談分布式防火墻技術(shù)及其應(yīng)用

摘要：隨著網(wǎng)絡(luò)技術(shù)、信息技術(shù)的發(fā)展，越來(lái)越多的人正在關(guān)注防火墻技術(shù)，在考慮傳統(tǒng)防火墻技術(shù)缺陷的基礎(chǔ)上，提出了分布式防火墻技術(shù)。本文主要探討分布式防火墻技術(shù)的原理、結(jié)構(gòu)和應(yīng)用。

關(guān)鍵字：分布式防火墻安全管理

Abstract: With the development of network technology and IT, more and more people pay attention to the fire wall technology, and brought the distributed fire wall technology on the basis of defect about the tradition fire wall technology. The paper mainly discussed the principle structure and application of distributed fire wall technology.

Keywords: distributed fire wall security management

一、分布式防火墻概述

1.傳統(tǒng)防火墻的缺陷

（1）結(jié)構(gòu)性限制：邊界防火墻的工作機(jī)理依賴于網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)。但隨著越來(lái)越多的企業(yè)利用互聯(lián)網(wǎng)構(gòu)架自己的跨地區(qū)網(wǎng)絡(luò)，包括家庭移動(dòng)辦公和的服務(wù)器托管等越來(lái)越普遍，所謂內(nèi)部企業(yè)網(wǎng)已經(jīng)是一個(gè)邏輯的概念；另一方面，電子商務(wù)的應(yīng)用要求商務(wù)伙伴之間在一定權(quán)限下進(jìn)入到彼此的內(nèi)部網(wǎng)絡(luò)，所以說(shuō)，企業(yè)網(wǎng)的邊界已經(jīng)是一個(gè)邏輯的邊界物理的邊界日趨模糊，邊界防火墻的應(yīng)用受到了愈來(lái)愈多的結(jié)構(gòu)性限制。

（2）內(nèi)部安全：邊界防火墻設(shè)置安全策略的一個(gè)基本假設(shè)是：網(wǎng)絡(luò)的一邊即外部的所有人是不可信任的，另一邊即內(nèi)部的所有人是可信任的。但在實(shí)際環(huán)境中，據(jù)統(tǒng)計(jì)，80%的攻擊和越權(quán)訪問(wèn)來(lái)自與內(nèi)部，也就是說(shuō)，邊界防火墻在對(duì)付網(wǎng)絡(luò)安全的主要威脅內(nèi)部威脅時(shí)束手無(wú)策。

（3）效率和故障：邊界防火墻把檢查機(jī)制集中在網(wǎng)絡(luò)邊界處的單點(diǎn)上，產(chǎn)生了網(wǎng)絡(luò)的瓶頸問(wèn)題，這也是目前防火墻用戶在選擇防火墻產(chǎn)品時(shí)不得不首先考察其檢測(cè)效率而按前機(jī)制反在其次的原因。邊界防火墻廠商也在不遺余力地提高防火墻單機(jī)處理能力甚至采用防火墻群集技術(shù)來(lái)解決這個(gè)邊界防火墻固有的結(jié)構(gòu)性瓶頸問(wèn)題；另外，安全策略的復(fù)雜性也給效率問(wèn)題雪上加霜，對(duì)邊界防火墻來(lái)說(shuō)，針對(duì)不同的應(yīng)用和多樣的系統(tǒng)要求，不得不經(jīng)常在效率和可能沖突的安全策略之間權(quán)衡利害取得折中方案，產(chǎn)生了許多策略性的安全隱患；最后，邊界防火墻本身也存在著單點(diǎn)故障危險(xiǎn)，一旦出現(xiàn)問(wèn)題或被攻克，整個(gè)內(nèi)部網(wǎng)絡(luò)完全暴露在外部攻擊者面前。

2.分布式防火墻的優(yōu)點(diǎn)

（1）增強(qiáng)的系統(tǒng)安全性

增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)來(lái)自內(nèi)部攻擊防范，可以實(shí)施全方位的安全策略。最新的分布式防火墻將防火墻功能分布到網(wǎng)絡(luò)的各個(gè)子網(wǎng)、桌面系統(tǒng)、筆記本計(jì)算機(jī)以及服務(wù)器PC上。分布于整個(gè)企業(yè)內(nèi)的分布式防火墻使用戶可以方便地訪問(wèn)信息，而不會(huì)將網(wǎng)絡(luò)的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能，用戶通過(guò)內(nèi)部網(wǎng)、外聯(lián)網(wǎng)、虛擬專用網(wǎng)還是遠(yuǎn)程訪問(wèn)所實(shí)現(xiàn)與企業(yè)的互聯(lián)不再有任何區(qū)別。分布式防火墻還可以使企業(yè)避免發(fā)生由于某一臺(tái)端點(diǎn)系統(tǒng)的入侵而導(dǎo)致向整個(gè)網(wǎng)絡(luò)蔓延的情況發(fā)生，同時(shí)也使通過(guò)公共賬號(hào)登錄網(wǎng)絡(luò)的用戶無(wú)法進(jìn)入那些限制訪問(wèn)的計(jì)算機(jī)系統(tǒng)。另外，由于分布式防火墻使用了IP安全協(xié)議，能夠很好地識(shí)別在各種安全協(xié)議下的內(nèi)部主機(jī)之間的端到端網(wǎng)絡(luò)通信，使各主機(jī)之間的通信得到了很好的保護(hù)。所以分布式防火墻有能力防止各種類型的攻擊。特別在當(dāng)我們使用IP安全協(xié)議中的密碼憑證來(lái)標(biāo)志內(nèi)部主機(jī)時(shí)，基于這些標(biāo)志的策略對(duì)主機(jī)來(lái)說(shuō)無(wú)疑更具可信性。

（2）提高了系統(tǒng)性能

消除了結(jié)構(gòu)性瓶頸問(wèn)題，提高了系統(tǒng)性能。傳統(tǒng)防火墻由于擁有單一的接入控制點(diǎn)，無(wú)論對(duì)網(wǎng)絡(luò)的性能還是對(duì)網(wǎng)絡(luò)的可靠性都有不利的影響。分布式防火墻則從根本上去除了單一的接入點(diǎn)，而使這一問(wèn)題迎刃而解。另一方面分布式防火墻可以針對(duì)各個(gè)服務(wù)器及終端計(jì)算機(jī)的不同需要，對(duì)防火墻進(jìn)行最佳配置，配置時(shí)能夠充分考慮到這些主機(jī)上運(yùn)行的應(yīng)用，如此便可在保障網(wǎng)絡(luò)安全的前提下大大提高網(wǎng)絡(luò)運(yùn)轉(zhuǎn)效率。

（3）系統(tǒng)的擴(kuò)展性

分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無(wú)限擴(kuò)充的能力。因?yàn)榉植际椒阑饓Ψ植荚谡麄�(gè)企業(yè)的網(wǎng)絡(luò)或服務(wù)器中，所以它具有無(wú)限制的擴(kuò)展能力。隨著網(wǎng)絡(luò)的增長(zhǎng)，它們的處理負(fù)荷也在網(wǎng)絡(luò)中進(jìn)一步分布，因此它們的高性能可以持續(xù)保持住，克服了傳統(tǒng)防火墻因網(wǎng)絡(luò)規(guī)模增大而不堪重負(fù)的弊端。

二、分布式防火墻的體系結(jié)構(gòu)

1.網(wǎng)絡(luò)防火墻

它是用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)產(chǎn)品。與傳統(tǒng)邊界防火墻相比，它多了一種用于對(duì)內(nèi)部子網(wǎng)之間的安全防護(hù)層，這樣整個(gè)網(wǎng)絡(luò)間的安全防護(hù)體系就顯得更加安全可靠。

2.主機(jī)防火墻

主機(jī)防火墻駐留在主機(jī)中，負(fù)責(zé)策略的實(shí)施。它對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)，這些主機(jī)的物理位置可能在內(nèi)部網(wǎng)中，也可能在內(nèi)部網(wǎng)外（如托管服務(wù)器或移動(dòng)辦公的便攜機(jī)）。

（1）主機(jī)駐留。主機(jī)防火墻駐留在被保護(hù)的主機(jī)上。該主機(jī)以外的網(wǎng)絡(luò)（內(nèi)部網(wǎng)或外部網(wǎng)）都認(rèn)為是不可信任的，因此可以針對(duì)該主機(jī)上運(yùn)行的具體應(yīng)用和對(duì)外提供的服務(wù)來(lái)設(shè)定針對(duì)性很強(qiáng)的安全策略。從而使安全策略從網(wǎng)絡(luò)與網(wǎng)絡(luò)之間推廣延伸到每個(gè)網(wǎng)絡(luò)末端。

（2）嵌入操作系統(tǒng)內(nèi)核。由于操作系統(tǒng)自身存在許多安全漏洞。運(yùn)行在其上的應(yīng)用軟件無(wú)一不受到威脅。主機(jī)防火墻也運(yùn)行在該主機(jī)上，所以其運(yùn)行機(jī)制是主機(jī)防火墻的關(guān)鍵技術(shù)之一。為自身的安全和徹底堵住操作系統(tǒng)的漏洞，主機(jī)防火墻的安全監(jiān)測(cè)核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運(yùn)行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進(jìn)行檢查后再提交操作系統(tǒng)，以杜絕隱患。 論文網(wǎng)在線

（3）類似于個(gè)人防火墻。分布式針對(duì)桌而應(yīng)用的主機(jī)防火墻與個(gè)人防火墻有相似之處，如它們都對(duì)應(yīng)個(gè)人系統(tǒng)，但其差別又是本質(zhì)性的。首先，管理方式不同，個(gè)人防火墻的安全策略由系統(tǒng)使用者自己設(shè)置，別人不能干涉，其目的是防外部攻擊，主機(jī)防火墻的安全策略必須由管理員統(tǒng)一安排和設(shè)置，除了對(duì)該桌面機(jī)起到保護(hù)作用外，還可以對(duì)該桌面機(jī)的對(duì)外訪問(wèn)加以控制。其次，個(gè)人防火墻面向個(gè)人用戶，主機(jī)防火墻則面向企業(yè)級(jí)客戶。

3.中心管理

中心管理服務(wù)器負(fù)責(zé)安全策略的制定!管理!分發(fā)及日志的匯總，中心策略是分布式防火墻系統(tǒng)的核心和重要特征之一。一個(gè)良好的分布式防火墻系統(tǒng)策略管理模型，對(duì)于分布式防火墻系統(tǒng)而言是至關(guān)重要的。對(duì)于分布式防火端系統(tǒng)，由于在結(jié)構(gòu)上不再依賴拓?fù)浣Y(jié)構(gòu)，因此系統(tǒng)的規(guī)模伸縮性很大。這就決定了分布式防火墻系統(tǒng)策略管理模型必須適應(yīng)這一需求，所構(gòu)造的系統(tǒng)必須具有良好的伸縮性。

【談分布式防火墻技術(shù)及其應(yīng)用】相關(guān)文章：

關(guān)于現(xiàn)代教育技術(shù)及其應(yīng)用09-19

談智能決策支持系統(tǒng)及其在林業(yè)中的應(yīng)用研究08-21

談歷史軌跡及其哲學(xué)思考08-05

第三代移動(dòng)通信技術(shù)及其應(yīng)用論文04-29

公鑰密碼原理及其應(yīng)用05-13

目標(biāo)規(guī)劃及其在經(jīng)濟(jì)中的應(yīng)用05-11

談電力系統(tǒng)配網(wǎng)自動(dòng)化技術(shù)及應(yīng)用06-14

公允價(jià)值、預(yù)期現(xiàn)值法及其應(yīng)用06-01

OTN光傳送網(wǎng)技術(shù)特點(diǎn)及其在電力通信中的應(yīng)用研究05-01

談紅樹(shù)林的功能及其資源保護(hù)05-28