那　罡

全球金融危機(jī)讓眾多企業(yè)感到恐慌。許多企業(yè)采取的應(yīng)對(duì)手段是最大化地利用現(xiàn)有資源，減少開(kāi)支，提高效率，倡導(dǎo)節(jié)約，以求渡過(guò)難關(guān)。如此一來(lái)，企業(yè)對(duì)投資方向的選擇變得更加謹(jǐn)慎，力爭(zhēng)分分資金都用在刀刃上。

有行業(yè)用戶表示，在信息化發(fā)展到如此程度的今天，信息安全顯然已經(jīng)成為一個(gè)不可忽視、不能跳過(guò)的關(guān)鍵環(huán)節(jié)。

安全設(shè)備的堆砌并不能一定解決用戶關(guān)心的安全問(wèn)題。特別是受金融危機(jī)影響，用戶的IT預(yù)算變得捉襟見(jiàn)肘之時(shí)，安全設(shè)備的管理復(fù)雜度與眾多設(shè)備的效果平衡以及后期服務(wù)，都成了成本與人力負(fù)擔(dān)。

在這樣的大背景之下，廣大企業(yè)用戶的信息安全意識(shí)與安全建設(shè)均出現(xiàn)了新的變化。越來(lái)越多的用戶開(kāi)始關(guān)心安全威脅對(duì)于企業(yè)業(yè)務(wù)的影響。與此同時(shí)，大量的安全產(chǎn)品也走進(jìn)了企業(yè)的數(shù)據(jù)中心。

特別是進(jìn)入2009年以來(lái)，以高性能安全網(wǎng)關(guān)、Web安全網(wǎng)關(guān)、SSL VPN設(shè)備為主的安全產(chǎn)品鋒芒畢露。

UTM的新概念

有意思的是，越是在危機(jī)之中，信息安全技術(shù)發(fā)展與變革的步伐越快速。特別是近期以Gartner和IDC為代表的市場(chǎng)調(diào)研機(jī)構(gòu)，正在醞釀一個(gè)新的安全技術(shù)概念——X-UTM（可擴(kuò)展型UTM）。

IDC的分析人士表示，X-UTM技術(shù)與解決方案的推出，主要是考慮到企業(yè)在經(jīng)濟(jì)環(huán)境不景氣、IT預(yù)算縮水的大背景下，安全產(chǎn)品與技術(shù)方案必須滿足企業(yè)用戶安全應(yīng)用與管理的需求。

與此同時(shí)，啟明星辰和Fortinet兩大UTM領(lǐng)導(dǎo)型企業(yè)都在醞釀推出進(jìn)化版的UTM產(chǎn)品，讓企業(yè)用戶在荷包不充裕的狀況下，選擇更務(wù)實(shí)的解決方案。

Fortinet技術(shù)總監(jiān)李宏凱說(shuō)，與傳統(tǒng)UTM技術(shù)不同的是，X-UTM技術(shù)標(biāo)準(zhǔn)更加關(guān)注產(chǎn)品的功能集成度、全功能打開(kāi)的高性能、產(chǎn)品的網(wǎng)絡(luò)層強(qiáng)壯性、技術(shù)融合的可用性、管理復(fù)雜度、靈活的產(chǎn)品部署以及全功能的原發(fā)型響應(yīng)支持。

IDC在其關(guān)于X-UTM技術(shù)標(biāo)準(zhǔn)規(guī)范中表明，在產(chǎn)品的全功能模塊打開(kāi)情況下，不僅要完成HTTP的大包處理，而且要完成各種網(wǎng)絡(luò)應(yīng)用協(xié)議的小包處理，在此基礎(chǔ)上單個(gè)端口吞吐量仍然可以達(dá)到1Gbps，再加上X-VTM具有的高可用性（會(huì)話級(jí)別切換）、多安全區(qū)域等功能，從而可以從技術(shù)上保證企業(yè)用戶關(guān)鍵應(yīng)用的安全實(shí)現(xiàn)。

作為全球網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)廠商之一，F(xiàn)ortinet公司在第一時(shí)間內(nèi)宣布支持IDC最新的X-UTM技術(shù)標(biāo)準(zhǔn)，并且推出了一系列符合X-UTM技術(shù)規(guī)范的新型統(tǒng)一威脅安全管理平臺(tái)。

啟明星辰最近也提出這方面的一個(gè)新的概念，試圖將網(wǎng)關(guān)安全產(chǎn)品和終端安全產(chǎn)品組合在一起，形成更加有效的縱深防御體系：通過(guò)組合，可以統(tǒng)一管理網(wǎng)絡(luò)邊界，同時(shí)在網(wǎng)關(guān)和終端同時(shí)進(jìn)行安全控制，對(duì)整個(gè)網(wǎng)絡(luò)邊界執(zhí)行統(tǒng)一的訪問(wèn)控制策略、統(tǒng)一配置、統(tǒng)一監(jiān)控，確保網(wǎng)絡(luò)安全無(wú)盲點(diǎn)，將企業(yè)IT管理的范圍從網(wǎng)絡(luò)邊界的網(wǎng)關(guān)設(shè)備推進(jìn)到終端PC，保證整體的網(wǎng)絡(luò)安全性，保證業(yè)務(wù)的可用性和連續(xù)性。

記者了解到，網(wǎng)關(guān)安全產(chǎn)品和終端安全產(chǎn)品屬于不同的技術(shù)領(lǐng)域，兩者之間跨界組合的實(shí)現(xiàn)，對(duì)安全廠商提出了更高的要求。啟明星辰相關(guān)人士也透露具體產(chǎn)品將會(huì)在近期發(fā)布。

不難看出，正是在內(nèi)因和外因的雙重作用下，X-UTM等下一代UTM產(chǎn)品粉墨登場(chǎng)，并將會(huì)大大簡(jiǎn)化企業(yè)用戶應(yīng)用層部署的難度，彌補(bǔ)傳統(tǒng)安全產(chǎn)品的不足，滿足用戶新階段的需求。

拋棄工位遠(yuǎn)程接入

在很多企業(yè)看來(lái)，如果能將固定工位減少10%甚至30%，將會(huì)大大降低運(yùn)營(yíng)成本。

要做到這一點(diǎn)其實(shí)并不是不可能的，只需要將不必要全天坐在公司的人員（如銷售人員、技術(shù)工程師等）安排在家辦公，在必要時(shí)到單位輪流使用公共工位即可。而許多國(guó)際大企業(yè)早已采用了這種方式，如愛(ài)立信、IBM、聯(lián)邦快遞等。

企業(yè)一方面想方設(shè)法節(jié)約成本，壓縮信息系統(tǒng)運(yùn)行成本和人員辦公成本，另一方面又希望能讓信息系統(tǒng)更加高效運(yùn)行，同時(shí)能讓自己的業(yè)務(wù)人員隨時(shí)隨地利用重要的內(nèi)部業(yè)務(wù)系統(tǒng)。

很多企業(yè)之所以對(duì)是否采用移動(dòng)辦公心存疑慮，主要還是懷疑遠(yuǎn)程辦公環(huán)境是否能在保證安全的前提下滿足使用的便利性，并希望與現(xiàn)有業(yè)務(wù)無(wú)縫兼容。

聯(lián)想網(wǎng)御市場(chǎng)支持中心方案開(kāi)發(fā)處經(jīng)理陳威說(shuō)，SSL VPN的安全性首先體現(xiàn)在端到端的加密安全傳輸，即可以建立一條從客戶的桌面直接到后臺(tái)應(yīng)用服務(wù)器的完整安全隧道。

但目前大多數(shù)SSL VPN產(chǎn)品，都是采用國(guó)際標(biāo)準(zhǔn)的加密算法。其安全性到底能有多高，一直是個(gè)令人擔(dān)心的問(wèn)題。

很多企業(yè)還希望節(jié)減寬帶費(fèi)用，但帶寬是企業(yè)網(wǎng)絡(luò)運(yùn)轉(zhuǎn)的基本存在，所以能夠匯聚帶寬節(jié)省成本，才能找到帶寬與帶寬費(fèi)用之間的平衡點(diǎn)。

一個(gè)成熟的遠(yuǎn)程接入的解決方案還必須與現(xiàn)有業(yè)務(wù)系統(tǒng)無(wú)縫集成。大部分企業(yè)原有的業(yè)務(wù)系統(tǒng)都是針對(duì)局域網(wǎng)環(huán)境開(kāi)發(fā)的。如果要直接擴(kuò)展為廣域網(wǎng)應(yīng)用，可能面臨著業(yè)務(wù)系統(tǒng)的改動(dòng)。

但對(duì)于企業(yè)來(lái)說(shuō)，任何對(duì)現(xiàn)有業(yè)務(wù)系統(tǒng)的較大改動(dòng)無(wú)論是從時(shí)間成本上。還是運(yùn)營(yíng)成本上考慮都是很難接受的。如果能快速方便地實(shí)現(xiàn)與現(xiàn)有業(yè)務(wù)集成，就可以將這部分成本降至最低。

記者了解到，聯(lián)想網(wǎng)御SSL VPN解決方案支持與用戶的基礎(chǔ)設(shè)施無(wú)縫集成（KMI/PKI/SI），可繼承現(xiàn)有的授權(quán)制度，繼承現(xiàn)有的用戶管理，并整合現(xiàn)有的基礎(chǔ)設(shè)施。這樣就大大降低了用戶進(jìn)行這部分系統(tǒng)修改的成本。

虛擬系統(tǒng)成主流

銀行、電信、電力、教育和政府等大型行業(yè)用戶的數(shù)據(jù)中心通常部署著數(shù)十臺(tái)甚至數(shù)百臺(tái)網(wǎng)絡(luò)服務(wù)器，分屬于數(shù)十個(gè)不同的業(yè)務(wù)部門(mén)。

在部署防火墻對(duì)服務(wù)器進(jìn)行安全防護(hù)時(shí)，每個(gè)業(yè)務(wù)部門(mén)都會(huì)有一些個(gè)性化需求，而且隨著業(yè)務(wù)系統(tǒng)的建設(shè)和調(diào)整也需要防火墻的安全策略相應(yīng)調(diào)整。

東軟安全專家說(shuō)，采用單一防火墻對(duì)整個(gè)內(nèi)部服務(wù)器群進(jìn)行防護(hù)，很難同時(shí)滿足不同業(yè)務(wù)部門(mén)對(duì)服務(wù)器的實(shí)際安全需求，并且一個(gè)部門(mén)的安全策略的改變可能導(dǎo)致整體的網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)結(jié)構(gòu)都要進(jìn)行相應(yīng)的調(diào)整，增加了管理維護(hù)的復(fù)雜性和難度。

如果為每個(gè)部門(mén)采購(gòu)獨(dú)立的防火墻設(shè)備，又會(huì)帶來(lái)安全投資的增加，占用緊張的機(jī)架空間，而且使網(wǎng)絡(luò)中的故障點(diǎn)增多。

另外，防火墻部署中也存在性能浪費(fèi)的情況。大多數(shù)網(wǎng)絡(luò)環(huán)境中網(wǎng)絡(luò)利用率不到15%，即使在峰值的時(shí)候通常也不會(huì)超過(guò)30%，而防火墻采購(gòu)的標(biāo)準(zhǔn)通常都是以其處理性能遠(yuǎn)高于峰值來(lái)確定的，這無(wú)疑造成了防火墻性能在使用周期內(nèi)的浪費(fèi)。

對(duì)于一些比較重要的業(yè)務(wù)部門(mén)，如財(cái)務(wù)部或總經(jīng)理辦公室，出于加強(qiáng)內(nèi)控的考慮，企業(yè)往往會(huì)采購(gòu)一臺(tái)單獨(dú)的防火墻進(jìn)行安全防護(hù)，而這些部門(mén)的流量往往很小，大多數(shù)情況下部署的防火墻發(fā)揮出的性能不到10%。

因此，在部署多臺(tái)防火墻的網(wǎng)絡(luò)環(huán)境中，由于存在性能上的浪費(fèi)，在滿足管理獨(dú)立性的前提下，防火墻的數(shù)量完全可以壓縮而對(duì)網(wǎng)絡(luò)和應(yīng)用性能不產(chǎn)生任何影響。

虛擬系統(tǒng)可以在充分發(fā)揮防火墻性能的同時(shí)，大幅降低用戶的防火墻購(gòu)置成本和整體擁有成本（TCO），己成為防火墻領(lǐng)域的一個(gè)主流技術(shù)。

東軟NetEye FW5200系列提供虛擬防火墻功能。管理員可以將一臺(tái)防火墻在邏輯上劃分成多臺(tái)虛擬防火墻。每臺(tái)虛擬防火墻都可以看成是完全獨(dú)立的防火墻設(shè)備，擁有獨(dú)立的管理員、安全策略、路由策略、用戶認(rèn)證數(shù)據(jù)庫(kù)等。

各臺(tái)虛擬防火墻的安全策略之間互不影響，比如如果兩個(gè)接口屬于不同的虛擬防火墻，那么兩個(gè)接口相連網(wǎng)絡(luò)內(nèi)的主機(jī)甚至可以使用相同的IP地址。

對(duì)于銀行、電信、電力、教育和政府等網(wǎng)絡(luò)環(huán)境比較復(fù)雜的行業(yè)用戶，虛擬防火墻可以有效降低網(wǎng)絡(luò)安全防護(hù)所需的投資預(yù)算，滿足一些特殊部署要求，并大大降低管理維護(hù)成本。