分布式防火墙
计算机网络应用 分布式防火墙产品
计算机网络应用分布式防火墙产品起初,在分布式防火墙上所能实现的功能、特性及工作机制只是在生产它之前专家们进行的设想,然后再基于这些设想进行分布式防火墙软硬件的生产。
目前市场上分布式防火墙的产品很多,一些以软硬件相结合的形式存在(如,3COM的分布式防火墙),一些则以纯软件的形式存在(如安软Everlink DFW分布式防火墙),其中这两种是非常有代表性的分布式防火墙系统。
1.3COM的分布式防火墙系统3Com最新发布的嵌入式防火墙是一种基于硬件的分布式防火墙解决方案,它们被嵌入到网卡中,通过嵌入式防火墙策略服务器来实现集中管理。
这种嵌入式防火墙技术把硬件解决方案的强健性和集中管理式软件解决方案的灵活性结合在一起,从而提供了分布式防火墙技术,并创建了一种更完善的安全基础架构。
●3COM分布式防火墙系统组成3COM公司的这一分布式防火墙系统实际上是由嵌入式防火墙卡和嵌入式防火墙策略服务器软件组件组成,其产品图如图11-17所示。
图11-17 3COM防火墙系统产品图3Com嵌入式防火墙解决方案,允许管理员部署一种涵盖整个公司客户机的安全模式。
这种功能对政府、金融、保健和教育等注重安全的行业来说更为重要。
该解决方案对客户机采用防篡改安全措施以及可管理策略实施方法,加大了对内部威胁的防范力度。
●以这种独特方式把防火墙硬件和集中式策略管理软件相结合,将能够阻止通过网络边缘的内部和外部对台式系统、服务器和笔记本计算机发起攻击和入侵,从而实现“纵深防御”的网络安全。
3Com的分布式防火墙系统主要具有以下几个方面的优点及功能:防护移动用户3Com嵌入式防火墙解决方案采用先进的保护,可从服务器扩展到网络边缘。
该安全解决方案是在移动用户离开办公室时为他们提供保护,无论他们去往何地,都能保护他们的局域网连接。
每个防火墙均能检测出用户是从局域网物理周边、内部还是外部连接的,并针对该位置应用适当的安全策略。
●统一化管理3Com嵌入式防火墙策略服务器定义了安全策略,并跨子网、外部网和互联网将它们分布到3Com防火墙卡。
分布式防火墙
分布式防火墙概述
• 分布式防火墙把Internet和内部网络都视为不 可靠的,它们对每个用户、每台服务器都进行保 护,如同边界防火墙对整个网络进行保护一样。 • 分布式防火墙是一种主机驻留式的安全系 统,用以保护内部网络中的关键结点服务器、数 据及工作站免受非法入侵的破坏。由于防火墙驻 留在被保护的主机上,因此可以针对该主机上运 行的具体应用和对外提供的服务设定针对性很强 的安全策略。 • 因为分布式防火墙可以分布在整个内部网络 或服务器中,所以它具有无限制的扩展能力。
应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测, 控制来自局域网/Internet的应用服务请求,如SQL数据库访问、IPX协 议访问等。 (3)网络状态监控 实时动态报告当前网络中所有的用户登陆、
Internet访问、内网访问、网络入侵事件等信息。
分布式防火墙技术
(4)黑客攻击的防御抵御 自Internet的黑客攻击手段。 (5)日志管理 查询分析。 (6)系统工具 包括系统层参数的设定、规则等配置信息的备份与 对工作站协议规则日志、用户登陆事件日志、用户 包括Smurf拒绝服务攻击、ARP欺骗式攻 击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来
防火墙技术发展趋势
随着新的网络攻击的出现,防火墙技术也有一些新 的发展趋势。主要体现在以下三方面: • 加强过滤规则:认证技术、多级过滤技术、病毒 防护功能在包过滤技术中的应用。 • 提高带宽:ASIC(Application Specific Intergrated Circuits)即专用集成电路技术及基于的网络处理 器技术在防火墙体系结构中的应用,以提高数据 处理速率。 • 加强管理:网络安全产品的系统化加强了集中式 管理技术、审计和自动日志分析技术在防火墙管 理系统的应用。
网络安全课程,第5章 防火墙技术讲稿(三)
1、屏蔽主机体系结构(主机过滤体系结构)
在主机过 滤体系结构 中提供安全 保护的主机 仅仅与内部 网相连。 主机过滤 结构还有一 台单独的路 由器(过滤 路由器)。 在这种体 系结构中, 主要的安全 由数据包过 滤提供,其 结构如右图 所示。
屏蔽主机体系结构(主机过滤体系结构)
在屏蔽主机防火墙结构中,分组过滤路由器或 防火墙与Internet相连,对数据包进行过滤。 同时一个堡垒机安装在内部网络,通过在分 组过滤路由器或防火墙上过滤规则的设置, 使堡垒机成为Internet上其它节点所能到达的 唯一节点,这确保了内部网络不受未授权外 部用户的攻击。
补充教学内容:防火墙的体系结构
重 点: 1:屏蔽主机体系结构 重 点: 2:双宿主机防火墙 重难点: 3:被屏蔽主机防火墙 重难点: 4:被屏蔽子网防火墙 难 点: 5:分布式防火墙体系结构 6:防火墙的分类 7:防火墙的性能及选购 8:防火墙技术的敝端 9:防火墙技术的发展趋势 10:实训
防火墙的体系结构概述
内部路由器(也叫阻塞路由器)
内部路由器的主要功能:是保护内部网免受来自外
部网与参数网络的侵扰,内部路由器为用户的防火墙执行大 部分的数据包过滤工作。它允许从内部网络到Internet的有 选择的出站服务。这些服务使用户的站点能使用数据包过滤 而不是代理服务 。 滤工作,它允许某些站点的包过滤系统认为符合安全规则的 服务在内外部网之间互传。根据各站点的需要和安全规则, 可允许的服务是以下这些外向服务中的若干种,如:Telnet、 FTP、WAIS、Archie、Gopher或者其它服务。 部网之间传递的各种服务和内部网与外部网之间传递的各种 服务不完全相同,即内部路由器所允许的在堡垒主机(在外 围网上)和用户内部网之间的服务,可以不同于内部路由器 所允许的在Internet和用户内部网之间的服务。
简论分布式防火墙
简论分布式防火墙摘要:随着Internet在全球的飞速发展,防火墙成为目前最重要的信息安全产品,然而,以边界防御为中心的传统防火墙如今却很难实现安全性能和网络性能之间的平衡。
分布式防火墙的提出很大程度的改善了这种困境,实现了网络的安全。
关键词:边界式;分布式;防火墙防火墙能根据受保护的网络的安全策略控制允许、拒绝、监测出入网络的信息流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。
一、分布式防火墙的概念传统边界式防火墙因存在许多不完善的地方,因此分布式防火墙应运而生。
1.边界式防火墙存在的问题传统防火墙设置在内部企业网和外部网络之间,构成一个屏障,进行网络访问控制,所以通常称为边界防火墙。
边界防火墙可以限制被保护企业内部网络与外部网络之间进行的信息传递和访问等操作,它处于内、外部网络的边界,所有进、出的数据流量都必须通过防火墙来传输的。
这就有效地保证了外部网络的所有通信请求都能在防火墙中进行过滤。
然而,传统的边界防火墙要求网络对外的所有流量都经过防火墙,而且它基于一个基本假设:防火墙把一端的用户看成是可信任的,而另一端的用户则被作为潜在的攻击者对待。
这样边界防火墙会在流量从外部的互联网进入内部局域网时进行过滤和审查。
但是这并不能确保局域网内部的安全访问。
不仅在结构性上受限制,其内部也不够安全,而且效率不高、故障点多。
最后,边界防火墙本身也存在着单点故障危险,一旦出现问题或被攻克,整个内部网络将会完全暴露在外部攻击者面前。
2.分布式防火墙的提出由于传统防火墙的缺陷不断显露,于是有人认为防火墙是与现代网络的发展不相容的,并认为加密的广泛使用可以废除防火墙,也有人提出了对传统防火墙进行改进的方案,如多重边界防火墙,内部防火墙等,但这些方案都没有从根本上摆脱拓扑依赖,因而也就不能消除传统防火墙的固有缺陷,反而增加了网络安全管理的难度。
网管心得——分布式防火墙的主要优势
网管心得——分布式防火墙的主要优势在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流。
它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。
主要优势如下:1.增强系统安全性在传统边界式防火墙应用中,企业内部网络非常容易受到有目的的攻击,一旦已经接入了企业局域网的某台计算机,并获得这台计算机的控制权,他们便可以利用这台机器作为入侵其他系统的跳板。
而最新的分布式防火墙,将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器计算机上。
分布于整个公司内的分布式防火墙,使用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。
凭借这种端到端的安全性能,用户通过内部网、外联网、虚拟专用网,还是远程访问所实现与企业的互联不再有任何区别。
分布式防火墙还可以使企业避免发生,由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生。
同时,也使通过公共帐号登录网络的用户,无法进入那些限制访问的计算机系统。
增加了针对计算机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。
另外,由于分布式防火墙使用了IP安全协议,能够很好地识别在各种安全协议下的内部计算机之间的端到端网络通信,使各计算机之间的通信得到了很好的保护。
所以分布式防火墙有能力防止各种类型的被动和主动攻击。
特别在当我们使用IP安全协议中的密码凭证来标志内部计算机时,基于这些标志的策略对计算机来说无疑更具可信性。
2.消除了结构性瓶颈问题,提高了系统性能传统防火墙由于拥有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。
虽然目前也有这方面的研究并提供了一些相应的解决方案,从网络性能角度来说,自适应防火墙是一种在性能和安全之间寻求平衡的方案。
从网络可靠性角度来说,采用多个防火墙冗余也是一种可行的方案,但是它们不仅引入了很多复杂性,而且并没有从根本上解决该问题。
分布式防火墙工作原理
分布式防火墙工作原理一、引言分布式防火墙是一种用于保护网络安全的重要工具,它能够在分布式环境中实现对网络流量的检测和过滤,从而有效地防护网络资源免受恶意攻击。
本文将深入探讨分布式防火墙的工作原理,包括其基本原则、主要组成部分以及具体实现方法。
二、分布式防火墙的基本原则分布式防火墙的工作原理基于以下几个基本原则:1.网络流量监测:分布式防火墙通过对网络流量进行实时监测,可以及时检测到有害的流量,如传播病毒、攻击尝试等。
2.流量过滤和阻断:一旦检测到有害流量,分布式防火墙会立即采取相应措施,将恶意流量过滤和阻断,使其无法对网络资源造成破坏。
3.策略管理:分布式防火墙允许管理员定义和配置各种策略,以控制流量的访问和传输。
管理员可以根据具体需求,灵活配置策略并进行动态调整。
4.分布式部署:分布式防火墙通常由多个节点组成,这些节点分布在不同的位置,通过协作工作来提供防护服务。
分布式部署可以提高系统的可靠性和可扩展性。
三、分布式防火墙的主要组成部分分布式防火墙由以下几个主要组成部分构成:1.流量监测器:流量监测器负责对网络流量进行实时监测和分析。
它可以检测和识别不同类型的流量,如HTTP、FTP、SMTP等,并将传输的数据交给处理器进行处理。
2.处理器:处理器是分布式防火墙的核心组件,负责对流量进行过滤和阻断。
当监测器检测到有害流量时,处理器会根据预定义的策略对流量进行处理,并将无害的流量发送到目标主机。
3.策略管理器:策略管理器用于管理和配置分布式防火墙的策略。
管理员可以定义不同类型的策略,并对其进行动态调整。
策略管理器还可以收集和统计网络流量的数据,用于生成报告和分析。
4.通信模块:通信模块用于实现分布式防火墙节点之间的通信。
节点之间可以通过通信模块交换流量数据和策略信息,以实现协同工作。
四、分布式防火墙的具体实现方法分布式防火墙的实现方法多种多样,下面介绍一种常见的实现方法:1.节点部署:首先,需要确定分布式防火墙的节点部署策略。
关于SDN_技术的分布式应用防火墙研究
128Internet Security 互联网+安全在“互联网+”技术应用推广的背景下,以HTTP、TCP/IP 为代表的各类应用协议被广泛应用于计算机网络应用层中,这不仅增加了应用层遭受恶意代码、病毒等攻击的概率,同时也对系统防火墙的安全防护性能提出了更高要求。
然而传统防火墙多采用集成结构设计,流量数据包解析的范围受限,流量检测、过滤等处理负载明显增大,增加防火墙故障发生概率,会诱发网络通信中断、信息丢失及提高泄密风险。
基于此,为满足面向企业级网络结构的防火墙部署需求,建立一种适应虚拟化环境的分布式应用防火墙部署方案是亟待解决的问题。
一、研究基础(一)应用防火墙与DPI 技术应用防火墙是一种部署在计算机网络Web 应用层的防火墙,其作用是解决传统部署在网络出口的防火墙基于IP 数据包的源/目的地址、源/目的端口建立过滤机制,无法对应用层进行安全防护的技术难题[1]。
为了解决这一问题,应用防火墙采用深度包检测技术(DPI)对网络流量进行检测分析,并通过捕捉网络数据包的包头、载荷,判断网络数据流量是否存在恶意垃圾邮件、病毒攻击、恶意代码等攻击行为。
同时,利用DPI 技术建立对报文的深度分析,按由下至上的顺序将数据分析范围由数据链路帧头、网络层包头、传输层包头扩展至应用层,判定数据流量的类型及其承载的内容等[2]。
(二)SDN 技术与OpenFlow 协议SDN 技术是一种基于软件系统的可编程网络架构,该技术将原交换机、路由器的处理逻辑分离设计,利用统一软件系统实现对数据转发、路由控制功能的集中控制,从而满足网络规模扩展与业务结构调整需求[3]。
基于SDN 的网络架构由数据层、控制层、业务层三个层级组成。
在数据层设有多个网络设备,利用OpenFlow 关于SDN 技术的分布式应用防火墙研究实现网络数据传输功能。
在控制层部署SDN 控制器与NOS 操作系统,经API 接口与业务层建立连接,实现业务应用功能[4]。
Linux环境下IPv6分布式防火墙的探讨
Linux环境下IPv6分布式防火墙的探讨随着互联网的不断发展,IPv6已经逐渐成为主流的IP地址协议。
而在Linux环境中,IPv6分布式防火墙也成为了防范互联网攻击的重要手段之一。
IPv6分布式防火墙是一种基于网络拓扑结构的防火墙解决方案。
它可以将防火墙规则集中管理,从而简化了网络管理的复杂性。
此外,它也可以使网络管理员根据不同的业务场景,采取不同的防护策略。
在Linux环境中,IPv6分布式防火墙的实现主要基于三个方面:一是防火墙配置规则;二是防火墙状态管理;三是防火墙日志记录。
其中,防火墙配置规则的定义和管理是实现IPv6分布式防火墙最核心的部分。
在防火墙配置规则中,我们需要考虑的关键因素包括:网络拓扑结构、协议类型、端口号、源IP地址、目标IP地址、源端口号、目标端口号、操作码、标识符、时间戳等等。
通过对这些因素的综合考虑,我们可以建立出一个符合当前网络实际情况的防火墙规则集。
在防火墙状态管理中,我们需要考虑的问题是如何保证防火墙能够对当前网络流量进行实时的监控和过滤。
为了实现这一目标,我们可以利用Linux内核中的Netfilter机制来拦截和过滤IP数据包,在此基础上建立一个可靠的防火墙状态管理系统。
这样一来,我们便可以随时检查当前防火墙的状态,并及时进行修改和优化。
最后,在防火墙日志记录中,我们需要考虑的问题是如何记录防火墙工作的详细过程,从而供日后的审计和分析。
对于这一问题,我们可以利用Linux系统自带的日志记录机制,记录防火墙相关的日志信息,并在需要的时候进行分析和处理。
总的来说,Linux环境下的IPv6分布式防火墙是非常充分而简便的解决方案。
它不仅可以提供强大的防护能力,还可以帮助我们建立一个高效的网络结构,从而促进网络管理的进一步创新和升级。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
分布式防火墙分布式防火墙杨天禹摘要:随着计算机网络的迅猛发展,网络的安全问题也越来越引起人们的重视防火墙作为一种有效的安全防护措施被广泛应用于各种类型的网络当中,其发展也非常的快本文首先分析了现有的传统防火墙和分布式防火墙,指出了传统防火墙存在的问题在此基础上论述了分布式防火墙的概念、研究现状以及分析了分布式防火墙的工作原理详细分析了它的体系结构,明确该体系结构的各组成部分及其相应功能并对之进行了详细的设计关键字:分布式防火墙;网络安全;体系结构;工作原理因特网是20世纪的奇迹通过因特网人们方便地实现了全球资源共享因特网的强大功能源于它的广泛连通性和开放性而这也恰恰导致了它的不安全性在网络结构体系中安全问题越来越受到重视特别是那些对安全程度要求较高的部门、单位往往需要规划一套完整的网络安全策略将敏感资源保护起来防火墙作为一种安全手段在网络中用得非常普遍在网络边界的入口处安装防火墙用来阻止攻击是安全防范的主要手段之一它将受保护部分资源和外部隔离开来从而达到限制访问、防止攻击的目的但是随着因特网日新月异的发展传统边界防火墙的局限性开始显露出来例如日益多样化的连接方法(拨号无线隧道)、外联网、加密通信的出现带宽的不断提高等面对这些新情况用一个防火墙就往往难以完成隔离如果采用多个防火墙不仅提高了成本而且由于防火墙之间相互独立难以从总体上进行统一配置管理起来非常麻烦于是人们提出了分布式防火墙的概念来满足网络发展的新情况分布式防火墙是指物理上有多个防火墙实体在工作但在逻辑上只有一个防火墙从管理者角度来看他不需要了解防火墙分布细节只要清楚有哪些资源需要保护以及资源的权限如何分配即可1分布式防火墙概述随着网络技术的不断发展,网络中的漏洞逐渐被发现恶意的攻击者通过它们对网络进行大量的攻击,向网络安全进行挑战,对网络安全造成极大的威胁为了抵御外界恶意攻击,保护网络安全,防火墙、入侵检测、网络病毒检测、安全审计等技术应运而生,而处于内外网络交界处的防火墙所扮演的角色尤为重要受集中管理和配置的多台防火墙组[1]成了分布式防火墙(,)基于此而应运而生分布式防火墙产生的原因古代人们为了防止发生火灾时火势蔓延到别处而砌一道砖墙,这道砖墙常被叫做防火墙在计算机领域为了保证网络安全,在互联网与内部网之间建立起一个安全网关(刃,用来保护内部网络不受非法用户的侵入,这种计算机硬件和软件组成的设备就是防火墙在网络中,防火墙是内部网络与外界网络之间的一道防御系统,通过它使得内部网络与或者其他外部网络之间相互隔离,并通过限制网络互访来保护内部网络,但这些对数据的处理操作并不会妨碍人们对风险区域的访问防火墙系统是建立在内部网络与外部之间的惟一安全通道,通过对它的配置可以决定哪些内部服务可被外界访问,外界的哪些人可访问内部的服务,以及哪些外部服务可以被内部人员访问我们可简单的认为防火墙是个分离器、限制器、分析器,它有效地监控了内网和间的任何活动,保证了内网的安全图1为常见的防火墙逻辑位置安全策略语言规定了哪些数据包被允许,哪些数据包被禁止,它应该支持多种类型的应用策略制定后分发到网络端点上,策略发布机制应该保证策略在传输过程中的完整性和真实性策略发布有多种方式,可以由中心管理主机直接发到终端系统上,也可以由终端按需获取或定时获取,还可以以证书的形式提供给用户策略实施机制位于受保护的主机上,在处理输入输出数据包时,它查询本地策略来判断允许还是禁止该数据包不论防火墙是非常简单的过滤器,还是一个精心配置的网关,它们的原理都是一样的防火墙通常是用来保护由许多台计算机组成的大型网络,这些地方才是黑客真正感兴趣的地方,因为架设防火墙需要相当大的硬软件资金投入,而且防火墙一般需要运行在一台独[2]立的计算机上由于传统防火墙的缺陷不断显露于是有人认为防火墙是与现代网络的发展不相容的并认为加密的广泛使用可以废除防火墙但加密不能解决所有的安全问题防火墙依然有它的优势比如通过防火墙可以关闭危险的应用通过防火墙管理员可以实施统一的监控也能对新发现的快速作出反应等也有人提出了对传统防火墙进行改进的方案如多重边界防火墙内部防火墙()等但这些方案都没有从根本上摆脱拓扑依赖()因而也就不能消除传统防火墙的固有缺陷反而增加了网络安全管理的难度为了克服以上缺陷而又保留防火墙的优点美国&T实验室研究员[3]在他的论文分布式防火墙中首次提出了分布式防火墙()的概念给出了分布式防火墙的原型框架奠定了分布式防火墙研究的基础分布式防火墙有狭义和广义之分狭义分布式防火墙是指驻留在网络主机并对主机系统提供安全防护的软件产品广义分布式防火墙是一种全新的防火墙体系结构包括网络防火墙、主机防火墙和中心管理三部分为了充分认识分布式防火墙我们重点剖析分布式防火墙中最具特色的产品-主机防火墙(1)主机驻留主机防火墙的重要特征是驻留在被保护的主机上该主机以外的网络不管是在内部网还是在外部网都认为是不可信任的因此可以针对该主机上运行的具体应用和对外提供的服务来设定针对性很强的安全策略(2)嵌入操作系统内核为自身的安全和彻底堵住操作系统的漏洞主机防火墙的安全检测核心引擎要以嵌入操作系统内核的形态运行直接接管网卡在把所有数据包进行检查后再提高操作系统(3)适用于托管服务器用户只需在该服务器上安装主机防火墙软件并根据该服务器的应用设置策略即可并可以利用中心管理软件对该服务器进行远程监控不须任何额外租用[4]新的空间放置边界防火墙分布式防火墙的基本原理防火墙可以用来控制和之间所有的数据流量在具体应用中,防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计算机网络的多种组合防火墙为网络安全起到了把关作用,只允许授权的通信通过防火墙是两个网络之间的成分集合在分布式防火墙中,安全策略仍然被集中定义,但发布在网络端点(例如主机、路由器)上单独实施传统防火墙缺陷的根源在于它的拓扑结构分布式防火墙打破了这种拓扑限制将内部网的概念由物理意义变成逻辑意义按照的说法分布式防火墙是由一个中心来制定策略并将策略分发到主机上执行它使用一种策略语言(如在文挡中说明)来制定策略并被编译成内部形式存于策略数据库中系统管理软件将策略分发到被保护的主机上而主机根据这些安全策略和加密的证书来决定是接受还是丢弃包从而对主机实施保护在中主机的识别虽然可以根据IP地址但IP地址是一种弱的认证方法容易被欺骗在中建议采用强的认证方法用加密的证书作为主机认证识别的依据一个证书的拥有权不易伪造并独立于拓扑所以只要拥有合法的证书不管它处于物理上的内网还是外网都被认为是内部!用户加密认证是彻底打破拓扑依赖的根本保证在系统中各台主机的审计事件要被上传到中心日志数据库中统一保存分布式防火墙中包含[5]有三个必需的组件:(1)描述网络安全策略的语言 (2)安全发布策略的机制 (3)应用、实施策略的机制分布式防火墙的研究现状XX年&T实验室的博士在《》一文中首次提出了将防火墙技术分布式化的思想该文的核心内容是提出了关于构建分布式防火墙的三点构想:①策略描述语言();②系统管理工具(s):③该文主要围绕&T实验室在XX年9月提出了的[6]策略描述机制展开确立了分布式防火墙的体系结构,之后的研究大多以此为起点在网络安全技术领域,防火墙并不是个新课题防火墙技术经过多年的积累和发展,已经有了相当成熟和稳定的商业产品,逐渐成为了网络安全技术的一个基础性设施在国际防火墙市场上,能够占有两位数市场份额的厂家就只有公司和公司,其市场占有率都在20%左右在国内市场中,占有优势的仍旧是国外的防火墙产品,防火墙、防火墙、防火墙等在产品功能和质量方面的优势使得许多大型客户纷纷采用国内较有名的防火墙品牌有天融信公司网络卫士、东大阿尔派的网眼等虽然市场上防火墙产品不少,但是这并不意味着防火墙技术己经过时或者没有太多研究意义恰恰相反,随着黑客技术和黑客攻击的不断进步,传统意义上的有着异常重要作用的防火墙的安全能力却显得相对不足从市场提供的商业防火墙品牌来看,国外(一些著名)厂家均是采用专用的操作系统,自行设计防火墙而国内所有厂家所采用的操作系统系统都是基于通用的各厂家的区别仅仅在于对系统本身和防火墙部分所作的改动量有多大所以当前防火墙产品多有各自的缺陷,只有进行深入的防火墙结构、技术的研究,才能从根本上解决这一问题从技术的理论上来讲,防火墙属于最底层的网络安全技术,而且随着网络安全技术的发展,现在的防火墙已经成为一种更为先进和复杂的基于应用层的网关然而,随着黑客入侵技术的提高和入侵手段的增加,仅仅使用网关级防火墙保障网络安全是远远不够的目前,网关级的边界防火墙技术取得了较大的发展,从初期的简单的包过滤产品到应用网关代理,以及由公司(世界最大防火墙厂商之一)提出的状态检测机制的防火墙,产品日趋成熟但是防火墙技术领域中速度与安全是永恒的主题和矛盾通常高安全性的传统防火墙必然构成整个企业网的瓶颈其原因是安全计算过度集中,大量的应用级检测、过滤计算使防火墙的吞吐能力大幅下降降低了传统网关级边界防火墙在大型网络中的应用效能又由于传统网关级的边界防火墙存在着以下缺陷:防外不防内,易于从内部攻破;配置不够灵活,不便于应用;难以有效防止分布式的攻击;只实现了粗粒度的访问控制和单薄的安全保护所以网络安全业界逐渐对一种新型的防火墙技术体系结构--分布式防火墙系统体系结构--加大了研究力度分布式防火墙与传统的边界防火墙相比有以下优点:1内外兼顾,可以提供更高的安全性;2配置灵活,适用性强;3便于集中管理;4提供多层次的纵深形的防护体系目前分布式防火墙的研究虽然已经有了一些商业产品,但总体上说还属于起步阶段无论从体系结构,运行布置方式,管理手段,以及与其他安全设备的关联上离技术成熟还有很大的差距2分布防火墙技术分布式防火墙技术可以总结为如下几个方面:主机驻留:主机防火墙的重要特征是驻留在被保护的主机上,该主机以外的网络不管是处在内部网还是外部网都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略主机防火墙对分布式防火墙体系结构的突出贡献是使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广[8]延伸到每个网络末端嵌入操作系统内核:众所周知,操作系统自身存在许多安全漏洞,运行在其上的应用软件无一不受到威胁主机防火墙也运行在该主机上,所以起运行机制是主机防火墙的关键技术之一为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行直接接管网卡,在把所有数据包进行检查后再提交操作系统为实现这样的运行机制,除为这需要一些自身的开发技术外,与操作系统厂商的技术合作也是必要的条件,因为这需要一些操作系统不公开的内部技术接口不能实现这种嵌入式运行模式的主机防火墙受到操作系统安全性的制约,存在明显的安全隐患个人防火墙:个人防火墙是在分布式防火墙之前业已出现一类防火墙产品将个人防火墙定义为成本在&""美圆以下,以一般消费者和小企业为客户群,通过或调制解调器实现高速不间断来连接的独立产品分布式针对桌面应用的主机防火墙与个人防火墙有相似之处如它们管理方式迥然不同,个人防火墙的安全策略有系统使用者自己设置,目标是防外部攻击,而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置,除了对该桌面机起到保护作用外也可以对该桌面机的对外访问加以控制,并且这种安全机制是对桌面机的使用者是不可见和不可改动的其次,不同于个人防火墙面向个人用户,针对桌面应用的主机防火墙是面向企业级客户的,它与分布式防火墙其它产品共同构成一个企业级应用方案,形成一个安全策略中心统一管理,安全检查机制分散布置的分布式防火墙体系结构托管服务器:互联网和电子商务的发展促进了互联网数据中心的迅速崛起,起主要业务之一就是服务器托管服务对服务器托管用户而言,该服务器逻辑上是其企业网的一部分,只不过物理上不在企业内部,对于这种应用,边界防火墙解决方案就显得比较牵强附会,而针对服务器的主机防火墙解决方案则是其一个典型应用用户只需在改服务器上安装上主机防火墙软件,并根据该服务器的应用设置安全策略即可,并可以利用中心管理软件对该服务器进行远程监控,不需任何额外租用新的空间放置边界防火墙对互联网数据中心而言,也需要提供包括防火墙安全服务在内的增值服务来提高竞争力,区别于用边界防火墙方案向托管用户提供防火墙安全增值服务,采用主机防火墙方案有其独到之处:首先,可以向托管用户提供针对特定用户特[9]定应用的安全服务,使服务更安全更贴切;其次,消除了边界防火墙的结构性瓶颈问题[7]3分布式防火墙体系结构一个典型的的体系结构见图2它由3部分组成:边界防火墙主机防火墙和中心策略服务器在的体系结构中并没有废弃边界防火墙因为物理上的边界依然存在只是减轻了其肩上的担子边界防火墙仍然执行传统防火墙看守大门的任务但由于它只处理与全网有关的安全问题规则较少因而效率较高策略服务器是整个的核心主要包括中心管理接口、策略数据库、审计数据库和加密认证等模块中心管理接口负责人机交互包括制定规则规则的制定是通过使用规则定义语言或图形用户接口完成管理员可以针对每台机器制定规则也可以将全网分成若干个域然后针对每个域制定规则各个域内使用相同的规则域外使用不同的规则火墙体系结构的详细介绍1)边界防火墙边界防火墙包括以下几点功能:1)负责一个内网的边界防御和穿越通道的安全性它主要采用包过滤技术进行防御与普通边界防火墙不同的是由于只是分布式防火墙的一部分只需要提供一些简单的过滤规则(如只提供所有的内部主机发起的连接给予通过所有的外部的主动连接拒绝等通配规则)因此不存在安全性和高效性的矛盾同时由于它不是安全性的全部提供者使得主干防火墙不会危及整个系统的安全2)提供网关到网关和主机到网关的安全通道()在穿越非信任网络访问信任网络内部的主机时如果使用主机到主机的大量的连接会影响被访问主机的性能从而影响业务应用将的功能从信任网络内部的主机上分离到一级防火墙上这样就使用了网关到网关主机到网关的代替了主机到主机的提高了效率2)主机防火墙主机防火墙驻留在主机中负责策略的实施在主机防火墙中如果不允许用户干预则只包含包过滤引擎、上载审计事件的模块、加密模块等防火墙对用户透明即用户感觉不到防火墙的存在用户不能修改规则也不能绕过防火墙如果允许用户部分修改规则并参与定制个性化的安全策略则还要包含用户接口在一个典型的系统中所有主机防火墙(包括分支机构和移动用户)和边界防火墙皆受控于中心策略服务器3)中央策略服务器在分布式防火墙中,中央策略服务器是整个系统核心一方面,它负责网络安全策略的制定、修改、管理和维护,并将策略分发到分布式防火墙的其他部分中央策略服务器可以针对分布式防火墙中不同设备制定不同的规则,也可以将全网分成若干个域,然后针对每个域或每台主机来制定策略;另一方面,中央策略服务器还要建立和维护网络中每个安全设备的信任关系,对分布式防火墙中的设备进行认证,避免非法用户冒充合法用户恶意入侵,破坏分布式防火墙的正常运行分布式防火墙体系结构中各数据流向外网进入内网的数据首先进入边界防火墙进行安全检测,边界防火墙还可以提供功能,提供与否由策略服务器来决定数据离开边界防火墙后进入汇聚防火墙,同时数据也进入日志服务器,通过预处理过滤、重组、存储结构化的日志信息,便于进行查询审计,以评估网络整体风险状况,并视情况发布预警信息,原始数据还要做好备份,以作为非法入侵者的犯罪证据日志服务器的入侵检测分析模块进行数据分析后将可疑数据送入中央策略服务器的日志生成与发送模块,最终在策略管理模块的控制下生成相应日志汇聚防火墙接收数据后执行从中央服务器获得的策略汇聚防火墙充当中央策略服务器与主机防火墙的中介,为它们之间的身份认证、策略更新提供帮助,从而减轻中央策略服务器的压力,并减少网络流量汇聚防火墙根据检查结果决定是否允许数据是否可进入内网主机,另*聚防火墙也会将工作的情况用日志纪录下来,并传输给日志服务器进入内网主机的数据将由桌面防火墙自动地从策略管理服务器中下载安全策略来进行相应检查,同时桌面防火墙也将收集主机信息、认知用户的网络行为、监控主机的网络通讯和安全状态并将收集的信息发送到日志服务器以便管理员有针对性的制定安全策略4 分布式防火墙的应用对大型网络以及需要打破网络拓扑限制的组织分布式防火墙是最佳的选择下面列举了两个的典型应用1)锁定关键服务器对企业中的关键服务器可以安装作为第二道防线使用的[10]集中管理模块对这些服务器制定精细的访问控制规则增强这些服务器的安全性2)商务伙伴之间共享服务器随着电子商务的发展商务伙伴之间需要共享信息外联网是一般的解决方案但外联网的实施代价较高可使用上面介绍的在一台服务器上安装两个一个与内部网相连另一个与伙伴相连这样可以方便地实现服务器共享拥有服务器的一方控制服务器上的两个分别对其进行设置使对方能够进入共享服务器但不能进入本方的内部网络5 结论在分布式防火墙策略分发技术中,传统的分布式对象技术都在不同程度上存在一些局限性,难以满足实际应用中的需求在新的安全体系结构下分布式防火墙代表了新一代防火墙技术的潮流它形成了一个多层次、多协议、内外皆防的全方位安全体系本文主要研究分布式技术,对防火墙从概念、原理、结构、配置以及改进等方面进行分析在学习过程中,首先通过网络和书籍等深入的理解和掌握防火墙的核心技术,其次对网络中流行的软件防火墙和硬件防火墙针对不同攻击进行配置实验在配置的过程中加深了对防火墙理论的认识,虽然分布式防火墙目前还处于起步阶段,但相信其市场的扩大是很迅速的,在未来的日子里,对我们的生活将会带来更多的安全和方便参考文献[1] [J]y[2] 曹莉兰基于防火墙技术的网络安全机制研究[D]电子科技大学[3] [EB/OL]~47)[4] 于文莉周伟忠于文华防火墙技术及发展[J]宜宾学院学报(6)[5] :8th。