分布式防火墻的應用部署 外盜家賊一起防

隨著廣電網絡的不斷發展，我們創辦了豐富多彩的具有廣電特色的門戶網站，但隨之而來的網絡安全問題也日益受到了我們的關注，為了保證網站的安全正常運行，網絡管理員利用防火墻、路由器等網絡產品進行安全防護，這些客觀上起到了防止“外界”的攻擊和入侵的作用，但是這種傳統的防火墻技術(俗稱邊界防火墻)能夠阻止來自外部的大部分攻擊， 對于局域內部的入侵則形同虛設。為此，誕生了一種專用于隔離、堵住內部網漏的新興防火墻技術——分布式防火墻。

　　 一、分布式防火墻的技術特點

　　 1.1主機駐留

　　 分布式防火墻的最主要特點就是采用主機駐留方式，所以稱之為“主機防火墻”，它的重要特征是駐留在被保護的主機上，該主機以外的網絡不管是處在網絡內部還是網絡外部都認為是不可信任的，因此可以針對該主機上運行的具體應用和對外提供的服務設定針對性很強的安全策略。主機防火墻對分布式防火墻體系結構的突出貢獻是，使安全策略不僅僅停留在網絡與網絡之間，而是把安全策略推廣延伸到每個網絡末端。

　　 1.2嵌入操作系統內核

　　 這主要是針對目前的純軟件式分布式防火墻來說的，為了自身的安全和徹底堵住操作系統的漏洞，主機防火墻的安全監測核心引擎要以嵌人操作系統內核的形態運行，直接接管網卡，在把所有數據包進行檢查后再提交操作系統。不能實現這種分布式運行模式的主機防火墻由于受到操作系統安全性的制約，存在著明顯的安全隱患。

　　 1.3 類似于個人防火墻

　　 個人防火墻是一種軟件防火墻產品，它是在分布式防火墻之前業已出現的一類防火墻產品，它是用來保護單一主機系統的。分布式針對桌面應用的主機防火墻與個人防火墻有相似之處，如它們都對應個人系統，但其差別又是本質性的。首先它們管理方式迥然不同，個人防火墻的安全策略由系統使用者自己設置，目標是防外部攻擊，而針對桌面應用的主機防火墻的安全策略由整個系統的管理員統一安排和設置，除了對該桌面機起到保護作用外，也可以對該桌面機的對外訪問加以控制，并且這種安全機制是桌面機的使用者不可見和不可改動的。

　　 其次，不同于個人防火墻面向個人用戶，針對桌面應用的主機防火墻是面向企業級客戶的，它與分布式防火墻其它產品共同構成一個企業級應用方案，形成一個安全策略中心統一管理，安全檢查機制分散布置的分布式防火墻體系結構。

　　二、分布式防火墻的結構與原理

　　 2.1分布式防火墻結構

　　 典型的分布式防火墻系統結構由三部分組成：

　　 (1)策略語言：用來說明哪些連接是允許的，哪些連接是禁止的。比如KeyNote就是一種常用的策略描述語言。使用策略描述語言來制定策略，并編譯成內部形式存儲于策略數據庫中，系統管理工具將策略發布到各個終端， 各終端根據這些策略對數據包進行過濾。

　　 (2)系統管理工具：用來將形成的策略文件分發給被防火墻保護的所有主機。這里所指的防火墻并不是傳統意義上的邊界防火墻，而是邏輯上的分布式防火墻。

　　 (3)IP安全協議：IPSEC是一種對TCP／IP協議族的網絡加密保護機制，它為IP層提供了安全服務，用來保護一條或多條主機與主機之間、安全網關與安全網關之間、安全網關與主機之間的路徑。IP安全協議中的密碼憑證為主機提供了可靠的、唯一的標志，并且與網絡的物理拓撲結構無關，通常用密碼憑證來標志各個主機。

　　 在分布式防火墻工作時，首先由制定防火墻接入控制的策略中心，通過編譯器將策略語言的描述轉換成內部格式，形成策略文件，然后策略中心采用系統管理工具把策略文件分發給各臺“內部”主機，“內部”主機將從IP安全協議和策略文件兩個方面來判斷是否接受收到的數據包。

　　三．分布式防火墻在廣電網應用的優越性

　　 3．1保證了WEB服務器系統的安全性

　　 分布式防火墻增加了針對主機的入侵監測和防護功能，特別加強了對來自廣電網內部攻擊的防范，可以實施全方位的安全策略，提供了多層次立體的防范體系，確保了廣電門戶網站系統安全、穩定運行。

　　 3．2系統的易于擴展性

　　 分布式防火墻能提高系統性能，消除系統因結構性限制產生的瓶頸問題。分布式防火墻有效地解決了主機托管后，跨地區網絡使用和管理的不安全性。分布式防火墻最重要的優勢在于，它能夠保護物理拓撲上屬于內部網絡，但位于邏輯上的“內部”網絡的那些主機，這種需求隨著VPN的發展越來越多。

　　 對于這個問題的傳統處理方法是：將遠程“內部” 主機和外部主機的通信依然通過防火墻隔離來控制接入，而遠程“內部”主機和防火墻之間采用隧道技術保證安全性。這種方法使原本可直接通信的雙方必須繞經防火墻，不僅效率低而且增加了防火墻過濾規則設置的難度。

　　 與之相反，分布式防火墻的建立本身就是基于邏輯網絡的概念，因此對它而言，遠程“內部”主機與物理上的內部主機沒有任何區別，它從根本上防止了這種情況的發生。

　　 3．3系統性能的保證

　　 傳統的邊界防火墻由于單一的接入控制點，無論對網絡的安全性還是對網絡的可靠性都有不利的影響。雖然目前也有這方面的研究并提出了一些相應的解決方案，如自適應防火墻技術，但是從網絡性能角度來說，自適應防火墻只不過是一種在網絡性能和網絡安全之間尋求平衡的方案；從網絡可靠性角度來說，采用多個防火墻冗余也是一種可行的方案，但是它們不僅引入了很多復雜性，而且并沒有從根本上解決該問題。分布式防火墻則從根本上去除了單一的接入點，使此問題迎刃而解。更為重要的是，分布式防火墻技術消除了網絡的結構性瓶頸問題，提高了系統性能。