分布式防火墙技术及主要特点

阿里云优惠券转载 2019-02-17 1

随着网络的发展和普及，特别是互联网应用的飞速发展和普及，网络安全越来越受到各级用户的普遍关注。人们在享受信息化带来的众多好处的同时，也面临着日益突出的信息安全问题。比如：网络环境中国家秘密和商业秘密的保护，特别是政府上网后对机密敏感信息的保护，网上各种行为者的身份确认与权责利的确认，高度网络化的各种业务（商务、政务、教务等）信息系统运行的正常和不被破坏，网络银行、电子商务、各类资金管理系统中的支付与结算的准确真实和金融机构数据保护与管理系统的不被欺诈，都将成为企业形象、商业利益、国家安全和社会稳定的焦点。

一、分布式防火墙的产生

因为传统的防火墙设置在网络边界，在内部企业网和外部互联网之间构成一个屏障，进行网络存取控制，所以称为边界防火墙（Perimeter Firewall）。功能要求的提高，目前一种新的防火墙在少数几家网络设备开发商中开发成功了，那就是“分布式防火墙”，英文名为“Distributed Firewalls”。它是在目前传统的边界式防火墙基础上开发的。但目前主要是以软件形式出现的，也有一些国际著名网络设备开发商（如3COM、CISCO等）开发生产了集成分布式防火墙技术的硬件分布式防火墙，开发了嵌入式防火墙PCI卡或PC卡，但负责集中管理的还是一个服务器软件。因为是将分布式防火墙技术集成在硬件上，所以通常称之为“嵌入式防火墙”，其实其核心技术就是“分布式防火墙”技术。关于这些分布式防火墙产品在本文后面将介绍几款目前主流产品。

”技术就是目前认为最有效的解决方案。

分布式防火墙是一种主机驻留式的安全系统，用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。分布式防火墙通常是内核模式应用，它位于操作系统OSI栈的底部，直接面对网卡，它们对所有的信息流进行过滤与限制，无论是来自Internet，还是来自内部网络。

分布式防火墙把Internet和内部网络均视为"不友好的"。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说，分布式防火墙进行配置后能够阻止一些非必要的协议，如HTTP 和 HTTPS之外的协议通过，从而阻止了非法入侵的发生，同时还具有入侵检测及防护功能。

分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞，如服务否认、应用及口令攻击。从而使操作系统得到强化。分布式防火墙对每个服务器都能进行专门的保护。系统管理员能够将访问权限只赋予服务器上的应用所使用的必要的端口及协议。如HTTP, HTTPS, port 80, port 443等。

为了进一步了解这一新的防火墙技术的优越性，我们先来了解一下传统边界式防火墙的固有不足之处。

二、边界式防火墙的固有欠缺

在介绍这种传统边界式防火墙的欠缺之前不得不申明的一点就是，它的欠缺并不是一开始人们就意识到，而是随着网络技术的不断发展、新网络技术的不断涌现和应用，以及新的网络安全因素的出现而体现的。这一点与任何其它产品的应用过程一样，虽然在目前来说它存在以下欠缺，但或许随着网络应用和进一步发展，将来还可能有人提出更多的欠缺之处，哪怕是本文所要介绍的最新分布式防火墙技术。就目前来说边界式防火墙主要存在以下不足之处：

（1）网络应用受到结构性限制

随着像VPN这样网络技术的应用和普及，企业网边界逐步成为一个逻辑的边界，物理的边界日趋模糊，传统边界防火墙在此类网络环境的应用受到了结构性限制。VPN今天的企业电子商务要求员工、远程办公人员、设备供应商、临时雇员以及商业合作伙伴都能够自由访问企业网络，而重要的客户数据与财务记录往往也存储在这些网络上。根VPN

VPNVPNSSL VPN过企业边界的防火墙进入内部网络VPN通信，但是应用更广泛的传统IPSec VPN通信中还是不能使用，除非是专门的VPN防火墙。目前有许多网络设备开发、生产商都能提供VPN防火墙，如Cisco、3Com和我国的华为（Quidway）公司等。

（2）内部安全隐患仍在

传统的边缘防火墙只对企业网络的周边提供保护。这些边缘防火墙会在从外部网络进入企业内部局域网的流量进行过滤和审查，但是，他们并不能确保企业内部网络内部用户之间的安全访问。这就好比给一座办公楼的大门加上一把锁，但办公楼内的每个房间却四门大开一样，一旦有人通过了办公楼的大门，便可以随意出入办公楼内任何一个房间。改进这种安全性隐患的最简单办法便是为楼内每个房间都配置一把钥匙和一把锁。边界式防火墙的作用就相当于整个企业网络大门的那把锁，但它并没有为每个客户端配备相应的安全“大锁”，与上述所举只给办公楼大门配锁，而每个房间的大门却敞开所带来的安全性隐患的道理是一样的。

另据统计，80%的攻击和越权访问来自与内部，边界防火墙在对付网络内部威胁时束手无策。因为传统IPIPIPIPSec、SSH、SSL等）IPSSL VPNIP　　（3）效率较低和故障率高

由于边界式防火墙把检查机制集中在网络边界处的单点上，产成了网络的瓶颈和单点故障隐患。所以墙边界防火墙难以平衡网络效率与安全性设定之间的矛盾，无法为网络中的每台服务器订制规则，它只能使用一个折衷的规则来近似满足所有被保护的服务器的需要，因此或者损失效率，或者损失安全性。以上介绍了传统防火墙的几个主要不足之处，技术本身，而是想介绍一技术。

三、分布式防火墙的主要特点

针对传统边界防火墙的缺欠，“分布式防火墙”（Distributed Firewalls）的概念被专家学者提出来。因为它要负责对网络边界、各子网和网络内部各节点之间的安全防护，所以“分布式防火墙”是一个完整的系统，而不是单一的产品。根据其所需完成的功能，新的防火墙体系结构包含如下部分：

•网络防火墙（Network Firewall）：这一部分有的公司采用的是纯软件方式，而有的可以提供相应的硬件支持。它是用于内部网与外部网之间，以及内部网各子网之间的防护。与传统边界式防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。不过在功能与传统的边界式防火墙类似。

•主机防火墙（Host Firewall）：同样也有纯软件和硬件两种产品，是用于对网络中的服务器和桌面机进行防护。这也是传统边界式防火墙所不具有的，也算是对传统边界式防火墙在安全体系方面的一个完善。它是作用在同一内部子网之间的工作站与服务器之间，以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间的防护，还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。可以说达到了应用层的安全防护，比起网络层更加彻底。

•中心管理（Central Managerment）：这是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能，也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。

综合起来这种新的防火墙技术具有以下几个主要特点：

）主机驻留这种分布式防火墙的最主要特点就是采用主机驻留方式，所以称之为“

2嵌入操作系统内核这主要是针对目前的纯软件式分布式防火墙来说的，

）类似于个人防火墙个人防火墙我们知道它是一种软件防火墙产品，它

）适用于服务器托管互联网和电子商务的发展促进了互联网数据中心（DC则因其通常采用PCI卡式的，通常兼顾网卡作用，所以可以直接插在服务器机箱里面，也就无需单独的空间托管费了，对于企业来说更加实惠。

四、分布式防火墙的主要优势

在新的安全体系结构下，分布式防火墙代表新一代防火墙技术的潮流，它可以在网络的任何交界和节点处设置屏障，从而形成了一个多层次、多协议，内外皆防的全方位安全体系。主要优势如下：

（1）增强的系统安全性：增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击防范，可以实施全方位的安全策略。

在传统边界式防火墙应用中，企业内部网络非常容易受到有目的的攻击，一旦已经接入了企业局域网的某台计算机，并获得这台计算机的控制权，他们便可以利用这台机器作为入侵其他系统的跳板。而最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器PC上。分布于整个公司内的分布式防火墙使用户可以方便地访问信息，而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能，用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生，同时也使通过公共帐号登录网络的用户无法进入那些限制访问的计算机系统。针对边界式防火墙对内部网络安全性防范的不足，

IPIP（2）提高了系统性能：消除了结构性瓶颈问题，提高了系统性能。

分布式防火墙可以针对各个服务器及终端计算机的不同需要，对防火墙进行最佳配置，配置时能够充分考虑到这些主机上运行的应用，如此便可在保障网络安全的前提下大大提高网络运转效率。

（3）系统的扩展性：分布式防火墙随系统扩充提供了安全防护无限扩充的能力。

因为分布式防火墙分布在整个企业的网络或服务器中，所以它具有无限制的扩展能力。随着网络的增长，它们的处理负荷也在网络中进一步分布，因此它们的高性能可以持续保持住。而不会象边界式防火墙一样随着网络规模的增大而不堪重负。

那么到底这种防火墙具备哪些功能呢？因为采用了软件形式（有的采用了软件+硬件形式），所以功能配置更加灵活，具备充分的智能管理能力，总的来说可以体现在以下几个方面：

（1）Internet访问控制

依据工作站名称、设备指纹等属性，使用“Internet访问规则”，控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web服务器，某个用户可否基于某工作站访问www服务器，同时当某个工作站/用户达到规定流量后确定是否断网。

（2）应用访问控制

通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测，控制来自局域网/Internet的应用服务请求，如SQL数据库访问、IPX协议访问等。

（3）网络状态监控

实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。

（4）黑客攻击的防御