傳統(tǒng)的網絡安全模型中，將網絡劃分為內網，外網，DMZ等多個安全域，通過在網絡邊界部署防火墻，來隔離內外網。防火墻的作用類似一道城堡，通過執(zhí)行訪問控制策略，將外部威脅隔離在城堡之外，保護內部網絡的安全。

隨著信息網絡技術的發(fā)展，網絡安全的勢態(tài)發(fā)現了變化。一個明顯的特征是：終端成為新的網絡邊界。

首先，隨著網絡接入技術的發(fā)展，終端接入網絡的方式已經不再局限于局域網接口，包括雙網卡、Modem撥號、WiFi、CDMA/GPRS上網卡、紅外、藍牙……這些接口已經成為企業(yè)內部網絡的另一道邊界。不能管理內部PC通過這些接口上網，就類似在防火墻的城堡下，存在很多沒有安全警衛(wèi)的后門、小道，內部網絡的安全性無法保障。

其次，傳統(tǒng)的企業(yè)網絡中，終端具有固定的辦公位置，內部網絡相對是靜態(tài)的。然而隨著移動終端的普及（便攜機銷售超過臺式機），產生了移動辦公方式，內部網絡上接入的終端變得動態(tài)化。一方面，員工的終端可能在多個位置動態(tài)接入內部網絡；另一方面，各種非公終端也可能接入內網（包括員工個人PC，以及合作伙伴，客戶的PC）。隨著用戶PC的不斷接入，內部網絡的邊界在不斷擴充。內部網絡的動態(tài)化，需要我們從另外一個視角來看邊界安全問題。在內網邊界動態(tài)變化的過程中，我們必須在新加入的PC這一新的邊界上，進行必要的安全檢察，配置必要的安全防護，才能滿足網絡安全的需要。

再次，USB等存儲設備的大量使用，使得內部主機直接暴露在通過U盤等移動媒介傳播的惡意軟件面前；同時，內部的關鍵信息資產，也面臨通過移動媒介泄露的威脅。網關設備對此無能為力。

終端成為內部網絡的另一道邊界，網絡安全必須同時管理網關+終端雙重邊界，是安全產品必須面對的問題。

安全的新挑戰(zhàn)：黑客攻擊技術的集成化

隨著信息安全的概念逐漸普及，大部分企業(yè)都部署了防火墻和防病毒軟件。對安全威脅進行了有針對性的防御。與此同時，黑客的攻擊手段也在和安全產品的“控制與反控制”斗爭中不斷發(fā)展。

舉例來說：針對企業(yè)防火墻的部署，黑客工具被設計為反彈連接方式，繞開防火墻的安全策略，黑客在內部網絡的PC上植入木馬后，反彈木馬從內部主機上主動發(fā)起連接，網關防火墻對這類攻擊難以識別。針對終端防病毒軟件的部署，黑客工具加強了與防病毒軟件對終端系統(tǒng)控制權

的爭奪，木馬病毒被設計成首先上來終結防病毒軟件進程。

黑客把這些技術結合在一起，形成集成化的新一代攻擊工具。單一的安全產品，在抵御這些集成化的攻擊工具時，都存在一些脆弱點。針對這種安全威脅，客觀上需要多種安全產品相互協(xié)同與配合，構筑成系統(tǒng)的防御體系，從而更好地滿足企業(yè)的安全需求。

安全的新思維：網關+終端跨界組合

面對安全的新形勢和新挑戰(zhàn)，將網關安全產品和終端安全產品組合在一起，形成更加有效的縱深防御體系，這種安全的新思維逐漸成為趨勢。

通過組合，可以統(tǒng)一管理網絡邊界，同時在網關和終端同時進行安全控制，對整個網絡邊界執(zhí)行統(tǒng)一的訪問控制策略、統(tǒng)一配置、統(tǒng)一監(jiān)控，確保網絡安全無盲點，將企業(yè)IT管理的范圍從網絡邊界的網關設備推進到終端PC，保證整體的網絡安全性，保證業(yè)務的可用性和連續(xù)性。在此

基礎上，形成針對新安全威脅的縱深防御體系，面對集成化的黑客攻擊方式，網關與終端互相保護，協(xié)同配合，縱深防御，更有效地抵御新的安全威脅。

當然，網關安全產品和終端安全產品屬于不同的技術領域，兩者之間跨界組合的實現，對安全廠商提出了更高的要求。當前實現跨界組合面臨

的主要挑戰(zhàn)有：

第一，對產品系列的綜合要求。安全市場本身比較細分，大部分安全廠商，都有其比較強的技術領域，也有比較弱的領域，尤其是在網關安全

和終端安全這兩個領域，技術差異性比較大。客戶的安全需求無界，但安全產品的界卻是真實存在的。

第二，產品協(xié)同實現的復雜性。傳統(tǒng)的單點安全產品，在數據層面基本不需要與其他設備進行交換。而跨界組合則需要不同的安全產品之間相互保護，協(xié)同工作，這種協(xié)同要求遵守相同的通信協(xié)議?？缃缃M合對于習慣于單點安全設備開發(fā)模式的傳統(tǒng)安全廠商，提出了更高的要求。

第三，客戶對“易用性”的要求。安全產品對用戶而言比較專業(yè)，簡單易用本來就是一項關鍵要求。而跨界組合的復雜程度超過單一安全產品，客戶對“易用性”的要求更加強烈。“部署簡單，配置簡單，管理簡單”是跨界組合必須滿足的需求。

近年來，國外的信息安全領導企業(yè)紛紛開始探索通過產品組合的方式來滿足客戶的安全需求。例如，Cisco的NAC（Network Access Control）架構在網絡設備和端點安全代理之間，通過端點健康檢查、準入控制，協(xié)同控制安全威脅；Juniper遵從TNC（Trusted Network Connect）標準，將網關和端點安全組合，形成起UAC（統(tǒng)一訪問控制）產品。但是，縱觀國內安全廠商，在網關和終端安全兩個領域都有成熟技術和產品的并不多，能實現二者協(xié)同和易用性的就更寥寥無幾。目前只有啟明星辰等少數廠家具備跨界產品組合的能力。

從網關到終端，跨界組合已經成為信息安全的新命題和新趨勢。國內安全廠商能否抓住這一機遇甚至改變與國外廠商的競爭格局，讓我們拭目以待。