分布式防火墙初步研究.pdfVIP

第17卷 第6期 长 春 大 学 学 报 V01．17 No．6 2007年 12月 J0URNAL OF CHANGCHUN UNIVERSrIY Dee．2oo7 文章编号：1009—3907(2007)06—0051—03 分布式防火墙初步研究 李克玲 (长春大学 计算机科学技术学院，吉林 长春 130022) 摘 要：在对传统防火墙技术进行叙述和分析的基础上，提出了传统防火墙技术所面临的几个问 题，然后针对这几个问题对分布式防火墙结构模型进行了初步的探讨。 关键词：分布式防火墙；结构模型；网络安全 中图分类号：TP393、08 文献标识码：A 1 防火墙技术现状 防火墙是一个置于两个网络之间，根据安全策略过滤网络问通信流量的组件集。当今防火墙主要有三 种基本的结构构造技术：包过滤防火墙、应用级代理防火墙和状态包检测…。 (1)包过滤防火墙的操作处于网络层并且只是粗略检查特定的连接的正确性，即将每一个输入或输出 包中发现的信息同访问控制规则相比较来决定阻塞或通过包。许多安全专家也批评包过滤防火墙，因为他 们允许端点问的直接连接通过防火墙 ]，一旦防火墙允许某一连接，就会允许外部源直接连接到防火墙后 的目标目的地，从而潜在地暴露了内部网络，使之容易遭到攻击。 (2)应用级代理防火墙模式通过在协议栈的最高层检查每一个部分而提供了足够的应用级连接的信 息 】，同时在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制将内 部和外部系统隔离开来，对系统外部的入侵者在防火墙内部系统上进行探测变得更加困难。 (3)状态包检测基于包过滤技术，增加了更多的安全检查以达到与应用代理防火墙相类似的安全特性。 在网络层拦截输入包直到足够多关于企图连接的“状态”信息，这些包在操作系统内核的特有的“检测”模块 中检测。安全决策所需的状态相关信息在检测模块中检测，然后保留到为评价后续连接企图的动态状态表 中。被检查通过的包发往防火墙内部，允许直接连接内部、外部系统。由于最后仍允许外部直接连接内部网 络，因此依然存在网络遭受攻击的危险。 2 防火墙技术的发展方向和面临的主要问题 2．1 防火墙技术的发展方向 (1)自适应的代理服务防火墙，它将前几代防火墙的优点合成到一个单一的完整系统中并缩小弱点，基 本的安全检测仍在应用层进行，但一旦安全检测通过后，后续包能重新直接通过网络层。因此自适应防火墙 基本上和标准代理服务防火墙一样安全，并且比状态包检测有更快的性能。自适应代理防火墙给安全管理 者更明确的控制以满足他们的特殊需求从而使“速度和安全”的折衷处于最佳状态。 (2)新型混合防火墙，新型混合防火墙结构融合了IPSee技术和分布式计算思想 。IPSec技术运用到 新型防火墙结构中，从根本上解决了企业网内部的不安全因素，大大降低了企业网内窥探和欺骗的可能性。 分布式概念的引人，使得防火墙有效地降低了中心防火墙模块的计算负载，大大缓解了中心防火墙模块吞吐 能力的瓶颈。同时在用户端布置的个人防火墙块处理原来在传统防火墙中进行的应用级安全处理，这提高 收稿日期：2007．11-06 作者简介：李克玲(1979．)，女，吉林省柳河县人，长春大学计算机科学技术学院助教，硕士生，主要从事计算机网络与数据库方 面的研究。 52 长 春 大 学 学 报 第l7卷 了新型混合防火墙的安全处理能力。 2．2 传统防火墙面临的问题 (1)一个防火墙是一个单一的人口；(2)迅速拓展的Intemet连接使得传统模式变得陈旧；(3)端到端加 密是对防火墙的另一个威胁；(4)有一些协议不容易为防火墙所处理；(5)防火墙不保护网络免遭内部攻击； (6)防火墙越来越成为网络的瓶颈；(7)未授权的人口可以绕过防火墙安全防范措施 ]。 3 分布式防火墙概述 (1)分布式防火墙的优点。拓扑结构独立性，保护主机不受拓扑结构的约束；防止内部攻击；减少单一 点的脆弱；主机可以做出更好的决定。 (2)分布式防火墙结构模型的