分布式防火墙体系结构研究

分布式防火墙体系结构的研究

摘要

防火墙是一种广泛使用的网络安全技术，其核心思想是在不安全的网际环境中构造一个相对安全的子网环境。着重介绍了传统防火墙技术的缺陷以及未来防火墙技术的发展趋势---分布式防火墙，及其体系结构的研究。

关键词：分布式；防火墙；体系结构

1分布式防火墙的产生及概述

1.1分布式防火墙产生的背景

传统防火墙技术已经发展了许多年，取得了相当大的成果，对于计算机网络安全做出了巨大的贡献。传统边界防火墙用于限制被保护企业内部网络与外部网络( 通常是互联网) 之间相互进行信息存取、传递操作, 它所处的位置在内部网络与外部网络之间。实际上, 所有以前出现的各种不同类型的防火墙, 都是把内部网络一端的用户看成是可信任的, 而外部网络一端的用户则都被作为潜在的攻击者来对待, 这只能够阻止外部入侵, 无法屏蔽内部网络的攻击。

1.2传统防火墙的缺陷

传统防火墙根据所采用的技术，可以分为包过滤型和代理型。

包过滤防火墙的工作原理：包过滤技术包括无状态检查的包过滤和有状态检查的包过滤两种基本类型，包过滤是在IP层实现的，因此，它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容，其工作原理是系统在网络层检查数据包，与应用层无关，因此这种防护措施对进出网络的用户来说是透明的。然而也就是透明性的特点造就了不安全性，黑客通过伪装就可以通过包过滤防火墙，因此它有以下几种缺陷：

特洛伊木马使包过滤失效

第0个分段中便过滤TCP

只能访问部分数据包的头信息

不能保存来自于通信和应用的状态信息

处理信息的能力有限

允许1024以上的端口通过

应用代理服务器工作原理：代理服务器通过检查网络内部客户的服务请求，验证其合法性，作为一台客户机一样向真正的服务器发出请求并取回所需信息，最后再转发给客户。由于他们打破了传统的客户机与服务器模式（CS模式），且每一个客户机/服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器，因此可伸缩性差。

应用网关防火墙也存在着许多缺陷：

不能为UDP、RPC等协议族提供代理

可提供的服务数和伸缩性有限

容易消除阻断的URL

无法保护操作系统

大量攻击记录的统计数据表明，来自内部的攻击是对计算机网络攻击的最主要的来源，网络内部并非想象的那样安全。特别是如果计算机网络内、外部的攻击者利用上述新应用的安全隐患联合起来对网络发起攻击的话，传统防火墙技术将不能达到保护内部网络安全的目的。

面对各种安全威胁，分布式防火墙这一新的防火墙体系结构被提出用以提升网络安全的整体性能。

1.3分布式防火墙的定义

分布式防火墙是一种全新的防火墙体系结构, 包括网络防火墙、主机防火墙和中心管理三部分。网络防火墙部署于内部网与外部网之间以及内网各子网之间。网络防火墙区别于边界防火墙的主要特征在于, 网络防火墙需要支持内部网可

能有的IP 和非IP 协议, 然而边界防火墙并不需要。主机防火墙对网络中的服

务器和桌面系统进行防护, 主机的物理位置可能在企业网之中, 也可在企业网

之外(如移动办公的便携机) 。

2分布是防火墙体系结构

2.1分布式防火墙的组成

分布式防火墙有效地将传统网络防火墙与个人防火墙集成到一个统一的结

构之中，从而形成一个新的防火墙体系结构。分布式防火墙主要包括以下的几个部分：

1)网络防火墙：它用于内部网与外部网之间，也就是传统的网络边界防火

墙，只不过在分布式防火体系结构之中它成了分布是防火墙的一个组成

部分，被集成到了分布式防火墙的体系结构之中，并通过中心管理软件

进行相关的管理工作。至于其他方面，与传统的网络防火墙基本类似。

2)主机防火墙：它对网络中的服务器和桌面机进行保护，这些主机的物理

位置可能在内部网中，也可能在内部网中，如托管服务器或移动办公的

便携机。主机以外的网络不管是处在内部网还是外部网都认为是不可信

任的，因此可以针对该主机上运行的具体应用和对外提供的服务设定针

对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献

是安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到

每个网络末端。主机防火墙最好嵌入操作系统内核工作，也可以采用其

它的技术来实现。从一定意义上来讲，可以将个人防火墙改造成主机防

火墙。

3)中心管理软件：它用来对总体安全策略进行统一策划和管理，对布置在

网络中任何需要的位置上的防火墙分发安全规则以及进行日志汇总等。

中心管理是分布式防火墙系统的核心和重要特征之一。

2.2分布式防火墙的系统结构

1)内核扩展( Kernel Extension)：用户使用connect( ) 和accept( ) 这

两个系统调用来创建向外的连接和决定到来的连接请求。我们要根据策

略对这两个系统调用来加以修改, 对某些连接进行过滤。策略上下文

( Policy Context ) 是包含与某些连接相关的所有信息的容器, 这些信

息包括发起连接的用户ID,源IP 地址、端口号以及目的IP 地址等等。

2)策略驱动( Policy Driver)：这是实现了一个伪设备驱动/ dev/ policy

作为内核中被修改的系统调用与用户空间的守候进程直接通信的一个渠

道。我们把这个驱动视为一个文件,它支持一般的文件操作, 如open( ),

close( ), read( ) , write( ) ,ioctl( ) 等。

3)策略守候进程(Policy Daemon) ：这是一个用户级的进程, 负责根据安

全策略和安全凭证来作出决策- - 允许还是拒绝连接。

3分布式防火墙的优点及评价

3.1分布式防火墙技术特点

分布式防火墙技术的主要特征是驻留在被保护的主机上，该主机以外的网络不管是处在网络内部还是网络外部，都认为是不可信任的，所以可以针对该主机上运行的具体应用和对外提供的服务来设定针对性很强的安全策略。另外，主机防火墙的安全监测核心引擎要以嵌入式操作系统内核的形态来运行，直接地接管网卡，在把所有数据包进行检查之后再提交操作系统。分布式防火墙与个人防火墙都是用来保护单一主机系统，但分布式防火墙的安全策略是由整个系统的管理员统一安排和设置的，除了对PC机起到保护作用外，也可以对该PC机的对外访问加以控制，并且这种安全机制是使用者不可见和不可改动的。

3.2分布式防火墙的安全策略

分布式防火墙启动时，安全策略文件经过解密之后加载到防火墙中。复杂的安全策略以Hash表的方法来进行检索。使用Hash列表对安全策略文件进行检索时能大大加快读取的速度，安全策略可以动态地更新。用户可以在防火墙运行过程中更改安全级别，而不影响防火墙正常运行。更新完成后，系统将会在新的安全级别下工作。安全策略服务器和客户端防火墙之间采用SSL通信，保证安全策略传输时的安全性。

3.3分布式防火墙的安全设计

分布式防火墙从根本上去除了单一的接入点，更为重要的是，分布式防火墙技术消除了网络的结构性瓶颈问题，提高了系统性能。在分布式防火墙中，安全策略仍然被集中定义，但是在每一个单独的网路端点（例如主机、路由器）上实施。实施策略的组件对进出主机的通信都进行了控制，不但可以保护主机应对外来的威胁，而且可以防止非法用户使用该主机访问网路，从而实现了双向过滤的功能。