淺談動(dòng)態(tài)安全邊界防御下的結(jié)構(gòu)性防火墻的作用，互聯(lián)網(wǎng)世界中的產(chǎn)品與系統(tǒng)普遍存在著脆弱性問(wèn)題，過(guò)去十多年來(lái)，信息安全產(chǎn)品和產(chǎn)業(yè)主要是解決脆弱性問(wèn)題，哪里有問(wèn)題就補(bǔ)哪里，是離散的單點(diǎn)靜態(tài)防御，是筑厚墻與補(bǔ)漏洞。

互聯(lián)網(wǎng)世界中的產(chǎn)品與系統(tǒng)普遍存在著脆弱性問(wèn)題，過(guò)去十多年來(lái)，信息安全產(chǎn)品和產(chǎn)業(yè)主要是解決脆弱性問(wèn)題，哪里有問(wèn)題就補(bǔ)哪里，是離散的單點(diǎn)靜態(tài)防御，是筑厚墻與補(bǔ)漏洞。隨著信息化的深入，用戶和廠商越來(lái)越認(rèn)識(shí)到：?jiǎn)为?dú)解決了一個(gè)個(gè)點(diǎn)的脆弱性，并不一定能夠帶來(lái)整體的安全性。

未來(lái)信息化系統(tǒng)的安全必須通過(guò)整體的科學(xué)治理，通過(guò)結(jié)構(gòu)化的思路，實(shí)現(xiàn)安全的信息化。結(jié)構(gòu)性安全包括：技術(shù)關(guān)聯(lián)性安全、綜合應(yīng)用安全、互操作性安全、網(wǎng)絡(luò)服務(wù)安全等。

一直占據(jù)信息安全市場(chǎng)一半份額的防火墻產(chǎn)品從誕生以來(lái)都是用戶的首選，防火墻的功能、性能、形態(tài)隨著用戶的需求的變化而變化，但核心仍是訪問(wèn)控制。防火墻一直扮演著門衛(wèi)與保安的角色，對(duì)流經(jīng)它的信息進(jìn)行訪問(wèn)控制。

面對(duì)結(jié)構(gòu)化安全的需求，防火墻也必然逐步轉(zhuǎn)變?yōu)榻Y(jié)構(gòu)性防火墻。結(jié)構(gòu)性防火墻實(shí)質(zhì)上就是把原來(lái)的保安組織起來(lái)成為保安公司，就是通過(guò)網(wǎng)絡(luò)防火墻、主機(jī)防火墻的無(wú)縫覆蓋，再加上策略的協(xié)調(diào)統(tǒng)一達(dá)到全局的訪問(wèn)控制或結(jié)構(gòu)性的訪問(wèn)控制，從而實(shí)現(xiàn)一加一遠(yuǎn)遠(yuǎn)大于"一"的安全保障效果。

結(jié)構(gòu)性防火墻是以前防火墻的升級(jí)、整合、提升。結(jié)構(gòu)性防火墻系統(tǒng)是實(shí)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)范圍內(nèi)多防火墻(或代理)引擎有組織群體防護(hù)的系統(tǒng)。結(jié)構(gòu)性防火墻主要包括網(wǎng)絡(luò)防火墻、主機(jī)防火墻(或防火墻代理)和中心管理等三大部分。

網(wǎng)絡(luò)防火墻部署于不同的網(wǎng)絡(luò)安全域之間(如內(nèi)部網(wǎng)與外部網(wǎng)之間以及內(nèi)網(wǎng)子網(wǎng)之間)。主機(jī)防火墻(或防火墻代理)對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面系統(tǒng)進(jìn)行防護(hù)。主機(jī)防火墻可以被網(wǎng)絡(luò)防火墻直接管理。

對(duì)于結(jié)構(gòu)性防火墻來(lái)說(shuō)，每個(gè)防火墻都是安全監(jiān)測(cè)與控制機(jī)制的組成部分，必須根據(jù)不同的安全要求被布置在網(wǎng)絡(luò)中任何需要的位置上，對(duì)各個(gè)防火墻的管理是統(tǒng)一進(jìn)行的，中心管理是結(jié)構(gòu)性防火墻系統(tǒng)的核心和重要特征之一。設(shè)備與代理管理、策略管理、策略執(zhí)行的監(jiān)測(cè)、不同防火墻的協(xié)調(diào)、日志審計(jì)、報(bào)表管理都是中心管理的功能。

設(shè)備/代理和策略管理是結(jié)構(gòu)性防火墻的核心。設(shè)備與代理管理要確定保護(hù)的資產(chǎn)的屬性，要定義安全設(shè)備的配置模板，進(jìn)行分組，便于為多臺(tái)設(shè)備提供一次性統(tǒng)一部署。策略管理可定義策略模板，并可針對(duì)具體設(shè)備和代理進(jìn)行策略的添加、刪除和修改，同時(shí)還可以靈活調(diào)整策略的ID編號(hào)，使策略保持ID的連續(xù)性，便于維護(hù)查看。

安全策略的表達(dá)、分解、分發(fā)和一致性維護(hù)是結(jié)構(gòu)性防火墻的關(guān)鍵技術(shù)，在多臺(tái)設(shè)備和代理部署階段能夠根據(jù)定制的配置模板一次性分發(fā)配置信息到多臺(tái)設(shè)備和代理上，在維護(hù)階段能夠?qū)⒔y(tǒng)一的安全策略同時(shí)分發(fā)到位于不同地點(diǎn)的安全設(shè)備和代理中去。

例如"禁止訪問(wèn)成人網(wǎng)站"的策略要下發(fā)到企業(yè)所有出口的防火墻和所有移動(dòng)客戶端上，而此規(guī)則不需要下發(fā)到其它的防火墻或代理，"禁止使用WEBmail"的策略可以下發(fā)到所有客戶端上。

結(jié)構(gòu)性防火墻可以達(dá)到如下效果：

保護(hù)已有的安全投資，避免重復(fù)投入和建設(shè)、節(jié)省資源，并發(fā)揮已有防火墻的整體效能。

在現(xiàn)有網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施之上，分步解決現(xiàn)實(shí)安全問(wèn)題，最終構(gòu)建可信的網(wǎng)絡(luò)。

保證內(nèi)網(wǎng)安全，不僅防外，也同樣防內(nèi)。安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是把安全策略推廣延伸到每個(gè)網(wǎng)絡(luò)末端。

部署與網(wǎng)絡(luò)拓?fù)錈o(wú)關(guān)，解決以前多出口、動(dòng)態(tài)邊界安全保障。

分布在整個(gè)企業(yè)的網(wǎng)絡(luò)中，具有無(wú)限制的擴(kuò)展能力，隨著網(wǎng)絡(luò)的增長(zhǎng)，它們的處理負(fù)荷也在網(wǎng)絡(luò)中進(jìn)一步分布，消除系統(tǒng)因結(jié)構(gòu)性限制產(chǎn)生的瓶頸問(wèn)題。

能夠保護(hù)物理拓樸上不屬于內(nèi)部網(wǎng)絡(luò)，但邏輯上屬于"內(nèi)部"網(wǎng)絡(luò)的那些主機(jī)，如VPN接入的主機(jī)。

國(guó)內(nèi)外主要的防火墻廠商現(xiàn)在都在開發(fā)智能化和結(jié)構(gòu)化的防火墻，幫助眾多用戶解決了防護(hù)有死角、策略不統(tǒng)一、管理不直觀等問(wèn)題，提高安全保障的整體效果。結(jié)構(gòu)性防火墻主要包括防火墻網(wǎng)關(guān)、集中策略管理系統(tǒng)和桌面防御系統(tǒng)等三部分，是TCAF理論中動(dòng)態(tài)安全邊界防御的重要組成部分。