写在网关消失的时候

　　当前，一些新兴厂商提出了新时代的安全策略，为了拉近内外网之间的距离，企业要将网络层和应用层安全捆绑在一起，从核心节点上掌控安全。

　　真实中的尴尬

　　“不好意思，请问怎么才能查看零部件的出库列表呢？”作为一家汽车经销商的部件采购专员，刘洋带着一脸的迷惑询问生产厂家的销售人员。接下来的一幕很有趣：刘洋的无所事事和生产厂家销售人员的一头雾水，笔记本电脑的网线换了又换，上网的座位换了一个又一个，仍旧无法登录到公司ERP的备件销售数据库。

　　这是一个真实而又具有普遍意义的案例。应该说，那家汽车生产厂家的IT系统很不错：完善的ERP系统，内网标准的VLAN分割，全面而又严格的权限与身份管理。是的，一套严格而又一丝不苟的IT计算环境，但使用起来却相当不方便。

　　记者在这家企业采访时发现，不少制造企业的信息化程度颇高，而且为了做到对生产管理的掌控，往往都设计了复杂的内网安全与隔离措施。这当然没什么不好，但是随着企业内网，特别是网关上架设的安全设备越来越多的时候，新问题出现了：安全降低了企业的效率与IT的潜力。

　　这并非是记者个人的观点，而是美国《Network World》的专栏作家Greene先生感受到的。美国人的看法很直观，他们认为，网络安全从开始的防火墙，慢慢过渡到后来的IDS，再发展到IPS，最后进化到UTM，很多安全措施都是在网关上“动手脚”。即便在传统的反病毒领域，硬件化、网关化的呼声也在此起彼伏。

　　当然这么做并非没有原因。随着越来越多的病毒不断向蠕虫、间谍软件变种，从外网发动攻击的黑客越来越多，网关防御逐渐成为了主流的防御手段。但这样做的缺点很明显，正如本文开头的案例所描述的，基于网关的防御思路大部分都是以各种方式的“隔离”为基础，说的时髦一些可以称作“准入”。

　　但是随着企业的不断发展，越来越多的企业需要和合作伙伴合作，甚至进行一系列工作的外包，同时企业内部的访客越来越多，这些人需要在公司的内部访问一些具有敏感性但又是非用不可的资源。

　　这种情况下，单纯的隔离思路显然不够方便。从硅谷传出的声音认为，基于网关层的安全防护已经不再贴合现代企业的发展需要。他们预测，单纯的网关型防御产品将会在未来不得不消失。

　　未来的出路

　　美国人站在了取消网关运动的起点，当然这并非意味着对于企业内网的放任。事实上，不论是网络界的大佬Cisco、Juniper，还是软件厂商微软、Symantec，以及一些新兴的中间厂商Nevis、ConSentry，他们都比以前任何时候更加强调企业对于内部资源的控制力，只不过实现的手段不相同。

　　网络是共享的，但是网络上的资源、企业内部的信息还是需要保护与控制的。随着NAC概念的提出，网络厂商把安全控制的希望交给了网络层。Cisco的安全专家在接受采访时表示，替代单一网关的出路就是全网控制，在内网上重视隔离，通过安全的汇聚层和接入层设备将企业用不同的VLAN隔离。从控制的角度说，员工只能在自己的VLAN上做事情，从管理上来说是划算的。

　　但是这样的缺点也很明显。首先，这种做法灵活性不够，对于上下游接入的处理不够弹性。其次，这种技术在身份认证上有天然的缺失，虽然可以通过一些补充方案进行员工的管控与事件定位，但具体的多元素解析过程会相对复杂而且速度较慢，要在多台服务器和交换机之间进行信息交换。最后，更换设备带来的高成本让用户无法回避。

　　此后，微软和Symantec也都提出了类似的全网安全控制技术。这些厂商的出发点很明确，他们希望从应用层解决安全问题。微软的工程师表示，这样做的好处很直接：系统可以做到对企业用户和上下游供应链、合作伙伴的感知，管理系统对于用户的认识、定位、权限分配和部门匹配都可以做到“烂熟于心”。

　　不过遗憾的是，这样的设计同样存在缺陷。首先，由于缺乏网关类安全设备的支持，造成了很多软件系统无法精确控制用户的行为，出现一些安全隐患的时候无法做到立刻阻断或者阻止某些封包。其次，软件的部署和调试上的复杂度太高，很多用户没有足够的技术力量和信息去驾驭这些软件系统。