防火墙的技术与应用-相关知识(14)

2、3Com分布式防火墙系统的主要特性

　　3Com嵌入式防火墙解决方案允许IT主管部署一种涵盖整个公司客户机的安全模式。这种功能对政府、金融、保健和教育等注重安全的行业来说更为重要。该解决方案对客户机采用防篡改安全措施以及可管理策略实施方法，加大了对内部威胁的防范力度。以这种独特方式把防火墙硬件和集中式策略管理软件相结合，将能够阻止通过网络边缘的内部和外部对台式系统、服务器和笔记本电脑发起攻击和入侵，从而实现"纵深防御"的网络安全。3Com的分布式防火墙系统主要具有以下几个方面的优点：

　　（1）防篡改可靠性

　　3Com 防火墙 PCI 卡和 PC 卡硬件中嵌入了防火墙功能，提供了仅软件产品难以达到的黑客防护能力，并且，3Com的防火墙卡独立于主机系统工作，这使得它们极为安全。

　　基于硬件的防火墙不受恶意代码或其他安全程序的影响。相反，个人防火墙和防病毒软件能够轻易地"攻破"或译码，因为它们与主机操作系统交互。这种主机相关性使基于软件的安全机制本身极易受到操作系统中众多广泛传播的安全漏洞的影响。

　　（2）将防火墙保护扩展到周边之外

　　全球联盟和移动接入需求使当今的企业局域网变成了战略伙伴外部网、宽带 Internet 连接和移动工作者登录的复杂混合体。这种"没有围墙的企业"面临的挑战是当用户在传统的IT基础架构外部连接时如何保持公司局域网的安全性。每一个远程、共享和开放连接都是一个可能给公司造成数百万损失的潜在安全风险。

　　这些企业需要一个提供以下保护的安全系统：
　　·扩展到网络边缘的综合性保护，无论局域网拓扑如何变化或连接源自何地。
　　·独立于主机操作系统并能增强现有安全解决方案的防篡改安全性。
　　·安全的共享服务器、移动式笔记本和远程台式机接入，特别是通过脆弱的宽带连接。
　　·可管理的安全执行，允许由用户策略而不是物理基础架构来定义安全性。

　　3Com 嵌入式防火墙解决方案可满足所有这些要求，在网络内外提供安全、可信的连接。策略服务器软件与支持防火墙的连接硬件的这种独特组合包括 3Com嵌入式防火墙策略服务器、3Com 防火墙PCI卡（用于台式计算机）和3Com防火墙 PC 卡（用于笔记本计算机）。

　　（3）保护移动用户

　　3Com 嵌入式防火墙解决方案采用先进的保护，可从服务器扩展到网络边缘，而无论拓扑如何变化或用户位于何地。IT 安全经理可以对移动式笔记本用户及在家里工作的远程工作者更加放心。集中管理的策略加之基于硬件的执行可帮助防止禁用或旁路网络安全。

　　该安全解决方案使用PC卡式防火墙产品能够在移动用户离开办公室时为他们提供如影随形的保护，无论他们去往何地，都能保护他们的局域网连接。每个防火墙卡均能检测出用户是从局域网物理周边内部还是外部连接的，并针对该位置应用适当的安全策略。分布式防火墙能够控制每个端点的网络访问，从而减少了迂回通信流或管理访问控制列表的烦琐任务。

　　（4）集中式管理

　　3Com 嵌入式防火墙策略服务器定义了安全策略，并跨子网、外部网和互联网将它们分布到3Com 防火墙卡。它能够配置策略以控制网络访问、防止数据嗅探和哄骗、简化数据包过滤及核查任务，并能快速响应检测到的攻击。

　　集中管理的策略可防止在端点修改安全实施。IT管理员可以放心，一旦他们部署了适当的安全策略，每个用户和系统都会得到保护，而且一直如此。可以轻易地添加或删除用户和系统，以适应不断变化的安全需求。

　　为IT管理员提供节省时间的远程管理，改进安全执行和访问控制。

　　（5）入侵防护

　　3Com公司的这套嵌入式防火墙系统在整个企业部署3Com 嵌入式防火墙解决方案，可加强其对非法闯入的抵抗力，帮助保护网络资产。 它的入侵检测系统 (IDS) 能够识别不合宜或可疑的行为，但是不能防止这些行为的发生。它们还很容易发出错误报警，因此IT职员需要找出每个报警，以确定是否确为攻击。通常情况下，在几次假性报警之后，报警就会关闭。

　　3Com 嵌入式防火墙解决方案通过首先将入侵者拒之于局域网之外，可帮助IDS和其它基于ID的监控更加高效地工作。一旦进行配置，防火墙卡即可以最小化的管理或用户干预，随时透明地拦截入侵尝试。它是保护使用"始终开通的"DSL连接或在家里使用电缆调制解调器的远程工作者的理想解决方案，因为大多数居民互联网接入可能没有安全保护或未经过滤。

　　（6）经济高效、可扩展

　　安全实施为每个终端系统提供如影随形的保护，而不是与某个路由器或通信流相关联。这能让IT管理器在最需要的地方轻松地应用安全措施，比如DMZ子网、Web托管服务器、客户信息站及联络员或临时雇员。而且，安全还能以成本合理的增量扩展，以保护不断扩大的用户组。

　　为确保与现有的基础架构集成，3Com 嵌入式防火墙解决方案组件与全球IEEE快速以太网标准兼容。而且，它们可以运用新特性和新技术进行升级，从而满足新兴的业务需求。防火墙卡具有固件升级能力，让企业在需要时和所需的地方建立他们想要的配置，并能轻易地扩展，从而满足其发展需要。

　　（7）处理卸载

　　3Com 防火墙卡将安全执行任务卸载到内置处理器，从而让主机系统专门处理用户和应用任务。无需以牺牲系统性能为代价来获得安全。IPSec和策略执行处理被卸载到防火墙硬件，因此主机CPU可以腾出更多周期来处理用户应用和传输。卸载还使得3Com防火墙卡的3DES数据吞吐率比SonicWALL或 WatchGuard防火墙设备提高了4至5倍。不过要注意这一卸载功能需要Windows XP 或 2000 操作系统。

　　（8）超强连接

　　每个3Com嵌入式防火墙策略服务器支持多达1000个防火墙功能的系统;一个域内可以结合3个策略服务器，支持3000个防火墙功能的系统。

　　3、PCI和PC卡式嵌入式防火墙产品主要功能和优点

　　3Com把分布式防火墙技术嵌入到卡设备上，实现了软件与硬件的有机集成，大大地提高了设备的可利用性能，这也是它区别其它软件分布式防火墙的主要地方。下表3和表4分别概括了这两种主机防火墙产品的功能和优点。表3 PCI卡式主机防火墙主要功能及优点