分布式防火墙技术应用研究.doc

分布式防火墙技术应用研究 　　摘要：分布式防火墙技术因其特点有着优势，难以满足实际应用中的需求，需对其应用进行研究，使作用得到最大程度的发挥。 关键词：分布式防火墙技术；特点；应用 中图分类号：S762.3+3 文献标识码：A 前言 近几年来，随着互联网应用的飞速发展，人们在享受网络带来的诸多便利的同时，也正在面临着日益严重的网络安全问题。能否确保内部网不被来自网内外的用户非法登陆及恶意攻击，使政务、商务等信息系统能正常运行，将成为影响企业利益、国家安全和社会稳定的重要因素。因此，作为新一代的网络安全技术，分布式防火墙技术已应运而生。 一、分布式防火墙的概念 针对传统边界防火墙的缺欠，“分布式防火墙”（Distributed Firewalls）的概念被专家学者提出来。因为它要负责对网络边界、各子网和网络内部各节点之间的安全防护，所以“分布式防火墙”是一个完整的系统，而不是单一的产品。根据其所需完成的功能，新的防火墙体系结构包含如下部分： 1、 网络防火墙 这一部分有的公司采用的是纯软件方式，而有的可以提供相应的硬件支持。它是用于内部网与外部网之间，以及内部网各子网之间的防护。与传统边界式防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。不过在功能与传统的边界式防火墙类似。 2、主机防火墙 同样也有纯软件和硬件两种产品，是用于对网络中的服务器和桌面机进行防护。这也是传统边界式防火墙所不具有的，也算是对传统边界式防火墙在安全体系方面的一个完善。它是作用在同一内部子网之间的工作站与服务器之间，以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间的防护，还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。可以说达到了应用层的安全防护，比起网络层更加彻底。 3、 中心管理服务器 中心管理服务器是整个分布式防火墙的管理核心，这是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能，也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。 二、分布式防火墙的主要特点 1、主机驻留性 分布式防火墙是一种主机驻留式的安全系统。主机防火墙对分布式防火墙体系结构的突出贡献是，使安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。 2、类似个人防火墙 针对桌面应用的狭义分布式防火墙与个人防火墙有相似之处，如都对应个人系统，但两者的差别又是本质的。首先，它们的管理方式不同，个人防火墙的安全策略由系统使用者自己设置，目标是防止外部攻击; 而针对桌面应用的狭义防火墙的安全策略是由管理员统一设置，除了对该桌面系统起到保护作用外，还对该桌面系统的对外访问加以控制，并且这种安全机制是使用者不能改动的。其次，个人防火墙面向个人用户，而针对桌面应用的狭义防火墙面向的是企业级用户，是企业级安全解决方案的组成部分。 3、适用于服务器托管 不同的托管用户都有不同数量的服务器在数据中心托管，服务器上也有不同的应用。对于安装了中心管理系统的管理终端，数据中心安全服务部门的技术人员可以对所有在数据中心委托安全服务的服务器的安全状况进行监控，并提供有关的安全日志记录。 4、嵌入操作系统内核 主要是针对目前的纯软件式分布式防火墙。操作系统自身存在许多安全漏洞，运行在其上的应用软件无一不受到威胁。分布式主机防火墙也运行在主机上，所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞，主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制，除防火墙厂商自身的开发技术外，与操作系统厂商的技术合作也是必要的条件，因为这需要一些操作系统不公开内部技术接口。 三、分布式防火墙技术的主要优势 1、提高了系统性能传统防火墙由于具有单一的接入控制点，无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙则从根本上抛弃了单一的接入点，而使这一问题迎刃而解。另一方面，分布式防火墙可以针对各个服务器及终端计算机的不同需要，对防火墙进行最佳配置，配置时能够充分考虑到这些主机上运行的应用，如此便可在保障网络安全的前提下大大提高网络运行效率。 #160;2、系统的可扩展性因为分布式防火墙分布在整个企业的网络或服务器中，所以它具有无限制的扩展能力。随着网络的增长，它们的处理负荷也在网络中进一步分布，因此它们的高性能可以持续保持住。而不会像边界式防火墙一样随着网络规模的增大而不堪重负