改變思路 - 構建內外結合的防火牆結構

網絡的安全程度究竟如何？這是許多IT管理人員每天都會考慮的一個問題。保護網絡邊緣的可能是一套強大的企業級防火牆，但是，那些對網絡構成最大威脅的人可能已經掌握了網絡的密碼。

　　今天的企業員工、遠程辦公人員、設 備供應商、臨時雇員以及商業合作伙伴都要求能夠自由訪問企業網絡，而重要的客戶數據與財務記錄往往也存儲在這些網絡上。

　　如果在保護公司各類知識產權的同時，還要保持公司每一個員工的工作效率，便不難理解為什麼眾多的IT經理會對公司的網絡安全感到不安。

　　互聯網已經改變了人們工作、聯絡、協作交流以及買賣的方式。類似於服務外包與遠程辦公等新商務趨勢的出現更進一步使企業的安全問題復雜化。合作伙伴網絡之間的訪問是使商業協作更加實際和節約成本的辦法，然而，允許合作伙伴深入到企業網絡的做法模糊了內部訪問與外部訪問之間的界限。

　　“假定邊緣防火牆內部的網絡是安全的，而來自防火牆外部的訪問則是可疑的”這一傳統網絡安全觀點已經不能保護企業資產。現今的企業網絡需要將安全性從服務器向所有端點進行延伸，不論他們是在企業邊緣防火牆的內部還是外部。

　　傳統的邊緣防火牆只對企業網絡的周邊提供保護。這些邊緣防火牆會在流量從外部的互聯網進入企業內部局域網時進行過濾和審查。但是，他們並不能確保企業局域網內部的安全訪問。這就好比給一座辦公樓的大門加上一把鎖，但辦公樓內的每個房間卻四門大開一樣，一旦有人通過了辦公樓的大門，便可以隨意出入辦公樓內任何一個房間。

　　改進上例中辦公樓安全性的最簡單辦法便是為樓內每個房間都配置一把鑰匙和一把鎖。同理，最新一代的安全性解決方案將防火牆功能分布到網絡的桌面系統、筆記本計算機以及服務器PC上。分布於整個公司內的嵌入式防火牆使用戶可以方便地訪問信息，而不會將網絡的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能，用戶無論通過內部網、外聯網、虛擬專用網還是遠程訪問，實現與企業的互聯不再有任何區別。分布式防火牆還可以使企業避免發生由於某一台端點系統的入侵而導致向整個網絡蔓延的情況，同時也使通過公共賬號登錄網絡的用戶無法進入那些限制訪問的計算機系統。

　　盡管所有的公司都應該對安全性加以關注，但其中一些更要注意。那些存儲有私密信息或專有信息、並依靠這些信息運作的企業，尤其需要一套強大而可靠的安全性解決方案，如政府機構、金融機構、保險服務機構、高科技開發商以及各類醫療機構等。

　　通過一個中央控制台來進行配置和管理的安全性解決方案，能夠為此類企業提供巨大幫助。這類安全性解決方案使IT管理員能夠輕松地對網絡的安全性進行升級，從而適應不斷變化的商務需求，並幫助企業對用戶訪問保持有效的控制。例如，IT管理員能夠根據最近發現的網絡攻擊行為迅速調整網絡的安全性級別。此外，用戶很難在終端系統上屏蔽掉由一台遠程服務器控制的網絡安全特性。IT管理人員將非常自信：一旦他們在整個網絡中配置了適當的安全性設備，不論是用戶還是系統的安全性都將得到保證，並且始終安全。

　　對那些安全性要求較高的企業來說，基於軟件的解決方案，例如個人防火牆以及防病毒掃描程序等，功能都不夠強大，無法滿足用戶的要求。因為即使一個通過電子郵件傳送過來的惡意腳本程序，都能輕松將這些防護措施屏蔽掉，甚至是那些運行在主機上的“友好”應用都可能為避免驅動程序的沖突而無意中關掉這些安全性防護軟件。一旦這些軟件系統失效，終端系統將非常容易受到攻擊。更為可怕的是，網絡中的其他部分也將處在攻擊威脅之下。

　　由於安全性能是由硬件處理器而非軟件來承擔的，因此，邊緣防火牆應用程序或網關能夠為這類用戶提供更優的入侵防范手段。但是，正如前面所講，這些設備的功能僅限於為網絡邊緣提供保護。一套嵌入式防火牆解決方案能將這一功能延伸到邊緣防火牆的范圍之外，並分布到網絡的終端。邊緣防火牆既能提供規避策略，也能提供入侵防范策略。安全性措施在PC系統上執行，但是要由嵌入式防火牆的硬件系統來實施，整個過程獨立於主機系統。這一策略使企業網絡幾乎不受任何惡意代碼或黑客攻擊的威脅。即使攻擊者完全通過了防火牆的防護並取得了運行防火牆主機的控制權，他們也將寸步難行，因為他們不能關閉掉嵌入式防火牆，或者以被入侵的主機為跳板進一步展開侵入網絡其他領域的行動。

　　一套嵌入式防火牆安全性解決方案，能夠為那些需要在家訪問公司局域網的遠程辦公用戶提供保護。由於大部分住戶的互聯網服務都運行在開放的鏈路上，並且沒有高級安全手段加以保護，，家庭的PC非常容易受到黑客的攻擊。如果這些家庭辦公人員使用一台DSL路由器或者有線電纜調制解調器，他們所面臨的網絡安全風險將更大。這些“永遠在線”的寬帶鏈路比撥號調制解調器更容易受到攻擊，因為他們使計算機24小時與互聯網保持互聯。電話撥號服務通常在用戶每次接入互聯網的時候為用戶分配一個新的IP地址，但寬帶服務提供商通常為每一個用戶分配一個永久固定的互聯網地址，從而使黑客非常容易“鎖定”他們的計算機。

　　不幸的是，家庭PC被攻擊事件的數量正在不斷上升。這一發現來自於卡內基梅隆CERT協作中心的最新調查。該組織致力於發現計算機安全方面的威脅並發布有關如何防范網絡攻擊的方法。根據CERT的研究，黑客對家庭計算機攻擊事件的數量在近年急劇上升。很多情況下，黑客對個人文件並不感興趣，他們是利用這些家庭計算機侵入企業的局域網。利用嵌入式防火牆來為這些遠程訪問的端點提供保護，能夠幫助企業將網絡的其他部分與危險的互聯網鏈路分離開。

　　隨著黑客入侵與病毒發作事件在全球范圍內的不斷增加，不難理解為什麼許多企業將網絡的安全性看作確保企業盈利能力的一個重要因素。Microsoft、eBay、Yahoo等一些巨型公司便是因網絡入侵事件而導致企業正常運轉中斷的典型例子。

　　由於黑客和病毒作者變得越來越狡猾，網絡安全產品必須保持技術上的優勢。嵌入式防火牆為智能安全性解決方案加入了一層防范入侵的分布式保護層。防火牆硬件能夠被輕松集成進筆記本計算機、桌面系統和各類服務器中，為企業構建安全的系統。具備安全意識的企業用戶應該向他們的PC設備制造商詢問，他們是否能夠提供支持嵌入式防火牆系統。

　　嵌入式防火牆解決方案是專為彌補並改善各類安全能力不足的企業邊緣防火牆、防病毒程序、基於主機的應用程序、入侵檢測告警程序以及網絡代理程序而設計的，它確保了企業內部與外部的網絡具有以下功能：不論企業局域網的拓撲結構如何變更，防護措施都能延伸到網絡邊緣，為網絡提供保護；基於硬件、能夠防范入侵的安全特性能獨立於主機操作系統與其他安全性程序運行；甚至在安全性較差的寬帶鏈路上都能實現安全移動與遠程接入；可管理的執行方式使企業安全性能夠被用戶策略而非物理設施來進行定義。