那　罡

全球金融危机让众多企业感到恐慌。许多企业采取的应对手段是最大化地利用现有资源，减少开支，提高效率，倡导节约，以求渡过难关。如此一来，企业对投资方向的选择变得更加谨慎，力争分分资金都用在刀刃上。

有行业用户表示，在信息化发展到如此程度的今天，信息安全显然已经成为一个不可忽视、不能跳过的关键环节。

安全设备的堆砌并不能一定解决用户关心的安全问题。特别是受金融危机影响，用户的IT预算变得捉襟见肘之时，安全设备的管理复杂度与众多设备的效果平衡以及后期服务，都成了成本与人力负担。

在这样的大背景之下，广大企业用户的信息安全意识与安全建设均出现了新的变化。越来越多的用户开始关心安全威胁对于企业业务的影响。与此同时，大量的安全产品也走进了企业的数据中心。

特别是进入2009年以来，以高性能安全网关、Web安全网关、SSL VPN设备为主的安全产品锋芒毕露。

UTM的新概念

有意思的是，越是在危机之中，信息安全技术发展与变革的步伐越快速。特别是近期以Gartner和IDC为代表的市场调研机构，正在酝酿一个新的安全技术概念——X-UTM（可扩展型UTM）。

IDC的分析人士表示，X-UTM技术与解决方案的推出，主要是考虑到企业在经济环境不景气、IT预算缩水的大背景下，安全产品与技术方案必须满足企业用户安全应用与管理的需求。

与此同时，启明星辰和Fortinet两大UTM领导型企业都在酝酿推出进化版的UTM产品，让企业用户在荷包不充裕的状况下，选择更务实的解决方案。

Fortinet技术总监李宏凯说，与传统UTM技术不同的是，X-UTM技术标准更加关注产品的功能集成度、全功能打开的高性能、产品的网络层强壮性、技术融合的可用性、管理复杂度、灵活的产品部署以及全功能的原发型响应支持。

IDC在其关于X-UTM技术标准规范中表明，在产品的全功能模块打开情况下，不仅要完成HTTP的大包处理，而且要完成各种网络应用协议的小包处理，在此基础上单个端口吞吐量仍然可以达到1Gbps，再加上X-VTM具有的高可用性（会话级别切换）、多安全区域等功能，从而可以从技术上保证企业用户关键应用的安全实现。

作为全球网络安全的领导厂商之一，Fortinet公司在第一时间内宣布支持IDC最新的X-UTM技术标准，并且推出了一系列符合X-UTM技术规范的新型统一威胁安全管理平台。

启明星辰最近也提出这方面的一个新的概念，试图将网关安全产品和终端安全产品组合在一起，形成更加有效的纵深防御体系：通过组合，可以统一管理网络边界，同时在网关和终端同时进行安全控制，对整个网络边界执行统一的访问控制策略、统一配置、统一监控，确保网络安全无盲点，将企业IT管理的范围从网络边界的网关设备推进到终端PC，保证整体的网络安全性，保证业务的可用性和连续性。

记者了解到，网关安全产品和终端安全产品属于不同的技术领域，两者之间跨界组合的实现，对安全厂商提出了更高的要求。启明星辰相关人士也透露具体产品将会在近期发布。

不难看出，正是在内因和外因的双重作用下，X-UTM等下一代UTM产品粉墨登场，并将会大大简化企业用户应用层部署的难度，弥补传统安全产品的不足，满足用户新阶段的需求。

抛弃工位远程接入

在很多企业看来，如果能将固定工位减少10%甚至30%，将会大大降低运营成本。

要做到这一点其实并不是不可能的，只需要将不必要全天坐在公司的人员（如销售人员、技术工程师等）安排在家办公，在必要时到单位轮流使用公共工位即可。而许多国际大企业早已采用了这种方式，如爱立信、IBM、联邦快递等。

企业一方面想方设法节约成本，压缩信息系统运行成本和人员办公成本，另一方面又希望能让信息系统更加高效运行，同时能让自己的业务人员随时随地利用重要的内部业务系统。

很多企业之所以对是否采用移动办公心存疑虑，主要还是怀疑远程办公环境是否能在保证安全的前提下满足使用的便利性，并希望与现有业务无缝兼容。

联想网御市场支持中心方案开发处经理陈威说，SSL VPN的安全性首先体现在端到端的加密安全传输，即可以建立一条从客户的桌面直接到后台应用服务器的完整安全隧道。

但目前大多数SSL VPN产品，都是采用国际标准的加密算法。其安全性到底能有多高，一直是个令人担心的问题。

很多企业还希望节减宽带费用，但带宽是企业网络运转的基本存在，所以能够汇聚带宽节省成本，才能找到带宽与带宽费用之间的平衡点。

一个成熟的远程接入的解决方案还必须与现有业务系统无缝集成。大部分企业原有的业务系统都是针对局域网环境开发的。如果要直接扩展为广域网应用，可能面临着业务系统的改动。

但对于企业来说，任何对现有业务系统的较大改动无论是从时间成本上。还是运营成本上考虑都是很难接受的。如果能快速方便地实现与现有业务集成，就可以将这部分成本降至最低。

记者了解到，联想网御SSL VPN解决方案支持与用户的基础设施无缝集成（KMI/PKI/SI），可继承现有的授权制度，继承现有的用户管理，并整合现有的基础设施。这样就大大降低了用户进行这部分系统修改的成本。

虚拟系统成主流

银行、电信、电力、教育和政府等大型行业用户的数据中心通常部署着数十台甚至数百台网络服务器，分属于数十个不同的业务部门。

在部署防火墙对服务器进行安全防护时，每个业务部门都会有一些个性化需求，而且随着业务系统的建设和调整也需要防火墙的安全策略相应调整。

东软安全专家说，采用单一防火墙对整个内部服务器群进行防护，很难同时满足不同业务部门对服务器的实际安全需求，并且一个部门的安全策略的改变可能导致整体的网络安全策略和网络结构都要进行相应的调整，增加了管理维护的复杂性和难度。

如果为每个部门采购独立的防火墙设备，又会带来安全投资的增加，占用紧张的机架空间，而且使网络中的故障点增多。

另外，防火墙部署中也存在性能浪费的情况。大多数网络环境中网络利用率不到15%，即使在峰值的时候通常也不会超过30%，而防火墙采购的标准通常都是以其处理性能远高于峰值来确定的，这无疑造成了防火墙性能在使用周期内的浪费。

对于一些比较重要的业务部门，如财务部或总经理办公室，出于加强内控的考虑，企业往往会采购一台单独的防火墙进行安全防护，而这些部门的流量往往很小，大多数情况下部署的防火墙发挥出的性能不到10%。

因此，在部署多台防火墙的网络环境中，由于存在性能上的浪费，在满足管理独立性的前提下，防火墙的数量完全可以压缩而对网络和应用性能不产生任何影响。

虚拟系统可以在充分发挥防火墙性能的同时，大幅降低用户的防火墙购置成本和整体拥有成本（TCO），己成为防火墙领域的一个主流技术。

东软NetEye FW5200系列提供虚拟防火墙功能。管理员可以将一台防火墙在逻辑上划分成多台虚拟防火墙。每台虚拟防火墙都可以看成是完全独立的防火墙设备，拥有独立的管理员、安全策略、路由策略、用户认证数据库等。

各台虚拟防火墙的安全策略之间互不影响，比如如果两个接口属于不同的虚拟防火墙，那么两个接口相连网络内的主机甚至可以使用相同的IP地址。

对于银行、电信、电力、教育和政府等网络环境比较复杂的行业用户，虚拟防火墙可以有效降低网络安全防护所需的投资预算，满足一些特殊部署要求，并大大降低管理维护成本。