分布式防墙综述.docVIP

分布式防火墙综述 　　【摘要】随着计算机网络规模的不断发展，现在使用的Ipv4协议逐渐出现其不适应发展的地方，其中最主要的问题就是32bit的IP地址不够用，而从根本上解决这个问题，就是采用具有更大地址空间Ipv6的协议。分布式防火墙的出现解决了传统防火墙的缺陷-传统防火墙把内部网络一端的用户看成是可信任的，外部网络一端的用户则都被作为潜在的攻击者来对待，分布式防火墙把因特网和内部网络均视为“不友好的”，它对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。本文讨论Ipv4和Ipv6的比较，以及Ipv4环境下的分布式防火墙的功能、基本原理、体系结构和所应用的主要技术和基于下一代Ipv6协议的使用和分布式防火墙的优点。 中国论文网 /4/viewhtm　　【关键词】IPV4协议;IPV6协议;分布式防火墙;数据包;中间件 　　【中图分类号】TP393.08 【文献标识码】A 【文章编号】1009-5071(2011)11-0292-02 　　 　　1 引言 　　21世纪是一个以网络为核心的信息时代，因特网具有数据通信和资源共享等功能，不过在它带来众多好处同时，也面临着日益严重的信息安全问题。而防火墙就是用来隔离受保护的网络与不受保护的网络（如因特网），主要机制是阻止和允许，阻止就是阻止某种类型的通信量通过，允许的功能和阻止恰恰相反，可见防火墙必须能够识别通信量的各种类型，但是“绝对阻止所不希望的通信”和“绝对防止信息泄露”一样，是很难做到的，分布式防火墙把因特网和内部网络均视为“不友好的”，它对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。人们一直研究的Ipv4环境下的分布式防火墙虽然能够很好地保障网络安全，但因其不能适应下一代的Ipv6协议的使用，所以人们致力研究新一代的网络安全工具-Ipv6环境下的分布式防火墙。Ipv6协议具有更高的安全性，分布式防火墙也有自己独特的优势，而这是传统防火墙不具有的，二者的结合将给网络方面提供更大的安全保障。 　　2 Ipv4与Ipv6的比较 　　2.1 Ipv4协议:网际协议IP是TCP/IP体系中两个最主要的协议之一，也是最重要的因特网标准之一。目前因特网主要使用的是Ipv4，IP数据报格式都是以32位为单位来说明IP协议都具有什么功能。 　　2.2 Ipv6协议 　　2.2.1 Ipv6协议产生背景:现在因特网上使用的是Ipv4协议，它是20世纪70年代末设计的，无论从计算机本身发展还是从因特网规模和网络传输速率来看，现在Ipv4已很不适用了。这里主要的问题就是32位的IP地址不够用。而解决这个问题有三种方法： 　　(1)采用无类别编址CIDR，使IP地址的分配更加合理。 　　(2)采用网络地址转换NAT方法,可节省许多全球IP地址。 　　(3)采用具有更大地址空间的新版本的IP协议，即Ipv6。 　　尽管前两项措施的采用使得IP地址耗尽的日期推后了不少，但却不能从根本上解决IP地址耗尽的问题。因此，治本的方法应当是第三种方法。 　　2.2.2 Ipv6协议优点 　　(1)更大的地址空间，Ipv6地址规定为128位，因此它可以提供超过3.4×1038个IP地址。Ipv4地址为32位，所以Ipv6地址空间是Ipv4的296倍。 　　(2)扩张的地址层次结构，巨大的地址空间能够更好地将路由器结构划分出层次，允许使用多级的子网划分和地址分配，层次的划分将可以覆盖从因特网主干网到各个部门内部子网的多级结构，更好地适应现代因特网的ISP层次结构与网络层次结构。 　　（3）灵活的首部格式，Ipv6数据报的首部和Ipv4的并不兼容。Ipv6定义了许多可选的扩展的首部，不仅可提供比Ipv4更多的功能，而且还可提高路由器的处理速度，这是因为路由器对扩展首部不进行处理。 　　（4）改进的选项，Ipv6允许数据报包含有选项的控制信息，因而可以包含一些新的选项。 　　（5）支持即插即用（即自动配置） 　　（6）更高的安全性，在IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验，这极大的增强了网络安全。 　　3 Ipv4环境下的分布式防火墙 　　防火墙是在网络之间通过执行控制策略来保护网络的系统，在设计传统防火墙时，人们做了一个假设：防火墙保护的内部网络是“可信任的网络”，而外部网络是“不可信任的网络”。防火墙的主要功能：一方面检查所有从外部网络进入内部网络和从内部网络流出到外部网络的数据包；另一方面执行安全策略要求的数据包通过；再次具有防攻击能力，保证自身的安全性。传统防火墙只对企业网络的周边提供保护，会对从外部网络进入企业内部局域网的流量进行过滤和审查，但是，他们并不能确保企业内部网络内部用户之间的安全访问，而分布式防火墙把因特网和内部网络均视为