淺談動態安全邊界防禦下的結構性防火牆

【賽迪網-IT技術報道】【獨家視點】互聯網世界中的產品與系統普遍存在著脆弱性問題，過去十多年來，信息安全產品和產業主要是解決脆弱性問題，哪裡有問題就補哪裡，是離散的單點靜態防禦，是築厚牆與補漏洞。隨著信息化的深入，用戶和廠商越來越認識到：單獨解決了一個個點的脆弱性，並不一定能夠帶來整體的安全性。未來信息化系統的安全必須通過整體的科學治理，通過結構化的思路，實現安全的信息化。結構性安全包括：技術關聯性安全、綜合應用安全、互操作性安全、網絡服務安全等。

一直佔據信息安全市場一半份額的防火牆產品從誕生以來都是用戶的首選，防火牆的功能、性能、形態隨著用戶的需求的變化而變化，但核心仍是訪問控制。防火牆一直扮演著門衛與保安的角色，對流經它的信息進行訪問控制。面對結構化安全的需求，防火牆也必然逐步轉變為結構性防火牆。結構性防火牆實質上就是把原來的保安組織起來成為保安公司，就是通過網絡防火牆、主機防火牆的無縫覆蓋，再加上策略的協調統一達到全局的訪問控制或結構性的訪問控制，從而實現一加一遠遠大於「一」的安全保障效果。

結構性防火牆是以前防火牆的升級、整合、提升。結構性防火牆系統是實現網絡結構範圍內多防火牆（或代理）引擎有組織群體防護的系統。結構性防火牆主要包括網絡防火牆、主機防火牆（或防火牆代理）和中心管理等三大部分。網絡防火牆部署於不同的網絡安全域之間（如內部網與外部網之間以及內網子網之間）。主機防火牆（或防火牆代理）對網絡中的伺服器和桌面系統進行防護。主機防火牆可以被網絡防火牆直接管理。對於結構性防火牆來說，每個防火牆都是安全監測與控制機制的組成部分，必須根據不同的安全要求被佈置在網絡中任何需要的位置上，對各個防火牆的管理是統一進行的，中心管理是結構性防火牆系統的核心和重要特徵之一。設備與代理管理、策略管理、策略執行的監測、不同防火牆的協調、日誌審計、報表管理都是中心管理的功能。

設備/代理和策略管理是結構性防火牆的核心。設備與代理管理要確定保護的資產的屬性，要定義安全設備的配置模板，進行分組，便於為多台設備提供一次性統一部署。策略管理可定義策略模板，並可針對具體設備和代理進行策略的添加、刪除和修改，同時還可以靈活調整策略的ID編號，使策略保持ID的連續性，便於維護查看。

安全策略的表達、分解、分發和一致性維護是結構性防火牆的關鍵技術，在多台設備和代理部署階段能夠根據定制的配置模板一次性分發配置信息到多台設備和代理上，在維護階段能夠將統一的安全策略同時分發到位於不同地點的安全設備和代理中去。例如「禁止訪問成人網站」的策略要下發到企業所有出口的防火牆和所有移動客戶端上，而此規則不需要下發到其它的防火牆或代理，「禁止使用WEBmail」的策略可以下發到所有客戶端上。

結構性防火牆可以達到如下效果：

・保護已有的安全投資，避免重複投入和建設、節省資源，並發揮已有防火牆的整體效能。

・在現有網絡安全基礎設施之上，分步解決現實安全問題，最終構建可信的網絡。

・保證內網安全，不僅防外，也同樣防內。安全策略不僅僅停留在網絡與網絡之間，而是把安全策略推廣延伸到每個網絡末端。

・部署與網絡拓撲無關，解決以前多出口、動態邊界安全保障。

・分佈在整個企業的網絡中，具有無限制的擴展能力，隨著網絡的增長，它們的處理負荷也在網絡中進一步分佈，消除系統因結構性限制產生的瓶頸問題。

・能夠保護物理拓樸上不屬於內部網絡，但邏輯上屬於"內部"網絡的那些主機，如VPN接入的主機。

國內外主要的防火牆廠商現在都在開發智能化和結構化的防火牆，幫助眾多用戶解決了防護有死角、策略不統一、管理不直觀等問題，提高安全保障的整體效果。結構性防火牆主要包括防火牆網關、集中策略管理系統和桌面防禦系統等三部分，是TCAF理論中動態安全邊界防禦的重要組成部分。

附：動態安全邊界－以動態策略為核心，融合傳統網關安全和桌面安全

(