互聯(lián)網(wǎng)世界中的產(chǎn)品與系統(tǒng)普遍存在著脆弱性問題,過去十多年來,信息安全產(chǎn)品和產(chǎn)業(yè)主要是解決脆弱性問題,哪里有問題就補哪里,是離散的單點靜態(tài)防御,是筑厚墻與補漏洞。隨著信息化的深入,用戶和廠商越來越認(rèn)識到:單獨解決了一個個點的脆弱性,并不一定能夠帶來整體的安全性。未來信息化系統(tǒng)的安全必須通過整體的科學(xué)治理,通過結(jié)構(gòu)化的思路,實現(xiàn)安全的信息化。結(jié)構(gòu)性安全包括:技術(shù)關(guān)聯(lián)性安全、綜合應(yīng)用安全、互操作性安全、網(wǎng)絡(luò)服務(wù)安全等。
一直占據(jù)信息安全市場一半份額的防火墻產(chǎn)品從誕生以來都是用戶的首選,防火墻的功能、性能、形態(tài)隨著用戶的需求的變化而變化,但核心仍是訪問控制。防火墻一直扮演著門衛(wèi)與保安的角色,對流經(jīng)它的信息進行訪問控制。面對結(jié)構(gòu)化安全的需求,防火墻也必然逐步轉(zhuǎn)變?yōu)榻Y(jié)構(gòu)性防火墻。結(jié)構(gòu)性防火墻實質(zhì)上就是把原來的保安組織起來成為保安公司,就是通過網(wǎng)絡(luò)防火墻、主機防火墻的無縫覆蓋,再加上策略的協(xié)調(diào)統(tǒng)一達到全局的訪問控制或結(jié)構(gòu)性的訪問控制,從而實現(xiàn)一加一遠遠大于“一”的安全保障效果。
結(jié)構(gòu)性防火墻是以前防火墻的升級、整合、提升。結(jié)構(gòu)性防火墻系統(tǒng)是實現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)范圍內(nèi)多防火墻(或代理)引擎有組織群體防護的系統(tǒng)。結(jié)構(gòu)性防火墻主要包括網(wǎng)絡(luò)防火墻、主機防火墻(或防火墻代理)和中心管理等三大部分。網(wǎng)絡(luò)防火墻部署于不同的網(wǎng)絡(luò)安全域之間(如內(nèi)部網(wǎng)與外部網(wǎng)之間以及內(nèi)網(wǎng)子網(wǎng)之間)。主機防火墻(或防火墻代理)對網(wǎng)絡(luò)中的服務(wù)器和桌面系統(tǒng)進行防護。主機防火墻可以被網(wǎng)絡(luò)防火墻直接管理。對于結(jié)構(gòu)性防火墻來說,每個防火墻都是安全監(jiān)測與控制機制的組成部分,必須根據(jù)不同的安全要求被布置在網(wǎng)絡(luò)中任何需要的位置上,對各個防火墻的管理是統(tǒng)一進行的,中心管理是結(jié)構(gòu)性防火墻系統(tǒng)的核心和重要特征之一。設(shè)備與代理管理、策略管理、策略執(zhí)行的監(jiān)測、不同防火墻的協(xié)調(diào)、日志審計、報表管理都是中心管理的功能。
設(shè)備/代理和策略管理是結(jié)構(gòu)性防火墻的核心。設(shè)備與代理管理要確定保護的資產(chǎn)的屬性,要定義安全設(shè)備的配置模板,進行分組,便于為多臺設(shè)備提供一次性統(tǒng)一部署。策略管理可定義策略模板,并可針對具體設(shè)備和代理進行策略的添加、刪除和修改,同時還可以靈活調(diào)整策略的ID編號,使策略保持ID的連續(xù)性,便于維護查看。
安全策略的表達、分解、分發(fā)和一致性維護是結(jié)構(gòu)性防火墻的關(guān)鍵技術(shù),在多臺設(shè)備和代理部署階段能夠根據(jù)定制的配置模板一次性分發(fā)配置信息到多臺設(shè)備和代理上,在維護階段能夠?qū)⒔y(tǒng)一的安全策略同時分發(fā)到位于不同地點的安全設(shè)備和代理中去。例如“禁止訪問成人網(wǎng)站”的策略要下發(fā)到企業(yè)所有出口的防火墻和所有移動客戶端上,而此規(guī)則不需要下發(fā)到其它的防火墻或代理,“禁止使用WEBmail”的策略可以下發(fā)到所有客戶端上。
結(jié)構(gòu)性防火墻可以達到如下效果:
保護已有的安全投資,避免重復(fù)投入和建設(shè)、節(jié)省資源,并發(fā)揮已有防火墻的整體效能。
在現(xiàn)有網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施之上,分步解決現(xiàn)實安全問題,最終構(gòu)建可信的網(wǎng)絡(luò)。
保證內(nèi)網(wǎng)安全,不僅防外,也同樣防內(nèi)。安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間,而是把安全策略推廣延伸到每個網(wǎng)絡(luò)末端。
部署與網(wǎng)絡(luò)拓撲無關(guān),解決以前多出口、動態(tài)邊界安全保障。
分布在整個企業(yè)的網(wǎng)絡(luò)中,具有無限制的擴展能力,隨著網(wǎng)絡(luò)的增長,它們的處理負荷也在網(wǎng)絡(luò)中進一步分布,消除系統(tǒng)因結(jié)構(gòu)性限制產(chǎn)生的瓶頸問題。
能夠保護物理拓樸上不屬于內(nèi)部網(wǎng)絡(luò),但邏輯上屬于"內(nèi)部"網(wǎng)絡(luò)的那些主機,如VPN接入的主機。
國內(nèi)外主要的防火墻廠商現(xiàn)在都在開發(fā)智能化和結(jié)構(gòu)化的防火墻,幫助眾多用戶解決了防護有死角、策略不統(tǒng)一、管理不直觀等問題,提高安全保障的整體效果。結(jié)構(gòu)性防火墻主要包括防火墻網(wǎng)關(guān)、集中策略管理系統(tǒng)和桌面防御系統(tǒng)等三部分,是TCAF理論中動態(tài)安全邊界防御的重要組成部分。
