嵌入式防火墙：将安全延伸到每一点

嵌入式防火墙：将安全延伸到每一点
　2002-07-02　３ＣＯＭ  


    
　　目前，人们通常采用一套边缘防火墙来保护企业网络安全。但是，边缘防火墙只能防御来自外部的攻击，根据一项由美国CSI与FBI联合进行的调查显示，最具有破坏性的入侵通常来自网络内部，每次此类事件所引起的平均损失为200万美元。

　　互联网已经改变了人们工作方式，远程办公的出现使企业的安全问题进一步复杂化。合作伙伴之间的网上互访是节约商业协作成本的有效办法，但是允许合作伙伴访问企业网络的做法模糊了内部访问与外部访问的界线。由此看来，现今的企业网络需要将安全性从核心网络向所有端点进行延伸，并且不论是在边缘防火墙的内部还是外部。

　　嵌入式防火墙

　　嵌入式防火墙能够将防范入侵的功能分布到网络中的每一台PC、笔记本以及服务器。分布于整个企业网络的嵌入式防火墙使用户可以方便地访问信息，并且不会将网络资源暴露在潜在非法入侵者面前。嵌入式防火墙的分布结构还可以使企业避免由于发生某一台端点系统的入侵而导致整个网络受影响的情况，同时也使通过公共账号登录网络的用户无法进入限制访问权限的计算机系统。

　　嵌入式防火墙解决方案能将安全防范的功能延伸到边缘防火墙的范围之外，并分布到网络的终端。企业网络的安全措施是由嵌入式防火墙的硬件系统来实施，整个过程独立于主机系统之外。这一策略使企业网络几乎不受任何恶意代码或黑客攻击的威胁。即使攻击者完全通过了防火墙的防护并取得了运行防火墙主机的控制权，也将寸步难行，因为攻击者不能关闭掉嵌入式防火墙，或者以被入侵的主机为跳板进一步展开侵入网络其他领域的行动。

　　嵌入式防火墙能够为那些需要在家访问公司局域网的远程办公用户提供保护。由于大部分住户的互联网服务都运行在开放的链路上，并且没有高级安全手段加以保护，家用PC非常容易受到黑客攻击。如果这些家庭办公人员使用一台ADSL路由器或者有线电缆调制解调器，其所面临的安全风险将更大。这些“永远在线”的宽带链路比拨号调制解调器更容易受到攻击。电话拨号服务通常在用户每次接入互联网时为用户分配一个新的IP地址，但宽带服务提供商通常为每一个用户分配一个永久固定的互联网地址，使黑客轻而易举地“锁定”攻击目标。黑客对个人文件并不感兴趣，而是利用家庭计算机侵入企业局域网。嵌入式防火墙可以为这些远程访问的端点提供保护，帮助企业将网络的其他部分与危险的互联网链路分离开。

　　3Com嵌入式防火墙

　　随着黑客入侵与病毒发作事件在全球范围内的不断增加，越来越多的企业将网络的安全性看作确保企业盈利能力的一项重要因素。由于黑客和病毒作者变得越来越狡猾，网络安全产品必须保持技术上的优势。嵌入式防火墙为智能安全性解决方案加入了一层防范入侵的分布式保护层。防火墙硬件能够被集成进笔记本、桌面系统和各类服务器中，为企业构建安全系统。具备安全意识的企业用户应该向PC设备制造商询问他们是否能够提供支持嵌入式防火墙的系统。

　　3Com公司为用户提供基于硬件的分布式网络安全产品，并且已经与著名的Sidewinder和Secure Computing公司结成合作伙伴，共同生产3Com嵌入式防火墙解决方案。作为一款集支持防火墙与安全管理软件于一身的方案，3Com嵌入式防火墙解决方案可以采用3Com 10/100安全服务器网卡、3Com 10/100安全网卡以及3Com公司嵌入式防火墙策略服务器进行实施。

　　3Com嵌入式防火墙解决方案能够弥补并改善各类安全能力不足的企业边缘防火墙、防病毒程序、基于主机的应用程序、入侵检测告警程序以及网络代理程序。在确保企业内部与外部网络安全的前提下，3Com嵌入式防火墙解决方案还具有以下功能：不论企业局域网的拓扑结构如何变更，防护措施都能延伸到网络边缘为网络提供保护; 基于硬件、能够防范入侵的安全特性能独立于主机操作系统与其他安全性程序而独立运行；在安全性较差的宽带链路上能够实现安全移动与远程接入；可管理的执行方式使企业安全性能够被用户策略而非物理设施来进行定义。