解读分布式防火墙之——产品篇（1）

 

　本篇要介绍的是目前两种非常有代表性的分布式防火墙系统。 　　目前总的来说国外的一些著名网络设备开发商在分布式防火墙技能方面更加先进，所提供的产品性能也比较高，采用"软件+硬件"形式。主机防火墙为集成了分布式防火墙技能的硬件产品，而防火墙服务器则采用软件形式，以适应更加灵活和高智能的要求，如3COM、CISCO、美国网络安全系统公司的嵌入式防火墙产品。不过也有许多是以纯软件形式提供的，如安软的DFW产品，中洲的网警（NetCop）分布式防火墙。下面分别对安软公司的DFW软件分布式防火墙产品与3COM公司的软件+硬件分布式防火墙产品执行 基本介绍。 　　一、安软EverLink DFW分布式防火墙 　　EverLink Distributed Firewall（简称EverLink DFW） 是北京安软科技有限公司推出的一个具备三层过滤结构的软件防火墙产品。它采用多种先进的网络安全技能，为客户提供网络安全服务。EverLink分布式防火墙依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查，保卫个人计算机在正常运用网络时不会受到恶意的攻击，提高了其网络安全属性；同时，为方便管理，所有分布式防火墙的安全策略由统一的中央策略管理服务器执行 配置和维护，服务器由系统管理员专人监管，这样就降低了分布式防火墙的运用成本，同时提高了安全保证能力。这里，安全策略包括安全级别以及有关的安全属性。其网络连接示意图如图1所示。 　　它的主要功能及与其它防火墙产品的比较分别见表1、表2所示。表1 　　阻止网络攻击· 包过滤
· 基于状态的过滤 　　木马过滤· 屏蔽已知的木马（冰河、Back Orifice 2000等）
· 检测未知木马，加入屏蔽列表
· 能防止 木马运用加密隧道（Tunnel）技能 　　脚本过滤包括Java Script脚本、Visual Basic脚本、ActiveX 脚本等 　　统一的安全策略管理服务器· 由系统管理员专人监管，提高安全保证能力，可降低防火墙的运用成本。
· 可运用策略下载缓释技能将策略文件分成小片，逐片下载，不影响用户网络带宽，不影响用户运用网络的感受。
· 下载安全策略时，总是同时与服务器上的策略校验，保证不下载缺损策略而破坏安全配置。
· 本地安全策略加密存储，保证不能随意修改。 　　入侵检测发觉并阻止常用的网络攻击要领，如端口扫描、源路由数据包攻击、泪滴攻击、NMAP扫描、TCP Flood和UDP Flood等等　　同时支持以太网和Modem连接彻底防护每个可能的通道　　动态升级最新策略自动更新，并动态加载到系统的内核中，系统无须重新启动　　实时网络状态监控可实时查看网络连接的状态信息　　完备的日志记录和报警功能包括软件安装、升级记录、安全策略记录、网络访问记录和受攻击记录等　　全线支持Microsoft Windows平台包括Window 98/Me/NT4/2000　　表2 　　防护功能　　传统边界防火墙　　传统软件防火墙　　DFW分布式防火墙　　个人防火墙　　病毒墙　　病毒　　√　　恶意网络控件　　√　　√　　√　　√　　网络入侵　　√　　√　　√　　√　　木马　　√　　内网维护　　√　　个人计算机　　√　　√　　√　　骚扰　　√　　√　　√　　√　　信息收集型攻击　　√　　√　　√　　√　　二、3COM的分布式防火墙系统

　3Com最新揭晓的嵌入式防火墙是一种基于硬件的分布式防火墙处理方案，它们被嵌入到网卡中，通过嵌入式防火墙策略服务器来实现集中管理。这种嵌入式防火墙技能把硬件处理方案的强健性和集中管理式软件处理方案的灵活性结合在一起，从而提供了分布式防火墙技能，并建立了一种更完备的安全基础结构。
　　1、3Com分布式防火墙系统组成
　　3Com公司的这套分布式防火墙系统其实就是由这些嵌入式防火墙卡和嵌入式防火墙策略服务器软件组成。整个系统所包括的产品图如图2所示。 　以前，在我们的印象中，防火墙作为单独设备安装在网络的单独节点上，与网络的交换机或者路由器相连，并且处于网络边缘，所以通常称之为"边界式防火墙"。而此次3Com公司所开发的分布式防火墙系统中的嵌入防火墙产品却以卡的形式出现在各位的面前，图3和图4所示的分别是3Com公司针对台式计算机和笔记本计算机所开发的PCI和PC卡式防火墙产品外观图。相信这样的防火墙产品一定是第一次见到吧？ 这种防火墙产品是把分布式防火墙技能嵌入到网卡中，实现高度集成，这样，这样一块普通网卡大小的PCI或者PC卡就同时具有网卡和防火墙功能，所以又称之为?嵌入式防火墙?。这种嵌入式防火墙卡一头提供了RJ-45的以太网接口，带宽有10Mbps和100Mbps两种。对于PCI接口的防火墙卡可以直接插入计算机PCI插槽中，对于笔记本用的PC卡式防火墙卡有两种规格，一种是直接采用32位的CardBus接口与笔记本计算机相连。
　　分布式防火墙的最大特点不再只对网络边缘负责安全防护，而是将防火墙功能渗入网络的各个角落，甚至远程访问用户，不仅对外部网络向内部网络的通信执行 过滤，而且还可根据须要对内部网络各用户之间通信执行 过滤。它的防护理念就是除了自己以外任何用户的访问都是"不可信"的，都是须要过滤。与以前的个人防火墙软件产品有相似之处，但不完全一样。首先它们管理形式迥然不同，个人防火墙的安全策略由系统运用者自己配置，目标是防外部攻击，而针对桌面使用的主机防火墙的安全策略由整个系统的管理员统一安排和配置，除了对该桌面机起到保卫作用外，也可以对该桌面机的对外访问加以控制，并且这种安全机制是桌面机的运用者不可见和不可改动的。其次，不同于个人防火墙面向个人用户，针对桌面使用的主机防火墙是面向企业级客户的，它与分布式防火墙其它产品共同构成一个企业级使用方案，形成一个安全策略中心统一管理，安全检查机制分散布置的分布式防火墙体系结构。它与传统的边界式防火墙仅对外部网络用户访问不信任的防护理念也存在根本区别。
　　使用这套系统时，只须要服务器和工作上安装嵌入式防火墙硬件卡，在服务器端安装3Com公司对应的嵌入式防火墙策略服务器软件，并通过这个策略服务器软件对整个网络系统中的嵌入式防火墙执行 配置、管理。 　　2、3Com分布式防火墙系统的主要特征 
　　3Com嵌入式防火墙处理方案允许IT主管部署一种涵盖整个公司客户机的安全模式。这种功能对政府、金融、保健和教育等注重安全的行业来说更为主要。该处理方案对客户机采用防篡改安全要领以及可管理策略实施要领，加大了对内部威胁的防备力度。以这种独特形式把防火墙硬件和集中式策略管理软件相结合，将能够阻止通过网络边缘的内部和外部对台式系统、服务器和笔记本计算机发起攻击和入侵，从而实现"纵深防御"的网络安全。3Com的分布式防火墙系统主要具有以下多个方面的优点：

　（1）防篡改可靠性
　　3Com 防火墙 PCI 卡和 PC 卡硬件中嵌入了防火墙功能，提供了仅软件产品难以达到的黑客防护能力，并且，3Com的防火墙卡独立于主机系统工作，这使得它们极为安全。
　　基于硬件的防火墙不受恶意代码或其他安全程序的影响。相反，个人防火墙和防病毒软件能够轻易地"攻破"或译码，因为它们与主机操作系统交互。这种主机有关性使基于软件的安全机制本身极易受到操作系统中众多广泛传播的安全漏洞的影响。
　　（2）将防火墙保卫扩展到周边之外
　　全球联盟和移动接入需求使当今的企业局域网变成了战略伙伴外部网、宽带 Internet 连接和移动工作者登录的复杂混合体。这种"没有围墙的企业"面临的挑战是当用户在传统的IT基础结构外部连接时如何 保持公司局域网的安全性。每一个远程、共享和开放连接都是一个可能给公司造成数百万损失的潜在安全危机。