DFW在网络安防规划中应用.doc

DFW在网络安防规划中应用 　　摘 要：在综合信息网建设中，随着各种网络各种新的应用新技术不断出现，硬件防火墙具有的一些缺点逐渐显露，怎样才能有效的克服硬件防火墙的缺陷，这是网络安防设计面对的一大难题，本文主要阐述了基于IPSec技术的分布式防火墙系统，DFW（Distributed Fire Wall），既分布式防火墙，其应用策略集中设计，其后再分发至用户终端机具体执行，较好地解决了硬件防火墙单点故障、内部攻击等问题。 关键词：安防；防火墙；IPSec 中图分类号：TP393.08 我们常用硬件防火墙作为受控端把网络分割成内网和外网两部分，分别控制内网络与外部网络之间进行通信，防火墙处在内网与外网之间。当网络处在一局限定的拓扑时，这种模式可以起到较好的保护作用，但当网络规模及应用不断扩展后，比如应用远程通信或高速线路等，这样的方式就不能为网络提供优质的安全防护。分布式防火墙是基于IPSec的技术，它为终端驻留式的安全系统，可以保护局域网中的重要结点，比如：信息服务器、数据流及应用站点等不受到外部入侵的破坏，无论是外网，还是来自内部网络，分布式防火墙能对信息流进行限制与过滤，起到很好的网络防护作用。 1 硬件边界防火墙的特点及局限性 硬件边界防火墙用于限制被保护局域网络与外网之间的相互通信，它处在内外网之间，几乎所有先前应用的各种防火墙都是把内网用户看成是值得信任的，而把外网用户则视为潜在的攻击者来对待。网路安全设置的包过滤、应用层代理、自适应代理等都是基于这样的认识。 目前，计算机网络技术不断发展和各种新技术相继涌现，各种类型的新攻击情况更是不断更新，在以往边界式防火墙设计里，局域网非常容易受到恶意攻击和破坏，当接入局域网的用户终端，同时又得到终端控制权时，恶意攻击者就会将这台PC作为跳板，继续入侵其他系统。基于IPSec的DFW的作用，则是将防火墙分布到网络的各个子网、终端或及信息服务器上。DFW会让整个局域网内的用户方便地访问信息资源，网络的其他部分将不会被显露在攻击者面前。应用DFW的网络用户无论在局域、互联网、VPN网还是远程访问，其都能实现“没有区别的局域网互联，即是一种端到端的完全保护。除此之外，DFW还具有加强网络整体抗毁性能，以避免局域网由于部分系统的攻击而导致的全网络蔓延的状况产生，这样也限制了采用公共账号进入网络系统的用户无法进入受限的重要应用系统。 2 DFW的工作原理 DFW（Distributed Fire Wall），既分布式防火墙，这种安防系统的工作原理是：界定合法连接的安防策略集中定义，而安防策略的执行则由相关节点独自实施。 使用DFW的系统中，会为每个节点颁发不同的证书，即一个节点对应一个数字证书，安防维护人员、终端系统维护员并不是相同的人，网络安防维护人员可以在任何地方用数字证书登录，并不受网络拓扑结构限制。几乎与硬件防火墙相同，安防策略还是集中定义，但是，是分别在各节点实施。节点在处理数据流IP包时，必须符合安防策略文件规则，确保与整个系统的安防策略一致。由于是终端节点在执行安防策略，这样，就很自然的克服了以往防火墙的应用缺陷。 DFW由各个端点实施设置的策略，由中心定义策略。其主要依赖说明哪一类连接可以被允许或禁止的策略语言、一种系统管理工具和IP安全协议三个概念来实现。 3 DFW的结构设计 基于IPSec的DFW系统体系结构主要由：策略控制中心、策略执行器以及IPSec通信构成。策略控制中心的主要功能是设置被保护终端、为被保护终端设置安防策略、和向被保护终端发送策略文件；策略执行器是驻留在被保护终端的状态包过滤防火墙，解释并强制执行策略控制中心发放的安防策略；IPSec通信是对内部终端之间的通信进行加密保护以防止内部的窃探、欺骗以及重放等攻击破坏。被保护终端运行的是策略执行器，策略控制中心发放的安防策略的程序由其解释并强制执行，是保护端点终端的程序，完成的主要功能有：包过滤作用、实现与策略控制中心的通信、策略文件的接收、并负责将策略文件翻译成包过滤模块可识别的规则表达形式。 4 策略控制中心 策略控制中心的作用主要是注册被保护终端、向被保护终端设置安防策略、为被保护终端发送策略文件。为策略控制中心的体系结构，主要有终端注册模块、策略编辑模块以及策略发送模块。终端注册模块负责完成被保护终端在策略控制中心的注册，并为控制中心添加被保护终端，设置被保护终端的参数，例如终端名、地址、掩码和策略文件等。 策略编辑模块主要功能是为被保护终端设置安防策略，策略分别是指包过滤规则，包括源地址/端口、目的地址/端口、协议种类、网络端口、检测状态等数据。策略发送模块负责终端在策略控制中心的注册信息以及向被保护终端