李研

【摘要】分布式防火墻代表新一代防火墻技術的潮流，它可以在網(wǎng)絡的任何交界和節(jié)點處設置屏障，從而形成了一個多層次、多協(xié)議，內外皆防的全方位安全體系。分布式防火墻具有許多傳統(tǒng)邊界防火墻所無法比擬的優(yōu)勢，在企業(yè)內聯(lián)網(wǎng)中有著非常廣泛和重要的應用。

【關鍵詞】分布式防火墻 網(wǎng)絡安全 應用

【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1672-5158（2013）01—0138-01

0 引言

近幾年來，隨著互聯(lián)網(wǎng)應用的飛速發(fā)展，許多政府機構、企事業(yè)單位及各類學校都紛紛建成了諸如城域網(wǎng)、企業(yè)網(wǎng)、校園網(wǎng)等內部互聯(lián)網(wǎng)。但人們在享受網(wǎng)絡帶來的諸多便利的同時，也正在面臨著日益嚴重的網(wǎng)絡安全問題。能否確保內部網(wǎng)不被來自網(wǎng)內外的用戶非法登陸及惡意攻擊，使政務、商務等信息系統(tǒng)能正常運行，將成為影響企業(yè)利益、國家安全和社會穩(wěn)定的重要因素。因此，作為新一代的網(wǎng)絡安全技術，分布式防火墻技術已應運而生，并逐漸取代傳統(tǒng)防火墻技術，成為目前網(wǎng)絡安全應用的主流。

1 分布式防火墻技術的主要優(yōu)勢

1.1 增強的系統(tǒng)安全性

分布式防火墻增加了針對主機的入侵檢測和防護功能，加強了對來自網(wǎng)絡內部的攻擊防范，可以實施全方位的安全策略。

1.2 提高了系統(tǒng)性能

傳統(tǒng)防火墻由于具有單一的接入控制點，無論對網(wǎng)絡的性能還是對網(wǎng)絡的可靠性都有不利的影響。分布式防火墻則從根本上拋棄了單一的接入點，而使這一問題迎刃而解。另一方面，分布式防火墻可以針對各個服務器及終端計算機的不同需要，對防火墻進行最佳配置，配置時能夠充分考慮到這些主機上運行的應用，如此便可在保障網(wǎng)絡安全的前提下大大提高網(wǎng)絡運行效率。

1.3 系統(tǒng)的可擴展性

因為分布式防火墻分布在整個企業(yè)的網(wǎng)絡或服務器中，所以它具有無限制的擴展能力。隨著網(wǎng)絡的增長，它們的處理負荷也在網(wǎng)絡中進一步分布，因此它們的高性能可以持續(xù)保持住。而不會像邊界式防火墻一樣隨著網(wǎng)絡規(guī)模的增大而不堪重負。

1.4 實施主機策略

傳統(tǒng)防火墻大多缺乏對主機意圖的了解，通常只能根據(jù)數(shù)據(jù)包的外在特性來進行過濾控制。雖然代理型防火墻能夠解決該問題，但它需要對每一種協(xié)議單獨地編寫代碼，其局限性也是顯而易見的。在沒有上下文的情況下，防火墻是很難將攻擊包從合法的數(shù)據(jù)包中區(qū)分出來的，因而也就無法實施過濾。分布式防火墻由主機來實施策略控制，毫無疑問主機對自己的意圖有足夠的了解，所以分布式防火墻依賴主機作出合適的決定就能很自然地解決這一問題，對網(wǎng)絡中的各節(jié)點可以起到更安全的防護。

1.5 支持VPN通信

分布式防火墻最重要的優(yōu)勢在于它能夠保護物理拓撲上不屬于內部網(wǎng)絡，但位于邏輯上的“內部”網(wǎng)絡的那些主機，這種需求隨著VPN的發(fā)展越來越多。對這個問題的傳統(tǒng)處理方法是將遠程“內部”主機和外部主機的通信依然通過防火墻隔離來控制接人，而遠程“內部”主機和防火墻之間采用“隧道”技術保證安全性。這種方法使原本可以直接通信的雙方必須經(jīng)過防火墻，不僅效率低而且增加了防火墻過濾規(guī)則設置的難度。與此相反，分布式防火墻從根本上防止了這種情況的發(fā)生，因為它本身就是基于邏輯網(wǎng)絡的概念，對它而言，遠程“內部”主機與物理上的內部主機沒有任何區(qū)別。

2 分布式防火墻技術的應用

2.1 利用分布式防火墻查殺病毒

企業(yè)級防火墻作為企業(yè)網(wǎng)絡安全的“門神”，有著不可替代的作用。但實踐證明，企業(yè)級防火墻也不能令人完全滿意。與企業(yè)級防火墻相比，個人防火墻（主機防火墻）可以有效地阻止內部網(wǎng)絡攻擊，并且由于防護節(jié)點在主機，可以大大減輕對網(wǎng)絡帶寬和資源的影響。但個人防火墻在企業(yè)網(wǎng)絡中的應用和防病毒軟件的應用一樣面臨管理的問題，沒有統(tǒng)一整體的管理，個人防火墻也不會起到應有的作用。

分布式防火墻技術的出現(xiàn)，有效地解決了這一問題。以北京安軟天地科技的EVERLINK分布式防火墻為例，它不僅提供了個人防火墻、入侵檢測、腳本過濾和應用程序訪問控制等功能，最主要的是提供了中央管理功能。利用EVERLINK分布式防火墻中央管理器，可以對網(wǎng)絡內每臺計算機上的防火墻進行配置、管理和更新，從宏觀上對整個網(wǎng)絡的防火墻進行控制和管理。這種管理可以在企業(yè)內部網(wǎng)中進行，也可以通過Iternet實現(xiàn)遠程管理。另外，對于應用較簡單的局域網(wǎng)，網(wǎng)絡殺毒和分布式防火墻的組合是比較易于部署且維護方便的安全解決方案。

2.2 利用分布式防火墻堵住內網(wǎng)漏洞

隨著網(wǎng)絡安全技術的不斷發(fā)展，傳統(tǒng)邊界防火墻逐漸暴露出一些弱點，具體表現(xiàn)在以下幾個方面。

（1）受網(wǎng)絡結構限制邊界防火墻的工作機理依賴于網(wǎng)絡的拓撲結構。隨著越來越多的用戶利用互聯(lián)網(wǎng)構架跨地區(qū)企業(yè)網(wǎng)絡，移動辦公和服務器托管日益普遍，加上電子商務要求商務伙伴之間在一定權限下可以彼此訪問，企業(yè)內部網(wǎng)和網(wǎng)絡邊界逐漸成為邏輯上的概念，邊界防火墻的應用也受到越來越多的限制。

（2）內部不夠安全邊界防火墻設置安全策略是基于這樣一個基本假設：企業(yè)網(wǎng)外部的人都是不可信的，而企業(yè)網(wǎng)內部的人都是可信的。事實上，接近80%的攻擊和越權訪問來自于企業(yè)網(wǎng)內部，邊界防火墻對于來自企業(yè)網(wǎng)內部的攻擊顯得力不從心。分布式防火墻把Internet和內部網(wǎng)絡均視為不“友好”的。它們對個人計算機進行保護的方式如同邊界防火墻對整個網(wǎng)絡進行保護一樣。對于Web服務器來說，分布式防火墻進行配置后能夠阻止一些不必要的協(xié)議通過，從而阻止了非法入侵的發(fā)生。

（3）效率不高與故障點多邊界防火墻把檢查機制集中在網(wǎng)絡邊界的單點上，由此造成網(wǎng)絡訪問瓶頸，并使得用戶在選擇防火墻產品時首先考慮檢測效率，其次才是安全機制。安全策略過于復雜也進一步降低了邊界防火墻的效率。

針對傳統(tǒng)邊界防火墻存在的缺陷，專家提出了分布式防火墻方案。該方案能有效地消除前面提到的各種內網(wǎng)漏洞。正是由于分布式防火墻這種優(yōu)越的安全防護體系，并且符合未來的發(fā)展趨勢，所以使得這一技術剛出現(xiàn)便為許多用戶所接受，成為目前公認的最有效的網(wǎng)絡安全解決方案。

3 結束語

防火墻技術從邊界防火墻逐漸演變到主機防火墻、分布式防火墻，并日益與IDS（入侵檢測系統(tǒng)）相融合，分布式防護的理念已逐漸被主流安全廠商所擁護，也逐步得到使用者的認可。但大多數(shù)的企業(yè)網(wǎng)絡都非常復雜，要保護它們免受當今難以捉摸且快速傳播的混合威脅，是一件非常不容易的事。“集中式管理、分布式防護”是近年來提出的一個新話題，它能真正解決高速網(wǎng)絡帶來的入侵檢測困難的問題。網(wǎng)絡安全技術未來的發(fā)展目標，勢必是各種分布式安全模塊在統(tǒng)一的網(wǎng)絡管理軟件框架內的融合，共同構架起一個從內到外、安全無處不在的大安全體系，使企業(yè)盡可能地全面保護自己的網(wǎng)絡信息安全。

參考文獻

[1]John Viga，Gary McGraw[美]，Building Secure Software[M]，北京：清華大學出版社，2003，160-162

[2]王偉，曹元大，分布式防火墻下主機防火墻Agent技術[J]，計算機工程，2004，30（8）

[3]葉丹，網(wǎng)絡安全實用技術[M]，北京：清華大學出版社，2003，85-86

[4]曹宇，分布式防火墻構建網(wǎng)絡屏障[J]，網(wǎng)絡安全技術與應用，2004（2）

[5]王達，解讀分布式防火墻