談分布式防火墻技術(shù)及其應(yīng)用

摘要：隨著網(wǎng)絡(luò)技術(shù)、信息技術(shù)的發(fā)展，越來越多的人正在關(guān)注防火墻技術(shù)，在考慮傳統(tǒng)防火墻技術(shù)缺陷的基礎(chǔ)上，提出了分布式防火墻技術(shù)。本文主要探討分布式防火墻技術(shù)的原理、結(jié)構(gòu)和應(yīng)用。

關(guān)鍵字：分布式防火墻安全管理

Abstract: With the development of network technology and IT, more and more people pay attention to the fire wall technology, and brought the distributed fire wall technology on the basis of defect about the tradition fire wall technology. The paper mainly discussed the principle structure and application of distributed fire wall technology.

Keywords: distributed fire wall security management

一、分布式防火墻概述

1.傳統(tǒng)防火墻的缺陷

（1）結(jié)構(gòu)性限制：邊界防火墻的工作機(jī)理依賴于網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)。但隨著越來越多的企業(yè)利用互聯(lián)網(wǎng)構(gòu)架自己的跨地區(qū)網(wǎng)絡(luò)，包括家庭移動辦公和的服務(wù)器托管等越來越普遍，所謂內(nèi)部企業(yè)網(wǎng)已經(jīng)是一個邏輯的概念；另一方面，電子商務(wù)的應(yīng)用要求商務(wù)伙伴之間在一定權(quán)限下進(jìn)入到彼此的內(nèi)部網(wǎng)絡(luò)，所以說，企業(yè)網(wǎng)的邊界已經(jīng)是一個邏輯的邊界物理的邊界日趨模糊，邊界防火墻的應(yīng)用受到了愈來愈多的結(jié)構(gòu)性限制。

（2）內(nèi)部安全：邊界防火墻設(shè)置安全策略的一個基本假設(shè)是：網(wǎng)絡(luò)的一邊即外部的所有人是不可信任的，另一邊即內(nèi)部的所有人是可信任的。但在實際環(huán)境中，據(jù)統(tǒng)計，80%的攻擊和越權(quán)訪問來自與內(nèi)部，也就是說，邊界防火墻在對付網(wǎng)絡(luò)安全的主要威脅內(nèi)部威脅時束手無策。

（3）效率和故障：邊界防火墻把檢查機(jī)制集中在網(wǎng)絡(luò)邊界處的單點上，產(chǎn)生了網(wǎng)絡(luò)的瓶頸問題，這也是目前防火墻用戶在選擇防火墻產(chǎn)品時不得不首先考察其檢測效率而按前機(jī)制反在其次的原因。邊界防火墻廠商也在不遺余力地提高防火墻單機(jī)處理能力甚至采用防火墻群集技術(shù)來解決這個邊界防火墻固有的結(jié)構(gòu)性瓶頸問題；另外，安全策略的復(fù)雜性也給效率問題雪上加霜，對邊界防火墻來說，針對不同的應(yīng)用和多樣的系統(tǒng)要求，不得不經(jīng)常在效率和可能沖突的安全策略之間權(quán)衡利害取得折中方案，產(chǎn)生了許多策略性的安全隱患；最后，邊界防火墻本身也存在著單點故障危險，一旦出現(xiàn)問題或被攻克，整個內(nèi)部網(wǎng)絡(luò)完全暴露在外部攻擊者面前。

2.分布式防火墻的優(yōu)點

（1）增強(qiáng)的系統(tǒng)安全性

增加了針對主機(jī)的入侵檢測和防護(hù)功能，加強(qiáng)了對來自內(nèi)部攻擊防范，可以實施全方位的安全策略。最新的分布式防火墻將防火墻功能分布到網(wǎng)絡(luò)的各個子網(wǎng)、桌面系統(tǒng)、筆記本計算機(jī)以及服務(wù)器PC上。分布于整個企業(yè)內(nèi)的分布式防火墻使用戶可以方便地訪問信息，而不會將網(wǎng)絡(luò)的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能，用戶通過內(nèi)部網(wǎng)、外聯(lián)網(wǎng)、虛擬專用網(wǎng)還是遠(yuǎn)程訪問所實現(xiàn)與企業(yè)的互聯(lián)不再有任何區(qū)別。分布式防火墻還可以使企業(yè)避免發(fā)生由于某一臺端點系統(tǒng)的入侵而導(dǎo)致向整個網(wǎng)絡(luò)蔓延的情況發(fā)生，同時也使通過公共賬號登錄網(wǎng)絡(luò)的用戶無法進(jìn)入那些限制訪問的計算機(jī)系統(tǒng)。另外，由于分布式防火墻使用了IP安全協(xié)議，能夠很好地識別在各種安全協(xié)議下的內(nèi)部主機(jī)之間的端到端網(wǎng)絡(luò)通信，使各主機(jī)之間的通信得到了很好的保護(hù)。所以分布式防火墻有能力防止各種類型的攻擊。特別在當(dāng)我們使用IP安全協(xié)議中的密碼憑證來標(biāo)志內(nèi)部主機(jī)時，基于這些標(biāo)志的策略對主機(jī)來說無疑更具可信性。

（2）提高了系統(tǒng)性能

消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能。傳統(tǒng)防火墻由于擁有單一的接入控制點，無論對網(wǎng)絡(luò)的性能還是對網(wǎng)絡(luò)的可靠性都有不利的影響。分布式防火墻則從根本上去除了單一的接入點，而使這一問題迎刃而解。另一方面分布式防火墻可以針對各個服務(wù)器及終端計算機(jī)的不同需要，對防火墻進(jìn)行最佳配置，配置時能夠充分考慮到這些主機(jī)上運(yùn)行的應(yīng)用，如此便可在保障網(wǎng)絡(luò)安全的前提下大大提高網(wǎng)絡(luò)運(yùn)轉(zhuǎn)效率。

（3）系統(tǒng)的擴(kuò)展性

分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無限擴(kuò)充的能力。因為分布式防火墻分布在整個企業(yè)的網(wǎng)絡(luò)或服務(wù)器中，所以它具有無限制的擴(kuò)展能力。隨著網(wǎng)絡(luò)的增長，它們的處理負(fù)荷也在網(wǎng)絡(luò)中進(jìn)一步分布，因此它們的高性能可以持續(xù)保持住，克服了傳統(tǒng)防火墻因網(wǎng)絡(luò)規(guī)模增大而不堪重負(fù)的弊端。

二、分布式防火墻的體系結(jié)構(gòu)

1.網(wǎng)絡(luò)防火墻

它是用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)產(chǎn)品。與傳統(tǒng)邊界防火墻相比，它多了一種用于對內(nèi)部子網(wǎng)之間的安全防護(hù)層，這樣整個網(wǎng)絡(luò)間的安全防護(hù)體系就顯得更加安全可靠。

2.主機(jī)防火墻

主機(jī)防火墻駐留在主機(jī)中，負(fù)責(zé)策略的實施。它對網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)，這些主機(jī)的物理位置可能在內(nèi)部網(wǎng)中，也可能在內(nèi)部網(wǎng)外（如托管服務(wù)器或移動辦公的便攜機(jī)）。

（1）主機(jī)駐留。主機(jī)防火墻駐留在被保護(hù)的主機(jī)上。該主機(jī)以外的網(wǎng)絡(luò)（內(nèi)部網(wǎng)或外部網(wǎng)）都認(rèn)為是不可信任的，因此可以針對該主機(jī)上運(yùn)行的具體應(yīng)用和對外提供的服務(wù)來設(shè)定針對性很強(qiáng)的安全策略。從而使安全策略從網(wǎng)絡(luò)與網(wǎng)絡(luò)之間推廣延伸到每個網(wǎng)絡(luò)末端。

（2）嵌入操作系統(tǒng)內(nèi)核。由于操作系統(tǒng)自身存在許多安全漏洞。運(yùn)行在其上的應(yīng)用軟件無一不受到威脅。主機(jī)防火墻也運(yùn)行在該主機(jī)上，所以其運(yùn)行機(jī)制是主機(jī)防火墻的關(guān)鍵技術(shù)之一。為自身的安全和徹底堵住操作系統(tǒng)的漏洞，主機(jī)防火墻的安全監(jiān)測核心引擎要以嵌入操作系統(tǒng)內(nèi)核的形態(tài)運(yùn)行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進(jìn)行檢查后再提交操作系統(tǒng)，以杜絕隱患。 論文網(wǎng)在線

（3）類似于個人防火墻。分布式針對桌而應(yīng)用的主機(jī)防火墻與個人防火墻有相似之處，如它們都對應(yīng)個人系統(tǒng)，但其差別又是本質(zhì)性的。首先，管理方式不同，個人防火墻的安全策略由系統(tǒng)使用者自己設(shè)置，別人不能干涉，其目的是防外部攻擊，主機(jī)防火墻的安全策略必須由管理員統(tǒng)一安排和設(shè)置，除了對該桌面機(jī)起到保護(hù)作用外，還可以對該桌面機(jī)的對外訪問加以控制。其次，個人防火墻面向個人用戶，主機(jī)防火墻則面向企業(yè)級客戶。

3.中心管理

中心管理服務(wù)器負(fù)責(zé)安全策略的制定!管理!分發(fā)及日志的匯總，中心策略是分布式防火墻系統(tǒng)的核心和重要特征之一。一個良好的分布式防火墻系統(tǒng)策略管理模型，對于分布式防火墻系統(tǒng)而言是至關(guān)重要的。對于分布式防火端系統(tǒng)，由于在結(jié)構(gòu)上不再依賴拓?fù)浣Y(jié)構(gòu)，因此系統(tǒng)的規(guī)模伸縮性很大。這就決定了分布式防火墻系統(tǒng)策略管理模型必須適應(yīng)這一需求，所構(gòu)造的系統(tǒng)必須具有良好的伸縮性。

【談分布式防火墻技術(shù)及其應(yīng)用】相關(guān)文章：

談ADSL技術(shù)及其應(yīng)用12-04

分布式對象技術(shù)及其在Web上的應(yīng)用03-18

PowerBuilder的分布式計算技術(shù)及其應(yīng)用03-18

EDA技術(shù)及其應(yīng)用03-19

談“精確林業(yè)”的發(fā)展及其應(yīng)用前景03-18

淺談ADSL技術(shù)及其應(yīng)用12-04

軟交換技術(shù)及其應(yīng)用03-18

談現(xiàn)值計量屬性的應(yīng)用及其產(chǎn)生的影響03-18

超寬帶通信技術(shù)及其應(yīng)用03-18