分布式防火墙课题论文

专业英语课题论文

《浅谈未来网络安全性问题------未来的新焦点分布式防火墙》

学院：信息学院

班级：通信1202

姓名：贾茹

学号：20123758

课程教师：蒋定德

浅谈未来网络安全性问题

未来新焦点——分布式防火墙

在计算机计算领域中，防火墙(英文：firewall)是一项协助确保信息安全的设备，它会依照特定的规则，允许或是限制传输的数据通过。防火墙通常是一台专属的硬件或是架设在一般硬件上的一套软件。随着科学的发展及网络信息安全的要求，一种新的防火墙技术应运而生——分布式防火墙

本文从“由传统式到分布式的转变——分布式防火墙的关键技术——分布式防火墙的优势——分布式防火墙的发展方向”四个方面加以论述。

（一）由传统式到分布式的转变

传统类型的防火墙在过去几年的网络安全防卫中发挥了显著的作用，但是由于它对网络拓扑结构的依赖，随着不断扩大的网络互联，其缺陷也日益突出。而分布式防墙概念的提出，使之在保留传统防火墙优势的同时，减小甚至去除了传统防火墙对网络拓扑结构的依赖性。

众所周知，传统意义上的防火墙用于限制被保护的网络与互联网络之间，或者与其他网络之间，相互进行信息存取、传递操作，它位于内部网络与外部网络(很多时候就是Internet)之间。实际上，所有以前出现的各种不同类型的防火墙，从简单的包过滤到应用层代理以至自适应代理，都基于一个共同的假设，那就是防火墙把一端的用户看成是可信任的，而另一端的用户则都被作为潜在的攻击者来对待。这样的假设是整个防火墙机制工作的基础。但最近几年随着各种网络技术的发展和各种攻击情况的出现，我们需要重新来探讨一下传统类型防火墙的问题。

防火墙依赖于物理上的拓扑结构，它从物理上将网络划分为内部网络和外部网络，这一点影响了防火墙在虚拟专用网(VPN)上的应用。因为根据VPN的概念，它对内部网络和外部网络的划分是基于逻辑的，而逻辑上同处内部网络的主机可能在物理上分处内部和外部两个网络。

传统意义上的防火墙拥有单一的接入点，在这个唯一的接入点上对内部网络和外部网络之间的信息传递进行控制。从性能的角度来说，防火墙极易成为网络流量的瓶颈；从网络可达性的角度来说，防火墙也是整个网络中的一个脆弱点。

此外，现在的防火墙设置一般都基于IP地址，因而一些内部主机和服务器的IP地址的变化将导致设置文件中的规则改变，也就是说这些规则的设定受到网络拓扑的制约。随着IP安全协议的逐渐实现，如果分处内部网络和外部网络的两台主机采用IP安全协议进行端到端的通信，防火墙将因为没有相应的密钥而无法看到IP包的内容，因而也就无法对其进行过滤。由于防火墙假设内部网络的用户可信任，所以一旦有内部主机被侵入，通常可以容易地扩展该次攻击。对于以上的这些问题，传统意义上的防火墙都很难给以解决。

当然，传统防火墙作为一种网络安全机制，也具有许多优点，其中最重要的是它能够提供外部的安全策略控制。因此我们在本文中将讨论一种全新概念的分布式防火墙，它不仅能够保留传统防火墙的这些优点，而且又能克服前面所说的那些缺点。

（二）分布式防火墙的关键技术及特点

下面我们以主机防火墙为例（一种典型的分布式防火墙）来阐述分布式防火墙的技术和特点：

1.主机驻留（Host-resident）：主机防火墙的重要特征是驻留在被保护的主机上，该主机以外的网络不管是处在内部网还是外部网都认为是不可信任的，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是使安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。

2.嵌入操作系统内核（EmbeddedinOSkermel）：众所周知，操作系统自身存在许多安全漏洞，运行在其上的应用软件无一不受到威胁。主机防火墙也运行在该主机上，所以起运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞，主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行直接接管网卡，在把所有数据包进行检查后再把它们提交给操作系统。为实现这样的运行机制，除了需要一些自身的开发技术外，与操作系统厂商的技术合作也是十分必要的，因为这需要一些操作系统不公开的内部技术接口。不能实现这种嵌入式运行模式的主机防火墙受到操作系统安全性的制约，存在明显的安全隐患。

3.个人防火墙（PersonalFirewall）：个人防火墙是在分布式防火墙之前业已出现一类防火墙产品。IDC将个人防火墙定义为成本在&""美圆以下，以一般消费者和小企业为客户群，通过Cable或DSL调制解调器实现高速不间断来连接的独立产品。分布式针对桌面应用的主机防火墙与个人防火墙有相似之处。但也有很多不同，如它们的管理方式不同：个人防火墙的安全策略由系统使用者自己设置，目标是防外部攻击；而针对桌面应用的主机防火墙的安全策略是由整个系统的管理员统一安排和设置的。这样以来除了对该桌面机起到保护作用以外，也可以实现对该桌面机的对外访问加以控制，并且这种安全机制对桌面机的使用者是不可见和不可改动的。除此之外，不同于个人防火墙面向个人用户，针对桌面应用的主机防火墙是面向企业级客户的，它与分布式防火墙的其它产品共同构成了一个安全检查机制分散布置的分布式防火墙体系结构。

4.托管服务器（Hosting）：互联网和电子商务的发展促进了互联网数据中心（InternetDataCenter）的迅速崛起，其主要业务之一就是服务器托管服务。对服务器托管用户而言，该服务器逻辑上是其企业网的一部分，只不过物理上不在企业内部。对于这种应用，边界防火墙解决方案就显得比较牵强附会，而针对服务器的主机防火墙则可以完美的解

决这个问题。用户只需在该服务器上安装上主机防火墙软件，并根据该服务器的应用设置安全策略即可，并可以利用中心管理软件对该服务器进行远程监控，而不需任何额外租用新的空间放置边界防火墙。对互联网数据中心而言，也需要提供包括防火墙安全服务在内的增值服务来提高竞争力。区别于用边界防火墙方案向托管用户提供防火墙安全增值服务，采用主机防火墙方案有其独到之处：首先，可以向托管用户提供针对特定用户特定应用的安全服务，使服务更安全更贴切；其次，消除了边界防火墙的结构性瓶颈问题。

(对于分布式防火墙：我们只需要在一台服务器上安装中心管理软件，并在各需要保护的节点安装客户端防火墙软件，就可以在中心管理系统中进行统一配置。)

（三）分布式防火墙的优势

1.由于分布式防火墙使用了IP安全协议，各主机之间的通信得到了很好的保护，因此分布式防火墙有能力防止各种类型的被动和主动攻击。特别在当我们使用IP安全协议中的密码凭证来标识内部主机时，基于这些标志的策略对主机来说无疑更具可信性。对于传统的防火墙，所有内部主机在某种意义上是平等的，也就是说如果其中的一台被侵入，攻击者就