计算机网络安全管理第5章.ppt

5.6 分布式防火墙  传统防火墙的不足 虽然本章前面介绍的几类传统防火仍然是现代计算机网络安全防范的支柱，但在安全要求较高的大型网络中存在一些不足，主要表现如下： （1）结构性限制。 （2） 防外不防内。 （3） 效率问题。 （4） 故障问题。 分布式防火墙的概念 为了解决传统防火墙正在面临的问题，美国ATT实验室研究员Steven M.Bellovin于1999 年在他的论文“分布式防火墙”（Distributed Firewalls，DFW）一文中首次提出了分布式防火墙的概念。在该论文中提供了DFW的方案：策略集中定制，在各台主机上执行，日志集中收集处理。根据DFW所需要完成的功能，分布式防火墙系统由以下3部分组成： 1. 网络防火墙 网络防火墙承担着与传统边界防火墙相同的职能，负责内外网络之间不同安全域的划分。同时，用于对内部网各子网之间的防护。与传统边界防火墙相比，分布式防火墙中的网络防火墙增加了一种用于对内部子网之间的安全防护，这样使分布式防火墙实现了对内部网络的安全管理功能。 2. 主机防火墙 为了扩大防火墙的应用范围，在分布式防火墙系统中设置了主机防火墙。主机防火墙驻留在主机中，并根据相应的安全策略对网络中的服务器及客户端计算机进行安全保护。 根据实现方式的不同，主机防火墙可以分为主机驻留和嵌入操作系统内核两种方式。其中，主机驻留是指防火墙功能驻留在主机的内存中，对主机进行实时的安全保护。主机驻留类似于单机中使用的个人防火墙，它只负责对本地主机进行安全保护，不信赖除本地主机的其他主机；嵌入操作系统内核方式主要防范由于操作系统自身存在的安全漏洞而引起的安全问题。 3.中心管理服务器 中心管理服务器是整个分布式防火墙的管理核心，负责安全策略的制定、分发及日志收集和分析等操作。 分布式防火墙的工作模式 分布式防火墙的基本工作模式是：由中心管理服务器统一制定安全策略，然后将这些定义好的策略分发到各个相关节点。而安全策略的执行则由相关主机节点独立实施，由各主机产生的安全日志集中保存在中心管理服务器上。分布式防火墙的工作模式如图5-9所示。 由图5-9可以看出，在分布式防火墙中已不再完全依赖网络的拓扑结构来定义不同的安全域，可信赖的内部网络发生了概念上的变化，内部网络已成为一个逻辑上的网络，从而打破了传统防火墙对网络拓扑的依赖。但是，各主机节点在处理数据包时，必须根据中心管理服务器所分发的安全策略来决定是否允许某一数据包通过防火墙 分布式防火墙的应用特点 由于在分布式防火墙中采用了中心管理服务器对整个防火墙系统进行集中管理的方式，其中安全策略在统一制定后被强行分发到各个节点，所以分布式防火墙不仅保留了传统防火墙的优点，同时还解决了传统防火墙在应用中存在的对网络物理拓扑结构的依赖、内部恶意破坏、网络应用瓶颈等不足。分布式防火墙的应用优势主要表现为： （1） 增加了针对主机的入侵检测和防护功能，加强了对来自内部网络的攻击防范，可以实施全方位的安全策略。 （2） 提高了系统性能，克服了结构性瓶颈问题，提高了系统性能。 （3） 与网络的物理扑拓结构无关，支持VPN和移动计算等应用，应用更加广泛。 分布式防火墙产品 虽然分布式防火墙技术的提出相对较晚，但相应的产品非常丰富。目前，从总体来看国外的一些著名网络设备制造商（如3COM、Cisco、美国网络安全系统公司等）在分布式防火墙技术方面更加先进，所提供的产品性能也比较高。在众多的分布式防火墙产品中，一般采用“软件+硬件”和“纯软件”两种形式。采用“软件+硬件”的分布式防火墙，一般网络防火墙使用硬件形式，而主机防火机采用软件形式。 例如，3COM公司近期发布的嵌入式防火墙就是一种基于“硬件+软件”的分布式防火墙产品。其中，主机防火墙被嵌入到网卡中，通过中心管理服务器来实现集中管理。这种嵌入式防火墙技术把硬件解决方案的强健性和集中式管理软件解决方案的灵活性结