前言

服务网关、流量网关、安全网关，到底哪个才是我们常说的网关？

---

三选一 or 三合一 ？

从网关的主要用途来划分，可划分为服务网关、流量网关、安全网关这3类：

虽然如上将网关分为三类，但这三者并非“三选一”的关系，更多是协作关系。在一个大型系统中，用户的请求一般是先经过安全网关（如过滤掉非法流量或抗住安全攻击），再经过流量网关（如将流量负载均衡到对应数据中心），最后到达服务网关（如将业务请求路由到具体的后端业务服务），它们层层递进，共同构成了系统的入口防线与业务枢纽。

因此，目前也有部分网关产品将这三类网关功能“三合一”，集成在一款网关产品上。例如阿里云Higress（已开源）、华为云CSE应用网关等，均是实现了“三合一”的高度集成网关，它们打破了传统架构中不同类型网关分离的界限，将流量网关、微服务网关和安全网关的能力融合在了一个解决方案中，旨在通过一个统一的入口，解决流量管理、微服务治理和安全防护的所有问题，以降低部署成本和运维复杂度（部分最新的网关产品还融入了AI网关，即四合一）。

---

服务网关

1.核心定位

---

服务网关也被称为API网关或业务网关。当单体应用被拆解为众多微服务应用后，随之而来的问题逐渐显现。一些与核心业务关联度较低的功能，如权限管理、日志记录、数据加密、流量控制等，在每个微服务中均需独立实现，这导致大量重复代码的产生。加之系统持续迭代与人员变动，各微服务中这些功能的具体实现方式差异愈发显著，进一步推高了维护成本。与此同时，原本在单体应用中易于操作的接口管理，在微服务架构下失去了统一的管理入口，无法有效追踪现有接口信息、明确接口定义及监控运行状态。服务网关就是为了解决上述这些问题。

注：如果整个公司的技术栈较为统一，全公司所有服务共用同一个注册发现中心，则每个系统内部的服务网关可以没有（已无必要存在），一般会建设一个东西向流量（后端服务间的调用）网关，侧重于跨业务域的服务路由和容灾切换（即跨业务域/跨单元跨SET的服务间调用通过网关，同个业务域或同个单元/SET内的服务间调用无需通过网关，且支持各单元/SET的容灾切换，如某服务的A单元不可用，则可通过该网关将上游流量切换到其可用的其他单元），此外也会有一个南北向流量（用于前端与后端服务间的调用）的API网关（如管理后端对外暴露的API、认证鉴权等）。

如果只从服务路由的角度看，你可以把它想象成一个“酒店前台”：

• 对外：所有上游服务的请求都先发到服务网关，而不是直接找后台服务。
• 对内：服务网关根据请求的内容，决定把它转发给哪个具体的后台服务。

跟流量/安全网关相比，服务网关更靠近我们的业务，它能直接处理业务请求，能集成非业务相关的横切功能，也可参与业务数据转换和协议适配，还能支持业务灰度发布和流量控制等等,且由于服务网关处于整体系统架构的最上层，它的改动对内部各个微服务一般是无感的，在服务网关进行扩展优化具备收益高、业务侵入性小、复用性强等显著优势，因此，服务网关是一个适合扩展的理想位置，许多业务应用层需要思考的事情可以上浮到服务网关来完成。

服务网关的典型代表：

• APISIX（云原生API网关的标杆产品，适用于云原生环境及复杂API治理场景）
• Spring Cloud Gateway（Spring Cloud官方推荐的Netflix Zuul网关替代方案）
• Netflix Zuul（早期的服务网关主流实现，但由于已停止活跃更新，不提议再使用）

2.主要功能

---

（1）系统的门面：统一入口与安全防护

• 对外隐藏内部细节： 如果没有服务网关，上游（包括客户端、上游后端服务等）需要知道本系统下每个微服务的具体地址，这不仅增加了系统间交互依赖的复杂度，还暴露了本系统的内部结构。而服务网关作为系统对外唯一的流量入口，封装了系统内部的架构，上游只需与服务网关交互。
• 聚焦进行安全控制： 服务网关可以统一处理身份认证、权限校验、防刷、黑白名单等安全策略。如果这些安全逻辑分散在每个服务中，不仅代码冗余，一旦安全策略变更，就需要修改所有服务；而在网关中修改，只需动一处即可生效。

（2）前台接待员：降低系统间交互依赖复杂度

• 简化调用： 上游不需要了解本系统有多少个后端服务、它们部署在哪里，服务网关会负责将上游请求路由到合适的微服务。
• 协议转换： 后端服务可能为了性能使用gRPC等高性能通信协议，而前端一般使用HTTP。服务网关可以充当协议转换器，让前后端各取所需，互不干扰。

（3）交通警察：流量治理与高可用保障

• 熔断限流： 当流量激增（如大促或被攻击）时，服务网关可以限制请求速率（限流），防止后端服务被压垮；当某个服务响应过慢或宕机时，服务网关可以快速失败或返回默认数据（熔断降级），防止雪崩效应。
• 负载均衡： 服务网关可以根据策略（如轮询、权重）将请求分发到集群中的不同服务实例，保证系统的高可用和伸缩性。

（4）记录仪：运维监控与灰度发布

• 统一日志与监控： 所有的请求都经过服务网关，这里超级适合记录访问日志、统计响应时间、进行全链路追踪，便于快速排查定位问题和分析系统性能。
• 灰度发布/AB测试： 服务网关可以根据请求头、用户ID等信息，将特定比例的流量导向新版本服务，实现平滑的灰度发布，而无需改动后端代码。

---

流量网关

1.核心定位

---

流量网关，顾名思义就是控制流量进入集群的网关。因此，在实际的大型系统架构中，一般还会在服务网关的前面再部署一层流量网关。跟服务网关相比，流量网关一般不关心上游具体调用的是什么业务接口，只关心连接是否合法、流量是否超标、分发到哪个数据中心等，也即流量网关侧重于关注“网络流量”和“基础设施”。

如果说服务网关是“部门经理”，负责协调内部业务，那么流量网关就是“大楼的门禁系统”，所有进出（数据包）都必须经过它，由它来决定怎么走不堵车、谁可以进。

流量网关一般位于整个系统的最边缘，是客户端流量（南北向流量）或跨业务域流量（东西向流量）进入对应数据中心的第一道关卡，它的核心关注点是网络流量本身（如连接、吞吐量、延迟），而不是具体的业务逻辑，它的核心使命是：保障全局流量的稳定与安全。（部分场景下，如东西向流量场景，服务网关和流量网关一般会合并为一个）

流量网关是现代互联网架构中不可或缺的一环。它就像是一个“守门人”，既要保证合法用户的请求能快速、顺畅地进入系统（如负载均衡），又要防止坏人或过多的流量把系统搞瘫痪（如限流）。

流量网关的典型代表：

• 开源软件：如 Nginx、HAProxy、Envoy
• 硬件设备：如 F5 BIG-IP、Citrix ADC
• 云服务：如 阿里云 SLB、腾讯云 CLB、AWS ALB/NLB

2.主要功能

---

（1）流量路由：根据预设规则（如域名、路径、IP地址、号段等）将流量分配到不同的数据中心，确保请求能快速、准确地到达目标节点。

（2）负载均衡。自动分配流量到多个后端实例，避免单个服务器过载，确保资源均匀利用。

（3）流量控制与限流。一是对于非法的请求或者无效的请求，会将请求拒之门外，降低集群的流量压力；二是为了防止突发流量或恶意攻击把系统冲垮，支持对特定接口、用户或时间段的请求进行限制，确保系统在高并发场景下仍能稳定运行，保护后端服务的性能和可用性。

（4）网络优化：对TCP等协议进行优化，支持HTTP/2、QUIC等现代网络协议，提升客户端与服务器之间的通信性能。

---

安全网关

1.核心定位

---

常说的安全网关，一般是指部署在网络边界、集成了防火墙、VPN、防病毒、上网行为管理等多种安全功能的一体化硬件设备或软件系统，用来防止外部威胁入侵，同时管理内部网络的安全访问，它的目标是“防外攻、控内网、保数据”。

安全网关是网络的“防弹盾牌”或“安检门”，它的关注点是“安全”和“合规”，不关心流量具体是哪个API。

典型技术代表：

• 下一代防火墙技术（不仅仅是传统的IP/端口过滤，而是结合了应用识别、用户识别和内容安全等）
• 统一威胁管理（将防病毒、入侵防御、防火墙、VPN、上网行为管理等多种功能集成在一个硬件盒子中）
• 零信任网络访问（隐藏应用资产，防止端口扫描，默认拒绝所有连接，只有通过身份认证和设备验证后才开放特定应用的访问）
• 安全Web网关（作为用户与互联网之间的代理，进行URL过滤、恶意软件扫描、数据防泄漏）

2.主要功能

---

（1）防攻击：核心安全防护

是安全网关的立身之本，主要负责过滤恶意流量：

• 下一代防火墙（NGFW）功能：不仅仅是基于IP和端口过滤，还能基于应用、用户身份来制定策略。
• 入侵防御（IPS）：实时检测并阻断常见的攻击行为，如SQL注入、跨站脚本（XSS）、缓冲区溢出等。
• 防病毒（AV）：对网络流量中的文件（如HTTP下载、邮件附件）进行病毒查杀，防止恶意软件通过网络传播。
• 抗DDoS攻击：识别并清洗异常流量（如SYN Flood、UDP Flood），防止网络带宽被耗尽。

（2）远程接入：安全接入与加密

安全网关一般内置了VPN（虚拟专用网）功能：

• SSL VPN / IPsec VPN：为远程接入建立加密隧道，让外部用户像在公司内部一样安全地访问内网资源。
• 身份认证：支持多种认证方式（如用户名密码、短信验证码、数字证书、生物识别），确保只有合法用户能接入。

---

最后的话

1.三者共同点

---

尽管这三种网关分工不同，但作为“网关”，它们在架构层面有以下共同的定位特征：

（1）都是“入口/出口”：

三者都充当了某种形式的单一访问点。无论是网络流量、微服务调用，还是外部访问，都必须经过网关，这使得它们成为流量的必经之地。

（2）都具备“代理”能力：

它们本质上都是代理服务器（Proxy），负责接收请求、处理请求（转发、过滤、修改），然后将请求发送给后端目标，隐藏了内部的真实结构。

（3）都提供“隔离”作用：

它们都起到了隔离内外部环境的作用，保护后端服务器（无论是应用服务器还是内网设备）不直接对外暴露。

2. 三者的协作

在现代大型系统中，这三者往往是层层递进关系：

（1）用户请求第一到达安全网关，过滤掉明显的黑客攻击和非法流量。

（2）合法流量进入流量网关，负载均衡到对应的数据中心，抗住高并发压力。

（3）流量被转发给服务网关，进行服务路由，最终送达给具体的后端服务处理。

一句话总结：

安全网关负责“不让坏人进来”，流量网关负责“让流量进来且不堵车”，服务网关负责“让流量去该去的地方办业务”。

---

注：本文首发于个人公众号，也可点击「「链接」」查看，欢迎大家关注我的微信公众号“萌大统领”（可在微信里搜“萌大统领”或者微信扫描如下二维码关注）。