统一威胁设备(UTM)是人们已经非常熟悉的设备，而东软新推的新一代集成安全网关NISG，与UTM有何不同?它能否代表未来网络安全设备的发展趋势?

　　11月6日，东软集团在其2009解决方案论坛的信息安全分论坛上，宣布推出一款具有行业标杆意义的新产品NISG，全称为新一代集成安全网关，在今年信息安全领域新品乏善可陈的时候，这一发布可谓意义重大。

　　市场对应用安全需求巨大

　　东软集团副总裁兼网络安全产品营销中心总经理贾彦生告诉记者，UTM在信息安全领域已经不是什么新鲜的概念，它包括防火墙、VPN网关、IPS、防病毒网关、防垃圾邮件网关、抗DDoS网关等各种功能，主要还是网络层的安全，因此，UTM面临着性能等多种瓶颈问题，导致发展极为不畅，经过市场的千锤百炼，才逐渐为人们接受。集成安全网关(ISG)与此类似，却又不完全相同。ISG定位于应用层防护，并不是一味比拼性能、功能种类。

　　所谓应用层防护，就是针对Web服务、电子邮件、数据服务器、电子商务、VoIP和视频会议的抗DDoS攻击、P2P的监控、IM的监控、内容审计等应用层的防护，这是未来行业用户网络将面临的主要问题。贾彦生介绍，面向应用安全的ISG，一定是未来信息安全领域的重点产品，因为，未来，人们赖以生存的网络，将会从“路由器为核心”的转发型网络，向以“服务和数据为核心”的应用网络转变，因此未来网络攻击会有五个明显的新特征：一是，传统4层防火墙的普遍应用，使得攻击技术会转而面向传统安全网关的盲区—应用安全，针对某些应用的专项攻击、或者利用某些应用作为攻击通道将会成为主流;其次，视频、语音等大数据业务会决定网络带宽继续扩大，对安全网关转发性能的需求是持续的;第三，电子商务、网上银行、投资理财、虚拟交易等应用会使网络攻击更加具有吸引力，攻击频率会加大，攻击方式也会多样化;第四，传统局域网内网的扩大和复杂，使得网络内部攻击和泄密更加严重;第五，3G的普及指日可待，对应移动终端的网关安全问题也将爆发。这种情况下，需要有新的安全解决方案予以应对。

　　解决应用安全需新技术

　　然而，应用防护最大的特点也是难点，是应用协议的多样性和多变性，一款设备很难穷举多种应用协议。东软NISG则通过两种方式解决了这一问题，一是采用NEL专利核心技术，可将引擎、协议分析和攻击检测数据快速融合，增加检测技术的兼容性，检测粒度也会非常精细，从而提高检测的效率;其次是采用了三层交换技术，将二层交换和三层路由结合成为一个有机的整体，实现了“一次路由、后续二次转发”的快速包转发，并实现了VLAN与接口的密切耦合，使得VLAN、Trunk、Channel等技术能够很方便地在防火墙上实施，减轻了管理员配置维护的工作负担。

　　此外，用户在应用中还会面临一些新的独立业务安全管理难题，需要依靠新的技术手段。例如，银行、电信、电力等大型行业用户的数据中心通常部署着数百台服务器，分属于不同的业务部门。在部署安全网关时，每个业务部门都会有一些个性化需求，随着部门业务的调整，安全策略也要相应调整。因此，以前单一安全网关对整个内部服务器群进行防护，很难同时满足不同业务部门的安全需求，并在部门安全策略的调整中增加了管理维护的复杂性和难度。如果为每个部门采购独立的安全网关设备，又会带来投资的增加和性能的浪费，这些部门的流量往往很小，发挥出的性能不到10%。

　　通过虚拟化技术就能很好地解决这一难题，东软的虚拟集成安全网关技术就是将一台物理上的NISG在逻辑上划分成多台虚拟的NISG，每个虚拟系统都可以被看成是一台完全独立的NISG设备，针对不同的业务采用不同的安全策略。

　　最后，贾彦生介绍，东软的NISG中的“N”，一般可以理解成“NEW”，意译为新一代。但是在东软的解释中，“N”这个字母含义颇丰，“N”既是东软NEUSOFT的开头字母，也是安全子品牌NetEye的开头字母，同时也包含了NEXT的含义，表示东软集团对下一代集成安全网关寄予了厚望。