Forrester认为，“网络隔离网关比NGFW需要的更多”。这不仅仅在于它需要比NGFW集成更多的功能，还在于“零信任”模型中，网络隔离网关位于网络的中心，更靠近数据的位置。需要处理所有的网络流量，因此需要更强的性能和更多的万兆接口。部署“网络隔离网关”的根本目的，是根据数据的类型和敏感性来隔离网络。使用“网络隔离网关”结合“零信任”模型，能构造更可靠的网络，保护关键数据并抵御现代威胁。使用“零信任”模型，“网络隔离网关”可以被看作是SDN(Software-Defined Networking，软件定义网络)安全的核心，因此它必须支持SDN，并能够被统一管理。

　　“网络隔离网关”解读

　　Forrester从21项标准，来评估产品是否满足“网络隔离网关”的要求。这些标准大致分为三个方面:

　　安全能力：防火墙特性、IPS特性、应用感知、Active Directory集成、用户感知、内容过滤、行为监控、遵从性报表、VPN 网关能力、DLP(数据防泄漏)、加密流量检测、第三方测试、Anti-DDoS能力、高级的恶意软件检测;

　　管理能力：集中管理、基于Web的管理、自动签名升级、软件虚拟机防火墙;

　　性能和接口：10G能力和接口、多接口、专有硬件。

　　安全能力多达14项。可见，全面完备的安全能力是“网络隔离网关”的基础。其中，对DLP(数据防泄漏)和内容过滤的要求是NGFW定义中没有的，足见“网络隔离网关”对数据保护的重视。有4项标准是对可管理性的要求，如集中管理、虚拟化，这是为了适配未来SDN网络的要求。剩余的3项标准用来衡量性能和接口丰富度，评价产品是否适合部署在网络核心位置。

　　“网络隔离网关”对安全能力的诉求

　　在“零信任”模型中，所有的访问流量都是不可信的，隔离网关要保证网络必须满足两个层次的要求：

　　首先，保证访问是合理合法的。最小授权原则始终是网络安全的第一信条。无论访问来自哪里，必须遵循最严格的控制策略，只有业务必需的访问才被允许。这将大大缩减APT攻击的通道，也防止了内部人员有意、无意行为可能对安全的损害。移动化和社交化的趋势对管控粒度要求更加细致，隔离网关必须能够基于应用和用户进行访问控制，对非法的访问异常行为能够及时发现。所有的访问行为的日志应被记录下来，便于日后的行为审计。

　　其次，被访问的数据是安全的。隔离网关要对合法的访问流量进行检测，不仅仅包括基本的IPS和AV检测，对数据的保护更是重中之重。必须通过内容过滤和DLP的功能防止关键信息资产外泄。再次，保证访问的通道是安全的。当前，企业沟通、协作的强烈需求使网络边界变的模糊，合作单位、客户和供应商对网络的访问通常来自Internet。无论访问来自哪里，隔离网关必须通过VPN加密数据，保障数据在整个传输过程中的安全。

　　“网络隔离网关”对管理和性能的诉求

　　传统网络中，网络安全是由众多分离设备来共同保障的。设备间的信息同步是一个严重的管理问题。例如：当网络中的某台设备IP需要变更时，管理人员可能需要同步修改防火墙、IPS、AV、Anti-DDoS、DLP等众多设备上的配置，这将是非常可怕的工作量。一旦配置修改不完全，出现设备间信息不一致的情况，整个网络的安全防护效率就会大打折扣。当网络中增加了新安全防护需求，又要增加新的独立设备，网络会变得更加复杂，管理成本和操作成本滚雪球般地增加。

　　SDN是解决网络管理复杂性，保证业务敏捷、灵活的良药。“网络隔离网关”采用了类似的思路：集中管理、集成和虚拟化。网络隔离网关将安全功能集成到一个设备上，各个安全防护功能间的共用信息(如IP、应用、用户)自然地保持了一致，通过统一调度安全功能对流量的处理，避免了独立设备功能重叠所造成的额外时延。同时，极大简化了网络结构，有效降低管理复杂性。通过Web的集中式管理将“网络隔离网关”资源池化，以统一的视图管理所有的安全资源。

　　如上所述，“网络隔离网关”需要适配SDN网络对安全的诉求。它被部署在网络的核心层靠近数据的位置，自然要求密集的高速接口(当前是万兆接口)和强大的处理能力。为了保证性能，通常要求“网络隔离网关”采用一体化处理的软件架构和专用的业务处理硬件。