本篇要介绍的是目前两种非常有代表性的分布式防火墙系统。
目前总的来说国外的一些著名网络设备开发商在分布式防火墙技术方面更加先进,所提供的产品性能也比较高,采用"软件+硬件"形式。主机防火墙为集成了分布式防火墙技术的硬件产品,而防火墙服务器则采用软件形式,以适应更加灵活和高智能的要求,如3COM、CISCO、美国网络安全系统公司的嵌入式防火墙产品。不过也有许多是以纯软件形式提供的,如安软的DFW产品,中洲的网警(NetCop)分布式防火墙。下面分别对安软公司的DFW软件分布式防火墙产品与3COM公司的软件+硬件分布式防火墙产品进行简单介绍。
一、安软EverLink DFW分布式防火墙
EverLink Distributed Firewall(简称EverLink DFW) 是北京安软科技有限公司推出的一个具备三层过滤结构的软件防火墙产品。它采用多种先进的网络安全技术,为客户提供网络安全服务。EverLink分布式防火墙依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查,保护个人计算机在正常使用网络时不会受到恶意的攻击,提高了其网络安全属性;同时,为方便管理,所有分布式防火墙的安全策略由统一的中央策略管理服务器进行设置和维护,服务器由系统管理员专人监管,这样就降低了分布式防火墙的使用成本,同时提高了安全保障能力。这里,安全策略包括安全级别以及相关的安全属性。其网络连接示意图如图1所示。
它的主要功能及与其它防火墙产品的比较分别见表1、表2所示。表1
阻止网络攻击
· 包过滤· 基于状态的过滤
木马过滤
· 屏蔽已知的木马(冰河、Back Orifice 2000等)· 检测未知木马,加入屏蔽列表· 能防止木马使用加密隧道(Tunnel)技术
脚本过滤
包括Java Script脚本、Visual Basic脚本、ActiveX 脚本等
统一的安全策略管理服务器
· 由系统管理员专人监管,提高安全保障能力,可降低防火墙的使用成本。· 可使用策略下载缓释技术将策略文件分成小片,逐片下载,不影响用户网络带宽,不影响用户使用网络的感受。· 下载安全策略时,总是同时与服务器上的策略校验,保证不下载缺损策略而破坏安全设置。· 本地安全策略加密存储,保证不能随意修改。
入侵检测
发现并阻止常用的网络攻击方法,如端口扫描、源路由数据包攻击、泪滴攻击、NMAP扫描、TCP Flood和UDP Flood等等
同时支持以太网和Modem连接
全面防护每个可能的通道
动态升级
最新策略自动更新,并动态加载到系统的内核中,系统无须重新启动
实时网络状态监控
可实时查看网络连接的状态信息
完善的日志记录和报警功能
包括软件安装、升级记录、安全策略记录、网络访问记录和受攻击记录等
全线支持Microsoft Windows平台
包括Window 98/Me/NT4/2000
表2
防护功能
传统边界防火墙
传统软件防火墙
DFW分布式防火墙
个人防火墙
病毒墙
病毒
√
恶意网络控件
√
√
√
√
网络入侵
√
√
√
√
木马
√
内网维护
√
个人计算机
√
√
√
骚扰
√
√
√
√
信息收集型攻击
√
√
√
√
二、3COM的分布式防火墙系统
3Com最新发布的嵌入式防火墙是一种基于硬件的分布式防火墙解决方案,它们被嵌入到网卡中,通过嵌入式防火墙策略服务器来实现集中管理。这种嵌入式防火墙技术把硬件解决方案的强健性和集中管理式软件解决方案的灵活性结合在一起,从而提供了分布式防火墙技术,并创建了一种更完善的安全基础架构。
1、3Com分布式防火墙系统组成
3Com公司的这套分布式防火墙系统其实就是由这些嵌入式防火墙卡和嵌入式防火墙策略服务器软件组成。整个系统所包括的产品图如图2所示。
以前,在我们的印象中,防火墙作为单独设备安装在网络的单独节点上,与网络的交换机或者路由器相连,并且处于网络边缘,所以通常称之为"边界式防火墙"。而此次3Com公司所开发的分布式防火墙系统中的嵌入防火墙产品却以卡的形式出现在各位的面前,图3和图4所示的分别是3Com公司针对台式计算机和笔记本计算机所开发的PCI和PC卡式防火墙产品外观图。相信这样的防火墙产品一定是第一次见到吧?
这种防火墙产品是把分布式防火墙技术嵌入到网卡中,实现高度集成,这样,这样一块普通网卡大小的PCI或者PC卡就同时具有网卡和防火墙功能,所以又称之为"嵌入式防火墙"。这种嵌入式防火墙卡一头提供了RJ-45的以太网接口,带宽有10Mbps和100Mbps两种。对于PCI接口的防火墙卡可以直接插入计算机PCI插槽中,对于笔记本用的PC卡式防火墙卡有两种规格,一种是直接采用32位的CardBus接口与笔记本计算机相连。
分布式防火墙的最大特点不再只对网络边缘负责安全防护,而是将防火墙功能渗入网络的各个角落,甚至远程访问用户,不仅对外部网络向内部网络的通信进行过滤,而且还可根据需要对内部网络各用户之间通信进行过滤。它的防护理念就是除了自己以外任何用户的访问都是"不可信"的,都是需要过滤。与以前的个人防火墙软件产品有相似之处,但不完全一样。首先它们管理方式迥然不同,个人防火墙的安全策略由系统使用者自己设置,目标是防外部攻击,而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置,除了对该桌面机起到保护作用外,也可以对该桌面机的对外访问加以控制,并且这种安全机制是桌面机的使用者不可见和不可改动的。其次,不同于个人防火墙面向个人用户,针对桌面应用的主机防火墙是面向企业级客户的,它与分布式防火墙其它产品共同构成一个企业级应用方案,形成一个安全策略中心统一管理,安全检查机制分散布置的分布式防火墙体系结构。它与传统的边界式防火墙仅对外部网络用户访问不信任的防护理念也存在根本区别。
应用这套系统时,只需要服务器和工作上安装嵌入式防火墙硬件卡,在服务器端安装3Com公司对应的嵌入式防火墙策略服务器软件,并通过这个策略服务器软件对整个网络系统中的嵌入式防火墙进行配置、管理。
2、3Com分布式防火墙系统的主要特性
3Com嵌入式防火墙解决方案允许IT主管部署一种涵盖整个公司客户机的安全模式。这种功能对政府、金融、保健和教育等注重安全的行业来说更为重要。该解决方案对客户机采用防篡改安全措施以及可管理策略实施方法,加大了对内部威胁的防范力度。以这种独特方式把防火墙硬件和集中式策略管理软件相结合,将能够阻止通过网络边缘的内部和外部对台式系统、服务器和笔记本电脑发起攻击和入侵,从而实现"纵深防御"的网络安全。3Com的分布式防火墙系统主要具有以下几个方面的优点:
(1)防篡改可靠性
3Com 防火墙 PCI 卡和 PC 卡硬件中嵌入了防火墙功能,提供了仅软件产品难以达到的黑客防护能力,并且,3Com的防火墙卡独立于主机系统工作,这使得它们极为安全。
基于硬件的防火墙不受恶意代码或其他安全程序的影响。相反,个人防火墙和防病毒软件能够轻易地"攻破"或译码,因为它们与主机操作系统交互。这种主机相关性使基于软件的安全机制本身极易受到操作系统中众多广泛传播的安全漏洞的影响。
(2)将防火墙保护扩展到周边之外
全球联盟和移动接入需求使当今的企业局域网变成了战略伙伴外部网、宽带 Internet 连接和移动工作者登录的复杂混合体。这种"没有围墙的企业"面临的挑战是当用户在传统的IT基础架构外部连接时如何保持公司局域网的安全性。每一个远程、共享和开放连接都是一个可能给公司造成数百万损失的潜在安全风险。
这些企业需要一个提供以下保护的安全系统:
·扩展到网络边缘的综合性保护,无论局域网拓扑如何变化或连接源自何地。
·独立于主机操作系统并能增强现有安全解决方案的防篡改安全性。
·安全的共享服务器、移动式笔记本和远程台式机接入,特别是通过脆弱的宽带连接。
·可管理的安全执行,允许由用户策略而不是物理基础架构来定义安全性。
3Com 嵌入式防火墙解决方案可满足所有这些要求,在网络内外提供安全、可信的连接。策略服务器软件与支持防火墙的连接硬件的这种独特组合包括 3Com嵌入式防火墙策略服务器、3Com 防火墙PCI卡(用于台式计算机)和3Com防火墙 PC 卡(用于笔记本计算机)。
(3)保护移动用户
3Com 嵌入式防火墙解决方案采用先进的保护,可从服务器扩展到网络边缘,而无论拓扑如何变化或用户位于何地。IT 安全经理可以对移动式笔记本用户及在家里工作的远程工作者更加放心。集中管理的策略加之基于硬件的执行可帮助防止禁用或旁路网络安全。
该安全解决方案使用PC卡式防火墙产品能够在移动用户离开办公室时为他们提供如影随形的保护,无论他们去往何地,都能保护他们的局域网连接。每个防火墙卡均能检测出用户是从局域网物理周边内部还是外部连接的,并针对该位置应用适当的安全策略。分布式防火墙能够控制每个端点的网络访问,从而减少了迂回通信流或管理访问控制列表的烦琐任务。
(4)集中式管理
3Com 嵌入式防火墙策略服务器定义了安全策略,并跨子网、外部网和互联网将它们分布到3Com 防火墙卡。它能够配置策略以控制网络访问、防止数据嗅探和哄骗、简化数据包过滤及核查任务,并能快速响应检测到的攻击。
集中管理的策略可防止在端点修改安全实施。IT管理员可以放心,一旦他们部署了适当的安全策略,每个用户和系统都会得到保护,而且一直如此。可以轻易地添加或删除用户和系统,以适应不断变化的安全需求。
为IT管理员提供节省时间的远程管理,改进安全执行和访问控制。
(5)入侵防护
3Com公司的这套嵌入式防火墙系统在整个企业部署3Com 嵌入式防火墙解决方案,可加强其对非法闯入的抵抗力,帮助保护网络资产。 它的入侵检测系统 (IDS) 能够识别不合宜或可疑的行为,但是不能防止这些行为的发生。它们还很容易发出错误报警,因此IT职员需要找出每个报警,以确定是否确为攻击。通常情况下,在几次假性报警之后,报警就会关闭。
3Com 嵌入式防火墙解决方案通过首先将入侵者拒之于局域网之外,可帮助IDS和其它基于ID的监控更加高效地工作。一旦进行配置,防火墙卡即可以最小化的管理或用户干预,随时透明地拦截入侵尝试。它是保护使用"始终开通的"DSL连接或在家里使用电缆调制解调器的远程工作者的理想解决方案,因为大多数居民互联网接入可能没有安全保护或未经过滤。
(6)经济高效、可扩展
安全实施为每个终端系统提供如影随形的保护,而不是与某个路由器或通信流相关联。这能让IT管理器在最需要的地方轻松地应用安全措施,比如DMZ子网、Web托管服务器、客户信息站及联络员或临时雇员。而且,安全还能以成本合理的增量扩展,以保护不断扩大的用户组。
为确保与现有的基础架构集成,3Com 嵌入式防火墙解决方案组件与全球IEEE快速以太网标准兼容。而且,它们可以运用新特性和新技术进行升级,从而满足新兴的业务需求。防火墙卡具有固件升级能力,让企业在需要时和所需的地方建立他们想要的配置,并能轻易地扩展,从而满足其发展需要。
(7)处理卸载
3Com 防火墙卡将安全执行任务卸载到内置处理器,从而让主机系统专门处理用户和应用任务。无需以牺牲系统性能为代价来获得安全。IPSec和策略执行处理被卸载到防火墙硬件,因此主机CPU可以腾出更多周期来处理用户应用和传输。卸载还使得3Com防火墙卡的3DES数据吞吐率比SonicWALL或 WatchGuard防火墙设备提高了4至5倍。不过要注意这一卸载功能需要Windows XP 或 2000 操作系统。
(8)超强连接
每个3Com嵌入式防火墙策略服务器支持多达1000个防火墙功能的系统;一个域内可以结合3个策略服务器,支持3000个防火墙功能的系统。
3、PCI和PC卡式嵌入式防火墙产品主要功能和优点
3Com把分布式防火墙技术嵌入到卡设备上,实现了软件与硬件的有机集成,大大地提高了设备的可利用性能,这也是它区别其它软件分布式防火墙的主要地方。下表3和表4分别概括了这两种主机防火墙产品的功能和优点。表3 PCI卡式主机防火墙主要功能及优点
功能
优点
安全性
3Com 嵌入式防火墙
防火墙卡将安全真正嵌入在局域网边缘,可针对入侵、篡改和破坏提供保护。
基于硬件的安全性
对操作系统和最终用户透明,使安全系统特别防篡改或防破坏。
基于标准的补充解决方案
增强传统的安全解决方案,包括周边防火墙、网络监控、DMZ子网和防病毒程序。
性能
板上安全处理器#
与Windows XP 和 2000 操作系统配合卸载主机 CPU 的 TCP/IP、IPSec 和防火墙功能,可提供最优化的系统性能。
10/100 自动协商
自适应全双工链路提供安全性及快速以太网吞吐能力。
先进的总线技术
理顺数据传输,简化处理任务,加快系统和应用程序响应时间。
可靠性和服务
包括三年有限保修和基于web的无限技术支持 (包括3Com Knowledgebase web服务); 可延长服务合同。
管理
3Com 嵌入式防火墙策略服务器#(单独销售)
无需用户干预,即可配置和执行全局安全策略; 并有助于降低支持费用。
远程唤醒
使 IT 管理员能够从中央控制台唤醒和管理睡眠状态的台式机和服务器。
可进行固件升级的平台
3Com 防火墙 PCI 卡可进行固件升级,从而最大限度地提高了安全硬件的灵活性。
表4 PC卡式主机防火墙主要功能及优点
功能
优点
安全性
3Com 嵌入式防火墙解决方案
使用嵌入在 PC 卡硬件中的防篡改防火墙,根据有效安全策略过滤 IP 连接。
基于硬件的安全性
对操作系统和应用程序透明,使安全系统特别防篡改或防破坏。
远程特性
根据用户启动的是本地还是远程连接,自动分配适当的安全策略。
性能
10/100 自动协商
自适应全双工链路提供安全性及快速以太网吞吐能力。
安全处理器
从主机 CPU 卸载了 TCP/IP 划分、IP 校验和及 IPSec 加密处理,可实现最大化的平台可用性和网络吞吐率。
Patented Parallel Tasking和Parallel Tasking II 性能
提供更高的网络吞吐率、更低的 CPU 消耗和更快的应用程序性能。
管理
3Com 嵌入式防火墙策略服务器* (单独销售)
无需用户干预,即可配置和执行全局安全策略以提高安全性; 并有助于降低支持费用。
3Com Mobile Connection Manager
能让 IT 职员创建并向移动雇员发送移动配置文件; 他们只需单击鼠标即可出行。
SNMP 管理,DMI 2.0
支持业界标准,简化了网络管理。