60%的用户相信网关是防范病毒的有效位置。

    70%的用户相信网关是阻止黑客攻击的有利位置。

    90%以上的用户相信网关是过滤垃圾邮件的绝佳位置。

    ……

    由此看来，多功能安全网关正被越来越多地委以防范重任。

    某大学的网络里部署着各种各样的安全系统，仅在校园网与internet的接口处，就部署着防火墙、防病毒、反垃圾邮件、vpn等独立的安全设备。负责管理这些设备的网管员每天都要花费大量时间去逐一审查这些安全设备的日志。不过，这所大学的校园网并没有因为安全系统的增多而更加安全，相反先后遭受过冲击波、震荡波等混合威胁的攻击，而且网络性能每况愈下。

    在某航运公司的网络里，记者看到的是另外的情景。“all in one”的集成安全设备部署在公司总部和分支机构的网关位置，替代了防火墙、防病毒、vpn、ids等多个独立安全系统，既简化了网络部署，又提高了管理效率。网管员通过统一的界面对这些设备进行管理，查看汇总的安全日志。最关键的是，这些安全设备能够拦截70%以上的混合威胁。

    安全网关走向多功能

    企业网络与internet的接口处（也就是网关的位置）是安全威胁入侵企业网络的重要入口。有关资料表明，70%以上的病毒、入侵是通过网关进入企业内部的。“一夫当关，万夫莫开”，如果在网关位置采取安全措施的话，就会收到事半功倍的效果。

    安全网关大致经历了三个发展阶段。第一代的安全网关是软件形式的防火墙，例如check point公司的firewall-1，它们通常装载在服务器上，部署在企业网与internet的连接处。

    由于软件防火墙在性能和稳定性方面不能较好地满足用户需求，于是出现了第二代以硬件平台为基础的网关产品，如各种防火墙/vpn、ids、反病毒硬件产品等，诺基亚的ip安全平台、趋势科技的nvw硬件防病毒产品都属于这类设备。第二代安全网关正在朝着更高性能方向发展。对于需要实现多项功能的用户来说，就必须安装多个单一功能的安全设备，这无疑增加了安装和管理的复杂性，同时还会引发新的安全隐患。

    随着越来越多的单一功能安全设备部署在网关位置，网络的整体性能就会受到严重影响，加上来自不同厂商的安全设备之间缺乏密切配合，各自拥有一套管理系统，很难起到综合防范作用。

    第三代安全网关首先被赛门铁克、watchguard、sonicwall等公司开发出来，用于取代独立的多种安全设备。这种有着统一管理界面的多功能安全网关通常包含防病毒、防火墙、ids、漏洞扫描、vpn等模块，这些功能模块在统一操作系统的基础上，既各司其职，又密切合作，共同完成防范、预警、响应和自学习的功能，构成一个有机的安全体系，带给人们“一站式”的安全体验。idc在不久前发布的报告中指出，这种多功能的整合式安全网关将会替代单一功能的中低端防火墙产品，而成为业界的主流。

    回顾安全网关的发展历程，我们不难发现多功能网关正在成为中低端防火墙市场的新标准，并给国内安全厂商提供了发展机遇。目前，国内市场需求量最大的是百兆和百兆以下的安全设备。由于国内安全网关研发起步相对较晚，asic研发能力又相对较弱，所以多数安全设备都是基于pc硬件平台和linux软件平台开发的，而这恰好与低端安全网关产品采用通用cpu加linux体系的潮流相吻合。国内安全厂商在以linux为基础的防火墙、ids的研发方面，积累了丰富的经验，为开发多功能安全网关打下了基础。事实上，国内一些基于cpu加linux平台的安全企业，如联想、天融信、东软等，借助通用硬件和开放软件平台灵活易变的优势，推出集成了防火墙、vpn与ids的安全网关产品。这些产品只要能够改善吞吐量和稳定性，就能够以出色的性价比优势和技术支持服务，与国外公司的产品进行竞争。

    不过，由于国内防病毒厂家与安全网关厂家合作不多，防垃圾邮件厂家还处在起步阶段，在安全集成方面有一定困难，面临挑战。相比之下，symantec、watchguard、sonicwall、servgate等厂商采用或是收购或是合作的方式，与防火墙、ids、防病毒公司共同推出多功能安全网关。例如，servgate与mcafee合作推出了集防火墙、vpn和防病毒、防垃圾等应用代理功能于一体的模块化集成安全网关。国内安全网关厂商需要加强与国内外防病毒、防垃圾邮件、xml过滤等应用层安全厂家的合作，在应用集成方面有所作为。

    多功能网关的利与弊

    在谈起使用多功能安全网关的体会时，航运公司的cio小李最大的感触就是安全、方便和有效。他认为，多功能安全网关将多种安全功能集成到单一平台上，由一个硬件设备统一完成所有的安全防护工作，在提高安全等级和管理效率方面具有优势。多功能安全网关通常采用专用、优化的操作系统，从根本上减少漏洞的发生。针对安全威胁，多功能网关设备可以进行全面分析，即使还没有发现此类威胁的特征码，管理员也可以通过统一的集中管理界面，及时发现异常流量或异常通信，并采取措施。由于安装、报告和更新都可以从一个控制台、通过一个升级软件包来完成，多功能安全网关简化了设备的管理过程，由多家安全厂商提供的响应服务也改由一家公司提供包括病毒定义码、防火墙规则以及入侵特征库在内的支持服务，使企业能够对突发安全事件迅速做出响应。

    可以说，整合设备拥有出色的成本优势。在采购成本方面要远远低于分别采购各类安全设备，这一点对于分布式的企业网络显得格外突出。在部署、维护方面，整合的安全设备集硬件设备、操作系统和安全应用程序于一身，有一些产品还实现了即插即用，为用户节省了大量人力和物力。

    当各种安全功能集成在一起时，新的问题也就接踵而至：如何保证这类新设备的性能，使它不会成为网络的新瓶颈。尤其是随着网络带宽的迅速增加和网络应用的日益丰富，用户需要功能更高更强、性能更快更稳的安全网关产品。

    一方面，病毒、垃圾以及黑客攻击成为网络安全最为突出的问题，以隐匿于内容等方式出现的网络攻击模式也越来越复杂；另一方面，随着网络流量的增加和安全检查负荷的加重，安全网关始终是高速网络中的瓶颈，滞后于高端路由器、交换机的性能水平。 (责任编辑：admin)