二、3COM的分布式防火墙系统 3Com最新发布的嵌入式防火墙是一种基于硬件的分布式防火墙解决方案,它们被嵌入到网卡中,通过嵌入式防火墙策略服务器来实现集中管理。这种嵌入式防火墙技术把硬件解决方案的强健性和集中管理式软件解决方案的灵活性结合在一起,从而提供了分布式防火墙技术,并创建了一种更完善的安全基础架构。
1、3Com分布式防火墙系统组成
3Com公司的这套分布式防火墙系统其实就是由这些嵌入式防火墙卡和嵌入式防火墙策略服务器软件组成。整个系统所包括的产品图如图2所示。
以前,在我们的印象中,防火墙作为单独设备安装在网络的单独节点上,与网络的交换机或者路由器相连,并且处于网络边缘,所以通常称之为"边界式防火墙"。而此次3Com公司所开发的分布式防火墙系统中的嵌入防火墙产品却以卡的形式出现在各位的面前,图3和图4所示的分别是3Com公司针对台式计算机和笔记本计算机所开发的PCI和PC卡式防火墙产品外观图。相信这样的防火墙产品一定是第一次见到吧?
这种防火墙产品是把分布式防火墙技术嵌入到网卡中,实现高度集成,这样,这样一块普通网卡大小的PCI或者PC卡就同时具有网卡和防火墙功能,所以又称之为"嵌入式防火墙"。这种嵌入式防火墙卡一头提供了RJ-45的以太网接口,带宽有10Mbps和100Mbps两种。对于PCI接口的防火墙卡可以直接插入计算机PCI插槽中,对于笔记本用的PC卡式防火墙卡有两种规格,一种是直接采用32位的CardBus接口与笔记本计算机相连。
分布式防火墙的最大特点不再只对网络边缘负责安全防护,而是将防火墙功能渗入网络的各个角落,甚至远程访问用户,不仅对外部网络向内部网络的通信进行过滤,而且还可根据需要对内部网络各用户之间通信进行过滤。它的防护理念就是除了自己以外任何用户的访问都是"不可信"的,都是需要过滤。与以前的个人防火墙软件产品有相似之处,但不完全一样。首先它们管理方式迥然不同,个人防火墙的安全策略由系统使用者自己设置,目标是防外部攻击,而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置,除了对该桌面机起到保护作用外,也可以对该桌面机的对外访问加以控制,并且这种安全机制是桌面机的使用者不可见和不可改动的。其次,不同于个人防火墙面向个人用户,针对桌面应用的主机防火墙是面向企业级客户的,它与分布式防火墙其它产品共同构成一个企业级应用方案,形成一个安全策略中心统一管理,安全检查机制分散布置的分布式防火墙体系结构。它与传统的边界式防火墙仅对外部网络用户访问不信任的防护理念也存在根本区别。
应用这套系统时,只需要服务器和工作上安装嵌入式防火墙硬件卡,在服务器端安装3Com公司对应的嵌入式防火墙策略服务器软件,并通过这个策略服务器软件对整个网络系统中的嵌入式防火墙进行配置、管理。
