網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù)，它把互聯(lián)網(wǎng)上分散的資源融為有機整體，實現(xiàn)資源的全面共享和有機協(xié)作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享，網(wǎng)絡(luò)則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段。

解讀分布式防火墻之——產(chǎn)品篇(3)

    

2、3Com分布式防火墻系統(tǒng)的主要特性

　　3Com嵌入式防火墻解決方案允許IT主管部署一種涵蓋整個公司客戶機的安全模式。這種功能對政府、金融、保健和教育等注重安全的行業(yè)來說更為重要。該解決方案對客戶機采用防篡改安全措施以及可管理策略實施方法，加大了對內(nèi)部威脅的防范力度。以這種獨特方式把防火墻硬件和集中式策略管理軟件相結(jié)合，將能夠阻止通過網(wǎng)絡(luò)邊緣的內(nèi)部和外部對臺式系統(tǒng)、服務(wù)器和筆記本電腦發(fā)起攻擊和入侵，從而實現(xiàn)"縱深防御"的網(wǎng)絡(luò)安全。3Com的分布式防火墻系統(tǒng)主要具有以下幾個方面的優(yōu)點：

　�。�1）防篡改可靠性

　　3Com 防火墻 PCI 卡和 PC 卡硬件中嵌入了防火墻功能，提供了僅軟件產(chǎn)品難以達到的黑客防護能力，并且，3Com的防火墻卡獨立于主機系統(tǒng)工作，這使得它們極為安全。

　　基于硬件的防火墻不受惡意代碼或其他安全程序的影響。相反，個人防火墻和防病毒軟件能夠輕易地"攻破"或譯碼，因為它們與主機操作系統(tǒng)交互。這種主機相關(guān)性使基于軟件的安全機制本身極易受到操作系統(tǒng)中眾多廣泛傳播的安全漏洞的影響。

　�。�2）將防火墻保護擴展到周邊之外

　　全球聯(lián)盟和移動接入需求使當(dāng)今的企業(yè)局域網(wǎng)變成了戰(zhàn)略伙伴外部網(wǎng)、寬帶 Internet 連接和移動工作者登錄的復(fù)雜混合體。這種"沒有圍墻的企業(yè)"面臨的挑戰(zhàn)是當(dāng)用戶在傳統(tǒng)的IT基礎(chǔ)架構(gòu)外部連接時如何保持公司局域網(wǎng)的安全性。每一個遠程、共享和開放連接都是一個可能給公司造成數(shù)百萬損失的潛在安全風(fēng)險。

　　這些企業(yè)需要一個提供以下保護的安全系統(tǒng)：
　　·擴展到網(wǎng)絡(luò)邊緣的綜合性保護，無論局域網(wǎng)拓撲如何變化或連接源自何地。
　　·獨立于主機操作系統(tǒng)并能增強現(xiàn)有安全解決方案的防篡改安全性。
　　·安全的共享服務(wù)器、移動式筆記本和遠程臺式機接入，特別是通過脆弱的寬帶連接。
　　·可管理的安全執(zhí)行，允許由用戶策略而不是物理基礎(chǔ)架構(gòu)來定義安全性。

　　3Com 嵌入式防火墻解決方案可滿足所有這些要求，在網(wǎng)絡(luò)內(nèi)外提供安全、可信的連接。策略服務(wù)器軟件與支持防火墻的連接硬件的這種獨特組合包括 3Com嵌入式防火墻策略服務(wù)器、3Com 防火墻PCI卡（用于臺式計算機）和3Com防火墻 PC 卡（用于筆記本計算機）。

　�。�3）保護移動用戶

　　3Com 嵌入式防火墻解決方案采用先進的保護，可從服務(wù)器擴展到網(wǎng)絡(luò)邊緣，而無論拓撲如何變化或用戶位于何地。IT 安全經(jīng)理可以對移動式筆記本用戶及在家里工作的遠程工作者更加放心。集中管理的策略加之基于硬件的執(zhí)行可幫助防止禁用或旁路網(wǎng)絡(luò)安全。

　　該安全解決方案使用PC卡式防火墻產(chǎn)品能夠在移動用戶離開辦公室時為他們提供如影隨形的保護，無論他們?nèi)ネ�何地，都能保護他們的局域網(wǎng)連接。每個防火墻卡均能檢測出用戶是從局域網(wǎng)物理周邊內(nèi)部還是外部連接的，并針對該位置應(yīng)用適當(dāng)?shù)陌踩�策略。分布式防火墻能夠控制每個端點的網(wǎng)絡(luò)訪問，從而減少了迂回通信流或管理訪問控制列表的煩瑣任務(wù)。

　�。�4）集中式管理

　　3Com 嵌入式防火墻策略服務(wù)器定義了安全策略，并跨子網(wǎng)、外部網(wǎng)和互聯(lián)網(wǎng)將它們分布到3Com 防火墻卡。它能夠配置策略以控制網(wǎng)絡(luò)訪問、防止數(shù)據(jù)嗅探和哄騙、簡化數(shù)據(jù)包過濾及核查任務(wù)，并能快速響應(yīng)檢測到的攻擊。

　　集中管理的策略可防止在端點修改安全實施。IT管理員可以放心，一旦他們部署了適當(dāng)?shù)陌踩�策略，每個用戶和系統(tǒng)都會得到保護，而且一直如此�？梢暂p易地添加或刪除用戶和系統(tǒng)，以適應(yīng)不斷變化的安全需求。

　　為IT管理員提供節(jié)省時間的遠程管理，改進安全執(zhí)行和訪問控制。

　　（5）入侵防護

　　3Com公司的這套嵌入式防火墻系統(tǒng)在整個企業(yè)部署3Com 嵌入式防火墻解決方案，可加強其對非法闖入的抵抗力，幫助保護網(wǎng)絡(luò)資產(chǎn)。 它的入侵檢測系統(tǒng) (IDS) 能夠識別不合宜或可疑的行為，但是不能防止這些行為的發(fā)生。它們還很容易發(fā)出錯誤報警，因此IT職員需要找出每個報警，以確定是否確為攻擊。通常情況下，在幾次假性報警之后，報警就會關(guān)閉。

　　3Com 嵌入式防火墻解決方案通過首先將入侵者拒之于局域網(wǎng)之外，可幫助IDS和其它基于ID的監(jiān)控更加高效地工作。一旦進行配置，防火墻卡即可以最小化的管理或用戶干預(yù)，隨時透明地攔截入侵嘗試。它是保護使用"始終開通的"DSL連接或在家里使用電纜調(diào)制解調(diào)器的遠程工作者的理想解決方案，因為大多數(shù)居民互聯(lián)網(wǎng)接入可能沒有安全保護或未經(jīng)過濾。

　�。�6）經(jīng)濟高效、可擴展

　　安全實施為每個終端系統(tǒng)提供如影隨形的保護，而不是與某個路由器或通信流相關(guān)聯(lián)。這能讓IT管理器在最需要的地方輕松地應(yīng)用安全措施，比如DMZ子網(wǎng)、Web托管服務(wù)器、客戶信息站及聯(lián)絡(luò)員或臨時雇員。而且，安全還能以成本合理的增量擴展，以保護不斷擴大的用戶組。

　　為確保與現(xiàn)有的基礎(chǔ)架構(gòu)集成，3Com 嵌入式防火墻解決方案組件與全球IEEE快速以太網(wǎng)標(biāo)準兼容。而且，它們可以運用新特性和新技術(shù)進行升級，從而滿足新興的業(yè)務(wù)需求。防火墻卡具有固件升級能力，讓企業(yè)在需要時和所需的地方建立他們想要的配置，并能輕易地擴展，從而滿足其發(fā)展需要。

　�。�7）處理卸載

　　3Com 防火墻卡將安全執(zhí)行任務(wù)卸載到內(nèi)置處理器，從而讓主機系統(tǒng)專門處理用戶和應(yīng)用任務(wù)。無需以犧牲系統(tǒng)性能為代價來獲得安全。IPSec和策略執(zhí)行處理被卸載到防火墻硬件，因此主機CPU可以騰出更多周期來處理用戶應(yīng)用和傳輸。卸載還使得3Com防火墻卡的3DES數(shù)據(jù)吞吐率比SonicWALL或 WatchGuard防火墻設(shè)備提高了4至5倍。不過要注意這一卸載功能需要Windows XP 或 2000 操作系統(tǒng)。

　�。�8）超強連接

　　每個3Com嵌入式防火墻策略服務(wù)器支持多達1000個防火墻功能的系統(tǒng);一個域內(nèi)可以結(jié)合3個策略服務(wù)器，支持3000個防火墻功能的系統(tǒng)。

　　3、PCI和PC卡式嵌入式防火墻產(chǎn)品主要功能和優(yōu)點

　　3Com把分布式防火墻技術(shù)嵌入到卡設(shè)備上，實現(xiàn)了軟件與硬件的有機集成，大大地提高了設(shè)備的可利用性能，這也是它區(qū)別其它軟件分布式防火墻的主要地方。下表3和表4分別概括了這兩種主機防火墻產(chǎn)品的功能和優(yōu)點。表3 PCI卡式主機防火墻主要功能及優(yōu)點

網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中，正因如此，網(wǎng)絡(luò)的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標(biāo)準上......，各項技術(shù)都需要適時應(yīng)勢，對應(yīng)發(fā)展，這正是網(wǎng)絡(luò)迅速走向進步的催化劑。