傳統(tǒng)防火墻只防周邊

傳統(tǒng)的邊緣防火墻只對企業(yè)網絡的周邊提供保護。這些邊緣防火墻會在流量從外部的互聯(lián)網進入企業(yè)內部局域網時進行過濾和審查。但是，他們并不能確保企業(yè)局域網內部的安全訪問。這就好比給一座辦公樓的大門加上一把鎖，但辦公樓內的每個房間卻房門大開一樣，一旦有人通過了辦公樓的大門，便可以隨意出入辦公樓內任何一個房間。這類網絡非常容易受到有目的的攻擊。例如，黑客入侵一臺已經接入了企業(yè)局域網的計算機，一旦獲得這臺計算機的控制權，他們便可以利用這臺機器作為入侵其他系統(tǒng)的跳板。

嵌入式防火墻給每道門配一把鎖

改進上例中辦公樓安全性的最簡單辦法便是為樓內每個房間都配置一把鑰匙和一把鎖。同理，最新一代的安全性解決方案將防火墻功能分布到網絡的桌面系統(tǒng)、筆記本計算機以及服務器PC上。分布于整個公司內的嵌入式防火墻使用戶可以方便地訪問信息，而不會將網絡的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能，用戶通過內部網、外聯(lián)網、虛擬專用網還是遠程訪問所實現(xiàn)與企業(yè)的互聯(lián)不再有任何區(qū)別。分布式防火墻還可以使企業(yè)避免發(fā)生由于某一臺端點系統(tǒng)的入侵而導致向整個網絡蔓延的情況發(fā)生，同時也使通過公共賬號登錄網絡的用戶無法進入那些限制訪問的計算機系統(tǒng)。

誰更需要嵌入式防火墻

盡管所有的公司都應該對安全性加以關注，但其中一些更要注意。那些存儲有私密信息或專有信息、并依靠這些信息運作的企業(yè)尤其需要一套強大而可靠的安全性解決方案，如政府機構、金融機構、保險服務機構、高科技開發(fā)商以及各類醫(yī)療機構。對于這些安全性要求較高的企業(yè)來說，基于軟件的解決方案，例如個人防火墻以及防病毒掃描程序等，都不夠強大，無法滿足用戶的要求。因為即使一個通過電子郵件傳送過來的惡意腳本程序，都能輕松將這些防護措施屏蔽掉，甚至是那些運行在主機上的“友好”應用都可能為避免驅動程序的沖突而無意中關掉這些安全性防護軟件。一旦這些軟件系統(tǒng)失效，終端系統(tǒng)將非常容易受到攻擊。更為可怕的是，網絡中的其他部分也將處在攻擊威脅之下。

由于安全性能是由硬件處理器而非軟件來承擔的，因此，邊緣防火墻應用程序或網關能夠為這類用戶提供更優(yōu)的入侵防范手段。但是，正如前面所講，這些設備的功能僅限于為網絡邊緣提供保護。一套嵌入式防火墻解決方案能將這一功能延伸到邊緣防火墻的范圍之外，并分布到網絡的終端。邊緣防火墻既能提供規(guī)避策略，也能提供入侵防范策略。安全性措施在PC系統(tǒng)上執(zhí)行，但是卻由嵌入式防火墻的硬件系統(tǒng)來實施，整個過程獨立于主機系統(tǒng)之外。這一策略使企業(yè)網絡幾乎不受任何惡意代碼或黑客攻擊的威脅。即使攻擊者完全通過了防火墻的防護并取得了運行防火墻主機的控制權，他們也將寸步難行，因為他們不能關閉掉嵌入式防火墻，或者以被入侵的主機為跳板進一步展開侵入網絡其他領域的行動。

同時，一套嵌入式防火墻安全性解決方案能夠為那些需要在家訪問公司局域網的遠程辦公用戶提供保護。由于大部分住戶的互聯(lián)網服務都運行在開放的鏈路上，并且沒有高級安全手段加以保護，家庭的PC計算機非常容易受到黑客的攻擊。如果這些家庭辦公人員使用一臺DSL路由器或者有線電纜調制解調器，他們所面臨的網絡安全風險將更大。這些“永遠在線”的寬帶鏈路比撥號調制解調器更容易受到攻擊，因為他們使計算機24小時都與互聯(lián)網保持互聯(lián)。電話撥號服務通常在用戶每次接入互聯(lián)網的時候為用戶分配一個新的IP地址，但寬帶服務提供商通常為每一個用戶分配一個永久固定的互聯(lián)網地址，從而使黑客非常容易“鎖定”他們的計算機。

3Com嵌入式防火墻結晶三頭腦

3Com公司為用戶提供業(yè)界一流的基于硬件的分布式網絡安全產品。3Com公司已經與著名的Sidewinder防火墻產品制造商、在安全技術領域擁有超過20年經驗的Secure Computing公司結成了合作伙伴，共同生產3Com嵌入式防火墻解決方案（3Com Embedded Firewall solution）。作為一款集支持防火墻技術網卡硬件與安全管理軟件產品于一身的產品，3Com嵌入式防火墻解決方案可以采用3Com 10/100安全服務器網卡（3Com 10/100 Secure Server NIC）、3Com 10/100安全網卡（3Com 10/100 Secure NIC）以及3Com公司嵌入式防火墻策略服務器（3Com Embedded Firewall Policy Server）進行實施。

3Com嵌入式防火墻解決方案是專為彌補并改善各類安全能力不足的企業(yè)邊緣防火墻、防病毒程序、基于主機的應用程序、入侵檢測告警程序以及網絡代理程序而設計，它確保了企業(yè)內部與外部的網絡具有以下功能：不論企業(yè)局域網的拓撲結構如何變更，防護措施都能延伸到網絡邊緣為網絡提供保護；基于硬件、能夠防范入侵的安全特性能獨立于主機操作系統(tǒng)與其他安全性程序運行；甚至在安全性較差的寬帶鏈路上都能實現(xiàn)安全移動與遠程接入；可管理的執(zhí)行方式使企業(yè)安全性能夠被用戶策略而非物理設施來進行定義。