写在网关消失的时候

　　一丝曙光

　　应该说，硅谷的工程师们看清楚了两种技术不可调和的矛盾。他们认为，取消网关而又能保持安全的另一种途径，应该是将网络层和应用层进行安全捆绑，甚至直接进行融合。

　　Nevis中国区首席代表张弛在接受采访时表示，目前安全最关键的问题就是把网络层和应用层统一在一起。请注意，这里说的是统一，并非叠加。此前美国《Network World》曾对Nevis和ConSentry这两家新兴厂商的安全产品进行了测试，结果显示，基于统一架构的安全产品具备了速度和安全性的优势。

　　令记者印象深刻的是，这些公司的共同点就是在芯片上花的心思比较多。老实说，即便是老牌的网络或者安全公司，也都在向网络和应用融合的方向上迈进，但困扰他们的都是产品的性能。

　　无论是网关还是桌面，实施控制的代价就是牺牲速度，特别是对于软件控制的系统而言。对此，这些新兴厂商的专家认为，未来的安全出路就是从网络产品上加入对安全的全面考虑。

　　以Nevis为例，他们在10G交换机的基础上突破了对于ASIC的使用，利用CPU进行拆包，同时发挥ASIC转发与匹配的双重速度优势（详见本报今年一月份的测试报告）。虽然类似架构的设备在一些UTM厂家中也能见到，但Nevis的特色在于他们擅于利用底层操作系统去控制相关的安全算法。事实上，他们在交换矩阵上重写了特征匹配、行为检测、协议检测、状态检测、流量检测等一系列算法，而这些正是防火墙、IDS、IPS等安全模块的基础。利用操作系统融合安全算法，保证了安全模块的线性吞吐，因此不会像UTM那样出现操作系统与模块之间的低效率瓶颈。

　　在记者看来，这些新兴厂商的产品都是以内网安全交换机的面目示人的。通过在核心层上整合交换和安全资源，实现了低成本下的全网安全。其实，最早在交换机上整合安全模块的是Cisco，而把交换和安全发挥到极致的则是Crossbeam，只不过他们的思路是在“盒子里插板子”，而非芯片层的代码重构。

　　当然，任何事物都有两面性。相对于NAC类的安全模式，内网安全交换机实现了全程的终端安全控制。因为NAC类代理（包括Active X插件）的终端准入只是一个时间点扫描，终端通过之后就会被划到安全VLAN之内，而后期监控明显不足。而内网安全交换机除了接入期的扫描，还可以利用自身的API和监控模块进行全程跟踪，记录内网用户的行为，包括访问了哪些IP、运行了哪些程序等等，可以做到实时控制。但正是由于这种思路，导致了内网安全交换机目前无法集成反病毒和内容过滤模块。在些应用在全程控制的模式下实现有难度，而且由于是芯片级代码融合，添加新的功能也比较困难。

　　瑕不掩瑜，新技术总是令人兴奋，记者衷心希望，今后会有越来越多的新技术出炉，并在中国的土地上开花结果。

　　相关链接

　　后网关时代典型安全技术比对

　　■Cisco NAC全网方案

　　收益：控制与隔离并重

　　不足：弹性差，后期监控不足，成本高昂

　　■ 微软Forefront软件包

　　收益：身份控制好，能与AD整合

　　不足：难以精确控制行为，部署复杂

　　■Nevis 1048内网安全交换机

　　收益：10G线性吞吐，部署简单，性价比高

　　不足：后期功能添加难度较高