随着互联网应用的日益普及，网络已成为主要的数据传输和信息交换平台，许多部门和企业在网上构建了关键的业务流程，电子政务和电子商务将成为未来主流的运作模式。网络安全和信息安全是保障网上业务正常进行的关键，并已日益成为网络用户普遍关注的焦点问题。因此，网络安全成为这两年IT业内的热点话题，而防火墙更是热点中的一个焦点。
　　
　　我们有幸采访到了微软2008“十大杰出IT英雄”之一，张琦教授。他是业内知名系统集成专家、信息安全专家。曾任多家知名IT系统集成公司高级顾问。并且是国内目前信息安全与系统集成类技术的顶梁专家。他对网络安全这块可谓是举足轻重，下面就是张琦老师对防火墙这块的看法。
　　
　　网大了，管理的难度就大；上网容易了，客户端就更容易受伤了。知晓“防毒墙”的名字和功能已经是很久的事儿了，说实话一直以来就想过在网关这一层架设防毒过滤产品，综合来，比较去，“性能”这个参数长久以来没有说服我这个安全负责人。当然，这是久远的事情了，随着时间和安全意识的改变，网关的概念已经在我眼中变得模糊，而安全边界与资源互访的矛盾就如同坚固的手铐束缚着我；使每个学校的网络都安全些，这是我的梦想；使每个学校的资源都能相互访问，是领导的梦想。
　　
　　观点一、技术加忽悠，舌辩群儒
　　
　　中国有句古谚，“马无外草不肥，人无外财不富”，年底前的追加拨款必须用到网络或安全产品中，这使得“安全网关采购”翻到了提示簿中第一页。我们重新衡量了防毒产品的在网络中的地位，下面是我排除异己、而又略带牵强性的发言，当然也是力推防毒网关的理论。
　　
　　传统意义上的计算机病毒正在退出历史的舞台，而现在计算机病毒这一词汇更多的用于指代一个更宽泛的集合：恶意软件。入侵的矛头指向了浏览器。过去，你们可能认为员工是最不需要担心的，但随着信息化建设步伐的加快，有许多网络安全问题却是由于内部员工所引起的。例如，在员工浏览网站、使用即时通讯软件和访问某些论坛的时候，一些间谍软件、广告软件等恶意软件就会不知不觉地下载到电脑中，并在企业内部网络中进行传播。对安全管理人员而言，集中管理安全性的方法既简单又直接，因为它将所有风险都集中到了一块儿。但是，因为员工客户端个性化的实际情况，安全体系结构可能使统一管理不再可用。
　　
　　网关（Gateway）又称为网间连接器、协议转换器。网关在传输层上以实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似，不同的是网关主要用于广域网互连，当然也可以用于局域网互连之用。在早期的因特网中，网关即指路由器，是网络中超越本地网络的标记。我们将网关作为划分信任区或者非信任区的方案由来已久，由它作为访问的边界，将访问授权的策略部署到网关上是通用的做法。
　　
　　一直以来，“边界”只是相对于物理安全而言的修饰词而已，很多人把防火墙或VPN当作安全的边界，用来防御内网边界以外的黑客攻击和漏洞嗅探。但传统意义的防火墙并不能够将流行的病毒封堵在网关的外面，也就是说，一些病毒首先要通过防火墙，然后才能在客户端软件进行查杀。请注意，安全定义的第一点就是要实现“看不见”，首先是要隔离开病毒与病毒的载体。而我们现在的做法呢？是病毒要先驻留在你的PC上之后，我们的防毒体系才能起作用，有谁还认为这是安全的吗？
　　
　　观点二、有钱花在刀刃上
　　
　　可能由于一贯保持了“强势”的发言作风，虽然遇到了一些不同意见，但总算把“钱”拿到了自己的帐上，但接下来我马上就进入了自我矛盾的陷阱中了。由于下级单位的网络中并没有防火墙这个设备，大多的安全策略是在路由器或者三层交换机的上联端口上配置的，所以该采用偏重流量检测的防火墙，还是采用偏重病毒防御的防毒墙，又或者是采用集各种功能于一身的UTM，我还存在一定的迷惑。
　　
　　衡量我们自己的业务水平，另一个考虑的采购因素就是操作的简便性。虽然市教育网络和信息中心负责对全市所有中小学网络管理教师进行系统培训，并要求所有的网络管理教师通过培训考试获得资格证书。但大部分网管的存储水平较低，有30%左右的人是转岗（之前从事其他学科的教学工作），知识结构难免单一。这样一来，网管们即使想学习其他技能，也都因为缺乏一定的理论基础而搁浅。对这些网管来说，除了电脑和网络方面的基础知识，几乎没学习过其他方面的理论，更不要说至今为止一直搞不懂得“安全”了，这就大大降低了他们掌握这个复杂产品的可能性。而UTM的优点在于它能以较低的成本满足我们对信息安全的大部分需求，避免使用单一安全设备带来高昂的采购维护成本和复杂的部署管理工作。它提供的界面简单易操作，使得非专业用户也能进行常规的维护工作。
　　
　　之前测试过几个UTM，我非常清楚由于UTM在一个设备上整合了多个安全功能模块，因此设备所能实现的反垃圾邮件、反病毒等功能与单一安全设备相比尚有一定差距。如果UTM设备在启用基本防火墙功能的情况下，同时开启反病毒、入侵检测等耗费系统资源的应用模块，性能会显著下降。
　　
　　当然我心里也有一个小算盘，钱是上级单位拨的，不过乱花也是要出事的。我清楚很多UTM产品中都附带了病毒过滤这个功能，当然也有单独的防毒墙产品，在这些产品中每增加一项功能就可能要单独付费。我们可以把所有的功能模块都选上（因为这次费用很充足），但明年的续费谁来了管呢？所以只选择必要的功能，这是采购前，心里已经定下的事情了。拿着未来1年的网络改造方案，在安全的前提下实现全网资源互访，我将目标锁定在UTM产品上，UTM的防毒功能开启后的测试就成了我的心病，夜不能寐呀！