浅析分布式防火墙及其在军网安全中的应用

郭仁东

摘要：随着计算机技术的发展，传统防火墙越来越不能满足计算机网络安全的要求，新兴的分布式防火墙有着传统防火墙的优点，同时也克服了传统防火墙的缺陷，而在许多领域得到广泛应用，其在军网安全中应用更是引起人们的注意。该文将主要从分布式防火墙的概念及其体系结构入手，具体分析军网安全中分布式防火墙的应用问题。

关键词：分布式防火墙；军网安全；边界防火墙

中图分类号：TP393文献标识码：A文章编号：1009-3044（2012）30-7154-02

传统防火墙主要是在内部网跟外部网中设置一个屏障，对内部网和外部网之间的存取情况进行控制，从而使内外网络的安全风险大大降低。传统防火墙主要是以受控入点和受限拓扑的为出发点，假设在防火墙内部有着非常信赖的许多主机，假设防火墙外部所有的访问都具有攻击性和潜在性的。而对于防火墙内部网络中所出现的攻击或者问题却没有防御性。经过相关实验研究发现，几乎百分之八十以上的攻击都来自防火墙内部网络。可见，传统防火墙所存在的内部缺陷使得其没有防范来自内部网络的威胁，这些威胁也随着防火墙网络拓扑结构而不断的拓展和扩大化，从而导致传统防火墙越来越不能满足计算机网络安全的要求。从而出现了一种新型的防火墙技术，即本文要讨论的分布式防火墙。分布式防火墙有着传统防火墙的优点，同时也克服了传统防火墙的缺陷，而在许多领域得到广泛应用，其在军网安全中应用更是引起人们的注意。

1 分布式防火墙概述

分布式防火墙是在继承了传统防火墙优点和克服传统防火墙的缺点而发展出来的一种新的防火墙技术，分布式防火墙主要包括中心策略服务器、主机防火墙和网络防火墙三个组成部分。主机防火墙主要是对网络中的桌面系统和服务器进行防护；网络防火墙主要在外部网和内部网之间进行设配置，或者是在各个内部子网之间进行配置，以实现防护功能；其中主机的物理位置可以配置在军网的内部网中，也可以在军网的外部网中进行配置。分布式防火墙技术的主要目的是保护主机，不管主机以外的任何网络是内部网或是外部网，其都将被防火墙认为不可靠因素而被防御，从而使得防火墙能针对主机上所进行的相关应用或服务设计专业性非常强的安全防护策略。同时，通过分布式防火墙的监测，可以将所有跟主机相关的数据包进行检查，确保主机上任何一条数据的安全。其除了对PC机进行安全保护之外，也控制着PC机的对外交流，随时对PC机及其网络进行监控和安全保护。

2 分布式防火墙的体系结构

分布式防火墙主要是由以下三各部分所组成，即中心策略服务器、主机防火墙和网络防火墙。由于主机防火墙可以让那些安全策略不但能在网络跟网络之间，同时还将其延伸到其他的各个网络末端，从根本上改变过去单一接入的局限，使防火墙除了能对内网的主机进行保护之外，还可对外网的主机进行保护，从而使整个网络系统的性能得到了提升。

2.1 网络防火墙

网络防火墙主要是配置在军网跟外部互联网之间，一般采取的是纯软件的方式进行防护，跟传统的边界防火墙没有什么区别。其首先对所有的数据包进行全部过滤，从而实现对内部网络的安全防护，以使主机防火墙和中心策略服务器的压力和负担大大降低。网络防火墙可谓分布式防火墙的第一道墙，是主机防火墙和中心策略服务器的外围保护栏。

2.2 主机防火墙

网络防火墙是配置在内部网和外部网之间，主机防火墙却是配置在内部网络中的终端主机上，主要是用来保护策略的顺利实施。主机防火墙主要的任务是对网络中的桌面系统及服务器进行安全保护，而这些被保护主机的物理位置却或者在军网内部，或者在军网外部，不管其存在于哪里，主机防火墙都能通过硬件和软件方式来保护主机的安全。同时，为了彻底解决操作系统中可能存在的漏洞以及其自身的安全监测问题，主机防火墙通过在操作系统中嵌入了安全监测引擎，使所有的数据包经过主机防火墙检查后方能进入到操作系统，防止一切安全隐患的进入，确保操作系统的安全稳定性。

2.3 中心策略服务器

分布式防火墙的第三个重要组成部分就是中心管理服务器，中心管理服务器主要是用来指定和管理安全策略，并对安全策略进行分发，在分发后再对其进行日志汇总及分析，从而整理成安全报告汇报于管理员，以方便管理员做出有效的、针对性较强的、科学和理性的决策。可见，中心策略顾名思义是分布式防火墙技术的核心特征，其对分布式防火墙是至关重要的。有了中心策略服务器，使得分布式防火墙再也不依赖防火墙网络的拓扑结构，再不局限于物理位置必须在一定范围内的要求，无论是拓扑内还是拓扑外结构，无论是远程还是近距离的计算机及其网络，都能通过中心策略服务器的监控和安全防护。

3 分布式防火墙在军网安全中的应用

分布式防火墙相对于传统的边界防火墙有着明显的优势，从而使得其能在社会上得到广泛的应用，也被军网的建设和保护所应用，得到了最广泛的重视。下面主要介绍下分布式防火墙在军网安全中的应用技术。

3.1 军网分布式防火墙的逻辑结构

由于分布式防火墙都是针对各个主机设计不同的策略的，对于军网中所有服务器，管理员都要单独制定安全策略。因此，军网分布式防火墙也是根据军队的行政隶属关系来设计安全策略。下图1是军网各隶属关系的防火墙域。

正是由于军网中各隶属关系的存在，使得集团军中存在着许多小单位或者部门，而这些单位或者部门的物理位置是不同的，因此，分布式防火墙将会根据不同物理位置的主机设定一个安全策略，从而有利于分布式防火墙的监控和管理。分布式防火墙的这种安全策略制定的逻辑结构如下图2。

3.2 军网分布式防火墙安全策略的制定和分发

军网分布式防火墙安全策略的制定非常重要，它是整个军网安全的钥匙库、证书库和策略库，主要负责对策略进行假设、实验、制定、验证等功能，策略形成的这些过程都是非常严谨的，因为军网不像一般企业或者单位的网络，一旦遭受攻击将面对着毁灭性地打击，其所造成的影响和损失将是巨大的。因此，军网分布式防火墙往往采用多节点多实施防火墙的监控和防护，以保证军网各主机或者服务器收到多级的保护。同样的，对于策略的分发也非常重要，其一般采取两种机制进行分发，一种是通过策略服务器进行推送，一种是通过主机主动进行索取。这两种方法在实施过程中都要严格按照防火墙自身安全策略进行。

3.3 军网分布式防火墙的加密认证

在军网建设中，通过分布式防火墙来确保军网系统的安全，但同样的首先得保证防火墙自身的安全性。军网分布式防火墙自身的安全相对于任何安全问题都重要。因此，必须加强军网分布式防火墙的加密认证机制的建设。在军网分布式防火墙的安全上，一般是通过IPSec强认证方法对主机跟策略服务器之间的通信进行加密和管理，从而防止可能出现的IP地址欺骗现象。这种认证方法目前在军网安全上已得到认可，现已被广泛应用到许多的网络平台上。

4 结束语

综上所述，分布式防火墙有着传统防火墙的优点，同时也克服了传统防火墙的缺陷，现已在军网安全建设中得到广泛的应用。其在“逻辑结构的设计、安全策略的制定和分发和防火墙的加密认证”上显得尤为突出。

参考文献：

[1] 王海燕，张华贵.浅析网络安全中的防火墙技术[J].电脑知识与技术，2010（5）.

[2] 韩彬.防火墙技术在网络安全中的实际应用[J].科技资讯，2011（1）.

[3] 邓安远，胡慧.一种基于智能分布式防火墙的军网安全模型[J].商场现代化，2009（9）.

[4] 芦鸿雁.防火墙技术浅析[J].信息与电脑，2011（3）.