隨著電子政務和各種社會化便民網絡工程的建設完成，各政府部門和社會管理服務系統希望通過安全的信息系統建設，提高了辦事效率，增加了辦公的透明度，加強了監管力度。因此，各種網上便民應用要求相關部門的業務網與互聯網實現信息交換，同時業務部門之間的網上辦公系統要求相關業務網也要實現信息交換。在這些網絡安全需求中，安全隔離與信息交換系統（以下簡稱“安全隔離網閘”）得到了廣泛應用。 

    安全隔離網閘市場已經開始進入高速增長期。安全隔離網閘的高安全性已經逐漸地被政府網絡管理者所認可，從安全隔離網閘現在在公安專網與其外聯網絡（如印章制作中心網絡、旅店監管網絡等），稅務專網與互聯網、工商專網與互聯網等政府部門網絡中的廣泛應用就可以得到印證，并且數十臺以上的集中采購項目已經是經常可見的。除了政府應用外，軍隊、金融、電力等行業也認識到了安全隔離網閘的安全價值，在重要的網絡隔離中采購安全隔離網閘來實現高安全的數據交換。 

    安全隔離網閘需求量的迅速增長是以產品成熟為前提的！國家相關部門對安全隔離網閘最基本的技術要求有兩點：一點是硬件架構為“2＋1”結構，即由兩個擁有獨立操作系統的主機系統和一個專有的隔離交換模塊組成；另一點是對流經的數據處理方式，對數據包全部在應用層進行重組、深度內容檢測之后在網間進行信息“擺渡”。這兩點技術要求已經在主流廠商的安全隔離網閘上得到了嚴格的執行。 

    但是，各安全隔離網閘廠商研發的重點都只是集中在對“擺渡”數據的深度檢測實現和提高處理性能上了，筆者在進行廣泛地調研后認識到安全隔離網閘的技術發展忽視了其作為網關級安全設備應該進一步具有適應性、可管理性以及自身安全性。以下筆者將從客戶應用需求的角度，展望安全隔離網閘下一步的幾個最新發展動向。 

多網接入安全隔離需求 

    現在，交警、電業局、自來水公司等單位在通過銀行實現相關費用代收時一般要與多家銀行進行網絡連接。安全隔離網閘在這樣的網絡中部署時使客戶出現了困擾，原因在于現有各廠商的安全隔離網閘部署時每個主機系統只能連接一個網絡，那么在不能將各家銀行網絡連接到同一個交換設備上的安全要求下，一般的解決方式只能是有幾家銀行接入就部署幾臺安全隔離網閘。這樣的解決方案很明顯是過于浪費的！ 

    以交警網絡與銀行網絡連接為例，我們仔細分析發現各銀行網絡相對于交警內網都是相同安全級別的網絡。在各銀行網絡在實現無法互訪和分別能與交警內網進行數據交換的前提下，是可以通過一臺安全隔離網閘與交警內網相連接的。這就要求安全隔離網閘滿足主機系統有多個網絡連接接口，從而實現每一主機系統可以同時連接多個相同安全級別的網絡，并且每個網絡接口之間在系統內部固化實現無法互訪。也就要求安全隔離網閘成為多網接入安全隔離平臺（如圖一所示。圖一 多網接入安全隔離互聯模型）。 

集中管理需求 

    防火墻從最初作為獨立的安全設備部署在網絡中，到現在可以通過集中管理控制平臺來實現對多臺防火墻的統一協同安全防護和設備狀態監控等管理。安全隔離網閘作為與防火墻相類似的網關級安全設備，其管理上也必然有相類似的管理技術發展脈絡。 

    當前，市場上的安全隔離網閘還無法實現集中管理功能，但由于安全隔離網閘的規模性部署增多和對管理人員技能要求更高，所以用戶對安全隔離網閘的集中管理功能的需求已經相當迫切。 

集中式安全管理系統，要以統一的策略和集成的平臺對受控網絡進行安全配置和管理。集中管理員能通過集中管理中心可以對全局網絡中的安全隔離網閘完成集中、統一的配置、管理和系統監視工作。 

    集中管理模式對于擁有多臺安全隔離網閘的網絡的安全管理尤為重要。它一方面提高了網絡安全規則的一致性，增進網絡的安全性，另一方面也為管理員提供了方便的配置和診斷工具，使管理員可以騰出更多精力的關注更高級的安全管理工作。

操作系統抗攻擊需求 
    
    用戶對安全隔離網閘操作系統抗攻擊的需求越來越迫切。安全隔離網閘作為網關級網絡安全設備，并且對所有的應用協議都是在應用層采取代理的方式進行處理，從而導致安全隔離網閘的并發連接數都是不高的，如百兆平臺一般并發連接數不超過一萬個，這個數量級與防火墻的少則幾十萬和多則上百萬相比實在太少了。因此，如果在相連網絡中有主機感染網絡病毒或者蓄意發起DDOS攻擊時，就會導致安全隔離網閘無法響應正常的連接請求，由此出現的網絡故障時有發生。 

    安全隔離網閘的操作系統內置獨立的入侵檢測功能和抗DDOS攻擊功能將成為必需。其入侵檢測功能要與系統緊密集成，包括包解碼、規則解析及檢測引擎、日志記錄及報警等子模塊。采用實時入侵檢測機制和自動響應技術，可選擇配置不同的攻擊特征碼，并且支持攻擊特征碼分類，可根據大類進行特征碼選擇。攻擊的特征庫應包括掃描攻擊、SMTP攻擊、HTTP攻擊、FTP攻擊等多類攻擊，可以檢測到網絡中的絕大多數入侵行為，可以實時設置阻斷規則，將入侵及時阻斷。 

    市場需求是產品技術發展的指揮棒，用戶的迫切需求需要具有研發實力和市場遠見的安全隔離網閘廠商來完成。 

技術發展需要 

    安全隔離與信息交換系統（以下簡稱“網閘”）的三項關鍵技術是：硬件隔離，信息擺渡，應用層的細粒度檢查。 

    網閘作為對網絡保護程度接近于物理隔離的安全產品，首先要在硬件上實現物理隔離。因此，網閘的硬件架構上就要是“2＋1”，即有兩個主機模塊和一個隔離交換模塊。現在除了個別廠商采用兩個主機模塊直接連接之外，大部分廠商都是采用“2＋ 1”的架構，只是各自的交換模塊設計方式不同。現在國內網閘業內的交換模塊設計主要有三類實現方式：專有隔離交換硬件、與主機模塊相同的主機和數據存儲模塊。基于要在硬件上實現物理隔離的原則，就要求三個模塊的系統必須互相獨立，并且通過隔離交換模塊控制開關的切換確保兩個主機系統任何時刻不直接相連。 

    網閘支持的應用通常包括數據庫的同步和訪問、文件交換、郵件交換和訪問、HTTP訪問、FTP訪問等等。對于各種應用的控制強度和在應用層的檢查力度是檢驗各廠商產品的安全防護能力的驗金石。 

用戶安全需要 

    現在我國各級政府的網絡建設重心已經由最初的面子工程轉變成為各級政府電子政務提供基礎應用平臺。政府的網絡基礎建設已經基本完成，如網上報稅、網上工商、政府辦公大廳等網絡應用已經開始全面展開，大大地方便了公民或企業辦事。這些應用都要求各政府單位的業務網與國際互聯網直接或者間接的進行連接，同時各政府單位又擔心安全和保密問題。網閘基于其自身的高安全性，因此是解決此問題的最佳選擇。網閘以自身的安全隔離特性和極高的檢測機制保證了其保護的網絡主機和網絡不會被入侵。在高安全需求的網絡環境下，網閘正在全面取代防火墻。 

    聯想網御通過多年防火墻的研發積蓄了豐富的硬件設計、訪問控制、主機安全防護、數據深層次檢查等安全產品研發經驗。很多安全技術就已經成功移植到網閘上，例如多機負載均衡技術的移植，使聯想網御網閘最大支持32節點群集，無需任何第三方負載均衡軟硬件支持。 

    經過多年的高速增長，聯想網御積累了雄厚的資金，從而保障了網御產品擁有相當數量的、穩定的、高素質的研發人員，使聯想網御的網閘技術能夠傲視群雄，不斷開拓新的市場。同時還有遍布全國的服務體系，可以全方位的7×24小時的支持，保證了用戶的利益和安全。 

    另外，聯想網御作為國家《電子政務信息安全等級保護實施指南》的執筆單位，對各政府部門的電子政務的安全防護有更深層次的理解。聯想網御網閘正是在其安全理論的指引下，按照電子政務各種應用特點進行了多種定制開發，真正做到了想用戶之所想。正如使用了聯想網御網閘的某市政府信息中心主任所說，“網絡安全工作有聯想網御幫助使我們感到踏實！” 

    聯想網御正是在以保障我國政府網絡安全為己任的信念指引下，通過不斷的技術創新，引領著網閘產業健康快速的向前發展。