寫在前面的話
隨着網絡的快速普及,信息的安全越來越受到人們的關注,其形式由傳統的防火牆(“俗稱邊界防火牆”)的基於ACL(訪問控制列表)進行包過濾,逐步變得多樣化。入電路級網關技術,應用級網關技術和動態包過濾技術。與此同時過濾技術也由先前的網絡層,鏈路層逐步擴展到OSI模型的所有層次上面。近期提出的分佈式防火牆和3COM嵌入式防火牆更加引人注目。
什麼是分佈式防火牆?
目前學術界並沒有爲分佈式防火牆提供標準的定義,所以這裏提供一個得到較大認可的理解。分佈式防火牆可以分爲兩類,一類是廣義的分佈式防火牆,它包括網絡防火牆,主機防火牆,中心管理三個部分。狹義的分佈式防火牆是指駐留在網絡主機(如服務器或桌面機)並對主機系統提供安全防護的軟件產品,駐留主機是這類防火牆的重要特徵。
分佈式防火牆的原理?
對於原理,我們將從分佈式防火牆的體系結構來闡述,且以廣義的分佈式防火牆來說明。
正如廣義分佈式防火牆的定義,分佈式防火牆的體系結構主要包括三個方面,一個網絡防火牆,二是主機防火牆,三是中心管理。
網絡防火牆主要用於內部網與外部網以及內部網各子網之間的防護產品。與傳統的邊界防火牆比,他多了一種用於對內部子網之間的安全防護層,這樣整個網絡間的安全防護體系就顯得更加安全可靠。
主機防火牆駐留在主機中,負責策略的實施。它對網絡中的服務器和桌面機進行防護,這些主機的物理位置可能在內部網也可能在內部網外(如託管服務器或移動辦公的便攜機)。主機防火牆主要以三種形式存在,包括主機駐留(主機防火牆駐留在被保護的主機上),嵌入式操作系統內核(主機防火牆的安全檢測核心引擎要以嵌入式操作系統內核的形態運行,直接接管網卡,在把所有數據包進行檢查後再提交操作系統,以杜絕隱患)以及類似於個人防火牆的形式。
中心管理服務器負責安全策略的制定,管理,分發以及日誌的彙總,中心策略是分佈式防火牆系統的核心和重要特徵之一。
分佈式防火牆的優點 ?
首先分佈式防火牆一改先前的信任內部。懷疑外部的特點,實施了全方位的安全控制;
其次分佈式防火牆一改先前的靜態防火牆的模式,實施了動態可擴展的結構體系;
再者,分佈式防火牆一改先前的結構性瓶頸,實施了內部主機“步步爲營”的戰略部署;
最後,分佈式防火牆一改先前VPN(Virtual Private NetWork,虛擬專用網絡)接入模式,實施了簡單的分佈式接入。
分佈式網絡的不足?
首先分佈式防火牆非但要防內也要防外,壓力很大且要求的技術以及成本都很高。
其次,分佈式網絡僅實現了多點接入方式。設置了多防火牆,但其根本的防火牆管理並沒有得到很好的解決,都是“單一作戰”。並沒有實現一個緊密的防火牆帶。
分佈式防火牆的應用
主要體現在一下六個方面
1. Internet訪問控制。依據工作站名稱,設備指紋等屬性,使用“Internet訪問規則”,控制該工作站或工作站組在指定的時間段內是否允許與禁止訪問模板或網址列表中所規定的Internet web服務器。某個用戶可否基於某工作站訪問www服務器,同時當某個工作站/用戶達到規定流量後確定是否斷網。
2. 應用訪問控制
3. 網絡狀態監控
4. 黑客攻擊防禦
5. 日誌管理
6. 系統管理
