【IT168专稿】网大了，管理的难度就大；上网容易了，客户端就更容易受伤了。知晓“防毒墙”的名字和功能已经是很久的事儿了，说实话一直以来就想过在网关这一层架设防毒过滤产品，综合来，比较去，“性能”这个参数长久以来没有说服我这个教育网的安全负责人。

    当然，这是久远的事情了，随着时间和安全意识的改变，网关的概念已经在我眼中变得模糊，而安全边界与资源互访的矛盾就如同坚固的手铐束缚着我；使每个学校的网络都安全些，这是我的梦想；使每个学校的资源都能相互访问，是领导的梦想。

    技术加忽悠，舌辩群儒

    中国有句古谚，“马无外草不肥，人无外财不富”，年底前的追加拨款必须用到网络或安全产品中，这使得“安全网关采购”翻到了提示簿中第一页。我们重新衡量了防毒产品的在网络中的地位，下面是我排除异己、而又略带牵强性的发言，当然也是力推防毒网关的理论。

    传统意义上的计算机病毒正在退出历史的舞台，而现在计算机病毒这一词汇更多的用于指代一个更宽泛的集合：恶意软件。入侵的矛头指向了浏览器。过去，你们可能认为员工是最不需要担心的，但随着信息化建设步伐的加快，有许多网络安全问题却是由于内部员工所引起的。例如，在员工浏览网站、使用即时通讯软件和访问某些论坛的时候，一些间谍软件、广告软件等恶意软件就会不知不觉地下载到电脑中，并在企业内部网络中进行传播。对安全管理人员而言，集中管理安全性的方法既简单又直接，因为它将所有风险都集中到了一块儿。但是，因为员工客户端个性化的实际情况，安全体系结构可能使统一管理不再可用。

    网关（Gateway）又称为网间连接器、协议转换器。网关在传输层上以实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似，不同的是网关主要用于广域网互连，当然也可以用于局域网互连之用。在早期的因特网中，网关即指路由器，是网络中超越本地网络的标记。

    我们将网关作为划分信任区或者非信任区的方案由来已久，由它作为访问的边界，将访问授权的策略部署到网关上是通用的做法，一直以来，“边界”只是相对于物理安全而言的修饰词而已，很多人把防火墙或VPN当作安全的边界，用来防御内网边界以外的黑客攻击和漏洞嗅探。但传统意义的防火墙并不能够将流行的病毒封堵在网关的外面，也就是说，一些病毒首先要通过防火墙，然后才能在客户端软件进行查杀。

    请注意，安全定义的第一点就是要实现“看不见”，首先是要隔离开病毒与病毒的载体。而我们现在的做法呢？是病毒要先驻留在你的PC上之后，我们的防毒体系才能起作用，有谁还认为这是安全的吗？