融合：滋生安全网关新技术 引发安全大趋势(1)

此前的一个月中，众多读者跟随记者的脚步，一起从网络结构、内部控制、流行应用、用户反馈四个方面，了解了平坦安全的大趋势。正如此前记者所讲的，安全不是静止的，它是一个运动的过程，其能量随技术与需求的发展呈线性增长。

记得IDC曾经对此表示遗憾，他们认为线性增长无法应付井喷放量般的安全隐患，而这将会导致一定时间内的需求饥渴与疲软。记者无意去挑战咨询公司的预期，但请注意，很多安全厂商已经行动起来，希望借助信息技术的发展，将安全与网络周边进行结合，以期创造奇迹。
对用户而言，这种奇迹更多体现为：安全与网络不可分割。在此基础上，很多安全厂商推出了将安全与网络技术相结合的产品，比如此前热炒的高性能UTM、安全路由器、新一代防火墙/防水墙等。
有意思的是，网络中的融合趋势再一次体现在了安全领域中。在此条件下，一些安全厂商赋予了安全更加丰富的内涵：结合了路由功能、语音排错功能、视频能力、支持IPv6特性、具备网络准入控制、反垃圾处理能力以及能够在全网安全架构中负责边界安全的责任。
这些技术有一个共同点：全部都从网关出发，利用新增的特性进行安全边界防御。对此，记者在最后一期的安全专题中，将为读者仔细剖析其中的特点。请注意，文中某些技术还处于验证期，读者不必过分苛求，具体请参见本报网站专题。
写到这里，“安全是平的”专题也将告一段落。记者感谢广大读者一个时期以来的支持与厚爱，同时感谢Cisco、Juniper、联想网御、神州数码网络、深信服、Sonicwall、WatchGuard、侠诺科技的安全专家，特别是感谢通过网站和邮件给我们积极反馈、投稿的热心读者，正是由于你们的关心，安全专题才能越办越好。在此，我们也将更加努力工作，以飨读者。
路由与安全融合
当前，国内很多企业面临安全问题，其中主要集中在三方面：人员、技术实力、资金限制。事实上，不论是大型企业还是中小企业，上述难题都是存在的（详见本报44期）。此前很多安全厂商提出了基于UTM的网关安全技术，对大量的中小企业而言，这样可以降低在安全上的花费。
细心的读者也许还记得，大连瓦房店轴承集团的信息中心主管马英曾向记者表示，如果能够将UTM结合路由器一起部署，将会大大节约企业的投入，特别是降低维护的复杂度。
目前的难点在于，无论是UTM还是其他网关安全设备，主要集中在网络层、应用层和病毒三部分的防御上，对于广域网的融合比较少。Juniper的安全产品经理梁小东向记者透露，目前安全厂商正在努力做的，就是让UTM兼容广域网的特征，包括整合路由技术、兼容路由器板卡。他预测说，今后在中小企业用户中，防火墙与路由器整合的技术将会越来也多，而这种新一代的防火墙设备将给用户的部署带来极大的好处。
事实上，让安全网关兼容广域网的特征，是一个未来发展的趋势。据悉，目前在广域网的网卡、接口技术、封装技术，如E1、T1接口、电话拨号、ISDN等，都可以进行融合。而Sonicwall的安全产品经理蔡永生表示，在路由协议方面，新的安全网关技术可以支持RIP、OSPF、BGP、IPv6等协议，这样可以满足一些小企业将安全设备当作边缘路由器使用的需求。
从国内的情况看，以Juniper、Sonicwall、WatchGuard为代表的UTM厂商，已经将一部分路由技术加入网关安全设备中。WatchGuard亚太区技术总监叶建辉向接着解释说，UTM作为网络的接合点，整合路由功能最自然不过。更重要的是，UTM可以在路由功能中加入安全考虑及检查。
对于新一代安全网关技术的整合趋势，深信服的安全产品经理邬迪表示说，目前主流的网关安全产品，已经从单一的状态检测防火墙发展到了加入IPS、VPN、杀毒、反垃圾邮件的UTM，再到整合了路由、语音、上网行为管理甚至广域网优化技术的新型安全设备，安全的概念在不断更新。
不过，将路由技术与网关安全的结合，也并非十全十美，兼容性、单点故障与性能也是需要考量的地方。侠诺科技的安全负责人张建清透露说，两种技术的融合虽然长期看是一个趋势，不过这对于软件操作系统和硬件的整合要求非常高，并非一蹴而就。因为很多安全产品的操作系统比较封闭，对于与路由模块的兼容并不好。
而联想网御的安全产品经理王延华表示，这种整合将会增大用户网络故障风险的几率，同时也增加了网络排除故障的难度，例如设备中安全模块或者路由模块中任何一个出现问题，就会导致用户的网络出现故障，用户很难知道是安全策略问题还是路由的问题，很难在短时间内排除故障。
此外，对于性能的担忧，侠诺科技的研发总监张祯岩坦言，目前还难以找到完美的方案。事实上，由于安全网关需要处理的数据包相当多，像UTM这种设备本身对于处理能力已经是一大挑战，要再另外结合路由功能，必需在处理能力上有较大的突破。
据记者了解，国际上最早提出将安全设备与路由技术相结合，是在运营商领域。对此，神州数码网络安全产品经理王景辉认为，这种结合对于国内厂商的挑战极大，因为这要求安全厂商必须拥有核心网络产品或相应技术。他表示，国内安全厂商已经在密切关注这种融合的趋势，并及时进行跟进，不过具体还要看用户的需求而定。
语音、视频与安全融合
对于当前的企业来说，越来越多的VoIP和视频通信需求被提上了日程，而这对安全网关的要求无疑进一步提高。
据美国《Network World》报道，完全意义上的新一代安全网关技术必需对语音提供更好的支持。对此，梁小东向记者解释说，这种支持不仅是网管层面的支持，还需要帮助语音进行通讯。举例来看，很多语音使用UDP协议，语音包发出的时候，经过NAT的时候要做两层封装，对于安全网关来说，从技术上必需可以识别相应的封包解开前与返回后的信息。
张祯岩表示，在实现类似VoIP应用的时候，相当于一个安全网关把内部的电话作了NAT发出，而对方接到电话后，还可以打回来，因此安全网关必须支持双向通讯。目前很多安全设备还是单通的，外面打不进来。同样的道理，企业进行视频会议，也有类似的问题，一些新的协议需要被支持。
记者的看法是，类似的技术有点类似使用FTP传数据。当语音信息在被动模式返回的时候，通过安全网关的是一个高端端口。因此这就要求新一代安全网关不仅要能支持状态检测技术，以便建立的Session能够被动打开，而且要求网关设备需要对语音协议有了解，从而识别返回的包。
据悉，像Juniper、神州数码网络、深信服等厂商已经提供了专门的语音配置菜单，以便对常见的协议进行设置。此外，王景辉和梁小东均表示，目前SIP、H.323的漏洞已经不是秘密，针对他们进行的内网攻击已经出现（事实上VoIP本身就像一个小包攻击），这就要求新一代安全网关必须可以理解四层到七层的协议，只有这样才能分析出来流量是否安全，从而应对语音攻击包，而这是普通的安全设备难以企及的。

从大的方向看，把语音技术整合到新一代安全网关中去已经无法阻挡。王景辉认为，即便对于UTM，语音模块也经常被考虑，比如常见的VoIP。他觉得目前新一代安全网关技术一定会采用多技术融合的模式，体现在产品上，多种功能模块配合，包括VoIP模块的加入将对企业带来极大的好处。因为当企业用户在组建网络的时候，如果边界上有这样的设备，用户就可以顺手把VoIP进行部署。换句话说，当IPSec建成的时候，VoIP网络也已经建成了。

前面讲过，很多中小企业在部署网关安全设备的时候，希望能够简化运维成本，对此一种基于网管模块的语音技术也开始出现。张建清向记者表示，利用语音进行故障报错与检查，有点类似于网管软件的延伸，可以在很大程度上提高对问题的响应时间。

据悉，侠诺科技已经在其网关安全产品中加入了语音技术方案，张祯岩表示说，类似技术不同于传统的报警或者短信提示，语音本身不会对用户造成骚扰，而基于攻击、拥塞、异常流量的排错，可以简化企业中网络安全的维护需求。

不过，对于语音模块的性能问题，叶建辉认为同样无法避免。他表示，语音传输会使用大量的封包，如不适当地在网关安全设备中进行优化处理，会造成性能下降从而导致整体网络的效率受到影响。从目前的发展来看，他觉得类似的衰减无法避免，因此技术上的整合虽合理，但仍有考虑的空间。

持相同观点的还有联想网御。王延华认为无论是防火墙还是UTM，都属于安全设备。语音、视频技术与安全产品的结合，应该是VoIP应用的增长的结果，属于贴近应用的通讯设备。事实上，很多通讯设备和安全设备在早期就是在一起的，例如Cisco的交换机上到现在还有一些简单的访问控制列表功能。但是由于人们发现安全在保障网络正常运营中发挥的作用越来越重要，就把安全产品作为单独的产品分离出来。但无论安全设备上集成了多少功能，都是为了保障用户网络的安全性。

所以从这个意义上说，王延华认为将语音技术整合到安全设备上还要慎重。换句话说，通讯设备是搭建的是平台，而安全设备是保障平台安全运行的手段，两者合二为一看起来会降低用户TCO，实质上破坏了网络通讯的实时性（尤其是对语音），毕竟语音这种应用要求的实时性是各种应用中实时性要求相当高的一种。