浅谈分布式防火墙及其在军网安全中应用.docVIP

浅谈分布式防火墙及其在军网安全中应用摘要：随着计算机技术的发展，传统防火墙越来越不能满足计算机网络安全的要求，新兴的分布式防火墙有着传统防火墙的优点，同时也克服了传统防火墙的缺陷，而在许多领域得到广泛应用，其在军网安全中应用更是引起人们的注意。该文将主要从分布式防火墙的概念及其体系结构入手，具体分析军网安全中分布式防火墙的应用问题。 关键词：分布式防火墙；军网安全；边界防火墙 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2012）30-7154-02 传统防火墙主要是在内部网跟外部网中设置一个屏障，对内部网和外部网之间的存取情况进行控制，从而使内外网络的安全风险大大降低。传统防火墙主要是以受控入点和受限拓扑的为出发点，假设在防火墙内部有着非常信赖的许多主机，假设防火墙外部所有的访问都具有攻击性和潜在性的。而对于防火墙内部网络中所出现的攻击或者问题却没有防御性。经过相关实验研究发现，几乎百分之八十以上的攻击都来自防火墙内部网络。可见，传统防火墙所存在的内部缺陷使得其没有防范来自内部网络的威胁，这些威胁也随着防火墙网络拓扑结构而不断的拓展和扩大化，从而导致传统防火墙越来越不能满足计算机网络安全的要求。从而出现了一种新型的防火墙技术，即本文要讨论的分布式防火墙。分布式防火墙有着传统防火墙的优点，同时也克服了传统防火墙的缺陷，而在许多领域得到广泛应用，其在军网安全中应用更是引起人们的注意。 1 分布式防火墙概述 分布式防火墙是在继承了传统防火墙优点和克服传统防火墙的缺点而发展出来的一种新的防火墙技术，分布式防火墙主要包括中心策略服务器、主机防火墙和网络防火墙三个组成部分。主机防火墙主要是对网络中的桌面系统和服务器进行防护；网络防火墙主要在外部网和内部网之间进行设配置，或者是在各个内部子网之间进行配置，以实现防护功能；其中主机的物理位置可以配置在军网的内部网中，也可以在军网的外部网中进行配置。分布式防火墙技术的主要目的是保护主机，不管主机以外的任何网络是内部网或是外部网，其都将被防火墙认为不可靠因素而被防御，从而使得防火墙能针对主机上所进行的相关应用或服务设计专业性非常强的安全防护策略。同时，通过分布式防火墙的监测，可以将所有跟主机相关的数据包进行检查，确保主机上任何一条数据的安全。其除了对PC机进行安全保护之外，也控制着PC机的对外交流，随时对PC机及其网络进行监控和安全保护。 2 分布式防火墙的体系结构 分布式防火墙主要是由以下三各部分所组成，即中心策略服务器、主机防火墙和网络防火墙。由于主机防火墙可以让那些安全策略不但能在网络跟网络之间，同时还将其延伸到其他的各个网络末端，从根本上改变过去单一接入的局限，使防火墙除了能对内网的主机进行保护之外，还可对外网的主机进行保护，从而使整个网络系统的性能得到了提升。 2.1 网络防火墙 网络防火墙主要是配置在军网跟外部互联网之间，一般采取的是纯软件的方式进行防护，跟传统的边界防火墙没有什么区别。其首先对所有的数据包进行全部过滤，从而实现对内部网络的安全防护，以使主机防火墙和中心策略服务器的压力和负担大大降低。网络防火墙可谓分布式防火墙的第一道墙，是主机防火墙和中心策略服务器的外围保护栏。 2.2 主机防火墙 网络防火墙是配置在内部网和外部网之间，主机防火墙却是配置在内部网络中的终端主机上，主要是用来保护策略的顺利实施。主机防火墙主要的任务是对网络中的桌面系统及服务器进行安全保护，而这些被保护主机的物理位置却或者在军网内部，或者在军网外部，不管其存在于哪里，主机防火墙都能通过硬件和软件方式来保护主机的安全。同时，为了彻底解决操作系统中可能存在的漏洞以及其自身的安全监测问题，主机防火墙通过在操作系统中嵌入了安全监测引擎，使所有的数据包经过主机防火墙检查后方能进入到操作系统，防止一切安全隐患的进入，确保操作系统的安全稳定性。 2.3 中心策略服务器 分布式防火墙的第三个重要组成部分就是中心管理服务器，中心管理服务器主要是用来指定和管理安全策略，并对安全策略进行分发，在分发后再对其进行日志汇总及分析，从而整理成安全报告汇报于管理员，以方便管理员做出有效的、针对性较强的、科学和理性的决策。可见，中心策略顾名思义是分布式防火墙技术的核心特征，其对分布式防火墙是至关重要的。有了中心策略服务器，使得分布式防火墙再也不依赖防火墙网络的拓扑结构，再不局限于物理位置必须在一定范围内的要求，无论是拓扑内还是拓扑外结构，无论是远程还是近距离的计算机及其网络，都能通过中心策略服务器的监控和安全防护。 3 分布式防火墙在军网安全中的应用 分布式防火墙相对于传统的边界防火墙有着明显的优势，从而使得其能在社会上得到广泛的应用，也被军网的建设