网络安全新形势：终端成为边界

　　在传统的网络安全模型里面，一般把网络划分为内网，外网，DMZ等多个安全领域，通过在网络边界设置防火墙，来隔离开内外网。防火墙的作用类似一道壁垒，通过执行访问控制方案，将外部的安全威胁隔离在壁垒之外，保护内部网络PC的安全。

　　随着信息网络技术的发展，网络安全的势态发现了变化。一个明显的特征是：终端成为新的网络边界。

　　首先，随着网络接入技术的发展，终端接入网络的方式已经不再局限于局域网接口，包括双网卡、Modem拨号、WiFi、CDMA/GPRS上网卡、红外、蓝牙……这些接口已经成为企业内部网络的另一道边界。不能管理内部PC通过这些接口上网，就类似在防火墙的城堡下，存在很多没有安全警卫的后门、小道，内部网络的安全性无法保障。
　　
　　其次，USB等存储设备的大量使用，使得内部主机直接暴露在通过U盘等移动媒介传播的恶意软件面前;同时，内部的关键信息资产，也面临通过移动媒介泄露的威胁。网关设备对此无能为力。

    再次，传统的企业网络中，终端具有固定的办公位置，内部网络相对是静态的。然而随着移动终端的普及(便携机销售超过台式机)，产生了移动办公方式，内部网络上接入的终端变得动态化。一方面，员工的终端可能在多个位置动态接入内部网络;另一方面，各种非公终端也可能接入内网(包括员工个人PC，以及合作伙伴，客户的PC)。随着用户PC的不断接入，内部网络的边界在不断扩充。内部网络的动态化，需要我们从另外一个视角来看边界安全问题。在内网边界动态变化的过程中，我们必须在新加入的PC这一新的边界上，进行必要的安全检察，配置必要的安全防护，才能满足网络安全的需要。

　　终端成为内部网络的另一道边界，网络安全必须同时管理网关+终端双重边界，是安全产品必须面对的问题。

　　安全的新思维：网关+终端跨界组合

　　面对安全的新形势和新挑战，将网关安全产品和终端安全产品组合在一起，形成更加有效的纵深防御体系，这种安全的新思维逐渐成为趋势。

　　通过组合，可以统一管理网络边界，同时在网关和终端同时进行安全控制，对整个网络边界执行统一的访问控制策略、统一配置、统一监控，确保网络安全无盲点，将企业IT管理的范围从网络边界的网关设备推进到终端PC，保证整体的网络安全性，保证业务的可用性和连续性。在此基础上，形成针对新安全威胁的纵深防御体系，面对集成化的黑客攻击方式，网关与终端互相保护，协同配合，纵深防御，更有效地抵御新的安全威胁。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点