互联网世界中的产品与系统普遍存在着脆弱性问题,过去十多年来,信息安全产品和产业主要是解决脆弱性问题,哪里有问题就补哪里,是离散的单点静态防御,是筑厚墙与补漏洞。随着信息化的深入,用户和厂商越来越认识到:单独解决了一个个点的脆弱性,并不一定能够带来整体的安全性。未来信息化系统的安全必须通过整体的科学治理,通过结构化的思路,实现安全的信息化。结构性安全包括:技术关联性安全、综合应用安全、互操作性安全、网络服务安全等。
设备/代理和策略管理是结构性防火墙的核心。设备与代理管理要确定保护的资产的属性,要定义安全设备的配置模板,进行分组,便于为多台设备提供一次性统一部署。策略管理可定义策略模板,并可针对具体设备和代理进行策略的添加、删除和修改,同时还可以灵活调整策略的ID编号,使策略保持ID的连续性,便于维护查看。
安全策略的表达、分解、分发和一致性维护是结构性防火墙的关键技术,在多台设备和代理部署阶段能够根据定制的配置模板一次性分发配置信息到多台设备和代理上,在维护阶段能够将统一的安全策略同时分发到位于不同地点的安全设备和代理中去。例如“禁止访问成人网站”的策略要下发到企业所有出口的防火墙和所有移动客户端上,而此规则不需要下发到其它的防火墙或代理,“禁止使用WEBmail”的策略可以下发到所有客户端上。
结构性防火墙可以达到如下效果:
保护已有的安全投资,避免重复投入和建设、节省资源,并发挥已有防火墙的整体效能。
在现有网络安全基础设施之上,分步解决现实安全问题,最终构建可信的网络。
保证内网安全,不仅防外,也同样防内。安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。
部署与网络拓扑无关,解决以前多出口、动态边界安全保障。
分布在整个企业的网络中,具有无限制的扩展能力,随着网络的增长,它们的处理负荷也在网络中进一步分布,消除系统因结构性限制产生的瓶颈问题。
能够保护物理拓朴上不属于内部网络,但逻辑上属于"内部"网络的那些主机,如VPN接入的主机。
国内外主要的防火墙厂商现在都在开发智能化和结构化的防火墙,帮助众多用户解决了防护有死角、策略不统一、管理不直观等问题,提高安全保障的整体效果。结构性防火墙主要包括防火墙网关、集中策略管理系统和桌面防御系统等三部分,是TCAF理论中动态安全边界防御的重要组成部分。