浅谈动态安全边界防御下的结构性防火墙

　　互联网世界中的产品与系统普遍存在着脆弱性问题，过去十多年来，信息安全产品和产业主要是解决脆弱性问题，哪里有问题就补哪里，是离散的单点静态防御，是筑厚墙与补漏洞。

　　随着信息化的深入，用户和厂商越来越认识到：单独解决了一个个点的脆弱性，并不一定能够带来整体的安全性。未来信息化系统的安全必须通过整体的科学治理，通过结构化的思路，实现安全的信息化。结构性安全包括：技术关联性安全、综合应用安全、互操作性安全、网络服务安全等。

　　一直占据信息安全市场一半份额的防火墙产品从诞生以来都是用户的首选，防火墙的功能、性能、形态随着用户的需求的变化而变化，但核心仍是访问控制。防火墙一直扮演着门卫与保安的角色，对流经它的信息进行访问控制。

　　面对结构化安全的需求，防火墙也必然逐步转变为结构性防火墙。结构性防火墙实质上就是把原来的保安组织起来成为保安公司，就是通过网络防火墙、主机防火墙的无缝覆盖，再加上策略的协调统一达到全局的访问控制或结构性的访问控制，从而实现一加一远远大于“一”的安全保障效果。

　　结构性防火墙是以前防火墙的升级、整合、提升。结构性防火墙系统是实现网络结构范围内多防火墙(或代理)引擎有组织群体防护的系统。结构性防火墙主要包括网络防火墙、主机防火墙(或防火墙代理)和中心管理等三大部分。网络防火墙部署于不同的网络安全域之间(如内部网与外部网之间以及内网子网之间)。主机防火墙(或防火墙代理)对网络中的服务器和桌面系统进行防护。主机防火墙可以被网络防火墙直接管理。

　　对于结构性防火墙来说，每个防火墙都是安全监测与控制机制的组成部分，必须根据不同的安全要求被布置在网络中任何需要的位置上，对各个防火墙的管理是统一进行的，中心管理是结构性防火墙系统的核心和重要特征之一。设备与代理管理、策略管理、策略执行的监测、不同防火墙的协调、日志审计、报表管理都是中心管理的功能。

　　设备/代理和策略管理是结构性防火墙的核心。设备与代理管理要确定保护的资产的属性，要定义安全设备的配置模板，进行分组，便于为多台设备提供一次性统一部署。策略管理可定义策略模板，并可针对具体设备和代理进行策略的添加、删除和修改，同时还可以灵活调整策略的ID编号，使策略保持ID的连续性，便于维护查看。

　　安全策略的表达、分解、分发和一致性维护是结构性防火墙的关键技术，在多台设备和代理部署阶段能够根据定制的配置模板一次性分发配置信息到多台设备和代理上，在维护阶段能够将统一的安全策略同时分发到位于不同地点的安全设备和代理中去。例如“禁止访问成人网站”的策略要下发到企业所有出口的防火墙和所有移动客户端上，而此规则不需要下发到其它的防火墙或代理，“禁止使用WEBmail”的策略可以下发到所有客户端上。

　　结构性防火墙可以达到如下效果：

　　保护已有的安全投资，避免重复投入和建设、节省资源，并发挥已有防火墙的整体效能。

　　在现有网络安全基础设施之上，分步解决现实安全问题，最终构建可信的网络。

　　保证内网安全，不仅防外，也同样防内。安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。

　　部署与网络拓扑无关，解决以前多出口、动态边界安全保障。

　　分布在整个企业的网络中，具有无限制的扩展能力，随着网络的增长，它们的处理负荷也在网络中进一步分布，消除系统因结构性限制产生的瓶颈问题。

　　能够保护物理拓朴上不属于内部网络，但逻辑上属于"内部"网络的那些主机，如VPN接入的主机。

　　国内外主要的防火墙厂商现在都在开发智能化和结构化的防火墙，帮助众多用户解决了防护有死角、策略不统一、管理不直观等问题，提高安全保障的整体效果。结构性防火墙主要包括防火墙网关、集中策略管理系统和桌面防御系统等三部分，是TCAF理论中动态安全边界防御的重要组成部分。