传统的防火墙如包过滤型和代理型,它们都有各自的缺点与局限性。随着计算机安全技术的发展和用户对防火墙功能要求的提高,目前出现了一种新型防火墙,那就是“分布式防火墙”,英文名为Distributed Firewalls,它是在传统的边界式防火墙基础上开发的。由于其优越的安全防护体系符合未来的发展趋势,所以这一技术一出现便得到许多用户的认可和接受。下面重点介绍这种新型的防火墙技术。
1.分布式防火墙的产生
因为传统的防火墙设置在网络边界,处于内、外部计算机网络之间,所以也称为“边界防火墙”。随着人们对网络安全防护要求的提高,边界防火墙明显已不能满足需求,因为给网络带来安全威胁的不仅是外部网络,更多的是内部网络。但边界防火墙无法对内部网络实现有效的保护,除非对每一台主机都安装防火墙,这是不可能的。基于这种需求,一种新型的防火墙技术即分布式防火墙技术产生了。它可以很好地解决边界防火墙的不足,不用为每台主机安装防火墙而能够把防火墙的安全防护系统延伸到网络中的每台主机。一方面有效地保证了用户的投资不会很高,另一方面给网络带来了非常全面的安全防护。
分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护,所以“分布式防火墙”是一个完整的系统,而不是单一的产品。根据其所需完成的功能,新的防火墙体系结构包含如下部分:
(1)网络防火墙(Network Firewall)。网络防火墙是用于内部网与外部网之间,以及内部网各子网之间的防护产品。与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络间的安全防护体系就显得更加安全可靠。
(2)主机防火墙(Host Firewall)。主机防火墙驻留在主机中,负责策略的实施。它对网络中的服务器和桌面机进行防护,这些主机的物理位置可能在内部网中,也可能在内部网外。这样防火墙的作用不仅是用于内部与外部网之间的防护,还可应用于内部网各子网之间、同一子网内部工作站与服务器之间的防护。可以说达到了应用层的安全防护,比起网络层更加彻底。
(3)中心管理(Central Management)。中心管理服务器负责安全策略的制定、管理、分发及日志的汇总,中心策略是分布式防火墙系统的核心和重要特征之一。这是一个防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总,是以前传统边界防火墙所不具有的新的防火墙的管理功能。这样防火墙就可进行智能管理,提高了防火墙的安全防护灵活性,使其具备可管理性。
2.分布式防火墙的主要特点
综合起来这种新的防火墙技术具有以下几个主要特点:
(1)保护全面性。分布式防火墙把互联网和内部网络均视为“不友好的”,它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web 服务器来说,分布式防火墙进行配置后能够阻止一些非必要的协议(如HTTP 和HTTPS 之外的协议)通过,从而阻止了非法入侵的发生,同时还具有入侵检测及防护功能。(www.xing528.com)
(2)适用于服务器托管。不同的托管用户有不同数量的服务器在数据中心托管,服务器上也有不同的应用。对于安装了中心管理系统的管理终端,数据中心安全服务部门的技术人员可以对所有在数据中心委托安全服务的服务器的安全状况进行监控,并提供有关的安全日志记录。对于这类用户,他们通常所采用的防火墙方案是采用虚拟防火墙方案,但这种配置相当复杂,非一般网管人员能胜任。而针对服务器的主机防火墙解决方案则是其一个典型应用。对于纯软件式的分布式防火墙,用户只需在该服务器上安装上主机防火墙软件,并根据该服务器的应用设置安全策略即可,还可以利用中心管理软件对该服务器进行远程监控,不需租用额外的空间放置边界防火墙。对于硬件式的分布式防火墙因其通常采用PCI 卡式的,通常兼顾网卡作用,所以可以直接插在服务器机箱里面,也就无须单独的空间托管费了,对于企业来说更加实惠。
在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在计算机网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议、内外皆防的全方位安全体系,在增强系统安全性、提高系统性能和系统扩展性等方面都有着很好的优势。因为分布式防火墙采用了软件形式(有的采用了软件+硬件形式),所以功能配置更加灵活,具备充分的智能管理能力,总的来说可以体现在以下6 个方面:
(1)Internet 访问控制:依据工作站名称、设备指纹等属性,使用“Internet 访问规则”,控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web 服务器,某个用户可否基于某工作站访问WWW 服务器,同时当某个工作站/用户达到规定流量后是否断网。
(2)应用访问控制:通过对网络通信从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/Internet 的应用服务请求,如SQL 数据库访问、IPX 协议访问等。
(3)网络状态监控:实时动态报告当前网络中所有的用户登录、Internet 访问、内部网访问、网络入侵事件等信息。
(4)黑客攻击的防御:抵御包括Smurf 的拒绝服务攻击、ARP 欺骗式攻击、Ping 攻击、Trojan 木马攻击等近百种来自网络内部以及来自Internet 的黑客攻击手段。
(5)日志管理:管理对工作站协议规则日志、用户登录事件日志、用户Internet 访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。
(6)系统工具:包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
