防火墙是部署在边界网络上的最常用的网络安全设备,用来在内部网络和外部网络的通信通道上建立一个访问控制点,限制和控制外部网和内部网之间的相互访问。
随着防火墙广泛应用的深入,防火墙已经不仅仅用在企业网和Inte.net的网关上了,而且还用在企业的内部各部门的出口处,甚至应用于关键服务器的连接上。对于一个跨区域的企业,在每个分支机构或办事处,都要使用防火墙产品来控制其访问安全,这样就形成了多级的分布式的防火墙架构。
分布部署的防火墙需要远程管理功能。在防火墙的应用中,正确地配置安全策略是保证整个网络实现真正安全的关键所在。为了能在办公室中管理托管在IDC的防火墙,或者能在企业总部管理异地分支机构的防火墙产品,通常的防火墙都提供了远程管理功能,以使防火墙的应用、配置和管理都更加方便、快捷。因此,防火墙除了通过串口提供基于命令行的CLI管理方式之外,还提供了基于Web界面的管理方式,以及基于管理控制台软件的GUI界面。
集中管理有利于理顺企业的安全管理策略。多级的分布式防火墙架构大大增加了企业安全策略设置的工作量和难度,管理多个防火墙时用户也时常发现会有错误的或者矛盾的配置。利用防火墙的远程管理功能来建立防火墙的集中管理机制,可以使管理员对安全获得更强的控制,并在简化管理的同时提高安全性。
集中的策略分发是防火墙集中管理的关键。如果仅仅简单地依靠集中的远程管理,客户可能仍然需要面对成千上万单独设备进行重复的策略修改,因此防火墙需要建立集中的策略分发机制。三层多策略架构是一种可伸缩的解决方案,它将策略管理范例由单独的设备管理变为同时管理设备组,在这种架构下,集中管理被划分成三个独立的管理层:用户界面、策略管理服务器和执行点。策略管理服务器为定义和管理网络的多种安全组件提供单一的图形用户界面,用户可以通过它设置防火墙安全、VPN、NAT、QoS及VPN客户端安全等。集中管理的安全策略从管理服务器自动部署到各个分布的安全执行点——防火墙上,这样就实现了适应从小型办公机构到全球分布的企业网络的可伸缩的集中安全管理。
作者:上海广电应确信陈博士