傳統的網絡安全模型中，將網絡劃分為內網，外網，DMZ等多個安全域，通過在網絡邊界部署防火墻，來隔離內外網。防火墻的作用類似一道城堡，通過執行訪問控制策略，將外部威脅隔離在城堡之外，保護內部網絡的安全。

隨著信息網絡技術的發展，網絡安全的勢態發現了變化。一個明顯的特征是：終端成為新的網絡邊界。

首先，隨著網絡接入技術的發展，終端接入網絡的方式已經不再局限于局域網接口，包括雙網卡、Modem撥號、WiFi、CDMA/GPRS上網卡、紅外、藍牙……這些接口已經成為企業內部網絡的另一道邊界。不能管理內部PC通過這些接口上網，就類似在防火墻的城堡下，存在很多沒有安全警衛的后門、小道，內部網絡的安全性無法保障。

其次，傳統的企業網絡中，終端具有固定的辦公位置，內部網絡相對是靜態的。然而隨著移動終端的普及（便攜機銷售超過臺式機），產生了移動辦公方式，內部網絡上接入的終端變得動態化。一方面，員工的終端可能在多個位置動態接入內部網絡；另一方面，各種非公終端也可能接入內網（包括員工個人PC，以及合作伙伴，客戶的PC）。隨著用戶PC的不斷接入，內部網絡的邊界在不斷擴充。內部網絡的動態化，需要我們從另外一個視角來看邊界安全問題。在內網邊界動態變化的過程中，我們必須在新加入的PC這一新的邊界上，進行必要的安全檢察，配置必要的安全防護，才能滿足網絡安全的需要。

再次，USB等存儲設備的大量使用，使得內部主機直接暴露在通過U盤等移動媒介傳播的惡意軟件面前；同時，內部的關鍵信息資產，也面臨通過移動媒介泄露的威脅。網關設備對此無能為力。

終端成為內部網絡的另一道邊界，網絡安全必須同時管理網關+終端雙重邊界，是安全產品必須面對的問題。

安全的新挑戰：黑客攻擊技術的集成化

隨著信息安全的概念逐漸普及，大部分企業都部署了防火墻和防病毒軟件。對安全威脅進行了有針對性的防御。與此同時，黑客的攻擊手段也在和安全產品的“控制與反控制”斗爭中不斷發展。

舉例來說：針對企業防火墻的部署，黑客工具被設計為反彈連接方式，繞開防火墻的安全策略，黑客在內部網絡的PC上植入木馬后，反彈木馬從內部主機上主動發起連接，網關防火墻對這類攻擊難以識別。針對終端防病毒軟件的部署，黑客工具加強了與防病毒軟件對終端系統控制權

的爭奪，木馬病毒被設計成首先上來終結防病毒軟件進程。

黑客把這些技術結合在一起，形成集成化的新一代攻擊工具。單一的安全產品，在抵御這些集成化的攻擊工具時，都存在一些脆弱點。針對這種安全威脅，客觀上需要多種安全產品相互協同與配合，構筑成系統的防御體系，從而更好地滿足企業的安全需求。

安全的新思維：網關+終端跨界組合

面對安全的新形勢和新挑戰，將網關安全產品和終端安全產品組合在一起，形成更加有效的縱深防御體系，這種安全的新思維逐漸成為趨勢。

通過組合，可以統一管理網絡邊界，同時在網關和終端同時進行安全控制，對整個網絡邊界執行統一的訪問控制策略、統一配置、統一監控，確保網絡安全無盲點，將企業IT管理的范圍從網絡邊界的網關設備推進到終端PC，保證整體的網絡安全性，保證業務的可用性和連續性。在此

基礎上，形成針對新安全威脅的縱深防御體系，面對集成化的黑客攻擊方式，網關與終端互相保護，協同配合，縱深防御，更有效地抵御新的安全威脅。

當然，網關安全產品和終端安全產品屬于不同的技術領域，兩者之間跨界組合的實現，對安全廠商提出了更高的要求。當前實現跨界組合面臨

的主要挑戰有：

第一，對產品系列的綜合要求。安全市場本身比較細分，大部分安全廠商，都有其比較強的技術領域，也有比較弱的領域，尤其是在網關安全

和終端安全這兩個領域，技術差異性比較大。客戶的安全需求無界，但安全產品的界卻是真實存在的。

第二，產品協同實現的復雜性。傳統的單點安全產品，在數據層面基本不需要與其他設備進行交換。而跨界組合則需要不同的安全產品之間相互保護，協同工作，這種協同要求遵守相同的通信協議。跨界組合對于習慣于單點安全設備開發模式的傳統安全廠商，提出了更高的要求。

第三，客戶對“易用性”的要求。安全產品對用戶而言比較專業，簡單易用本來就是一項關鍵要求。而跨界組合的復雜程度超過單一安全產品，客戶對“易用性”的要求更加強烈。“部署簡單，配置簡單，管理簡單”是跨界組合必須滿足的需求。

近年來，國外的信息安全領導企業紛紛開始探索通過產品組合的方式來滿足客戶的安全需求。例如，Cisco的NAC（Network Access Control）架構在網絡設備和端點安全代理之間，通過端點健康檢查、準入控制，協同控制安全威脅；Juniper遵從TNC（Trusted Network Connect）標準，將網關和端點安全組合，形成起UAC（統一訪問控制）產品。但是，縱觀國內安全廠商，在網關和終端安全兩個領域都有成熟技術和產品的并不多，能實現二者協同和易用性的就更寥寥無幾。目前只有啟明星辰等少數廠家具備跨界產品組合的能力。

從網關到終端，跨界組合已經成為信息安全的新命題和新趨勢。國內安全廠商能否抓住這一機遇甚至改變與國外廠商的競爭格局，讓我們拭目以待。