|
 |
|
 |
 首页 >> 网络产品 >> 防火墙 |
|
|
| 嵌入式防火墙:构建新一代的安全网络 [防火墙] |
| 3com.com.cn |
| 2005-6-9 9:13:00 文/James Teel |
|
边缘防火墙是否够用?
网络的安全程度究竟如何?这是许多IT管理人员每天都会考虑的一个问题。保护您网络边缘的可能是一套强大的企业级防火墙,但是,那些对网络构成最大威胁的人可能已经掌握了网络的密码。今天的企业员工、远程办公人员、设备供应商、临时雇员以及商业合作伙伴都要求能够自由访问企业网络,而重要的客户数据与财务记录往往也存储在这些网络上。
如果在保护公司各类知识产权的同时,还要保持公司每一个员工的工作效率,便不难理解为什么众多的IT经理会对公司的网络安全感到不安。
一些关于安全的事实
北美地区的调研工作为我们提供了有关网络入侵方面有价值的信息。一项由CSI(Computer Security Institute,计算机安全协会)与FBI(Federal Bureau of Investigation,联邦调查局)联合进行的调查发现:在2001年,有85%的受访者表示在过去12个月内曾发现网络遭到侵犯。大约64%的受访者声称由于此类入侵而蒙受了财产损失。而最具有破坏性的入侵则来自网络内部,每次此类事件所引起的损失达到了平均200万美元。简而言之,来自非授权网络访问的危险是非常现实,并且后果往往具有灾难性。
互联网已经改变了人们工作、联络、协作交流以及买卖的方式。类似于服务外包与远程办公等新商务趋势的出现更进一步使企业的安全问题复杂化。合作伙伴网络之间的访问是使商业协作更加实际和节约成本的办法,然而,允许合作伙伴深入到企业网络的做法模糊了内部访问与外部访问之间的界线。
"假定边缘防火墙内部的网络是安全的,而来自防火墙外部的访问则是可疑的"这一传统网络安全观点已经不能保护企业资产。现今的企业网络需要将安全性从服务器向所有端点进行延伸,不论他们是在企业边缘防火墙的内部还是外部。
在边缘防火墙之外
传统的边缘防火墙只对企业网络的周边提供保护。这些边缘防火墙会在流量从外部的互联网进入企业内部局域网时进行过滤和审查。但是,他们并不能确保企业局域网内部的安全访问。这就好比给一座办公楼的大门加上一把锁,但办公楼内的每个房间却四门大开一样,一旦有人通过了办公楼的大门,便可以随意出入办公楼内任何一个房间。这类网络非常容易受到有目的的攻击。例如,黑客入侵一台已经接入了企业局域网的计算机,一旦获得这台计算机的控制权,他们便可以利用这台机器作为入侵其他系统的跳板。
改进上例中办公楼安全性的最简单办法便是为楼内每个房间都配置一把钥匙和一把锁。同理,最新一代的安全性解决方案将防火墙功能分布到网络的桌面系统、笔记本计算机以及服务器PC上。分布于整个公司内的嵌入式防火墙使用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能,用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共帐号登录网络的用户无法进入那些限制访问的计算机系统。
安全,安全,更安全
尽管所有的公司都应该对安全性加以关注,但其中一些更要注意。那些存储有私密信息或专有信息、并依靠这些信息运作的企业尤其需要一套强大而可靠的安全性解决方案,如政府机构、金融机构、保险服务机构、高科技开发商以及各类医疗机构。
通过一部中央控制台来进行配置和管理的安全性解决方案能够为此类企业提供巨大帮助。这类安全性解决方案使IT管理员们能够轻松地对网络的安全性进行升级,从而适应不断变化的商务需求,并帮助企业对用户访问保持有效的控制。例如,IT管理员能够根据最近发现的网络攻击行为迅速调整网络的安全性级别。此外,用户很难在终端系统上屏蔽掉由一台远程服务器控制的网络安全特性。IT管理人员们将非常自信:一旦他们在整个网络中配置了适当的安全性规则,不论是用户还是系统的安全性都将得到保证,并且始终安全。
对那些安全性要求较高的企业来说,基于软件的解决方案,例如个人防火墙以及防病毒扫描程序等,都不够强大,无法满足用户的要求。因为即使一个通过电子邮件传送过来的恶意脚本程序,都能轻松将这些防护措施屏蔽掉,甚至是那些运行在主机上的"友好"应用都可能为避免驱动程序的冲突而无意中关掉这些安全性防护软件。一旦这些软件系统失效,终端系统将非常容易受到攻击。更为可怕的是,网络中的其他部分也将处在攻击威胁之下。
由于安全性能是由硬件处理器而非软件来承担的,因此,边缘防火墙应用程序或网关能够为这类用户提供更优的入侵防范手段。但是,正如前面所讲,这些设备的功能仅限于为网络边缘提供保护。一套嵌入式防火墙解决方案能将这一功能延伸到边缘防火墙的范围之外,并分布到网络的终端。边缘防火墙既能提供规避策略,也能提供入侵防范策略。安全性措施在PC系统上执行,但是却由嵌入式防火墙的硬件系统来实施,整个过程独立于主机系统之外。这一策略使企业网络几乎不受任何恶意代码或黑客攻击的威胁。即使攻击者完全通过了防火墙的防护并取得了运行防火墙主机的控制权,他们也将寸步难行,因为他们不能关闭掉嵌入式防火墙,或者以被入侵的主机为跳板进一步展开侵入网络其他领域的行动。
正在不断壮大的家庭办公人群
一套嵌入式防火墙安全性解决方案能够为那些需要在家访问公司局域网的远程办公用户提供了保护。由于大部分住户的互联网服务都运行在开放的链路上,并且没有高级安全手段加以保护,家庭的PC计算机非常容易受到黑客的攻击。如果这些家庭办公人员使用一台DSL路由器或者有线电缆调制解调器,他们所面临的网络安全风险将更大。这些"永远在线"的宽带链路比拨号调制解调器更容易受到攻击,因为他们使计算机24小时的与互联网保持互联。电话拨号服务通常在用户每次接入互联网的时候为用户分配一个新的IP地址,但宽带服务提供商通常为每一个用户分配一个永久固定的互联网地址,从而使黑客非常容易"锁定"他们的计算机。
不幸的是,家庭PC的被攻击事件正在不断上升。这一发现来自于卡内基梅隆CERT 协作中心的最新调查。该组织致力于发现计算机安全方面的威胁并发布有关如何防范网络攻击的方法。更具CERT的研究,黑客对家庭计算机攻击事件的数量在2001年急遽上升。很多情况下,黑客对个人文件并不感兴趣,他们是利用这些家庭计算机侵入企业的局域网。利用嵌入式防火墙来为这些远程访问的端点提供保护,能够帮助企业将网络的其他部分与危险的互联网链路分离开。
采用安全、端到端互联的时机
随着黑客入侵与病毒发作事件在全球范围内的不断增加,不难理解为什么许多企业将网络的安全性看作确保企业盈利能力的一项重要因素。Microsoft,eBay, Yahoo和Amazon.com等一些巨型公司便是因网络入侵事件而导致企业正常运转中断的典型例子。类似于Code Red、Sircam和Nimda等电子邮件病毒已经越来越成为现在主流商务新闻了。
由于黑客和病毒作者变得越来越狡猾,网络安全产品必须保持技术上的优势。嵌入式防火墙为智能安全性解决方案加入了一层防范入侵的分布式保护层。防火墙硬件能够被轻松集成进笔记本计算机、桌面系统和各类服务器中,为企业构建安全的系统。具备安全意识的企业用户应该向他们的PC设备制造商询问他们是否能够提供支持嵌入式防火墙系统。
一套嵌入式防火墙解决方案
3Com公司为用户提供业界一流的基于硬件的分布式网络安全产品。3Com公司已经与著名的Sidewinder防火墙产品制造商、在安全技术领域拥有超过20年经验的Secure Computing公司结成了合作伙伴,共同生产3Com嵌入式防火墙解决方案(3Com Embedded Firewall solution)。作为一款集支持防火墙技术网卡硬件与安全管理软件产品于一身的产品,3Com嵌入式防火墙解决方案可以采用3Com 10/100安全服务器网卡(3Com 10/100 Secure Server NIC)、3Com 10/100安全网卡(3Com 10/100 Secure NIC)以及3Com公司嵌入式防火墙策略服务器(3Com Embedded Firewall Policy Server)进行实施。
3Com公司认为,3Com嵌入式防火墙解决方案是专为弥补并改善各类安全能力不足的企业边缘防火墙、防病毒程序、基于主机的应用程序、入侵检测告警程序以及网络代理程序而设计,它确保了企业内部与外部的网络具有以下功能:
*不论企业局域网的拓扑结构如何变更,防护措施都能延伸到网络边缘为网络提供保护。
*基于硬件、能够防范入侵的安全特性能独立于主机操作系统与其他安全性程序运行。
*甚至在安全性较差的宽带链路上都能实现安全移动与远程接入。
*可管理的执行方式使企业安全性能够被用户策略而非物理设施来进行定义。
·IT产品报价大全 |
|
|
|
|
|
|
 相关文章 |
|
|
|
|
 |
|
 |
|
|
