分布式防火墙

分布式防火墙

分布式防火墙

杨天禹

摘要：随着计算机网络的迅猛发展，网络的安全问题也越来越引起人们的重视

防火墙作为一种有效的安全防护措施被广泛应用于各种类型的网络当中，其发展也非常的快本文首先分析了现有的传统防火墙和分布式防火墙，指出了传统防火墙存在的问题在此基础上论述了分布式防火墙的概念、研究现状以及分析了分布式防火墙的工作原理详细分析了它的体系结构，明确该体系结构的各组成部分及其相应功能并对之进行了详细的设计

关键字：分布式防火墙；网络安全；体系结构；工作原理

因特网是20世纪的奇迹通过因特网人们方便地实现了全球资源共享因特网的强大功能源于它的广泛连通性和开放性而这也恰恰导致了它的不安全性在网络结构体系中安全问题越来越受到重视特别是那些对安全程度要求较高的部门、单位往往需要规划一套完整的网络安全策略将敏感资源保护起来防火墙作为一种安全手段在网络中用得非常普遍在网络边界的入口处安装防火墙用来阻止攻击是安全防范的主要手段之一它将受保护部分资源和外部隔离开来从而达到限制访问、防止攻击的目的但是随着因特网日新月异的发展传统边界防火墙的局限性开始显露出来例如日益多样化的连接方法(拨号无线隧道)、外联网、加密通信的出现带宽的不断提高等面对这些新情况用一个防火墙就往往难以完成隔离如果采用多个防火墙不仅提高了成本而且由于防火墙之间相互独立难以从总体上进行统一配置管理起来非常麻烦于是人们提出了分布式防火墙的概念来满足网络发展的新情况分布式防火墙是指物理上有多个防火墙实体在工作但在逻辑上只有一个防火墙从管理者角度来看他不需要了解防火墙分布细节只要清楚有哪些资源需要保护以及资源的权限如何分配即可

1分布式防火墙概述

随着网络技术的不断发展，网络中的漏洞逐渐被发现恶意的攻击者通过它们对网络进行大量的攻击，向网络安全进行挑战，对网络安全造成极大的威胁为了抵御外界恶意攻击，保护网络安全，防火墙、入侵检测、网络病毒检测、安全审计等技术应运而生，

而处于内外网络交界处的防火墙所扮演的角色尤为重要受集中管理和配置的多台防火墙组

[1]

成了分布式防火墙(，)基于此而应运而生

分布式防火墙产生的原因

古代人们为了防止发生火灾时火势蔓延到别处而砌一道砖墙，这道砖墙常被叫做防火墙在计算机领域为了保证网络安全，在互联网与内部网之间建立起一个安全网关(刃，用来保护内部网络不受非法用户的侵入，这种计算机硬件和软件组成的设备就是防火墙在网络中，防火墙是内部网络与外界网络之间的一道防御系统，通过它使得内部网络与或者其他外部网络之间相互隔离，并通过限制网络互访来保护内部网络，但这些对数据的处理操作并不会妨碍人们对风险区域的访问

防火墙系统是建立在内部网络与外部之间的惟一安全通道，通过对它的配置可以决定哪些内部服务可被外界访问，外界的哪些人可访问内部的服务，以及哪些外部服务可以被内部人员访问我们可简单的认为防火墙是个分离器、限制器、分析器，它有效地监控了内网和间的任何活动，保证了内网的安全图1为常见的防火墙逻辑位置

安全策略语言规定了哪些数据包被允许，哪些数据包被禁止，它应该支持多种类型的应用策略制定后分发到网络端点上，策略发布机制应该保证策略在传输过程中的完整性和真实性策略发布有多种方式，可以由中心管理主机直接发到终端系统上，也可以由终端按需获取或定时获取，还可以以证书的形式提供给用户策略实施机制位于受保护的主机上，在处理输入输出数据包时，它查询本地策略来判断允许还是禁止该数据包

不论防火墙是非常简单的过滤器，还是一个精心配置的网关，它们的原理都是一样的防火墙通常是用来保护由许多台计算机组成的大型网络，这些地方才是黑客真正感兴趣的地方，因为架设防火墙需要相当大的硬软件资金投入，而且防火墙一般需要运行在一台独

[2]

立的计算机上

由于传统防火墙的缺陷不断显露于是有人认为防火墙是与现代网络的发展不相容的并认为加密的广泛使用可以废除防火墙但加密不能解决所有的安全问题防火墙依然有它的优势比如通过防火墙可以关闭危险的应用通过防火墙管理员可以实施统一的监控也能对新发现的快速作出反应等也有人提出了对传统防火墙进行改进的方案如多重边界防火墙内部防火墙()等但这些方案都没有从根本上摆脱拓扑依赖

()因而也就不能消除传统防火墙的固有缺陷反而增加了网络安全管理的难度为了克服以上缺陷而又保留防火墙的优点美国&T实验室研究员

[3]

在他的论文分布式防火墙中首次提出了分布式防火墙

()的概念给出了分布式防火墙的原型框架奠定了分布式防火墙研究的基础

分布式防火墙有狭义和广义之分狭义分布式防火墙是指驻留在网络主机并对主机系统提供安全防护的软件产品广义分布式防火墙是一种全新的防火墙体系结构包括网络防火墙、主机防火墙和中心管理三部分为了充分认识分布式防火墙我们重点剖析分布式防火墙中最具特色的产品-主机防火墙

(1)主机驻留主机防火墙的重要特征是驻留在被保护的主机上该主机以外的网络不管是在内部网还是在外部网都认为是不可信任的因此可以针对该主机上运行的具体应用和对外提供的服务来设定针对性很强的安全策略

(2)嵌入操作系统内核为自身的安全和彻底堵住操作系统的漏洞主机防火墙的安全检测核心引擎要以嵌入操作系统内核的形态运行直接接管网卡在把所有数据包进行检查后再提高操作系统

(3)适用于托管服务器用户只需在该服务器上安装主机防火墙软件并根据该服务器的应用设置策略即可并可以利用中心管理软件对该服务器进行远程监控不须任何额外租用[4]

新的空间放置边界防火墙

分布式防火墙的基本原理

防火墙可以用来控制和之间所有的数据流量在具体应用中，防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计算机网络的多种组合防火墙为网络安

全起到了把关作用，只允许授权的通信通过防火墙是两个网络之间的成分集合在分布式防火墙中，安全策略仍然被集中定义，但发布在网络端点(例如主机、路由器)上单独实施

传统防火墙缺陷的根源在于它的拓扑结构分布式防火墙打破了这种拓扑限制将内部网的概念由物理意义变成逻辑意义按照的说法分布式防火墙是由一个中心来制定策略并将策略分发到主机上执行它使用一种策略语言(如在文挡中说明)来制定策略并被编译成内部形式存于策略数据库中系统管理软件将策略分发到被保护的主机上而主机根据这些安全策略和加密的证书来决定是接受还是丢弃包从而对主

机实施保护在中主机的识别虽然可以根据IP地址但IP地址是一种弱的认证方法容易被欺骗在中建议采用强的认证方法用加密的证书作为主机认证识别的依据一个证书的拥有权不易伪造并独立于拓扑所以只要拥有合法的证书不管它处于物理上的内网还是外网都被认为是内部!用户加密认证是彻底打破拓扑依赖的根本保证在系统中各台主机的审计事件要被上传到中心日志数据库中统一保存分布式防火墙中包含

[5]

有三个必需的组件：

(1)描述网络安全策略的语言 (2)安全发布策略的机制 (3)应用、实施策略的机制

分布式防火墙的研究现状

XX年&T实验室的博士在《》一文中首次提出了将防火墙技术分布式化的思想该文的核心内容是提出了关于构建分布式防火墙的三点构想:①策略描述语言();②系统管理工具(s):③该文主要围绕&T实验室在XX年9月提出了的

[6]

策略描述机制展开确立了分布式防火墙的体系结构，之后的研究大多以此为起点

在网络安全技术领域，防火墙并不是个新课题防火墙技术经过多年的积累和发展，已经有了相当成熟和稳定的商业产品，逐渐成为了网络安全技术的一个基础性设施在国际防火墙市场上，能够占有两位数市场份额的厂家就只有公司和公司，其市场占有率都在20%左右在国内市场中，占有优势的仍旧是国外的防火墙产品，防火墙、防火墙、防火墙等在产品功能和质量方面的优势使得许多大型客户纷纷采用国内较有名的防火墙品牌有天融信公司网络卫士、东大阿尔派的网眼等虽然市场上防火墙产品不少，但