談分布式防火墻技術(shù)及其應(yīng)用

摘要：隨著網(wǎng)絡(luò)技術(shù)、信息技術(shù)的發(fā)展，越來越多的人正在關(guān)注防火墻技術(shù)，在考慮傳統(tǒng)防火墻技術(shù)缺陷的基礎(chǔ)上，提出了分布式防火墻技術(shù)。本文主要探討分布式防火墻技術(shù)的原理、結(jié)構(gòu)和應(yīng)用。

關(guān)鍵字：分布式防火墻安全管理

Abstract: With the development of network technology and IT, more and more people pay attention to the fire wall technology, and brought the distributed fire wall technology on the basis of defect about the tradition fire wall technology. The paper mainly discussed the principle structure and application of distributed fire wall technology.

Keywords: distributed fire wall security management

一、分布式防火墻概述

1.傳統(tǒng)防火墻的缺陷

（1）結(jié)構(gòu)性限制：邊界防火墻的工作機理依賴于網(wǎng)絡(luò)的物理拓撲結(jié)構(gòu)。但隨著越來越多的企業(yè)利用互聯(lián)網(wǎng)構(gòu)架自己的跨地區(qū)網(wǎng)絡(luò)，包括家庭移動辦公和的服務(wù)器托管等越來越普遍，所謂內(nèi)部企業(yè)網(wǎng)已經(jīng)是一個邏輯的概念；另一方面，電子商務(wù)的應(yīng)用要求商務(wù)伙伴之間在一定權(quán)限下進入到彼此的內(nèi)部網(wǎng)絡(luò)，所以說，企業(yè)網(wǎng)的邊界已經(jīng)是一個邏輯的邊界物理的邊界日趨模糊，邊界防火墻的應(yīng)用受到了愈來愈多的結(jié)構(gòu)性限制。

（2）內(nèi)部安全：邊界防火墻設(shè)置安全策略的一個基本假設(shè)是：網(wǎng)絡(luò)的一邊即外部的所有人是不可信任的，另一邊即內(nèi)部的所有人是可信任的。但在實際環(huán)境中，據(jù)統(tǒng)計，80%的攻擊和越權(quán)訪問來自與內(nèi)部，也就是說，邊界防火墻在對付網(wǎng)絡(luò)安全的主要威脅內(nèi)部威脅時束手無策。

（3）效率和故障：邊界防火墻把檢查機制集中在網(wǎng)絡(luò)邊界處的單點上，產(chǎn)生了網(wǎng)絡(luò)的瓶頸問題，這也是目前防火墻用戶在選擇防火墻產(chǎn)品時不得不首先考察其檢測效率而按前機制反在其次的原因。邊界防火墻廠商也在不遺余力地提高防火墻單機處理能力甚至采用防火墻群集技術(shù)來解決這個邊界防火墻固有的結(jié)構(gòu)性瓶頸問題；另外，安全策略的復(fù)雜性也給效率問題雪上加霜，對邊界防火墻來說，針對不同的應(yīng)用和多樣的系統(tǒng)要求，不得不經(jīng)常在效率和可能沖突的安全策略之間權(quán)衡利害取得折中方案，產(chǎn)生了許多策略性的安全隱患；最后，邊界防火墻本身也存在著單點故障危險，一旦出現(xiàn)問題或被攻克，整個內(nèi)部網(wǎng)絡(luò)完全暴露在外部攻擊者面前。

2.分布式防火墻的優(yōu)點

（1）增強的系統(tǒng)安全性

增加了針對主機的入侵檢測和防護功能，加強了對來自內(nèi)部攻擊防范，可以實施全方位的安全策略。最新的分布式防火墻將防火墻功能分布到網(wǎng)絡(luò)的各個子網(wǎng)、桌面系統(tǒng)、筆記本計算機以及服務(wù)器PC上。分布于整個企業(yè)內(nèi)的分布式防火墻使用戶可以方便地訪問信息，而不會將網(wǎng)絡(luò)的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能，用戶通過內(nèi)部網(wǎng)、外聯(lián)網(wǎng)、虛擬專用網(wǎng)還是遠程訪問所實現(xiàn)與企業(yè)的互聯(lián)不再有任何區(qū)別。分布式防火墻還可以使企業(yè)避免發(fā)生由于某一臺端點系統(tǒng)的入侵而導(dǎo)致向整個網(wǎng)絡(luò)蔓延的情況發(fā)生，同時也使通過公共賬號登錄網(wǎng)絡(luò)的用戶無法進入那些限制訪問的計算機系統(tǒng)。另外，由于分布式防火墻使用了IP安全協(xié)議，能夠很好地識別在各種安全協(xié)議下的內(nèi)部主機之間的端到端網(wǎng)絡(luò)通信，使各主機之間的通信得到了很好的保護。所以分布式防火墻有能力防止各種類型的攻擊。特別在當我們使用IP安全協(xié)議中的密碼憑證來標志內(nèi)部主機時，基于這些標志的策略對主機來說無疑更具可信性。

（2）提高了系統(tǒng)性能

消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能。傳統(tǒng)防火墻由于擁有單一的接入控制點，無論對網(wǎng)絡(luò)的性能還是對網(wǎng)絡(luò)的可靠性都有不利的影響。分布式防火墻則從根本上去除了單一的接入點，而使這一問題迎刃而解。另一方面分布式防火墻可以針對各個服務(wù)器及終端計算機的不同需要，對防火墻進行最佳配置，配置時能夠充分考慮到這些主機上運行的應(yīng)用，如此便可在保障網(wǎng)絡(luò)安全的前提下大大提高網(wǎng)絡(luò)運轉(zhuǎn)效率。

（3）系統(tǒng)的擴展性

分布式防火墻隨系統(tǒng)擴充提供了安全防護無限擴充的能力。因為分布式防火墻分布在整個企業(yè)的網(wǎng)絡(luò)或服務(wù)器中，所以它具有無限制的擴展能力。隨著網(wǎng)絡(luò)的增長，它們的處理負荷也在網(wǎng)絡(luò)中進一步分布，因此它們的高性能可以持續(xù)保持住，克服了傳統(tǒng)防火墻因網(wǎng)絡(luò)規(guī)模增大而不堪重負的弊端。

二、分布式防火墻的體系結(jié)構(gòu)

1.網(wǎng)絡(luò)防火墻

它是用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護產(chǎn)品。與傳統(tǒng)邊界防火墻相比，它多了一種用于對內(nèi)部子網(wǎng)之間的安全防護層，這樣整個網(wǎng)絡(luò)間的安全防護體系就顯得更加安全可靠。

2.主機防火墻

主機防火墻駐留在主機中，負責策略的實施。它對網(wǎng)絡(luò)中的服務(wù)器和桌面機進行防護，這些主機的物理位置可能在內(nèi)部網(wǎng)中，也可能在內(nèi)部網(wǎng)外（如托管服務(wù)器或移動辦公的便攜機）。

（1）主機駐留。主機防火墻駐留在被保護的主機上。該主機以外的網(wǎng)絡(luò)（內(nèi)部網(wǎng)或外部網(wǎng)）都認為是不可信任的，因此可以針對該主機上運行的具體應(yīng)用和對外提供的服務(wù)來設(shè)定針對性很強的安全策略。從而使安全策略從網(wǎng)絡(luò)與網(wǎng)絡(luò)之間推廣延伸到每個網(wǎng)絡(luò)末端。

（2）嵌入操作系統(tǒng)內(nèi)核。由于操作系統(tǒng)自身存在許多安全漏洞。運行在其上的應(yīng)用軟件無一不受到威脅。主機防火墻也運行在該主機上，所以其運行機制是主機防火墻的關(guān)鍵技術(shù)之一。為自身的安全和徹底堵住操作系統(tǒng)的漏洞，主機防火墻的安全監(jiān)測核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進行檢查后再提交操作系統(tǒng)，以杜絕隱患。 論文網(wǎng)在線

（3）類似于個人防火墻。分布式針對桌而應(yīng)用的主機防火墻與個人防火墻有相似之處，如它們都對應(yīng)個人系統(tǒng)，但其差別又是本質(zhì)性的。首先，管理方式不同，個人防火墻的安全策略由系統(tǒng)使用者自己設(shè)置，別人不能干涉，其目的是防外部攻擊，主機防火墻的安全策略必須由管理員統(tǒng)一安排和設(shè)置，除了對該桌面機起到保護作用外，還可以對該桌面機的對外訪問加以控制。其次，個人防火墻面向個人用戶，主機防火墻則面向企業(yè)級客戶。

3.中心管理

中心管理服務(wù)器負責安全策略的制定!管理!分發(fā)及日志的匯總，中心策略是分布式防火墻系統(tǒng)的核心和重要特征之一。一個良好的分布式防火墻系統(tǒng)策略管理模型，對于分布式防火墻系統(tǒng)而言是至關(guān)重要的。對于分布式防火端系統(tǒng)，由于在結(jié)構(gòu)上不再依賴拓撲結(jié)構(gòu)，因此系統(tǒng)的規(guī)模伸縮性很大。這就決定了分布式防火墻系統(tǒng)策略管理模型必須適應(yīng)這一需求，所構(gòu)造的系統(tǒng)必須具有良好的伸縮性。

【談分布式防火墻技術(shù)及其應(yīng)用】相關(guān)文章：

談ADSL技術(shù)及其應(yīng)用12-04

分布式對象技術(shù)及其在Web上的應(yīng)用03-18

PowerBuilder的分布式計算技術(shù)及其應(yīng)用03-18

EDA技術(shù)及其應(yīng)用03-19

談“精確林業(yè)”的發(fā)展及其應(yīng)用前景03-18

淺談ADSL技術(shù)及其應(yīng)用12-04

軟交換技術(shù)及其應(yīng)用03-18

談現(xiàn)值計量屬性的應(yīng)用及其產(chǎn)生的影響03-18

超寬帶通信技術(shù)及其應(yīng)用03-18