时代在变化，安全需要演进

　　自2000年以来，企业的ICT环境发生了巨大的变化，在BYOD、社交网络、云计算等新技术让企业业务更自由、更高效，更便捷的同时，也带来了边界愈发模糊、身份鱼龙混杂、数据泄露等新的安全挑战。这对对安全设备的防护能力提出了更高的要求。

　　传统的安全架构通常是零散的、亡羊补牢式的，在防护效果、可管理性和降低TCO等各方面都无法满足当前的安全需要。2013年12月，业界顶尖的咨询机构Forrester Research发布了《Security Network Segmentation Gateways Q4, 2013》安全报告，针对传统网络安全架构的不足，提出了“零信任网络”的概念。在报告中，Forrester定义了一个新的安全产品类别——“网络隔离网关”(Network Segmentation Gateways)，作为零信任网络的安全核心，并罗列了21项标准，对15个业界主流厂家的产品进行评估。

　　Forrester的“零信任网络”和“网络隔离网关”

　　Forrester认为，当前以数据为中心的世界，威胁不仅仅来自于外部，需要采用 “零信任”模型构建安全的网络。在“零信任”网络中，不再有可信的设备、接口和用户，所有的流量都是不可信任的。现实中也确实如此，技术高超的APT攻击者总有办法进入企业网络，企业的内部员工有意、无意地也会对信息安全造成损害。来自任何区域、设备和员工的访问都可能造成安全危害。因此“零信任”是当前网络对安全的最新要求，必须进行严格的访问控制和安全检测。通过“零信任”网络，网络和安全专家可以用多个并行的交换核心构建网络，安全地实现网络分段，实现安全防护，达到合规标准，并能集中地管理网络。

　　在“零信任网络”中，“网络隔离网关”位于网络的中心。这种新的安全设备类型，集成了当前绝大部分独立安全设备的能力，包括防火墙、IPS、内容过滤、反病毒、Web安全和VPN等。现阶段，NGFW暂时扮演了“网络隔离网关’的角色，但两者并不相同。

　　图1 网络隔离网关