对于利用广域网开展核心业务的分布式企业而言，分支机构通常处于安全保护的真空地带，因而更容易成为病毒和黑客攻击企业核心网络的跳板，市场上因此也出现了大量针对分支机构应用特点的防火墙产品。这些看似简单的小型防火墙为分布式企业封堵海量攻击提供了经济实惠的选择。
 
 
  广域网应用的安全需求
 
  目前，业务集中己经逐渐成为一种趋势。银行业在实行数据大集中，证券业逐步采用集中委托的交易方式，企业集团在总部实施统一的OA系统、ERP项目等等。集中处理业务可以有效提高商业组织和管理部门的工作效率。
 
  伴随业务集中，广域网正逐步成为许多分布式企业的业务运行平台和信息共享平台。只有建设一个安全稳定的网络平台才能保障关键业务的安全性、机密性和稳定性。相反，缺乏完善的广域网安全方案，分布式企业的关键业务和信息资产就会面临严重的安全威胁。
 
  在最近的一份调查报告中，Eric Ogren调查机构的高级分析员Yankee Group指出，“安全威胁并不区分企业规模的大小，分支机构正在面临与大型企业同样的安全问题。”广域网在带来异地同步办公便利的同时，也给蠕虫病毒和不法黑客入侵企业网络提供了可乘之机：攻破入侵分支机构，以此为跳板进攻企业核心网络。这种攻击手法近年来呈现上升级趋势，尤其是在今年的Slammer蠕虫和冲击波事件中屡见不鲜。
 
  分支机构处在充满混合攻击的网络环境当中。与安全措施相对完善的企业核心网络相比，大多数分支机构是不设防的，许多分布式企业仅仅在核心网络的网关处设置防火墙，用来过滤来自分支机构的潜在威胁，分支机构缺乏有效保护措施并且处于开放状态，因而更容易处在病毒和黑客攻击的重重威胁之下，继而成为攻击企业核心网络的跳板。分支机构的安全直接影响到整个分布式网络的安全。
 
  分支机构防火墙的特点
 
  防火墙作为构建网络安全体系的基础设备，理应成为分支机构必须采取的防范措施。近年来，安全市场上涌现出了许多针对分支机构需求的防火墙产品。其中既包括像Check Point、思科、诺基亚、NetScreen等公司专门为分支机构打造的产品，也包括一些安全厂商针对分支机构的使用特点而对原有防火墙进行改造的产品。从技术层面讲，这些防火墙继续沿用状态检测、包过滤和应用代理等传统技术，并与防火墙技术的发展保持一致，然而由于保护对象的特殊性，这些防火墙又区别于普通的防火墙产品。
 
  适合分支机构部署的防火墙需要解决两方面的安全问题: 一方面在保证分支机构免受蠕虫病毒与黑客攻击的同时，另一方面需要保证分支机构与总部或上级机构的信息传输安全。安全业界有个共识，那就是分支机构对防火墙性能的要求可以不像企业核心网络那样苛刻，但是安全功能一定要全面。对于分支机构而言，分别部署防火墙、IDS、防病毒、身份认证等一系列安全设备是不现实的，无论是购置成本还是维护费用，对于拥有众多分支机构的大型企业来说都是一笔不小的支出。集成了多种安全功能的“小而全”的防火墙既可以帮助分支机构方便地实现全方位安全，又能在成本控制方面为分布式企业大规模部署防火墙提供可能性。在解决信息传输安全方面，VPN技术是最有效的手段，因此集成VPN模块是此类防火墙的必要特征之一。
 
  在研发和设计分支机构防火墙时，多数厂商融入了全方位安全的思想，此类防火墙不仅提供防止攻击、内容过滤、入侵防护和低密度交换等多种网络应用，而且采用功能强大的处理器、操作系统和硬件平台，以提供运行多安全应用所需要的计算资源。这些防火墙都是以硬盒子形式出现，以保障必要的运行速度和产品稳定性；防火墙的内核被精心裁减，以保证产品的效率。有些安全厂商提供的产品仍然以传统的PC架构为主，具有良好的性价比，另外一些安全厂商则以采用专用硬件设备和ASIC芯片，与既有的高端产品保持一致。值得一提是，Check Point Safe@Office、Cisco PIX 501以及Nokia IP40还提供简单的交换路由功能，可以充当交换路由设备。
 
  在实现多种安全应用方面，分支机构防火墙在设计层面体现了集成化、模块化；在实现大规模部署方面，此类防火墙突出了易用性和方便性。
 
  模块化：分支机构防火墙通常采用模块化设计，这种结构设计为及时增减安全应用做好了充分准备，安全厂商可以根据用户需求及时增加安全应用。正如前文所提到的，绝大多数分支机构防火墙已经集成了IPSec VPN模块，帮助企业分支机构安全地连接到企业总部或其他分支机构。多数分支机构防火墙提供内容过滤模块，来限制员工访问与工作无关的Web站点。安全业界对于在防火墙上增加防病毒功能一直存有异议，认为工作在应用层的病毒扫描会大大降低防火墙的速度，但是针对愈演愈烈的蠕虫病毒，许多防火墙厂商纷纷在产品中增加防病毒模块，东软、方正数码、冠群金辰、海信、华为3Com、Symantec、联想、NetScreen、Servgate、中网等公司都在防火墙中增加了防病毒功能。阿姆瑞特F100-Pro、Check Point Safe@Office、安氏LinkTrust CyberWall-206、清华紫光比威UF1103H等防火墙也纷纷支持与防病毒产品的联动。
 
  集成性：集成在针对分支机构的防火墙产品中被充分运用。以往为了实现多个安全应用，需要借助多个硬件设备和多个软件程序配合完成。现在，安全厂商将不同的安全应用制作成不同的应用模块，再将这些模块高度集成在统一的操作系统和硬件平台上，原来由多种安全设备分别实现的安全功能现在只需要一台设备就能够全部实现。高度的集成性为实现集中管理奠定了基础，原来由多种管理工具才能完成的安全管理工作现在只需要一套安全管理系统就可以实现。集成化设计也使得原来由多家安全厂商提供的技术支持响应现在由一家公司提供，最终受益的还是用户。不过，在同一平台上运行多个安全应用，运行速度会受到一定影响，但是分支机构对网络速度要求并不高，采用专用硬件平台的分支机构防火墙在性能上也能达到几十兆，有的甚至达了百兆，已经足够分支机构使用。病毒扫描会造成防火墙性能下降，尽管这一点对分支机构影响不大，但是防火墙厂商还是从软件和硬件层面采取各种加速措施。例如，具有内容过滤功能的NetScreen 5GT在ASIC技术的支持下可以达到几十兆速度。有专家认为，集成化设计也会带来单点故障的风险，这一点可以通过采用高可靠的硬件设备以及故障放开机制(当安全应用失效后，防火墙就会变成一台交换路由设备，完全放开来保障网络的畅通)来降低。
 
  一致性：分支机构防火墙与普通防火墙在性能表现上会有所差异，但是在软件功能上几乎没有区别。有的对防火墙内核经过了精减，有的则沿用与高端产品完全相同的内核，例如Cisco PIX501所使用的软件与思科高端防火墙是相同的，这使得PIX501拥有了思科高端防火墙的功能。无独有偶，Nokia的IP40采用与Nokia高端安全平台相同的操作系统和应用软件，在操作底层保持技术的一致性，便于进行统一管理。
 
  即插即用：模块化、集成化以及一致性设计也带来了即插即用的便利。绝大多数分支机构防火墙属于即插即用设备，即使没有IP知识的用户也可以在说明书的指导下进行安装部署，IT部门也可以事先将设备配置好再发往各个分机构，即插即用为用户大规模安装部署防火墙提供了便利，满足网络应用水平较高、但技术支持能力有限的分支机构的需求特点。
 
  如何选择分支机构防火墙
 
  从网络管理的集中程度上来看，业务集中的用户主要分为两类，一类是银行、政府机关等全网具有统一的地址规划、服务器命名的用户，他们的安全需求是保障各个分支机构安全及时地向上级机构传送各种报表和数据，或者传送各种业务数据，上级机构也可以随时向下级机构安全地发送各种指令，获得各种统计数据和抽样数据。另一类用户是企业集团、证券公司等用户，这类用户一般没有统一的地址规划，分支机构的局域网各自独立，业务应用主要是ERP、CRM这种层次结构不是特别明显的应用。无论哪一类用户，在选择分支机构的防火墙方案时，需要考虑以下几点。
 
  对不同接入方式的适应性：行业用户、企业集团的分支机构，分布地域极为分散，采用的接入方式也是多种多样，ADSL、ISDN、DDN、Cable、电话拨号等接入方式可能会同时并存。因此所选择的分支机构防火墙产品必须支持所有常见的接入方式，否则就会影响企业网络的正常运营和信息资产安全。
 
  产品配置和管理要足够简单、易用：分支机构的网络拓扑相对简单，而且也不对外界提供服务。因此，分支机构防火墙不必具有过于复杂的功能。同时，大型行业用户（如证券、企业集团等）为每个分支机构都设有一个专职的安全管理人员是不可能的。因此，分支机构防火墙必须便于实施，同时几乎不需要维护。
 
  整体方案经济可行：分布式企业往往涉及数十个甚至上百个分支机构。如果所有节点均采用功能强大但价格较贵的高端产品，往往投资巨大，造成不必要的经济投入。为了保证方案的经济合理，分支机构防火墙一定具有出色的性价比。
 
  半年前，某石化企业开始部署Nokia IP30。在此之前，该用户已经是诺基亚高端设备的用户。网络工程部的负责人认为，这种复合式防火墙的采购成本要远远低于分别采购各类安全设备，这一点对拥有大量分支机构的于分布式企业显得格外重要。以购买50台设备为例，在购置成本和部署成本方面，一体化的IP30可以为该石化企业节省近十万元购置成本。
 
  该石化企业只有十几名IT维护人员，三名专职员工负责分布在全国各地的几十家分支机构的网络安全。很难想像三名工程师现场安装几十台防火墙的工作强度。如果全部进行现场安装的话，至少需要半年时间。而IP30可以事先配置，能够即插即用，三名工程师统一将IP30配置好，然后统一发往全国各地的分支机构，在不到一个月的时间内，就将数十台IP30部署到位。该用户在核心网络中使用了诺基亚高端防火墙，因此  部署在分支机构的IP30很快就与原有的安全系统无缝兼容在一起，这是因为IP30采用与高端防火墙相同的安全技术，这样就能保证分支机构的安全策略与企业的整体安全框架保持一致。
 
  近年来，某用户开始将主要业务程序整合到统一平台上，并且允许分布式应用访问。业务集中使得业务系统对网络安全的依赖急剧加强。针对这一变化，该用户在重新审视自己的网络安全架构后，决定在与总部相连的每一个分支机构以及重要的业务部门安装防火墙以隔离安全事件，避免在被感染区域外造成更大损失。后来证明，这一举措在Sobig.F爆发时期起到了决定性的作用。
 
  据该企业负责安全建设的工程师黄先生介绍，该企业最终选择了Servgate的EdgeForce防火墙，并将其部署在6个不同的办公地点。EdgeForce通过PPTP客户端允许分支机构经过VPN连入企业核心网络，除了防火墙和VPN功能外，EdgeForce还提供McAfee病毒扫描、McAfee垃圾邮件过滤、网络缓存和网址过滤功能，这些功能在保护该企业网络安全方面起到了决定性作用。在此之前，该企业已经安装了桌面杀毒解决方案，但越来越多的蠕虫病毒通过分支机构进入企业网络，位于分支机构网络边缘的EdgeForce阻拦了大部分病毒，即使不能完全杜绝病毒入侵，也在很大程度上减轻了核心网络的防范病毒压力，EdgeForce上的防病毒模块每天更新病毒库，可以防范最新的病毒爆发。
 
  最初，反垃圾邮件并不是该企业选择Servgate EdgeForce的主要考虑因素，但他们很快发现清除垃圾邮件不仅可增加可用带宽，而且还可提升员工生产力。EdgeForce上的垃圾过滤模块为该企业赢得了宝贵的带宽和工作效率。最让黄先生看好的是，EdgeForce可以及时添加新的安全应用，实时应对最新的安全挑战。
 
 
 
  分支机构防火墙市场在今年有所启动，安全厂商表现出了极大的热情，致使近来安全市场上涌现出了许多针对这一用户群的防火墙产品，然而用户的反应明显滞后于安全厂商的热情，绝大多数分布式企业的分支机构仍然处于安全的真空地带，即使在安全建设程度较高的金融、证券行业也是如此，防火墙厂商所期待的井喷现象迟迟还没有出现，然而这并不代表这一市场没有潜力，相反就像到非洲推销鞋子的推销员看到的那样，这是一座尚未开发的市场金矿，发展前景不可限量。
 
  近年来，从分支机构入侵企业核心网络的安全事件逐渐增多了起来。从年初的Slammer到八月份的冲击波和Sobig.F，这些蠕虫病毒寻找和攻陷某处有缺陷的系统，以此为跳板危及整个企业网络，在分支机构采取相应的安全措施能够有效把安全问题控制在一定范围内，分支机构的安全措施应该是企业整体安全策略不可或缺的一部分。 这就为迎来分支机构防火墙市场井喷埋下了伏笔。
 
  那么，什么样的防火墙适合分支机构使用呢？普通的百兆、千兆防火墙是否就适用呢？分支机构防火墙和普通防火墙存在本质不同吗？弄清以上问题有助于更多用户部署分支机构防火墙，因为这类产品不仅从安全性、易用性和可管理性等各个方面都针对分支机构的需求进行了贴身设计，而且从总体拥有成本和整体安全角度有别于普通的防火墙，从而给分布式企业带来全新的实用主义。
 
  在采访中，也有用户问到这样一个问题：分支机构是否应该采购与现有防火墙相同的品牌？事实上，相同品牌的防火墙在技术上通常保持一致性，这一特点可以使分支机构与企业现有安全架构保持良好的兼容性，便于进行统一管理和集中升级维护。不过，也有一些防火墙与第三方防火墙实现了良好的兼容性，并且能够被第三方管理工具管理，分布式企业也可以采购这类分支机构防火墙。