談分布式防火墻技術及其應用

談分布式防火墻技術及其應用

摘要：隨著網絡技術、信息技術的發展，越來越多的人正在關注防火墻技術，在考慮傳統防火墻技術缺陷的基礎上，提出了分布式防火墻技術。本文主要探討分布式防火墻技術的原理、結構和應用。

關鍵字：分布式防火墻安全管理

Abstract: With the development of network technology and IT, more and more people pay attention to the fire wall technology, and brought the distributed fire wall technology on the basis of defect about the tradition fire wall technology. The paper mainly discussed the principle structure and application of distributed fire wall technology.

Keywords: distributed fire wall security management

一、分布式防火墻概述

1.傳統防火墻的缺陷

（1）結構性限制：邊界防火墻的工作機理依賴于網絡的物理拓撲結構。但隨著越來越多的企業利用互聯網構架自己的跨地區網絡，包括家庭移動辦公和的服務器托管等越來越普遍，所謂內部企業網已經是一個邏輯的概念；另一方面，電子商務的應用要求商務伙伴之間在一定權限下進入到彼此的內部網絡，所以說，企業網的邊界已經是一個邏輯的邊界物理的邊界日趨模糊，邊界防火墻的應用受到了愈來愈多的結構性限制。

（2）內部安全：邊界防火墻設置安全策略的一個基本假設是：網絡的一邊即外部的所有人是不可信任的，另一邊即內部的所有人是可信任的。但在實際環境中，據統計，80%的攻擊和越權訪問來自與內部，也就是說，邊界防火墻在對付網絡安全的主要威脅內部威脅時束手無策。

（3）效率和故障：邊界防火墻把檢查機制集中在網絡邊界處的單點上，產生了網絡的瓶頸問題，這也是目前防火墻用戶在選擇防火墻產品時不得不首先考察其檢測效率而按前機制反在其次的原因。邊界防火墻廠商也在不遺余力地提高防火墻單機處理能力甚至采用防火墻群集技術來解決這個邊界防火墻固有的結構性瓶頸問題；另外，安全策略的復雜性也給效率問題雪上加霜，對邊界防火墻來說，針對不同的應用和多樣的系統要求，不得不經常在效率和可能沖突的安全策略之間權衡利害取得折中方案，產生了許多策略性的安全隱患；最后，邊界防火墻本身也存在著單點故障危險，一旦出現問題或被攻克，整個內部網絡完全暴露在外部攻擊者面前。

2.分布式防火墻的優點

（1）增強的系統安全性

增加了針對主機的入侵檢測和防護功能，加強了對來自內部攻擊防范，可以實施全方位的安全策略。最新的分布式防火墻將防火墻功能分布到網絡的各個子網、桌面系統、筆記本計算機以及服務器PC上。分布于整個企業內的分布式防火墻使用戶可以方便地訪問信息，而不會將網絡的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能，用戶通過內部網、外聯網、虛擬專用網還是遠程訪問所實現與企業的互聯不再有任何區別。分布式防火墻還可以使企業避免發生由于某一臺端點系統的入侵而導致向整個網絡蔓延的情況發生，同時也使通過公共賬號登錄網絡的用戶無法進入那些限制訪問的計算機系統。另外，由于分布式防火墻使用了IP安全協議，能夠很好地識別在各種安全協議下的內部主機之間的端到端網絡通信，使各主機之間的通信得到了很好的保護。所以分布式防火墻有能力防止各種類型的攻擊。特別在當我們使用IP安全協議中的密碼憑證來標志內部主機時，基于這些標志的策略對主機來說無疑更具可信性。

（2）提高了系統性能

消除了結構性瓶頸問題，提高了系統性能。傳統防火墻由于擁有單一的接入控制點，無論對網絡的性能還是對網絡的可靠性都有不利的影響。分布式防火墻則從根本上去除了單一的接入點，而使這一問題迎刃而解。另一方面分布式防火墻可以針對各個服務器及終端計算機的不同需要，對防火墻進行最佳配置，配置時能夠充分考慮到這些主機上運行的應用，如此便可在保障網絡安全的前提下大大提高網絡運轉效率。

（3）系統的擴展性

分布式防火墻隨系統擴充提供了安全防護無限擴充的能力。因為分布式防火墻分布在整個企業的網絡或服務器中，所以它具有無限制的擴展能力。隨著網絡的增長，它們的處理負荷也在網絡中進一步分布，因此它們的高性能可以持續保持住，克服了傳統防火墻因網絡規模增大而不堪重負的弊端。

二、分布式防火墻的體系結構

1.網絡防火墻

它是用于內部網與外部網之間，以及內部網各子網之間的防護產品。與傳統邊界防火墻相比，它多了一種用于對內部子網之間的安全防護層，這樣整個網絡間的安全防護體系就顯得更加安全可靠。

2.主機防火墻

主機防火墻駐留在主機中，負責策略的實施。它對網絡中的服務器和桌面機進行防護，這些主機的物理位置可能在內部網中，也可能在內部網外（如托管服務器或移動辦公的便攜機）。

（1）主機駐留。主機防火墻駐留在被保護的主機上。該主機以外的網絡（內部網或外部網）都認為是不可信任的，因此可以針對該主機上運行的具體應用和對外提供的服務來設定針對性很強的安全策略。從而使安全策略從網絡與網絡之間推廣延伸到每個網絡末端。

（2）嵌入操作系統內核。由于操作系統自身存在許多安全漏洞。運行在其上的應用軟件無一不受到威脅。主機防火墻也運行在該主機上，所以其運行機制是主機防火墻的關鍵技術之一。為自身的安全和徹底堵住操作系統的漏洞，主機防火墻的安全監測核心引擎要以嵌入操作系統內核的形態運行，直接接管網卡，在把所有數據包進行檢查后再提交操作系統，以杜絕隱患。 論文網在線

（3）類似于個人防火墻。分布式針對桌而應用的主機防火墻與個人防火墻有相似之處，如它們都對應個人系統，但其差別又是本質性的。首先，管理方式不同，個人防火墻的安全策略由系統使用者自己設置，別人不能干涉，其目的是防外部攻擊，主機防火墻的安全策略必須由管理員統一安排和設置，除了對該桌面機起到保護作用外，還可以對該桌面機的對外訪問加以控制。其次，個人防火墻面向個人用戶，主機防火墻則面向企業級客戶。

3.中心管理

中心管理服務器負責安全策略的制定!管理!分發及日志的匯總，中心策略是分布式防火墻系統的核心和重要特征之一。一個良好的分布式防火墻系統策略管理模型，對于分布式防火墻系統而言是至關重要的。對于分布式防火端系統，由于在結構上不再依賴拓撲結構，因此系統的規模伸縮性很大。這就決定了分布式防火墻系統策略管理模型必須適應這一需求，所構造的系統必須具有良好的伸縮性。

【談分布式防火墻技術及其應用】相關文章：

談ADSL技術及其應用12-04

分布式對象技術及其在Web上的應用03-18

PowerBuilder的分布式計算技術及其應用03-18

EDA技術及其應用03-19

談“精確林業”的發展及其應用前景03-18

淺談ADSL技術及其應用12-04

軟交換技術及其應用03-18

談現值計量屬性的應用及其產生的影響03-18

超寬帶通信技術及其應用03-18