融合：新一代安全网关技术 安全的大趋势

此前的一个月中，众多读者跟随记者的脚步，一起从网络结构、内部控制、流行应用、用户反馈四个方面，了解了平坦安全的大趋势。正如此前记者所讲的，安全不是静止的，它是一个运动的过程，其能量随技术与需求的发展呈线性增长。

记得IDC曾经对此表示遗憾，他们认为线性增长无法应付井喷放量般的安全隐患，而这将会导致一定时间内的需求饥渴与疲软。记者无意去挑战咨询公司的预期，但请注意，很多安全厂商已经行动起来，希望借助信息技术的发展，将安全与网络周边进行结合，以期创造奇迹。

对用户而言，这种奇迹更多体现为：安全与网络不可分割。在此基础上，很多安全厂商推出了将安全与网络技术相结合的产品，比如此前热炒的高性能UTM、安全路由器、新一代防火墙/防水墙等。

有意思的是，网络中的融合趋势再一次体现在了安全领域中。在此条件下，一些安全厂商赋予了安全更加丰富的内涵：结合了路由功能、语音排错功能、视频能力、支持IPv6特性、具备网络准入控制、反垃圾处理能力以及能够在全网安全架构中负责边界安全的责任。

这些技术有一个共同点：全部都从网关出发，利用新增的特性进行安全边界防御。对此，记者在最后一期的安全专题中，将为读者仔细剖析其中的特点。请注意，文中某些技术还处于验证期，读者不必过分苛求，具体请参见本报网站专题。

写到这里，“安全是平的”专题也将告一段落。记者感谢广大读者一个时期以来的支持与厚爱，同时感谢Cisco、Juniper、联想网御、神州数码网络、深信服、Sonicwall、WatchGuard、侠诺科技的安全专家，特别是感谢通过网站和邮件给我们积极反馈、投稿的热心读者，正是由于你们的关心，安全专题才能越办越好。在此，我们也将更加努力工作，以飨读者。

路由与安全融合

当前，国内很多企业面临安全问题，其中主要集中在三方面：人员、技术实力、资金限制。事实上，不论是大型企业还是中小企业，上述难题都是存在的（详见本报44期）。此前很多安全厂商提出了基于UTM的网关安全技术，对大量的中小企业而言，这样可以降低在安全上的花费。

细心的读者也许还记得，大连瓦房店轴承集团的信息中心主管马英曾向记者表示，如果能够将UTM结合路由器一起部署，将会大大节约企业的投入，特别是降低维护的复杂度。

目前的难点在于，无论是UTM还是其他网关安全设备，主要集中在网络层、应用层和病毒三部分的防御上，对于广域网的融合比较少。Juniper的安全产品经理梁小东向记者透露，目前安全厂商正在努力做的，就是让UTM兼容广域网的特征，包括整合路由技术、兼容路由器板卡。他预测说，今后在中小企业用户中，防火墙与路由器整合的技术将会越来也多，而这种新一代的防火墙设备将给用户的部署带来极大的好处。

事实上，让安全网关兼容广域网的特征，是一个未来发展的趋势。据悉，目前在广域网的网卡、接口技术、封装技术，如E1、T1接口、电话拨号、ISDN等，都可以进行融合。而Sonicwall的安全产品经理蔡永生表示，在路由协议方面，新的安全网关技术可以支持RIP、OSPF、BGP、IPv6等协议，这样可以满足一些小企业将安全设备当作边缘路由器使用的需求。

从国内的情况看，以Juniper、Sonicwall、WatchGuard为代表的UTM厂商，已经将一部分路由技术加入网关安全设备中。WatchGuard亚太区技术总监叶建辉向接着解释说，UTM作为网络的接合点，整合路由功能最自然不过。更重要的是，UTM可以在路由功能中加入安全考虑及检查。

对于新一代安全网关技术的整合趋势，深信服的安全产品经理邬迪表示说，目前主流的网关安全产品，已经从单一的状态检测防火墙发展到了加入IPS、VPN、杀毒、反垃圾邮件的UTM，再到整合了路由、语音、上网行为管理甚至广域网优化技术的新型安全设备，安全的概念在不断更新。

不过，将路由技术与网关安全的结合，也并非十全十美，兼容性、单点故障与性能也是需要考量的地方。侠诺科技的安全负责人张建清透露说，两种技术的融合虽然长期看是一个趋势，不过这对于软件操作系统和硬件的整合要求非常高，并非一蹴而就。因为很多安全产品的操作系统比较封闭，对于与路由模块的兼容并不好。

而联想网御的安全产品经理王延华表示，这种整合将会增大用户网络故障风险的几率，同时也增加了网络排除故障的难度，例如设备中安全模块或者路由模块中任何一个出现问题，就会导致用户的网络出现故障，用户很难知道是安全策略问题还是路由的问题，很难在短时间内排除故障。

此外，对于性能的担忧，侠诺科技的研发总监张祯岩坦言，目前还难以找到完美的方案。事实上，由于安全网关需要处理的数据包相当多，像UTM这种设备本身对于处理能力已经是一大挑战，要再另外结合路由功能，必需在处理能力上有较大的突破。

据记者了解，国际上最早提出将安全设备与路由技术相结合，是在运营商领域。对此，神州数码网络安全产品经理王景辉认为，这种结合对于国内厂商的挑战极大，因为这要求安全厂商必须拥有核心网络产品或相应技术。他表示，国内安全厂商已经在密切关注这种融合的趋势，并及时进行跟进，不过具体还要看用户的需求而定。

语音、视频与安全融合

对于当前的企业来说，越来越多的VoIP和视频通信需求被提上了日程，而这对安全网关的要求无疑进一步提高。

据美国《Network World》报道，完全意义上的新一代安全网关技术必需对语音提供更好的支持。对此，梁小东向记者解释说，这种支持不仅是网管层面的支持，还需要帮助语音进行通讯。举例来看，很多语音使用UDP协议，语音包发出的时候，经过NAT的时候要做两层封装，对于安全网关来说，从技术上必需可以识别相应的封包解开前与返回后的信息。

张祯岩表示，在实现类似VoIP应用的时候，相当于一个安全网关把内部的电话作了NAT发出，而对方接到电话后，还可以打回来，因此安全网关必须支持双向通讯。目前很多安全设备还是单通的，外面打不进来。同样的道理，企业进行视频会议，也有类似的问题，一些新的协议需要被支持。

记者的看法是，类似的技术有点类似使用FTP传数据。当语音信息在被动模式返回的时候，通过安全网关的是一个高端端口。因此这就要求新一代安全网关不仅要能支持状态检测技术，以便建立的Session能够被动打开，而且要求网关设备需要对语音协议有了解，从而识别返回的包。
 
据悉，像Juniper、神州数码网络、深信服等厂商已经提供了专门的语音配置菜单，以便对常见的协议进行设置。此外，王景辉和梁小东均表示，目前SIP、H.323的漏洞已经不是秘密，针对他们进行的内网攻击已经出现（事实上VoIP本身就像一个小包攻击），这就要求新一代安全网关必须可以理解四层到七层的协议，只有这样才能分析出来流量是否安全，从而应对语音攻击包，而这是普通的安全设备难以企及的。

从大的方向看，把语音技术整合到新一代安全网关中去已经无法阻挡。王景辉认为，即便对于UTM，语音模块也经常被考虑，比如常见的VoIP。他觉得目前新一代安全网关技术一定会采用多技术融合的模式，体现在产品上，多种功能模块配合，包括VoIP模块的加入将对企业带来极大的好处。因为当企业用户在组建网络的时候，如果边界上有这样的设备，用户就可以顺手把VoIP进行部署。换句话说，当IPSec建成的时候，VoIP网络也已经建成了。

前面讲过，很多中小企业在部署网关安全设备的时候，希望能够简化运维成本，对此一种基于网管模块的语音技术也开始出现。张建清向记者表示，利用语音进行故障报错与检查，有点类似于网管软件的延伸，可以在很大程度上提高对问题的响应时间。

据悉，侠诺科技已经在其网关安全产品中加入了语音技术方案，张祯岩表示说，类似技术不同于传统的报警或者短信提示，语音本身不会对用户造成骚扰，而基于攻击、拥塞、异常流量的排错，可以简化企业中网络安全的维护需求。
 
不过，对于语音模块的性能问题，叶建辉认为同样无法避免。他表示，语音传输会使用大量的封包，如不适当地在网关安全设备中进行优化处理，会造成性能下降从而导致整体网络的效率受到影响。从目前的发展来看，他觉得类似的衰减无法避免，因此技术上的整合虽合理，但仍有考虑的空间。

持相同观点的还有联想网御。王延华认为无论是防火墙还是UTM，都属于安全设备。语音、视频技术与安全产品的结合，应该是VoIP应用的增长的结果，属于贴近应用的通讯设备。事实上，很多通讯设备和安全设备在早期就是在一起的，例如Cisco的交换机上到现在还有一些简单的访问控制列表功能。但是由于人们发现安全在保障网络正常运营中发挥的作用越来越重要，就把安全产品作为单独的产品分离出来。但无论安全设备上集成了多少功能，都是为了保障用户网络的安全性。

所以从这个意义上说，王延华认为将语音技术整合到安全设备上还要慎重。换句话说，通讯设备是搭建的是平台，而安全设备是保障平台安全运行的手段，两者合二为一看起来会降低用户TCO，实质上破坏了网络通讯的实时性（尤其是对语音），毕竟语音这种应用要求的实时性是各种应用中实时性要求相当高的一种。

内网控制与安全融合

通常意义上的“内网控制”包括两个方面：第一，网络准入控制；第二，全网安全技术。把这两点整合到新一代网关安全技术中，目前来看是非常有必要的。

目前业内的共识是：两种技术的整合将推动企业安全向全网化进发。据梁小东介绍，新一代的准入控制技术包括第二层和第三层的准入，日后可能还有更高层准入。目前，在第二层采取交换机或者WLAN等手段，利用802.1X进行相关的联动与控制。而在第三层，主要集中在身份认证上。对此，王延华解释说，目前的过程是当用户通过相关认证之后，才可以访问相应的服务器资源，而日后将会向更高的方向发展，目前这两层的特征需要在新一代网关安全技术中体现出来。

在全网安全方案中，这部分功能同样需要实现。王景辉表示，全网安全技术将成为新一代网关安全技术的一个重要组成部分，同时也是整个企业内网准入技术的一个组成部分。他预计，今后的安全模式将会受到颠覆，只要在网关处部署新一代安全设备，用这一个设备就可以实现所有内部用户的安全访问。

目前像Juniper、神州数码网络、深信服已经在网关安全设备中实现了基于ActiveX技术进行的客户端软件触发，在内网用户登陆的时候自动分发插件，从而自动完成对主机的检查，包括注册表完整性、非法进程、非法端口、是否具备个人防火墙和防病毒软件，符合要求以后，再授权用户进入内网系统。这个过程也被称作新一代端点安全控制与检查，目的是杜绝外部不安全隐患。

非常有意思的是，记者发现，除了新一代网关技术，目前基于准入与全网安全技术的整合正在被有条不紊地实践着。对此，张祯岩、邬迪和叶建辉三人看法不谋而合，他们认为像SSL VPN就已经把网络准入规则和用户的访问权限做了结合。在远程用户接入时，通过进行端点的安全性扫描，获得其安全等级，高安全等级的用户可以访问更多的资源，而安全级别低的客户端将不具备内网访问权限，实现了动态的VPN访问控制。而对于网络行为管理设备，准入规则被创新地加入到了对内网用户上网行为的管理方面，管理员可以在策略中心设置一系列的安全规则，这些规则包括操作系统的版本、主机安装的应用软件甚至是某些网络行为。当内网用户在访问Internet时，如果符合预先设定的安全规则便可以顺利地访问互联网。而不符合要求的主机将被阻止网络连接，除非其提高本机的安全性并符合企业对员工上网的要求。

同样的，众多企业的CIO也在逐步吃透全网安全的技术核心。王景辉认为，当用户发现自己的基础网络已经比较完善的时候，对应用层的访问控制得到了更广泛的关注。当防范广域网攻击的措施越来越有效时，如何建立一个健康强壮的局域网将成为CIO的工作重点。安全是从OSI模型中自下到上的完善，并且也在经历一个从 WAN-->LAN防护到LAN-->WAN保护这样一个双向的防护过程。对此，邬迪表示，新一代安全网关技术很可能整合或者配合其他安全专有设备，如广域网加速设备、上网行为管理设备，一起来完成全网安全的部署。

此外，将两种技术整合到新一代安全网关中还有一个好处，那就是可以在一定程度上，具备实现防护的能力。张祯岩解释说，新一代安全网关的边界控制会较传统的防火墙、UTM更加智能，特别是可以适应规则的例外情况。从实验室测试的成绩看，对于新型态的攻击或安全威胁，新一代安全网关技术可以实现部分事先防护功能。

业界对于内网安全与准入的态度十分明朗，但王景辉也提醒说，在新一代安全网关技术中还需要关注微软这样的公司，因为有迹象表明微软在从事防病毒等安全工作，如果市场反应是微软做的足够成功，有可能会有新的国际标准出台，届时众多网络安全厂商都必须与之结合，以便彼此间互相通信，而神州数码网络、天融信等国内厂商开发的私有协议，有可能受到挑战。

IPv6与安全融合

IPv6在新一代网关安全技术中扮演的角色不可或缺。对此王景辉解释说，IPv6本身可以很好地解决IPSec的问题，但对于访问控制还是需要设备进行支持。这里说的访问控制主要是指IPv6下的安全包过滤的问题。

据悉，神州数码网络作为国内唯一通过IPv6 Ready Phase 2认证的厂家，已经展开了对IPv6下的新一代安全网关的预研工作。从目前披露的情况看，在IPv6状态下，安全设备需要查找的包更深，因此对于处理器的性能要求更高，对整体设备的性能也是严峻的考验。毕竟IPv4下检查一个包都是在128-256位左右，但日后需要更加深入的检查。

目前来看，IPv6在现网上用的很少，主要还是实验网上做。对此，张祯岩和梁晓东的看法也比较一致，他们觉得在IPv6大规模推广还没有开始之前，安全厂商主要希望能够在新一代安全网关技术中把IPv6的兼容性调试好，目前的依据都是支持IPv6的地址规划，但对于日后的攻击行为，还难以准确判断。

据悉，像Juniper、联想网御、神州数码网络、深信服、WatchGuard都已经开始了对IPv6状态下的安全调试工作。有意思的是，王延华、叶剑辉和邬迪三人均认为，IPv6在中国会从骨干网到接入网一级一级地实施，在技术上并没有太大难度，因此对于安全厂商来说，IPv6只是底层的网络协议，那么只要底层的软件协议支持，做到IPv4到IPv6的切换没有问题。