不可缺少的分布式防火墙 |
| 从部署的位置讲,防火墙可以分为边界防火墙、主机防火墙和分布式防火墙等,三种防火墙的配合,才能构筑出企业网完整的安全体系。 |
| 边界防火墙 |
| 边界防火墙通常布置在企业内部网到公网的惟一入口上,它是内部网与外部网的边界。边界防火墙检测进出网络边界的所有数据,按规则予以放行或拦截,同时记录详细的日志以便审计和分析。企业网络对边界防火墙的性能要求很高,否则边界防火墙有可能成为网络流量的瓶颈,性能不高的边界防火墙将严重影响网络传输速度。
相当一部分企业的系统管理员认为,有了边界防火墙,再配上一些防病毒软件,网络安全问题就基本解决啦!这个认识可不正确。首先,边界防火墙不能防止采用隧道技术的黑客。所谓隧道技术,就是将某种特殊的网络通信封装在正常的网络通道(比如HTTP浏览或Email通信)内,到达目的地后再还原成特殊的通信数据,这样就可以穿透防火墙。其次,边界防火墙不能防止企业网内部出现的攻击和入侵行为。据统计,在已知的安全事件中,约70%的攻击来自内网。 |
| 主机防火墙 |
| 在内网中部署主机防火墙和基于网络的入侵检测系统(IDS)成为另一种选择。主机防火墙是部署在单个主机上的防火墙,结合一些基于应用的安全检查,它能明显地降低内网攻击的危害。基于网络的IDS监听整个内网上的网络通信,发现攻击行为并报警,能有效地威慑试图在内网中发动攻击的黑客。但是,它们的缺点也很明显。
企业内部通常有十几台甚至上百台的计算机,为每一台主机部署主机防火墙,是一件十分吃力的工作。当安全策略需要升级或变更时,控制维护和管理成本将成为很棘手的问题。而基于网络的IDS的缺陷在于它面对高速大流量的网络时,丢包漏报的问题比较突出,且由于它多采用全网监听的工作模式,在交换式网络环境中部署和应用都受到很大限制。 |
| 分布式防火墙 |
| “集中式管理、分布式防护”是近年来提出的一个新话题,它能真正克服高速网络带来的检测困难的问题。许多操作系统,包括Linux、Windows XP等都将主机防火墙集成进来;许多传统的防火墙厂商,如Check Point等,不断推出各种软件和硬件形式的分布式边界防火墙和主机防火墙,并提供多种分布式管理方案。
以北京安软天地科技的EverLink分布式防火墙为例,来看看分布式防火墙的特点,如图所示。
EverLink分布式防火墙将防火墙部署到主机,同时提供入侵检测和应用层防护,入侵检测引擎安装在主机上,因此其发现入侵的及时性与准确性都较高。单机上的网络流量有限,这样能解决漏报的问题。分布式防火墙统一的集中式管理模式大大降低了管理和维护成本。管理服务器监控每一台主机的工作状态,及时准确地发现异常情况,并能结合多台主机的工作状态为内网安全生成统计报表,发现网络弱点并及时弥补。另一方面,从人力成本上来讲,分布式防火墙使整个企业只要培训一名高水平的系统管理员就可以轻松地处理好全网的安全,其使用成本较单机产品明显降低。 归纳起来,分布式防火墙有如下优点: ● 部署容易:主机用户傻瓜式安装,不用关心技术细节; 防火墙技术从边界防火墙逐渐演变到主机防火墙、分布式防火墙,并日益与IDS相融合,分布式防护的理念已逐渐被主流安全厂商所拥护,也逐步得到使用者的认可。其下一步的发展,势必是各种分布式安全模块在统一的网络管理软件框架内融合,共同构架起一个从内到外、安全无处不在的大安全体系。 (计算机世界报 第36期 D24) |
