当前，一些新兴厂商提出了新时代的安全策略，为了拉近内外网之间的距离，企业要将网络层和应用层安全捆绑在一起，从核心节点上掌控安全。

　　真实中的尴尬

　　“不好意思，请问怎么才能查看零部件的出库列表呢？”作为一家汽车经销商的部件采购专员，刘洋带着一脸的迷惑询问生产厂家的销售人员。接下来的一幕很有趣：刘洋的无所事事和生产厂家销售人员的一头雾水，笔记本电脑的网线换了又换，上网的座位换了一个又一个，仍旧无法登录到公司ERP的备件销售数据库。

　　这是一个真实而又具有普遍意义的案例。应该说，那家汽车生产厂家的IT系统很不错：完善的ERP系统，内网标准的VLAN分割，全面而又严格的权限与身份管理。是的，一套严格而又一丝不苟的IT计算环境，但使用起来却相当不方便。

　　记者在这家企业采访时发现，不少制造企业的信息化程度颇高，而且为了做到对生产管理的掌控，往往都设计了复杂的内网安全与隔离措施。这当然没什么不好，但是随着企业内网，特别是网关上架设的安全设备越来越多的时候，新问题出现了：安全降低了企业的效率与IT的潜力。

　　这并非是记者个人的观点，而是美国《Network World》的专栏作家Greene先生感受到的。美国人的看法很直观，他们认为，网络安全从开始的防火墙，慢慢过渡到后来的IDS，再发展到IPS，最后进化到UTM，很多安全措施都是在网关上“动手脚”。即便在传统的反病毒领域，硬件化、网关化的呼声也在此起彼伏。

　　当然这么做并非没有原因。随着越来越多的病毒不断向蠕虫、间谍软件变种，从外网发动攻击的黑客越来越多，网关防御逐渐成为了主流的防御手段。但这样做的缺点很明显，正如本文开头的案例所描述的，基于网关的防御思路大部分都是以各种方式的“隔离”为基础，说的时髦一些可以称作“准入”。

　　但是随着企业的不断发展，越来越多的企业需要和合作伙伴合作，甚至进行一系列工作的外包，同时企业内部的访客越来越多，这些人需要在公司的内部访问一些具有敏感性但又是非用不可的资源。

　　这种情况下，单纯的隔离思路显然不够方便。从硅谷传出的声音认为，基于网关层的安全防护已经不再贴合现代企业的发展需要。他们预测，单纯的网关型防御产品将会在未来不得不消失。

　　未来的出路

　　美国人站在了取消网关运动的起点，当然这并非意味着对于企业内网的放任。事实上，不论是网络界的大佬Cisco、Juniper，还是软件厂商微软、Symantec，以及一些新兴的中间厂商Nevis、ConSentry，他们都比以前任何时候更加强调企业对于内部资源的控制力，只不过实现的手段不相同。

　　网络是共享的，但是网络上的资源、企业内部的信息还是需要保护与控制的。随着NAC概念的提出，网络厂商把安全控制的希望交给了网络层。Cisco的安全专家在接受采访时表示，替代单一网关的出路就是全网控制，在内网上重视隔离，通过安全的汇聚层和接入层设备将企业用不同的VLAN隔离。从控制的角度说，员工只能在自己的VLAN上做事情，从管理上来说是划算的。

　　但是这样的缺点也很明显。首先，这种做法灵活性不够，对于上下游接入的处理不够弹性。其次，这种技术在身份认证上有天然的缺失，虽然可以通过一些补充方案进行员工的管控与事件定位，但具体的多元素解析过程会相对复杂而且速度较慢，要在多台服务器和交换机之间进行信息交换。最后，更换设备带来的高成本让用户无法回避。

　　此后，微软和Symantec也都提出了类似的全网安全控制技术。这些厂商的出发点很明确，他们希望从应用层解决安全问题。微软的工程师表示，这样做的好处很直接：系统可以做到对企业用户和上下游供应链、合作伙伴的感知，管理系统对于用户的认识、定位、权限分配和部门匹配都可以做到“烂熟于心”。

　　不过遗憾的是，这样的设计同样存在缺陷。首先，由于缺乏网关类安全设备的支持，造成了很多软件系统无法精确控制用户的行为，出现一些安全隐患的时候无法做到立刻阻断或者阻止某些封包。其次，软件的部署和调试上的复杂度太高，很多用户没有足够的技术力量和信息去驾驭这些软件系统。

　　一丝曙光

　　应该说，硅谷的工程师们看清楚了两种技术不可调和的矛盾。他们认为，取消网关而又能保持安全的另一种途径，应该是将网络层和应用层进行安全捆绑，甚至直接进行融合。

　　Nevis中国区首席代表张弛在接受采访时表示，目前安全最关键的问题就是把网络层和应用层统一在一起。请注意，这里说的是统一，并非叠加。此前美国《Network World》曾对Nevis和ConSentry这两家新兴厂商的安全产品进行了测试，结果显示，基于统一架构的安全产品具备了速度和安全性的优势。

　　令记者印象深刻的是，这些公司的共同点就是在芯片上花的心思比较多。老实说，即便是老牌的网络或者安全公司，也都在向网络和应用融合的方向上迈进，但困扰他们的都是产品的性能。

　　无论是网关还是桌面，实施控制的代价就是牺牲速度，特别是对于软件控制的系统而言。对此，这些新兴厂商的专家认为，未来的安全出路就是从网络产品上加入对安全的全面考虑。

　　以Nevis为例，他们在10G交换机的基础上突破了对于ASIC的使用，利用CPU进行拆包，同时发挥ASIC转发与匹配的双重速度优势（详见本报今年一月份的测试报告）。虽然类似架构的设备在一些UTM厂家中也能见到，但Nevis的特色在于他们擅于利用底层操作系统去控制相关的安全算法。事实上，他们在交换矩阵上重写了特征匹配、行为检测、协议检测、状态检测、流量检测等一系列算法，而这些正是防火墙、IDS、IPS等安全模块的基础。利用操作系统融合安全算法，保证了安全模块的线性吞吐，因此不会像UTM那样出现操作系统与模块之间的低效率瓶颈。

　　在记者看来，这些新兴厂商的产品都是以内网安全交换机的面目示人的。通过在核心层上整合交换和安全资源，实现了低成本下的全网安全。其实，最早在交换机上整合安全模块的是Cisco，而把交换和安全发挥到极致的则是Crossbeam，只不过他们的思路是在“盒子里插板子”，而非芯片层的代码重构。

　　当然，任何事物都有两面性。相对于NAC类的安全模式，内网安全交换机实现了全程的终端安全控制。因为NAC类代理（包括Active X插件）的终端准入只是一个时间点扫描，终端通过之后就会被划到安全VLAN之内，而后期监控明显不足。而内网安全交换机除了接入期的扫描，还可以利用自身的API和监控模块进行全程跟踪，记录内网用户的行为，包括访问了哪些IP、运行了哪些程序等等，可以做到实时控制。但正是由于这种思路，导致了内网安全交换机目前无法集成反病毒和内容过滤模块。在些应用在全程控制的模式下实现有难度，而且由于是芯片级代码融合，添加新的功能也比较困难。

　　瑕不掩瑜，新技术总是令人兴奋，记者衷心希望，今后会有越来越多的新技术出炉，并在中国的土地上开花结果。

　　相关链接

　　后网关时代典型安全技术比对

　　■Cisco NAC全网方案

　　收益：控制与隔离并重

　　不足：弹性差，后期监控不足，成本高昂

　　■ 微软Forefront软件包

　　收益：身份控制好，能与AD整合

　　不足：难以精确控制行为，部署复杂

　　■Nevis 1048内网安全交换机

　　收益：10G线性吞吐，部署简单，性价比高

　　不足：后期功能添加难度较高