解读分布式防火墙之——技术篇.pdfVIP

随着网络的发展和普及，特别是互联网应用的飞速发展和普及，网络安全越来越受到各级用户 的普遍关注。人们在享受信息化带来的众多好处的同时，也面临着日益突出的信息安全问题。 比如：网络环境中国家秘密和商业秘密的保护，特别是政府上网后对机密敏感信息的保护，网 上各种行为者的身份确认与权责利的确认，高度网络化的各种业务（商务、政务、教务等）信 息系统运行的正常和不被破坏，网络银行、电子商务、各类资金管理系统中的支付与结算的准 确真实和金融机构数据保护与管理系统的不被欺诈，都将成为企业形象、商业利益、国家安全 和社会稳定的焦点。 一、分布式防火墙的产生 因为传统的防火墙设置在网络边界，在内部企业网和外部互联网之间构成一个屏障，进行 网络存取控制，所以称为边界防火墙（Perimeter Firewall）。随着计算机安全技术的发展和用户 对防火墙功能要求的提高，目前出现一种新型防火墙，那就是分布式防火墙，英文名为 Distributed Firewalls。它是在目前传统的边界式防火墙基础上开发的。但目前主要是以软件形 式出现的，也有一些国际著名网络设备开发商（如3COM、CISCO 等）开发生产了集成分布式 防火墙技术的硬件分布式防火墙，做成嵌入式防火墙PCI卡或PCMCIA 卡的形式，但负责集中 管理的还是一个服务器软件。因为是将分布式防火墙技术集成在硬件上，所以通常称之为嵌入 式防火墙，其实其核心技术就是分布式防火墙技术。关于这些分布式防火墙产品在下一篇文 章里将有介绍。 我们都知道，传统意义上的边界防火墙用于限制被保护企业内部网络与外部网络（通常是 互联网）之间相互进行信息存取、传递操作，它所处的位置在内部网络与外部网络之间。实际 上，所有以前出现的各种不同类型的防火墙，从简单的包过滤在应用层代理以至自适应代理， 都是基于一个共同的假设，那就是防火墙把内部网络一端的用户看成是可信任的，而外部网络 一端的用户则都被作为潜在的攻击者来对待。这样的假设是整个防火墙开发和工作机制，但随 着最近几年各种网络技术的发展和各种新的攻击情况不断出现，人们越来越希望需要重新来探 讨一下传统边界式防火墙存在的种种问题，以寻求新的解决方案，而本文所介绍的分布式防火 墙技术就是目前认为最有效的解决方案。 分布式防火墙是一种主机驻留式的安全系统，用以保护企业网络中的关键结点服务器、数 据及工作站免受非法入侵的破坏。分布式防火墙通常是内核模式应用，它位于操作系统OSI栈 的底部，直接面对网卡，它们对所有的信息流进行过滤与限制，无论是来自Internet，还是来自 内部网络。 分布式防火墙把Internet 和内部网络均视为不友好的。它们对个人计算机进行保护的方式 如同边界防火墙对整个网络进行保护一样。对于Web服务器来说，分布式防火墙进行配置后能 够阻止一些非必要的协议，如HTTP 和 HTTPS 之外的协议通过，从而阻止了非法入侵的发生， 同时还具有入侵检测及防护功能。 分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞，如 DoS(拒绝服务)、应用 及口令攻击。从而使操作系统得到强化。分布式防火墙对每个服务器都能进行专门的保护。系 统管理员能够将访问权限只赋予服务器上的应用所使用的必要的端口及协议。如HTTP,HTTPS, port80,port443 等。 为了进一步了解这一新的防火墙技术的优越性，我们先来了解一下传统边界式防火墙的固 有不足之处。 二、传统边界式防火墙的固有欠缺 在介绍这种传统边界式防火墙的欠缺之前不得不申明的一点就是，它的欠缺并不是一开始 人们就意识到，而是随着网络技术的不断发展、新网络技术的不断涌现和应用，以及新的网络 安全因素的出现而体现的。这一点与任何其它产品的应用过程一样，虽然在目前来说它存在以 下欠缺，但或许随着网络应用和进一步发展，将来还可能有人提出更多的欠缺之处，哪怕是本 文所要介绍的最新分布式防火墙技术。就目前来说边界式防火墙主要存在以下不足之处： （1）网络应用受到结构性限制 随着像VPN 这样网络技术的应用和普及，企业网边界逐步成为一个逻辑的边界，物理的边 界日趋模糊，传统边界防火墙在此类网络环境的应用受到了结构性限制。因为传统的边界式防 火墙依赖于物理上的拓扑结构，它从物理上将网络划分为内部网络和外部网络，这一点影响了 防火墙在虚拟专用网（VPN）上的应用，因为今天的企业电子商务要求员工、远程办公人员、 设备供应商、临时雇员以及商业合作伙伴都能够自由访问企业网络，而重要的客户数据与财务 记录往往也存储在这些网络上。根据VPN