简论分布式防火墙

罗跃华

中图分类号：TP393.08文献标识码：A文章编号：1673-0992（2009）05-044-02

摘要：随着Internet在全球的飞速发展，防火墙成为目前最重要的信息安全产品，然而，以边界防御为中心的传统防火墙如今却很难实现安全性能和网络性能之间的平衡。分布式防火墙的提出很大程度的改善了这种困境，实现了网络的安全。

关键词：边界式；分布式；防火墙

防火墙能根据受保护的网络的安全策略控制允许、拒绝、监测出入网络的信息流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。

一、分布式防火墙的概念

传统边界式防火墙因存在许多不完善的地方，因此分布式防火墙应运而生。

1.边界式防火墙存在的问题

传统防火墙设置在内部企业网和外部网络之间，构成一个屏障，进行网络访问控制，所以通常称为边界防火墙。边界防火墙可以限制被保护企业内部网络与外部网络之间进行的信息传递和访问等操作，它处于内、外部网络的边界，所有进、出的数据流量都必须通过防火墙来传输的。这就有效地保证了外部网络的所有通信请求都能在防火墙中进行过滤。然而，传统的边界防火墙要求网络对外的所有流量都经过防火墙，而且它基于一个基本假设：防火墙把一端的用户看成是可信任的，而另一端的用户则被作为潜在的攻击者对待。这样边界防火墙会在流量从外部的互联网进入内部局域网时进行过滤和审查。但是这并不能确保局域网内部的安全访问。不仅在结构性上受限制，其内部也不够安全，而且效率不高、故障点多。最后，边界防火墙本身也存在着单点故障危险，一旦出现问题或被攻克，整个内部网络将会完全暴露在外部攻击者面前。

2.分布式防火墙的提出

由于传统防火墙的缺陷不断显露，于是有人认为防火墙是与现代网络的发展不相容的，并认为加密的广泛使用可以废除防火墙，也有人提出了对传统防火墙进行改进的方案，如多重边界防火墙，内部防火墙等，但这些方案都没有从根本上摆脱拓扑依赖，因而也就不能消除传统防火墙的固有缺陷，反而增加了网络安全管理的难度。为了克服以上缺陷而又保留防火墙的优点，美国AT&T实验室研究员Steven MBellovin在他的论文“分布式防火墙”中首次提出了分布式防火墙DistributedFirewall，DFW)的概念，给出了分布式防火墙的原型框架，奠定了分布式防火墙研究的基础。

二、分布式防火墙的工作原理认知分布式防火墙的工作原理是进行一切研究的前提

1.分布式防火墙的基本原理

分布式防火墙打破了边界防火墙对网络拓扑的依赖关系，将内部网的概念由物理意义转变成逻辑意义。在分布式防火墙系统中，每个主机节点都有一个标识该主机身份的证书，通常是一个与该节点所持有的公钥相对应的数字证书，内部网络服务器的存取控制授权根据请求客户的数字证书来确定，而不再是由节点所处网络的位置来决定。一般情况下由于证书不易伪造，并独立于网络拓扑结构， 所以只要拥有合法的证书，不管它处于物理上的内网还是外网都被分布式防火墙系统认为是“内部”用户，这样就彻底打破了传统防火墙对网络拓扑的依赖。由于在分布式放火墙系统中安全策略的执行被推向了网络的边缘——终端节点，这样不仅保留了传统防火墙的优点，同时又解决了传统防火墙的问题。

2.分布式防火墙的功能

其一，Internet访问控制。依据工作站名称、设备指纹等属性，使用“Internet访问规则”，控制该工作站或工作站组在指定的时间段内是否允许、禁止访问模板或Internet服务器。其二，应用访问控制。通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测，控制来自局域网、Internet的应用服务请求。其三，网络状态监控。实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。其四，黑客攻击的防御。抵御包括surf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。其五，日志管理。对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。

3.分布式防火墙的运作机制

分布式防火墙的运作公有四个步骤：第一，策略的制定和分发。在分布式防火墙系统中，策略是针对主机制定的。在制定策略之后通过策略管理中心“推送”和主机“索取”两种机制分发到主机。第二，日志的收集。在分布式防火墙中，日志可以通过管理中心“定期采集”、主机“定期传送”、主机“定量传送”由主机传送到管理中心。第三，策略实施。策略在管理中心统一制定，通过分发机制传送到终端的主机防火墙，主机防火墙根据策略的配置在受保护主机上进行策略的实施。主机防火墙策略实施的有效性是分布式防火墙系统运行的基础。第四，认证。在分布式防火墙系统中通常采用基于主机的认证方式，即根据IP地址进行认证。为了避免IP地址欺骗，可以采用一些强认证方法，例如Kerberos，X.509，IP Sec等。

三、分布式防火墙的运用

分布式防火墙在现实生活中的运用很广泛，主要有以下几点：

1.杀毒与防黑

分布式防火墙技术的出现，有效地解决了漏洞和病毒检测这一问题。它不仅提供了个人防火墙、入侵检测、脚本过滤和应用程序访问控制等功能，最重要的是提供了中央管理功能。利用分布式防火墙中央管理器，可以对网络内每台计算机上的防火墙进行配置、管理和更新，从宏观上对整个网络的防火墙进行控制和管理。这种管理可以在企业内部网中进行，也可以通过Internet实现远程管理。另外，对于应用较简单的局域网，网络杀毒和分布式防火墙的组合是比较易于部署且维护方便的安全解决方案。可以预见，分布式和网络化是未来企业杀毒软件和防火墙产品的特点，未来的病毒防护和防火墙技术将会更紧密地结合并覆盖到网络的每个节点，给网络提供更“贴身”的保护。

2.保护内网

在传统边界式防火墙应用中，内部网络非常容易受到有目的的攻击，一旦已经接入了局域网的某台计算机，并获得这台计算机的控制权，便可以利用这台机器作为入侵其他系统的跳板。而最新的分布式防火墙将防火墙功能分布到各个子网、桌面系统、笔记本计算机以及服务器PC上，分布于整个网络的分布式防火墙使用户可以方便地访问信息，而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能，内各用户通过内部网、外联网、虚拟专用网远程访问实现与互联。分布式防火墙使用了IP安全协议，能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信，使各主机之间的通信得到很好的保护。所以分布式防火墙有能力防止各种类型的被动和主动攻击。

3.构建网络安全解决方案

分布式防火墙的网络安全解决方案是在内部网络的主服务器安装上分布式防火墙产品的安全策略管理服务，设置组和用户分别分配给相应的从服务器和PC机工作站，并配置相应安全策略。将客户端防火墙安装在内网和外网中的所有PC机工作站上，客户端与安全策略管理服务器的连接采用SSL协议建立通信的安全通道，避免下载安全策略和日志通信的不安全性。同时客户端防火墙的机器采用多层过滤、入侵检测、日志记录等手段，给主机的安全运行提供强有力的保证。作为业务延伸部分的远程主机系统物理上不属于内网，但是，在系统中逻辑上仍是内网主机，与内网主机的通信依然通过VPN技术和防火墙隔离来控制接入。

4.托管服务

互联网和电子商务的发展促使互联网数据中心(IDC)的迅速崛起，数据中心的主要业务之一就是提供服务器托管服务。对服务器托管用户而言，该服务器在逻辑上是企业网的一部分，不过在物理上并不在企业网内部。对于这种应用，分布式防火墙就十分得心应手。用户只需在托管服务器上安装上防火墙软件，并根据该服务器的应用设置安全策略，利用中心管理软件对该服务器进行远程监控即可。

参考文献：

[1]王达.网络基础[M].北京：电子工业出版社.2004

[2]高永强等编著.网络安全技术与应用大典[M].北京:人民邮电出版社.2003

[3]杨毅坚、肖德宝.基于Agent的分布式防火墙[J].数据通讯.2001.2

[4]李秉键.浅谈分布式防火墙[J].网络安全技术与应用,2005.11)

[5]彭志豪、李冠宇.分布式入侵检测系统研究综述[J].微电子学与计算机.2006