解读分布式防火墙之——产品篇（2）

这些企业须要一个提供以下保卫的安全系统：
　　·扩展到网络边缘的综合性保卫，无论局域网拓扑如何 变化或连接源自何地。
　　·独立于主机操作系统并能增强现有安全处理方案的防篡改安全性。
　　·安全的共享服务器、移动式笔记本和远程台式机接入，特别是通过脆弱的宽带连接。
　　·可管理的安全执行，允许由用户策略而不是物理基础结构来解释安全性。
　　3Com 嵌入式防火墙处理方案可满足所有这些要求，在网络内外提供安全、可信的连接。策略服务器软件与支持防火墙的连接硬件的这种独特组合包括 3Com嵌入式防火墙策略服务器、3Com 防火墙PCI卡（用于台式计算机）和3Com防火墙 PC 卡（用于笔记本计算机）。
　　（3）保卫移动用户
　　3Com 嵌入式防火墙处理方案采用先进的保卫，可从服务器扩展到网络边缘，而无论拓扑如何 变化或用户位于何地。IT 安全经理可以对移动式笔记本用户及在家里工作的远程工作者更加放心。集中管理的策略加之基于硬件的执行可帮助防止 禁用或旁路网络安全。
　　该安全处理方案运用 PC卡式防火墙产品能够在移动用户离开办公室时为他们提供如影随形的保卫，无论他们去往何地，都能保卫他们的局域网连接。每个防火墙卡均能检测出用户是从局域网物理周边内部还是外部连接的，并针对该位置使用适当的安全策略。分布式防火墙能够控制每个端点的网络访问，从而减少了迂回通信流或管理访问控制列表的烦琐任务。　　（4）集中式管理
　　3Com 嵌入式防火墙策略服务器解释了安全策略，并跨子网、外部网和互联网将它们分布到3Com 防火墙卡。它能够配置策略以控制网络访问、防止 数据嗅探和哄骗、简化数据包过滤及核查任务，并能高速响应检测到的攻击。
　　集中管理的策略可防止 在端点修改安全实施。IT管理员可以放心，一旦他们部署了适当的安全策略，每个用户和系统都会得到保卫，而且一直如此。可以轻易地添加或删除用户和系统，以适应不断变化的安全需求。
　　为IT管理员提供节省时间的远程管理，改良安全执行和访问控制。
　　（5）入侵防护
　　3Com公司的这套嵌入式防火墙系统在整个企业部署3Com 嵌入式防火墙处理方案，可增强其对非法闯入的抵抗力，帮助保卫网络资产。 它的入侵检测系统 (IDS) 能够识别不合宜或可疑的行为，但是不能防止 这些行为的发生。它们还很容易发出不正确报警，因此IT职员须要找出每个报警，以确定能不能确为攻击。通常情况下，在几次假性报警之后，报警就会关上。

　3Com 嵌入式防火墙处理方案通过首先将入侵者拒之于局域网之外，可帮助IDS和其它基于ID的监控更加高效地工作。一旦执行 配置，防火墙卡即可以最小化的管理或用户干预，随时透明地拦截入侵尝试。它是保卫运用 "始终开通的"DSL连接或在家里运用电缆调制解调器的远程工作者的理想处理方案，因为大多数居民互联网接入可能没有安全保卫或未经过滤。
　　（6）经济高效、可扩展
　　安全实施为每个终端系统提供如影随形的保卫，而不是与某个路由器或通信流有关联。这能让IT管理器在最须要的地点轻轻松松地使用安全要领，比如DMZ子网、Web托管服务器、客户信息站及联络员或临时雇员。而且，安全还能以成本合理的增量扩展，以保卫不断扩大的用户组。
　　为确保与现有的基础结构集成，3Com 嵌入式防火墙处理方案组件与全球IEEE高速以太网标准兼容。而且，它们可以运用新特征和新技能执行 升级，从而满足新兴的业务需求。防火墙卡具有固件升级能力，让企业在须要时和所需的地点建立他们想要的配置，并能轻易地扩展，从而满足其发展须要。
　　（7）处理卸载
　　3Com 防火墙卡将安全执行任务卸载到内置处理器，从而让主机系统专门处理用户和使用任务。无需以牺牲系统性能为代价来获得安全。IPSec和策略执行处理被卸载到防火墙硬件，因此主机CPU可以腾出更多周期来处理用户使用和传输。卸载还使得3Com防火墙卡的3DES数据吞吐率比SonicWALL或 WatchGuard防火墙设备提高了4至5倍。不过要留心这一卸载功能须要 Windows xp 或 2000 操作系统。
　　（8）超强连接
　　每个3Com嵌入式防火墙策略服务器支持多达1000个防火墙功能的系统;一个域内可以结合3个策略服务器，支持3000个防火墙功能的系统。
　　3、PCI和PC卡式嵌入式防火墙产品主要功能和优点
　　3Com把分布式防火墙技能嵌入到卡设备上，实现了软件与硬件的有机集成，大大地提高了设备的可运用 性能，这也是它区别其它软件分布式防火墙的主要地点。下表3和表4分别概括了这两种主机防火墙产品的功能和优点。表3 PCI卡式主机防火墙主要功能及优点　　功能　　优点　　安全性　　3Com 嵌入式防火墙防火墙卡将安全真实嵌入在局域网边缘，可针对入侵、篡改和破坏提供保卫。
　　基于硬件的安全性对操作系统和最终用户透明，使安全系统特别防篡改或防破坏。　　基于标准的补充处理方案增强传统的安全处理方案，包括周边防火墙、网络监控、DMZ子网和防病毒程序。　　性能　　板上安全处理器#与Windows xp 和 2000 操作系统配合卸载主机 CPU 的 TCP/IP、IPSec 和防火墙功能，可提供最优化的系统性能。　　10/100 自动协商自适应全双工链路提供安全性及高速以太网吞吐能力。　　先进的总线技能理顺数据传输，简化处理任务，加快系统和使用程序响应时间。　　可靠性和服务包括三年有限保修和基于web的无限技能支持 (包括3Com Knowledgebase web服务); 可延长服务合同。　　管理　　3Com 嵌入式防火墙策略服务器#(单独销售)无需用户干预，即可配置和执行全局安全策略; 并有助于降低支持费用。
　　远程唤醒使 IT 管理员能够从中央控制台唤醒和管理睡眠状态的台式机和服务器。 
　可执行 固件升级的平台3Com 防火墙 PCI 卡可执行 固件升级，从而最大限度地提高了安全硬件的灵活性。表4 PC卡式主机防火墙主要功能及优点 　　功能　　优点　　安全性3Com 嵌入式防火墙处理方案运用嵌入在 PC 卡硬件中的防篡改防火墙，根据有效安全策略过滤 IP 连接。基于硬件的安全性对操作系统和使用程序透明，使安全系统特别防篡改或防破坏。远程特征根据用户启动的是本地还是远程连接，自动分配适当的安全策略。　　性能　　10/100 自动协商自适应全双工链路提供安全性及高速以太网吞吐能力。　　安全处理器从主机 CPU 卸载了 TCP/IP 划分、IP 校验和及 IPSec 加密处理，可实现最大化的平台可用性和网络吞吐率。　　Patented Parallel Tasking和Parallel Tasking II 性能提供更高的网络吞吐率、更低的 CPU 消耗和更快的使用程序性能。　　管理　　3Com 嵌入式防火墙策略服务器* (单独销售)无需用户干预，即可配置和执行全局安全策略以提高安全性; 并有助于降低支持费用。　　3Com Mobile Connection Manager能让 IT 职员建立并向移动雇员发送移动配置文件; 他们只需单击鼠标即可出行。　　SNMP 管理，DMI 2.0支持业界标准，简化了网络管理。