2013年12月，業(yè)界頂尖咨詢機構Forrester發(fā)布報告，提出”零信任網絡”的概念，并定義了新的安全產品類別“網絡隔離網關”。Forrester羅列了21項標準來定義“網絡隔離網關”，并對業(yè)界15家主流廠商的產品進行了評估。其中，華為作為唯一被提到的中國廠商，憑借USG6000下一代防火墻產品，滿足20項標準定義，功能覆蓋度排名TOP3。

　　時代在變化，安全需要演進

　　自2000年以來，企業(yè)的ICT環(huán)境發(fā)生了巨大的變化，在BYOD、社交網絡、云計算等新技術讓企業(yè)業(yè)務更自由、更高效，更便捷的同時，也帶來了邊界愈發(fā)模糊、身份魚龍混雜、數據泄露等新的安全挑戰(zhàn)。這對對安全設備的防護能力提出了更高的要求。

　　傳統(tǒng)的安全架構通常是零散的、亡羊補牢式的，在防護效果、可管理性和降低TCO等各方面都無法滿足當前的安全需要。2013年12月，業(yè)界頂尖的咨詢機構Forrester Research發(fā)布了《Security Network Segmentation Gateways Q4, 2013》安全報告，針對傳統(tǒng)網絡安全架構的不足，提出了“零信任網絡”的概念。在報告中，Forrester定義了一個新的安全產品類別--“網絡隔離網關”（Network Segmentation Gateways），作為零信任網絡的安全核心，并羅列了21項標準，對15個業(yè)界主流廠家的產品進行評估。

　　Forrester的“零信任網絡”和“網絡隔離網關”

　　Forrester認為，當前以數據為中心的世界，威脅不僅僅來自于外部，需要采用 “零信任”模型構建安全的網絡。在“零信任”網絡中，不再有可信的設備、接口和用戶，所有的流量都是不可信任的。現實中也確實如此，技術高超的APT攻擊者總有辦法進入企業(yè)網絡，企業(yè)的內部員工有意、無意地也會對信息安全造成損害。來自任何區(qū)域、設備和員工的訪問都可能造成安全危害。因此“零信任”是當前網絡對安全的最新要求，必須進行嚴格的訪問控制和安全檢測。通過“零信任”網絡，網絡和安全專家可以用多個并行的交換核心構建網絡，安全地實現網絡分段，實現安全防護，達到合規(guī)標準，并能集中地管理網絡。

　　在“零信任網絡”中，“網絡隔離網關”位于網絡的中心。這種新的安全設備類型，集成了當前絕大部分獨立安全設備的能力，包括防火墻、IPS、內容過濾、反病毒、Web安全和VPN等。現階段，NGFW暫時扮演了“網絡隔離網關’的角色，但兩者并不相同。

　　圖1 網絡隔離網關

　　Forrester認為，“網絡隔離網關比NGFW需要的更多”。這不僅僅在于它需要比NGFW集成更多的功能，還在于“零信任”模型中，網絡隔離網關位于網絡的中心，更靠近數據的位置。需要處理所有的網絡流量，因此需要更強的性能和更多的萬兆接口。部署“網絡隔離網關”的根本目的，是根據數據的類型和敏感性來隔離網絡。使用“網絡隔離網關”結合“零信任”模型，能構造更可靠的網絡，保護關鍵數據并抵御現代威脅。使用“零信任”模型，“網絡隔離網關”可以被看作是SDN（Software-Defined Networking，軟件定義網絡）安全的核心，因此它必須支持SDN，并能夠被統(tǒng)一管理。

　　“網絡隔離網關”解讀

　　Forrester從21項標準，來評估產品是否滿足“網絡隔離網關”的要求。這些標準大致分為三個方面：

　　v安全能力：防火墻特性、IPS特性、應用感知、Active Directory集成、用戶感知、內容過濾、行為監(jiān)控、遵從性報表、VPN 網關能力、DLP（數據防泄漏）、加密流量檢測、第三方測試、Anti-DDoS能力、高級的惡意軟件檢測；

　　v管理能力：集中管理、基于Web的管理、自動簽名升級、軟件虛擬機防火墻；

　　v性能和接口：10G能力和接口、多接口、專有硬件。

　　安全能力多達14項。可見，全面完備的安全能力是“網絡隔離網關”的基礎。其中，對DLP（數據防泄漏）和內容過濾的要求是NGFW定義中沒有的，足見“網絡隔離網關”對數據保護的重視。有4項標準是對可管理性的要求，如集中管理、虛擬化，這是為了適配未來SDN網絡的要求。剩余的3項標準用來衡量性能和接口豐富度，評價產品是否適合部署在網絡核心位置。