简论分布式防火墙.docVIP

简论分布式防火墙 　　中图分类号：TP393.08文献标识码：A文章编号：1673-0992（2009）05-044-02 　　摘要：随着Internet在全球的飞速发展，防火墙成为目前最重要的信息安全产品，然而，以边界防御为中心的传统防火墙如今却很难实现安全性能和网络性能之间的平衡。分布式防火墙的提出很大程度的改善了这种困境，实现了网络的安全。 　　关键词：边界式；分布式；防火墙 　　 　　防火墙能根据受保护的网络的安全策略控制允许、拒绝、监测出入网络的信息流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。 　　 　　一、分布式防火墙的概念 　　 　　传统边界式防火墙因存在许多不完善的地方，因此分布式防火墙应运而生。 　　1.边界式防火墙存在的问题 　　传统防火墙设置在内部企业网和外部网络之间，构成一个屏障，进行网络访问控制，所以通常称为边界防火墙。边界防火墙可以限制被保护企业内部网络与外部网络之间进行的信息传递和访问等操作，它处于内、外部网络的边界，所有进、出的数据流量都必须通过防火墙来传输的。这就有效地保证了外部网络的所有通信请求都能在防火墙中进行过滤。然而，传统的边界防火墙要求网络对外的所有流量都经过防火墙，而且它基于一个基本假设：防火墙把一端的用户看成是可信任的，而另一端的用户则被作为潜在的攻击者对待。这样边界防火墙会在流量从外部的互联网进入内部局域网时进行过滤和审查。但是这并不能确保局域网内部的安全访问。不仅在结构性上受限制，其内部也不够安全，而且效率不高、故障点多。最后，边界防火墙本身也存在着单点故障危险，一旦出现问题或被攻克，整个内部网络将会完全暴露在外部攻击者面前。 　　2.分布式防火墙的提出 　　由于传统防火墙的缺陷不断显露，于是有人认为防火墙是与现代网络的发展不相容的，并认为加密的广泛使用可以废除防火墙，也有人提出了对传统防火墙进行改进的方案，如多重边界防火墙，内部防火墙等，但这些方案都没有从根本上摆脱拓扑依赖，因而也就不能消除传统防火墙的固有缺陷，反而增加了网络安全管理的难度。为了克服以上缺陷而又保留防火墙的优点，美国ATT实验室研究员Steven MBellovin在他的论文“分布式防火墙”中首次提出了分布式防火墙DistributedFirewall，DFW)的概念，给出了分布式防火墙的原型框架，奠定了分布式防火墙研究的基础。 　　 　　二、分布式防火墙的工作原理认知分布式防火墙的工作原理是进行一切研究的前提 　　 　　1.分布式防火墙的基本原理 　　分布式防火墙打破了边界防火墙对网络拓扑的依赖关系，将内部网的概念由物理意义转变成逻辑意义。在分布式防火墙系统中，每个主机节点都有一个标识该主机身份的证书，通常是一个与该节点所持有的公钥相对应的数字证书，内部网络服务器的存取控制授权根据请求客户的数字证书来确定，而不再是由节点所处网络的位置来决定。一般情况下由于证书不易伪造，并独立于网络拓扑结构， 所以只要拥有合法的证书，不管它处于物理上的内网还是外网都被分布式防火墙系统认为是“内部”用户，这样就彻底打破了传统防火墙对网络拓扑的依赖。由于在分布式放火墙系统中安全策略的执行被推向了网络的边缘――终端节点，这样不仅保留了传统防火墙的优点，同时又解决了传统防火墙的问题。 　　2.分布式防火墙的功能 　　其一，Internet访问控制。依据工作站名称、设备指纹等属性，使用“Internet访问规则”，控制该工作站或工作站组在指定的时间段内是否允许、禁止访问模板或Internet服务器。其二，应用访问控制。通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测，控制来自局域网、Internet的应用服务请求。其三，网络状态监控。实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。其四，黑客攻击的防御。抵御包括surf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。其五，日志管理。对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。 　　3.分布式防火墙的运作机制 　　分布式防火墙的运作公有四个步骤：第一，策略的制定和分发。在分布式防火墙系统中，策略是针对主机制定的。在制定策略之后通过策略管理中心“推送”和主机“索取”两种机制分发到主机。第二，日志的收集。在分布式防火墙中，日志可以通过管理中心“定期采集”、主机“定期传送”、主机“定量传送”由主机传送到管理中心。第