谈分布式防火墙技术及其应用.docVIP

　　谈分布式防火墙技术及其应用 摘要：随着网络技术、信息技术的发展，越来越多的人正在关注防火墙技术，在考虑传统防火墙技术缺陷的基础上，提出了分布式防火墙技术。本文主要探讨分布式防火墙技术的原理、结构和应用。 关键字：分布式防火墙安全管理 Abstract: ent of ore and more people pay attention to the fire ainly discussed the principle structure and application of distributed fire anagement 一、分布式防火墙概述 1.传统防火墙的缺陷 （1）结构性限制：边界防火墙的工作机理依赖于网络的物理拓扑结构。但随着越来越多的企业利用互联网构架自己的跨地区网络，包括家庭移动办公和的服务器托管等越来越普遍，所谓内部企业网已经是一个逻辑的概念；另一方面，电子商务的应用要求商务伙伴之间在一定权限下进入到彼此的内部网络，所以说，企业网的边界已经是一个逻辑的边界物理的边界日趋模糊，边界防火墙的应用受到了愈来愈多的结构性限制。 （2）内部安全：边界防火墙设置安全策略的一个基本假设是：网络的一边即外部的所有人是不可信任的，另一边即内部的所有人是可信任的。但在实际环境中，据统计，80%的攻击和越权访问来自与内部，也就是说，边界防火墙在对付网络安全的主要威胁内部威胁时束手无策。 （3）效率和故障：边界防火墙把检查机制集中在网络边界处的单点上，产生了网络的瓶颈问题，这也是目前防火墙用户在选择防火墙产品时不得不首先考察其检测效率而按前机制反在其次的原因。边界防火墙厂商也在不遗余力地提高防火墙单机处理能力甚至采用防火墙群集技术来解决这个边界防火墙固有的结构性瓶颈问题；另外，安全策略的复杂性也给效率问题雪上加霜，对边界防火墙来说，针对不同的应用和多样的系统要求，不得不经常在效率和可能冲突的安全策略之间权衡利害取得折中方案，产生了许多策略性的安全隐患；最后，边界防火墙本身也存在着单点故障危险，一旦出现问题或被攻克，整个内部网络完全暴露在外部攻击者面前。 2.分布式防火墙的优点 （1）增强的系统安全性 增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击防范，可以实施全方位的安全策略。最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器PC上。分布于整个企业内的分布式防火墙使用户可以方便地访问信息，而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能，用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生，同时也使通过公共账号登录网络的用户无法进入那些限制访问的计算机系统。另外，由于分布式防火墙使用了IP安全协议，能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信，使各主机之间的通信得到了很好的保护。所以分布式防火墙有能力防止各种类型的攻击。特别在当我们使用IP安全协议中的密码凭证来标志内部主机时，基于这些标志的策略对主机来说无疑更具可信性。 （2）提高了系统性能 消除了结构性瓶颈问题，提高了系统性能。传统防火墙由于拥有单一的接入控制点，无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙则从根本上去除了单一的接入点，而使这一问题迎刃而解。另一方面分布式防火墙可以针对各个服务器及终端计算机的不同需要，对防火墙进行最佳配置，配置时能够充分考虑到这些主机上运行的应用，如此便可在保障网络安全的前提下大大提高网络运转效率。 （3）系统的扩展性 分布式防火墙随系统扩充提供了安全防护无限扩充的能力。因为分布式防火墙分布在整个企业的网络或服务器中，所以它具有无限制的扩展能力。随着网络的增长，它们的处理负荷也在网络中进一步分布，因此它们的高性能可以持续保持住，克服了传统防火墙因网络规模增大而不堪重负的弊端。 二、分布式防火墙的体系结构 1.网络防火墙 它是用于内部网与外部网之间，以及内部网各子网之间的防护产品。与传统边界防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络间的安全防护体系就显得更加安全可靠。 2.主机防火墙 主机防火墙驻留在主机中，负责策略的实施。它对网络中的服务器和桌面机进行防护，这些主机的物理位置可能在内部网中，也可能在内部网外（如托管服务器或移动办公的便携机）。 （1）主机驻留。主机防火墙驻留在被保护的主机上。该主机以外的网络（内部网或外部网）都认为是不可信任的，因此可以针对该主机上运行的具体应用和对外提供的服务来设定针对性很强的安全策略。从而使安全策略从网络与网络之间推广延伸到每个网络末端。 （2）嵌入操作系统内核。由于操作