解讀分布式防火牆之——產品篇

　　本篇要介紹的是目前兩種非常有代表性的分布式防火牆系統。

　　目前總的來說國外的一些著名網路裝置開發商在分布式防火牆技術方面更加先進，所提供的產品效能也比較高，採用"軟體+硬體"形式。主機防火牆為整合了分布式防火牆技術的硬體產品，而防火牆伺服器則採用軟體形式，以適應更加靈活和高智能的要求，如3COM、CISCO、美國網路安全系統公司的嵌入式防火牆產品。不過也有許多是以純軟體形式提供的，如安軟的DFW產品，中洲的網警（NetCop）分布式防火牆。下面分別對安軟公司的DFW軟體分布式防火牆產品與3COM公司的軟體+硬體分布式防火牆產品進行簡單介紹。

　　一、安軟EverLink DFW分布式防火牆

　　EverLink Distributed Firewall（簡稱EverLink DFW） 是北京安軟科技有限公司推出的一個具備三層過濾結構的軟體防火牆產品。它採用多種先進的網路安全技術，為客戶提供網路安全服務。EverLink分布式防火牆依靠包過濾、特洛伊木馬過濾和指令碼過濾的三層過濾檢查，保護個人電腦在正常使用網路時不會受到惡意的攻擊，提高了其網路安全屬性；同時，為方便管理，所有分布式防火牆的安全性原則由統一的中央策略管理伺服器進行設定和維護，伺服器由系統管理員專人監管，這樣就降低了分布式防火牆的使用成本，同時提高了安全保障能力。這裡，安全性原則包括安全層級以及相關的安全屬性。其網路連接示意圖如圖1所示。

　　它的主要功能及與其它防火牆產品的比較分別見表1、表2所示。

表1

阻止網路攻擊	· 包過濾 · 基於狀態的過濾
木馬過濾	· 屏蔽已知的木馬（冰河、Back Orifice 2000等） · 檢測未知木馬，加入屏蔽列表 · 能防止木馬使用加密隧道（Tunnel）技術
指令碼過濾	包括Java Script指令碼、Visual Basic指令碼、ActiveX 指令碼等
統一的安全性原則管理伺服器	· 由系統管理員專人監管，提高安全保障能力，可降低防火牆的使用成本。 · 可使用原則下載緩釋技術將策略檔案分成小片，逐片下載，不影響使用者網路頻寬，不影響使用者使用網路的感受。 · 下載安全性原則時，總是同時與伺服器上的策略校正，保證不下載缺損策略而破壞安全設定。 · 本地安全性原則加密儲存，保證不能隨意修改。
入侵檢測	發現並阻止常用的網路攻擊方法，如連接埠掃描、源路由資料包攻擊、淚滴攻擊、NMAP掃描、TCP Flood和UDP Flood等等
同時支援乙太網路和Modem串連	全面防護每個可能的通道
動態升級	最新策略自動更新，並動態載入到系統的核心中，系統無須重新啟動
即時網路狀態監控	可即時查看網路連接的狀態資訊
完善的日誌記錄和警示功能	包括軟體安裝、升級記錄、安全性原則記錄、網路訪問記錄和受攻擊記錄等
全線支援Microsoft Windows平台	包括Window 98/Me/NT4/2000

　　表2

防護功能	傳統邊界防火牆	傳統軟體防火牆	DFW分布式防火牆	個人防火牆	病毒牆
病毒	√
惡意網路控制項	√	√	√	√
網路入侵	√	√	√	√
木馬	√
內網維護	√
個人電腦	√	√	√
騷擾	√	√	√	√
資訊收集型攻擊	√	√	√	√

　　二、3COM的分布式防火牆系統
　　3Com最新發行的嵌入式防火牆是一種基於硬體的分布式防火牆解決方案，它們被嵌入到網卡中，通過嵌入式防火牆策略伺服器來實現集中管理。這種嵌入式防火牆技術把硬體解決方案的強健性和集中管理式軟體解決方案的靈活性結合在一起，從而提供了分布式防火牆技術，並建立了一種更完善的安全基礎架構。
　　1、3Com分布式防火牆系統組成
　　3Com公司的這套分布式防火牆系統其實就是由這些嵌入式防火牆卡和嵌入式防火牆策略伺服器軟體組成。整個系統所包括的產品圖如圖2所示。

　　以前，在我們的印象中，防火牆作為單獨裝置安裝在網路的單獨節點上，與網路的交換器或者路由器相連，並且處於網路邊緣，所以通常稱之為"邊界式防火牆"。而此次3Com公司所開發的分布式防火牆系統中的嵌入防火牆產品卻以卡的形式出現在各位的面前，圖3和圖4所示的分別是3Com公司針對台式電腦和筆記本電腦所開發的PCI和PC卡式防火牆產品外觀圖。相信這樣的防火牆產品一定是第一次見到吧？

　　這種防火牆產品是把分布式防火牆技術嵌入到網卡中，實現高度整合，這樣，這樣一塊普通網卡大小的PCI或者PC卡就同時具有網卡和防火牆功能，所以又稱之為"嵌入式防火牆"。這種嵌入式防火牆卡一頭提供了RJ-45的乙太網路介面，頻寬有10Mbps和100Mbps兩種。對於PCI介面的防火牆卡可以直接插入電腦PCI插槽中，對於筆記本用的PC卡式防火牆卡有兩種規格，一種是直接採用32位的CardBus介面與筆記本電腦相連。
　　分布式防火牆的最大特點不再只對網路邊緣負責安全防護，而是將防火牆功能滲入網路的各個角落，甚至遠端存取使用者，不僅對外部網路向內部網路的通訊進行過濾，而且還可根據需要對內部網路各使用者之間通訊進行過濾。它的防護理念就是除了自己以外任何使用者的訪問都是"不可信"的，都是需要過濾。與以前的個人防火牆軟體產品有相似之處，但不完全一樣。首先它們管理方式迥然不同，個人防火牆的安全性原則由系統使用者自己設定，目標是防外部攻擊，而針對案頭應用的主機防火牆的安全性原則由整個系統的管理員統一安排和設定，除了對該案頭機起到保護作用外，也可以對該案頭機的對外訪問加以控制，並且這種安全機制是案頭機的使用者不可見和不可改動的。其次，不同於個人防火牆面向個人使用者，針對案頭應用的主機防火牆是面向企業級客戶的，它與分布式防火牆其它產品共同構成一個企業級應用方案，形成一個安全性原則中心統一管理，安全檢查機制分散布置的分布式防火牆體繫結構。它與傳統的邊界式防火牆僅對外部網路使用者訪問不信任的防護理念也存在根本區別。
　　應用這套系統時，只需要伺服器和工作上安裝嵌入式防火牆硬體卡，在伺服器端安裝3Com公司對應的嵌入式防火牆策略伺服器軟體，並通過這個策略伺服器軟體對整個網路系統中的嵌入式防火牆進行配置、管理。

　　2、3Com分布式防火牆系統的主要特性
　　3Com嵌入式防火牆解決方案允許IT主管部署一種涵蓋整個公司客戶機的安全模式。這種功能對政府、金融、保健和教育等注重安全的行業來說更為重要。該解決方案對客戶機採用防篡改安全措施以及可管理原則實施方法，加大了對內部威脅的防範力度。以這種獨特方式把防火牆硬體和集中式策略管理軟體相結合，將能夠阻止通過網路邊緣的內部和外部對台式系統、伺服器和膝上型電腦發起攻擊和入侵，從而實現"縱深防禦"的網路安全。3Com的分布式防火牆系統主要具有以下幾個方面的優點：
　　（1）防篡改可靠性
　　3Com 防火牆 PCI 卡和 PC 卡硬體中嵌入了防火牆功能，提供了僅軟體產品難以達到的駭客防護能力，並且，3Com的防火牆卡獨立於主機系統工作，這使得它們極為安全。
　　基於硬體的防火牆不受惡意代碼或其他安全程式的影響。相反，個人防火牆和防毒軟體能夠輕易地"攻破"或解碼，因為它們與主機作業系統互動。這種主機相關性使基於軟體的安全機制本身極易受到作業系統中眾多廣泛傳播的安全性漏洞的影響。
　　（2）將防火牆保護擴充到周邊之外
　　全球聯盟和移動接入需求使當今的企業區域網路變成了戰略夥伴外部網、寬頻 網際網路連線和移動工作者登入的複雜混合體。這種"沒有圍牆的企業"面臨的挑戰是當使用者在傳統的IT基礎架構外部串連時如何保持公司區域網路的安全性。每一個遠程、共用和開放串連都是一個可能給公司造成數百萬損失的潛在安全風險。
　　這些企業需要一個提供以下保護的安全系統：
　　·擴充到網路邊緣的綜合性保護，無論區域網路拓撲如何變化或串連源自何地。
　　·獨立於主機作業系統並能增強現有安全解決方案的防篡改安全性。
　　·安全的共用伺服器、移動式筆記本和遠程台式機接入，特別是通過脆弱的寬頻連線。
　　·可管理的安全執行，允許由使用者策略而不是物理基礎架構來定義安全性。
　　3Com 嵌入式防火牆解決方案可滿足所有這些要求，在網路內外提供安全、可信的串連。策略伺服器軟體與支援防火牆的串連硬體的這種獨特組合包括 3Com嵌入式防火牆策略伺服器、3Com 防火牆PCI卡（用於台式電腦）和3Com防火牆 PC 卡（用於筆記本電腦）。
　　（3）保護移動使用者
　　3Com 嵌入式防火牆解決方案採用先進的保護，可從伺服器擴充到網路邊緣，而無論拓撲如何變化或使用者位於何地。IT 安全經理可以對移動式筆記本使用者及在家裡工作的遠程工作者更加放心。集中管理的策略加之基於硬體的執行可協助防止禁用或旁路網路安全。
　　該安全解決方案使用PC卡式防火牆產品能夠在移動使用者離開辦公室時為他們提供如影隨形的保護，無論他們去往何地，都能保護他們的區域網路串連。每個防火牆卡均能檢測出使用者是從區域網路物理周邊內部還是外部串連的，並針對該位置應用適當的安全性原則。分布式防火牆能夠控制每個端點的網路訪問，從而減少了迂迴通訊流或管理存取控制清單的煩瑣任務。

　　（4）集中式管理
　　3Com 嵌入式防火牆策略伺服器定義了安全性原則，並跨子網、外部網和互連網將它們分布到3Com 防火牆卡。它能夠配置策略以控制網路訪問、防止資料嗅探和哄騙、簡化資料包過濾及核查任務，並能快速響應檢測到的攻擊。
　　集中管理的策略可防止在端點修改安全實施。IT管理員可以放心，一旦他們部署了適當的安全性原則，每個使用者和系統都會得到保護，而且一直如此。可以輕易地添加或刪除使用者和系統，以適應不斷變化的安全需求。
　　為IT管理員提供節省時間的遠端管理，改進安全執行和存取控制。
　　（5）入侵防護
　　3Com公司的這套嵌入式防火牆系統在整個企業部署3Com 嵌入式防火牆解決方案，可加強其對非法闖入的抵抗力，協助保護網路資產。 它的入侵偵測系統 (IDS) 能夠識別不合宜或可疑的行為，但是不能防止這些行為的發生。它們還很容易發出錯誤判警，因此IT職員需要找出每個警示，以確定是否確為攻擊。通常情況下，在幾次假性警示之後，警示就會關閉。
　　3Com 嵌入式防火牆解決方案通過首先將入侵者拒之於區域網路之外，可協助IDS和其它基於ID的監控更加高效地工作。一旦進行配置，防火牆卡即可以最小化的管理或使用者幹預，隨時透明地攔截入侵嘗試。它是保護使用"始終開通的"DSL串連或在家裡使用纜線數據機的遠程工作者的理想解決方案，因為大多數居民互連網接入可能沒有安全保護或未經過濾。
　　（6）經濟高效、可擴充
　　安全實施為每個終端系統提供如影隨形的保護，而不是與某個路由器或通訊流相關聯。這能讓IT管理器在最需要的地方輕鬆地應用安全措施，比如DMZ子網、Web託管伺服器、客戶資訊站及聯絡員或臨時僱員。而且，安全還能以成本合理的增量擴充，以保護不斷擴大的使用者組。
　　為確保與現有的基礎架構整合，3Com 嵌入式防火牆解決方案元件與全球IEEE快速乙太網路標準相容。而且，它們可以運用新特性和新技術進行升級，從而滿足新興的業務需求。防火牆卡具有韌體升級能力，讓企業在需要時和所需的地方建立他們想要的配置，並能輕易地擴充，從而滿足其發展需要。
　　（7）處理卸載
　　3Com 防火牆卡將安全執行任務卸載到內建處理器，從而讓主機系統專門處理使用者和應用任務。無需以犧牲系統效能為代價來獲得安全。IPSec和策略執行處理被卸載到防火牆硬體，因此主機CPU可以騰出更多周期來處理使用者應用和傳輸。卸載還使得3Com防火牆卡的3DES資料吞吐率比SonicWALL或 WatchGuard防火牆裝置提高了4至5倍。不過要注意這一卸載功能需要Windows XP 或 2000 作業系統。
　　（8）超強串連
　　每個3Com嵌入式防火牆策略伺服器支援多達1000個防火牆功能的系統;一個域內可以結合3個策略伺服器，支援3000個防火牆功能的系統。
　　3、PCI和PC卡式嵌入式防火牆產品主要功能和優點
　　3Com把分布式防火牆技術嵌入到卡裝置上，實現了軟體與硬體的有機整合，大大地提高了裝置的可利用效能，這也是它區別其它軟體分布式防火牆的主要地方。下表3和表4分別概括了這兩種主機防火牆產品的功能和優點。表3 PCI卡式主機防火牆主要功能及優點

功能	優點
安全性
3Com 嵌入式防火牆	防火牆卡將安全真正嵌入在區域網路邊緣，可針對入侵、篡改和破壞提供保護。
基於硬體的安全性	對作業系統和終端使用者透明，使安全系統特別防篡改或防破壞。
基於標準的補充解決方案	增強傳統的安全解決方案，包括周邊防火牆、網路監控、DMZ子網和防毒程式。
效能
板上安全處理器#	與Windows XP 和 2000 作業系統配合卸載主機 CPU 的 TCP/IP、IPSec 和防火牆功能，可提供最佳化的系統效能。
10/100 自動協商	自適應全雙工系統鏈路提供安全性及快速乙太網路吞吐能力。
先進的匯流排技術	理順資料轉送，簡化處理任務，加快系統和應用程式回應時間。
可靠性和服務	包括三年有限保修和基於web的無限支援人員 (包括3Com Knowledgebase web服務); 可延長服務合約。
管理
3Com 嵌入式防火牆策略伺服器#(單獨銷售)	無需使用者幹預，即可配置和執行全域安全性原則; 並有助於降低支援費用。
遠程喚醒	使 IT 管理員能夠從中央控制台喚醒和管理睡眠狀態的台式機和伺服器。
可進行韌體升級的平台	3Com 防火牆 PCI 卡可進行韌體升級，從而最大限度地提高了安全硬體的靈活性。

表4 PC卡式主機防火牆主要功能及優點

功能	優點
安全性
3Com 嵌入式防火牆解決方案	使用嵌入在 PC 卡硬體中的防篡改防火牆，根據有效安全性原則過濾 IP 串連。
基於硬體的安全性	對作業系統和應用程式透明，使安全系統特別防篡改或防破壞。
遠程特性	根據使用者啟動的是本地還是遠端連線，自動分配適當的安全性原則。
效能
10/100 自動協商	自適應全雙工系統鏈路提供安全性及快速乙太網路吞吐能力。
安全處理器	從主機 CPU 卸載了 TCP/IP 劃分、IP 校正和及 IPSec 加密處理，可實現最大化的平台可用性和網路吞吐率。
Patented Parallel Tasking和Parallel Tasking II 效能	提供更高的網路吞吐率、更低的 CPU 限定和更快的應用程式效能。
管理
3Com 嵌入式防火牆策略伺服器* (單獨銷售)	無需使用者幹預，即可配置和執行全域安全性原則以提高安全性; 並有助於降低支援費用。
3Com Mobile Connection Manager	能讓 IT 職員建立並向移動僱員發送移動設定檔; 他們只需單擊滑鼠即可出行。
SNMP 管理，DMI 2.0	支援業界標準，簡化了網路管理。