃圾邮件软件收入及其服务收入将能够达到17亿美元的规模。

目前的网络环境面临着更为复杂的安全威胁，针对单一线程攻击的简单防护已无法满足需要，黑客和病毒的攻击正在变得越来越隐蔽并且破坏性更为惊人，包括使用极端狡猾的混合式攻击方式。传统的防火墙由于功能单一，基本无法抵御此类攻击。另外，用户也在一次次的升级过程中感到厌倦，而迫切需要整合更多功能的一体化、便于维护的网络安全整体解决方案，以全面保障正常的网络运行与维护。

通过在单一设备内集成包括防火墙、虚拟专用网、网络缓存、网址过滤及病毒扫描等多种功能在内的产品及方案，使中小企业不仅拥有了高性能、简单化、高可靠性的安全壁垒，而且有效地控制了成本，降低了实施、管理以及服务等多种潜在的消耗。此外，整合安全网关也正被用于取代独立的多种安全设备，这种有着统一管理界面的多功能安全网关通常包含防病毒、防火墙、IDS、漏洞扫描、VPN等模块，这些功能模块在统一操作系统的基础上密切合作，共同完成防范、预警、响应和自学习的功能，构成一个有机的安全体系，实现全面的安全防范。

在当今错综复杂的安全形势下，企业逐渐认识到整合式的全面网络安全防护才是网络安全的未来。用户需要的是一个安全的网络环境，而不是一堆用途各异的孤立设备。目前，防火墙、IDS、防病毒软件等多个独立安全产品之间的相互协调能力还存在相当大的漏洞，致使为混合威胁的进一步扩散和渗透留下可乘之机。因此，虽然企业的安全产品很完备，但仍会遭受混合威胁的攻击。

针对这种情况，整合安全网关通过把多种功能集成在一起，有效防御混合威胁的攻击。通过这种模块化的组合，IT管理人员可以按需要安装各种性能和功能模块。当用户需要更高的性能和功能时，无需中断网络服务就可以进行在线升级。这种整合式、模块化的安全防护理念成为安全领域一项革命性的突破，也有效地阻止了混合威胁的进一步发展。

安全网关走“硬”道路
目前，安全网关的硬件化和芯片化已经成为公认的趋势，软件形式的网关将逐步被硬件形式的产品代替，新兴防垃圾邮件和防病毒的网关也大都以硬件的形式出现。在数据转发处理上，传统基于CPU的软件处理方式，也在向由专用芯片或网络处理器处理的方向发展，从而获得更高的性能。而安全处理中对于系统资源消耗比较大的计算，也都出现了一些相应加速芯片，如加解密处理，从低端到高端都可以采用加速芯片；也有一些CPU、NPU或ASIC芯片中就直接集成了加解密处理模块；而对于应用层处理常需要的内容搜索，也出现了一些高速的内容搜索芯片；针对新的应用协议需要，如解压缩、语音、视频的处理，一些厂家也逐步在产品中集成相应的专用加速引擎来获得较高性能。安全产业的高速发展，吸引了一些大的芯片厂商的关注，一些芯片厂家纷纷推出各种档次的安全加速芯片，甚至在新推出数据处理芯片中直接集成多种加速功能，加速芯片的发展也为设计性能更高、功能更强的网关提供了产业链的支撑。

为适应各种安全需要，以及产品定位的不同，各厂家的网关产品的硬件平台出现了多样发展的趋势，有基于通用CPU的X86架构、ASIC架构，以及目前比较热门的基于网络处理器（NPU）的架构，还有一些直接使用嵌入式芯片作为主处理器的架构，如基于Power PC、MIPS、ARM等嵌入式CPU架构的系统，以及采用各种技术进行组合的架构，不同的体系结构显露出了各自的优势与特色。

基于通用CPU的X86架构的安全网关一般采用Intel或AMD芯片，X86在架构系统时还需要北桥和南桥芯片，采用该种硬件架构，软硬件配套资源比较多，便于快速推出产品，企业投资少，同时功能基本都由软件实现，产品比较灵活。但基于X86技术平台受PCI总线带宽和CPU处理能力的限制，很难满足高速环境的需求，同时CPU和外围芯片组发热比较大，产品寿命和稳定性难以保障。而一些公司采用基于ASIC架构的设计，该种架构产品性能高，稳定性好，规模生产后价格比较低，但开发基于ASIC产品要求的投资非常大，技术门槛高，没有一定实力的厂家很难开发这样的产品。

近年来基于NPU架构来设计产品逐步走红，英特尔、AMCC、Broadaom、IBM、Agere等芯片厂商都推出了网络处理器芯片，采用NPU来架构安全网关，投资要比开发ASIC低很多，同时可以设计出高性能产品。但相对于ASIC架构，网络处理一般采用多个微引擎并行处理，而微引擎执行的是微码，微码具有可编程性，所以NPU架构要比ASIC架构灵活，但在稳定性上则不如ASIC架构稳定；同时，NPU的产业标准尚需完善，产业供应链还需进一步成熟。

还有一些基于嵌入式CPU来直接构建网关的硬件平台，该类嵌入式CPU一般采用SOC的设计理念，体系结构简单，不再需要类似北桥、南桥这样的复杂的外围芯片组，可直接连接内存、PCI总线，并直接提供各种低速I/O接口。采用该种架构，系统复杂度低，工作稳定，同时软件还保持比较好的灵活性。但该种芯片仍然受限于总线带宽和处理能力限制，也很难满足高速的要求。

除上述各种单一硬件平台，还有一种新形式的架构就是采用组合式架构，除常见的CPU与NPU结合、CPU与ASIC结合外，还可以根据需要将ASIC与NPU组合，甚至将CPU、NPU和ASIC结合在一起形成组合型架构。采用该种架构，可以根据产品需要选择不同技术进行组合，可以充分发挥各种技术的优点，扬长避短，从而获得高性能和高灵活性，在各个方面都有比较好的效果；但该种架构设计难度很高，投资也比较大，软件开发难度高，可能需要操作系统和软件支持不同的指令集。

网关选择多样化
针对不同的网络应用，安全网关产品在功能上出现了专业化和多功能集成化这两种发展方向，专业化的网关功能比较单一；而多功能网关集成多种安全功能，成为多合一的产品。其中，专业化的安全产品，如单独的防火墙、VPN、IPS、防垃圾邮件、防病毒网关等等，功能专注于某一方向，可以充分发挥系统的性能，因此维护管理也比较简单。

而多功能的集成化网关可以根据需要将防火墙、VPN、IPS、防病毒、防垃圾邮件等安全功能组合在一起，在一个平台上完成多个安全控制功能，甚至还集成了路由、交换等传统的数据通讯产品要求的功能；同时，传统的数据通讯产品如路由器、交换机也越来越多地倾向于集成一些安全特性，有实力的通信厂家在自己的中低端路由器和交换机中加入了丰富的安全功能。在中低端环境中，多功能集成化网关能提供更多的客户价值。

其实，集成多层各种网关处理功能并不是一个新概念，安全网关需要的是专业化还是集成，并没有固定的模式，需要根据安全的需要来选择，要综合平衡性能、稳定性以及性价比等多种因素。在高端，面对高速千兆甚至10G、40G网络环境，对性能和稳定性的要求比较高，就需要独立的高性能专业安全网关系统，或者需要有独立处理单元的硬件模块来提供相应的功能；而对于中端和低端环境，在性能可以满足的情况下，对多功能集成化网关的需求就比较强烈。

把握安全网关市场良机
从安全网关硬件的发展趋势中我们可以看出，进一步地提高性能并集成更多的应用，还有待于硬件和算法的进一步发展。也就是说，还需要在系统和芯片技术上有进一步的突破，而这一点，恰恰是我们很多国内企业所欠缺和需要努力的方向。

由于信息安全产业的特殊意义，国家一直对国内厂商在这一领域的突破寄予厚望。因此，对于我国的安全产业来说，网关是发展的关键与机遇。不过，对于我国安全产业整体而言，单一厂商的个体突破还起不到决定的作用，我们期待着能有更多的厂家加入进来，发挥所长，只有这样，才能实现我国安全产业真正意义上的群体突破。

防火墙迈向安全应用网关
在过去四年里，防火墙技术进展不大，在抵挡数目繁多、手法诡秘的新型攻击时显得力不从心。许多用户将“包过滤”或“状态监测”防火墙作为防线，许多攻击利用了这类防火墙的缺陷。98%的网络通信是由HTTP、FTP、SMTP和DNS构成，这些协议都有可能被黑客用来发动攻击，使防火墙麻痹大意。如果防火墙的性能不够，由防火墙保护的网络还容易遭受DoS和DDoS攻击。有专家认为在防线上添加入侵防御措施能够解决这一问题，用户可以采取两个方式来实现：一是在现有防火墙的基础上添加一个入侵防御系统，二是将现有防火墙替换成安全网关，安全网关集成入侵防御技术。

很多人赞成将入侵防御系统集成到防火墙中，主要是因为能够进行更好的DOS/DDoS保护，简化管理，降低配置错误，并且快速响应。如果使防火墙与入侵防御系统相互独立，防火墙位于入侵防御之外，那么DoS攻击就可能在抵达IPS系统之前使防火墙超载。

此外，独立的管理控制台加大了管理和配置的复杂性，并有可能导致安全漏洞。

代理技术是防火墙在网络中保护脆弱点的一种有效方式，“包过滤”和“状态包过滤”对数据进行检查的深度都无法与代理技术相媲美。在防火墙技术发展初期，出于性能考虑，人们较多采用了包过滤和状态监测，而很少采用代理技术，目前已趋于成熟的ASIC和NP技术已经使得代理技术不会对防火墙性能造成影响，速度问题已经不再是影响人们选择防火墙技术的因素了。相反，随着安全威胁的日益复杂和深层化，深层次的应用层代理检测技术对防火墙正变得越来越重要。

防火墙未来的发展方向是安全应用网关，尽管防火墙并不是企业网络安全防线的终点，但是如果将防火墙与其他措施配合使用，并建立一个层次化的安全机制，那么防火墙仍然是一个基础的防御工具。

安全网关之争
随着网络带宽的迅速增加和网络应用的日益丰富，安全网关的产业竞争也像奥林匹克竞赛一样面临着更高更快的挑战：市场呼唤着功能更高更强、性能更快更稳的安全网关产品。一方面，病毒、垃圾以及混合式攻击成为网络安全最为突出的问题，以隐匿于内容等方式出现的网络攻击模式也越来越复杂；另一方面，随着网络流量的增加和安全检查负荷的加重，安全网关始终是高速网络中的瓶颈，滞后于高端路由器、交换机的性能水平。

功能集成还是性能突破
针对日益增长的性能和功能需求，产业界在硬件和软件上不断有所突破，但对市场和技术发展的方向也有很多争论。前一段国内业界就有“胖”、“瘦”防火墙之争，为下一代防火墙到底是应该更突出功能集成还是更强调性能突破而争论不休。其实，性能和功能从来就是矛盾的两个方面，例如，应用代理防火墙尽管安全性很好，但10多年前因为当时CPU处理能力不够而几乎被舍弃，存活下来的产品屈指可数。到了今天，CPU处理能力早已今非夕比，应用代理防火墙技术浴火重生，越来越多地被具有防病毒等功能的安全网关所采用。又如，仅用CPU作为支撑的硬件平台，无论是以服务器上安装软件还是专用硬件系统的产品形态出现，都不能满足多功能集成的性能要求。到了今天，CPU处理能力和多处理器结构已经完全可以承担百兆级多功能线速的负荷。这既是第一代安全网关以分立式面目出现的根本原因，也是目前低端防火墙摆脱ASIC，回归CPU架构的内在驱动力。

不能试图用一种软硬件体系结构解决所有的问题，安全网关的产品形态也一定是随着软硬件计算技术的发展而变化的。近期最有可能出现的局面是“矮胖子”和“高瘦子”共存。所谓矮胖子，多数是基于CPU加Linux的计算平台，服务于百兆为主的低端市场。因为目前CPU的处理能力已经大大超过网包处理的需求，完全可以利用其空闲时间进行更多应用代理、内容过滤等网络和数据处理。这种在线速条件下实现多层、各种网关处理功能的产品正是第三代安全网关。而高瘦子则指万兆或近万兆带宽的高端产品，它们主要还会是综合应用CPU、NPU、ASIC以及各种加密和协议分析芯片，构成高速可靠的安全计算平台。换句话说，基本上还是第二代安全网关向更高带宽的延伸。

千兆带宽逐渐普及
千兆或近千兆带宽产品正在从过去的高端逐步过渡为现在的中端，千兆层次上的第三代安全网关产品所面对的性能和功能要求，用现有的安全网关产品体系结构已经难以满足，但也是最有可能推陈出新的。NPU的日臻成熟解决了千兆以至多千兆线速的网包处理能力，完全可以满足防火墙、VPN和NIDS的网络处理要求。

总之，集成多层各种网关处理功能并不是一个新概念，但是只有当硬件或算法发展到相应阶段才能够真正实现。集成的趋势在低端上已经很明显了，但在中端乃至高端上还有待于系统和芯片技术的突破。CPU的不断提速和多CPU体系的普及提供了内容过滤、防病毒和防垃圾等应用所需的数据处理能力。然而，尽管Intel计划针对中端和多口低端市场推出结合多种处理功能于一体的芯片，但目前在90纳米芯片生产技术下将真正高性能CPU与NPU集成为一个芯片几乎是不可能的。就连Intel的专家也认为，即使在60纳米芯片生产技术下，实现如此密度的集成也不太可能。因此，真正的挑战在于实现CPU与NPU高速“无缝”互联的硬件平台，而其核心则是CPU与NPU相通的总线。

发展边界网关有效防毒
TrendMicro最近的调查显示，60%的商业用户相信边界网关是病毒防范的最有效位置。国内安全网关厂商应尽快加强与国内外防病毒、防垃圾、XML过滤等应用层安全厂家的合作，在应用集成方面有所作为。其次，国内市场对千兆产品的需求增长相对较快。同样，因为国内复杂ASIC的研发能力较弱，而基于NPU而不是ASIC的千兆安全网关产品较早，使得国内很多厂家都选择了基于NPU开发千兆产品的技术路线，形成了一定的群体优势，造成了著名国际NPU厂商对中国NPU市场的高度重视和大量投入。这使得国内网络设备厂家有可能在整体上形成基于NPU的系统研发优势，率先形成基于通用NPU的软硬件平台，在特定意义上领导国际上开放网络设备平台的潮流。NPU作为适用于网络处理的可编程通用芯片，相对于ASIC具有研发周期短、成本低，且软件共享性和系统扩展性好等突出优点。

回顾安全网关的发展历程，分析安全网关所面临的挑战，我们可以看到中国安全网关产品研发所面临的重大机遇。首先，国内市场目前需求量最大的是百兆和百兆以下的低端产品。因为国内安全网关产品研发起步相对较晚，ASIC研发能力又相对较弱，所以多数产品都是基于PC硬件平台和Linux软件平台开发的，而这恰好与低端安全网关产品回归通用CPU加Linux体系的潮流相符合。这使得国内安全网关厂商在以Linux为基础的低端安全网关产品研发上，特别是防火墙和NIDS以及安全网关集中管理平台等方面，积累了相当的经验和人才，从而占有一定优势。将这一优势与国内PC厂家的产量和成本优势结合起来，在产品定位上更好地与国际市场的需求接轨，将很有可能在中国网络设备市场逐渐形成一定出口能力。

UTM是网关安全必然趋势 在未来，UTM完全有可能取代防火墙、网络入侵检测等单一功能的安全产品。UTM作为网络安全整体解决方案的重要组成部分是必要的，也是可行的，是网关安全发展的必然趋势。

UTM是网关安全必然趋势
混合威胁的出现让我们认识到病毒在攻击方法和效果上其实并不是单一的，而是多样的。经过跟踪研究发现，黑客正在运用新型的组合进攻手段威胁IT基础设施安全。因此，单纯的、针对网关安全的单点解决方案已不足以化解这些攻击，于是人们想到从多层面安全防护出发，选择针对网关防护的多种安全产品。首先想到的是防火墙、网关杀毒、IDS、VPN和内容过滤。

但所产生的问题是，企业（尤其是中小型企业或分支机构）是否有足够的资金配备各种安全功能？即使配备了，它们彼此之间能否紧密集成？出了问题究竟应该找谁负责？因此，当需要将上述多种安全产品部署到位时，从一开始就需要花至少5次资金针对不同的网段进行多种产品的安装、配置，更重要的是还要在随后的应用中投入人力对不同的产品进行更新、实时响应。先不论由此造成的资金与人力重复投入，且说这些配置、管理、更新等手续稍有差池，即可能为外围的入侵敞开大门。

构建安全系统是一个非常复杂的过程，用户需要投入大量财力、物力和精力，除网络信息安全涉及的技术门槛高、产品昂贵的因素之外，主要原因在于大部分安全产品如防火墙、VPN、IPS、防病毒等功能单一，每个设备在购买之前都需要货比三家，购买总价高。为了集中管理、记录存储日志或及时更新产品，可能还需要为各家不同的产品分配策略服务器、日志服务器或更新服务器，这些附加的投入会随着安全产品的引进而成倍增加。可见，对用户来说，非常迫切希望降低在安全建设上的投入，希望能省时、省心、省力地完成安全建设。

在相当一段时间内，对PPDR模型的理解被简化为IDS联动，这从侧面反应了用户对安全效果的不满：防火墙有控制能力但不能做深度检查，IDS可以检查应用安全但没有控制能力。单一功能安全设备的防范效果肯定是有限的，随着防垃圾邮件、防钓鱼欺骗等更多安全设备的出现，用户对安全设备整合、联动的需求更加强烈，只有做到真正的融合和互动，才能进行全面的安全过滤和防范。

首先，大部分网络安全系统是在原有的信息系统基础上增加的，在增加的安全设备与原有网络设备、安全设备之间都可能遇到产品兼容性问题，在部署实施中会相互冲突，安全设备越多，冲突的机会就越多，这在客观上增加了部署实施的难度。有时，个别安全设备可能导致系统验收推迟数月之久。其次，每个安全设备都有一套自己的配置管理方法，因此，很多用户要求厂家派人安装调试，包括配置安全策略，自己基本不改动。在实际应用中，安全策略必须根据实际情况不断调整，如果固定不变，系统的安全保障效果将会大打折扣。最后，在安装调试完成后，如果设备出现问题，用户还需要联系不同厂商来解决，有时甚至需要协调相关的几家厂商同时到场分析解决。可见，从安全系统运行维护的角度看，在不牺牲功能、性能的前提下，用户希望安全设备越少越好。

防火墙、IDS、防病毒技术经过多年发展，现在已经逐渐成熟并稳定下来，开始相互渗透，相互补充。近两年来出现了一个明显的趋势：防火墙、IDS、防病毒甚至内容过滤厂商分别从自有产品出发，通过增加不同的安全功能模块发展UTM。实际上，这主要得益于硬件技术的发展。为了解决深度检查大量耗费CPU资源，除ASIC加速芯片外，一批新的硬件解决方案出现了，如Seaway、Bivil、RMI、Cavium、Sensory、IDT、TARARI，这些硬件能大幅度加速内容匹配，使UTM从概念变成了可用的产品。

从UTM定义可以看出，UTM集中了多种安全功能，但这些安全功能不一定同时应用，可能只使用某一个功能。因此，可以预测，在未来，UTM完全有可能取代防火墙、网络入侵检测等单一功能的安全产品。综上所述，不论是从用户需求来看，还是从技术发展和技术支撑来看，UTM作为网络安全整体解决方案的重要组成部分是必要的，也是可行的，是网关安全发展的必然趋势。

在当今错综复杂的安全形势下，企业用户需要的是一个安全的网络环境，而不是一堆用途各异的孤立设备。整合安全网关通过把多种功能集成在一起，有效防御混合威胁的攻击。我们挑选了几款采用不同技术、特点各异的安全网关设备，帮助您挑选一款适合自己的产品。

趋势科技中小企业InterScan网关安全设备
作为一款由趋势科技推出的一体化的网关产品，IGSA体现了趋势科技市场细分化的成果，在功能多样性，防护全面性和使用易用性方面充分照顾到了中小型企业的需求。并且，IGSA是目前市场上第一款由专业SCM（安全内容管理）厂商推出的针对中小型企业的全合一网关安全硬件产品。趋势科技中小企业InterScan网关安全设备（IGSA）的推出对于中小型企业摆脱复杂多变的安全威胁将起到积极作用。

IGSA具有三个关键优势适合中小型企业采纳，第一，全合一的网关安全有助于防止多种威胁和不适当内容进入企业的网络。其安全防护包括防病毒、防垃圾邮件和内容过滤，无需额外付费的防间谍软件、防网络钓鱼、防僵尸保护以及URL过滤服务，SMTP、HTTP、FTP以及POP3协议发现恶意有效荷载。第二，易于管理和部署，借助基于Web的控制台的单一集成解决方案简化管理。它可以自动清除桌面计算机中的间谍软件和病毒，显著减少宕机时间和管理工作量。简单而透明的嵌入式安装使企业无需重新配置防火墙、VPN以及桌面计算机的设置。第三，有效的早期防护能够较早地防止感染，无需任何人工干预，降低感染事件。IntelliTrap能够通过封堵未知的邮件来确保早期保护，而病毒爆发预防服务可以通过自动响应来防止病毒爆发。

深信服科技UTM一体化安全网关
Sinfor M5100-AC是集VPN、IPS、防火墙、病毒网关、垃圾邮件过滤为一体的访问控制安全网关。M5100-AC支持4个百兆网络接口（1LAN、1DMZ、2WAN），为企业提供了一体化的Internet安全解决方案，降低了企业在网络安全方面的总体投资。Sinfor M5100-AC内置深信服科技的VPN技术，可以拥有Sinfor DLAN VPN的所有功能。除此之外，Sinfor M5100-AC也集成了全球领先的防病毒厂商的杀毒引擎，对内网用户接收的邮件和下载的文件进行病毒过滤，降低了内网用户感染病毒的风险。此外，通过垃圾邮件过滤功能，将大量垃圾邮件拒之门外，也大大提高了员工使用Internet的办公效率。同时，Sinfor M5100-AC还拥有IPS（入侵防御系统）功能，能有效识别和抵御2000多种攻击，更大范围地保护了企业连接到Internet的安全。

WatchGuard Firebox X Peak
WatchGuard公司的Firebox X Peak可向企业提供GB级连接速度、高端口密集以及先进的网络功能，而售价却比同类产品低很多。复杂的、要求苛刻的高速网络在各种机构中越来越常见，这将使Peak系列产品成为他们的理想选择。该设备的总处理能力和高端口密度（10个端口，其中3个为GB级连接速度）能确保Firebox X Peak具有分割和强力保护这些网络所需的性能和灵活性。WatchGuard全新的网关防病毒/入侵防御服务能阻止可疑的网络浏览以及恶意的实时代码，运行Fireware Pro的Firebox Peak和Firebox X500—X2500型号都具有这样的功能。网关AV/IPS基于病毒库签名的保护，是对WatchGuard的智能分层安全架构的补充，并针对与协议标准和行为标准一致的威胁，提供更细致的控制和保护。智能分层安全架构降低了遭受许多新出现的网络攻击、病毒、间谍软件、蠕虫病毒、特洛伊木马和混合威胁的可能。

启明星辰天清汉马
启明星辰公司的天清汉马（AIO-Hammer）多功能安全网关是在NP架构高性能专用硬件平台的基础上，集成了防火墙、VPN、网关防病毒、IPS、防拒绝服务攻击、NetFlow流量统计分析、AAA认证计费以及QoS带宽管理等众多产品功能于一体的集成式安全产品，具备电信级的性能和稳定性，它们分别面向小型、中型及大型网络用户，能提供完善的业务服务质量（QoS）保障，真正满足用户全方位需求。它突破了传统防火墙产品的局限，使得用户在一次投入购买单一设备的情况下，就实现了多个安全产品才能达到的防护作用，确实可以称得上是一个多面手。

天清汉马多功能安全网关的硬件体系架构基于NP架构的专用硬件平台支撑，突破PC架构性能极限，适应千兆网络需求，并且硬件成本低廉，可编程性好，能够适应不断发展变化的安全需求。

Check Point Web安全网关Connectra
Connectra采用SSL Network Extender技术，把安全保护与网络连接整合在一起以防范通过Web远程访问发起的攻击行为，为远程用户访问Web资源与非Web资源提供安全保护。SSL Network Extender是以Web插件形式来封装应用程序，因此用户不必安装和配置客户端软件。据Check Point亚太地区副总裁金美芳介绍，SSL Network Extender既可以集成在Connectra平台上，也可以捆绑在Check Point VPN-1中，即SSL Network Extender可以与IPSec结合在一起使用。Check Point增强了Connectra的安全能力，使Connectra除了具有出色的SSL连接能力外，还能对端点和Web应用提供全面保护。

McAfee WebShield和SpamKiller 3000网关防护系列
McAfee WebShield和SpamKiller 3000网关防护系列产品采用了高度集成性和灵活性的技术，融合了当前先进的网关防病毒、内容扫描、垃圾邮件过滤以及反网络钓鱼技术。这一解决方案成功实现了和McAfee ePolicy Orchestrator的整合，能够针对主要病毒在网关的活动为IT管理员提供图表报告，并能针对所触发的内容过滤以及被认定为垃圾邮件的信息提供详尽报告。此外，这一解决方案还具备编写内容全面的病毒趋势分析和病毒趋势报告的能力，确保IT管理员始终全方位掌握病毒的传播情况。McAfee安全内容管理解决方案提供了防病毒、反垃圾邮件、反网络钓鱼以及内容过滤功能的集成和灵活技术，对企业的网络提供分层保护，多级防御，真正起到了整合网关防护的意义和作用。（责任编辑：王海旭）