簡論分布式防火墻

羅躍華

中圖分類號：TP393.08文獻標識碼：A文章編號：1673-0992（2009）05-044-02

摘要：隨著Internet在全球的飛速發展，防火墻成為目前最重要的信息安全產品，然而，以邊界防御為中心的傳統防火墻如今卻很難實現安全性能和網絡性能之間的平衡。分布式防火墻的提出很大程度的改善了這種困境，實現了網絡的安全。

關鍵詞：邊界式；分布式；防火墻

防火墻能根據受保護的網絡的安全策略控制允許、拒絕、監測出入網絡的信息流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護，以防止發生不可預測的、潛在破壞性的侵入。

一、分布式防火墻的概念

傳統邊界式防火墻因存在許多不完善的地方，因此分布式防火墻應運而生。

1.邊界式防火墻存在的問題

傳統防火墻設置在內部企業網和外部網絡之間，構成一個屏障，進行網絡訪問控制，所以通常稱為邊界防火墻。邊界防火墻可以限制被保護企業內部網絡與外部網絡之間進行的信息傳遞和訪問等操作，它處于內、外部網絡的邊界，所有進、出的數據流量都必須通過防火墻來傳輸的。這就有效地保證了外部網絡的所有通信請求都能在防火墻中進行過濾。然而，傳統的邊界防火墻要求網絡對外的所有流量都經過防火墻，而且它基于一個基本假設：防火墻把一端的用戶看成是可信任的，而另一端的用戶則被作為潛在的攻擊者對待。這樣邊界防火墻會在流量從外部的互聯網進入內部局域網時進行過濾和審查。但是這并不能確保局域網內部的安全訪問。不僅在結構性上受限制，其內部也不夠安全，而且效率不高、故障點多。最后，邊界防火墻本身也存在著單點故障危險，一旦出現問題或被攻克，整個內部網絡將會完全暴露在外部攻擊者面前。

2.分布式防火墻的提出

由于傳統防火墻的缺陷不斷顯露，于是有人認為防火墻是與現代網絡的發展不相容的，并認為加密的廣泛使用可以廢除防火墻，也有人提出了對傳統防火墻進行改進的方案，如多重邊界防火墻，內部防火墻等，但這些方案都沒有從根本上擺脫拓撲依賴，因而也就不能消除傳統防火墻的固有缺陷，反而增加了網絡安全管理的難度。為了克服以上缺陷而又保留防火墻的優點，美國AT&T實驗室研究員Steven MBellovin在他的論文“分布式防火墻”中首次提出了分布式防火墻DistributedFirewall，DFW)的概念，給出了分布式防火墻的原型框架，奠定了分布式防火墻研究的基礎。

二、分布式防火墻的工作原理認知分布式防火墻的工作原理是進行一切研究的前提

1.分布式防火墻的基本原理

分布式防火墻打破了邊界防火墻對網絡拓撲的依賴關系，將內部網的概念由物理意義轉變成邏輯意義。在分布式防火墻系統中，每個主機節點都有一個標識該主機身份的證書，通常是一個與該節點所持有的公鑰相對應的數字證書，內部網絡服務器的存取控制授權根據請求客戶的數字證書來確定，而不再是由節點所處網絡的位置來決定。一般情況下由于證書不易偽造，并獨立于網絡拓撲結構， 所以只要擁有合法的證書，不管它處于物理上的內網還是外網都被分布式防火墻系統認為是“內部”用戶，這樣就徹底打破了傳統防火墻對網絡拓撲的依賴。由于在分布式放火墻系統中安全策略的執行被推向了網絡的邊緣——終端節點，這樣不僅保留了傳統防火墻的優點，同時又解決了傳統防火墻的問題。

2.分布式防火墻的功能

其一，Internet訪問控制。依據工作站名稱、設備指紋等屬性，使用“Internet訪問規則”，控制該工作站或工作站組在指定的時間段內是否允許、禁止訪問模板或Internet服務器。其二，應用訪問控制。通過對網絡通訊從鏈路層、網絡層、傳輸層、應用層基于源地址、目標地址、端口、協議的逐層包過濾與入侵監測，控制來自局域網、Internet的應用服務請求。其三，網絡狀態監控。實時動態報告當前網絡中所有的用戶登陸、Internet訪問、內網訪問、網絡入侵事件等信息。其四，黑客攻擊的防御。抵御包括surf拒絕服務攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等在內的近百種來自網絡內部以及來自Internet的黑客攻擊手段。其五，日志管理。對工作站協議規則日志、用戶登陸事件日志、用戶Internet訪問日志、指紋驗證規則日志、入侵檢測規則日志的記錄與查詢分析。

3.分布式防火墻的運作機制

分布式防火墻的運作公有四個步驟：第一，策略的制定和分發。在分布式防火墻系統中，策略是針對主機制定的。在制定策略之后通過策略管理中心“推送”和主機“索取”兩種機制分發到主機。第二，日志的收集。在分布式防火墻中，日志可以通過管理中心“定期采集”、主機“定期傳送”、主機“定量傳送”由主機傳送到管理中心。第三，策略實施。策略在管理中心統一制定，通過分發機制傳送到終端的主機防火墻，主機防火墻根據策略的配置在受保護主機上進行策略的實施。主機防火墻策略實施的有效性是分布式防火墻系統運行的基礎。第四，認證。在分布式防火墻系統中通常采用基于主機的認證方式，即根據IP地址進行認證。為了避免IP地址欺騙，可以采用一些強認證方法，例如Kerberos，X.509，IP Sec等。

三、分布式防火墻的運用

分布式防火墻在現實生活中的運用很廣泛，主要有以下幾點：

1.殺毒與防黑

分布式防火墻技術的出現，有效地解決了漏洞和病毒檢測這一問題。它不僅提供了個人防火墻、入侵檢測、腳本過濾和應用程序訪問控制等功能，最重要的是提供了中央管理功能。利用分布式防火墻中央管理器，可以對網絡內每臺計算機上的防火墻進行配置、管理和更新，從宏觀上對整個網絡的防火墻進行控制和管理。這種管理可以在企業內部網中進行，也可以通過Internet實現遠程管理。另外，對于應用較簡單的局域網，網絡殺毒和分布式防火墻的組合是比較易于部署且維護方便的安全解決方案。可以預見，分布式和網絡化是未來企業殺毒軟件和防火墻產品的特點，未來的病毒防護和防火墻技術將會更緊密地結合并覆蓋到網絡的每個節點，給網絡提供更“貼身”的保護。

2.保護內網

在傳統邊界式防火墻應用中，內部網絡非常容易受到有目的的攻擊，一旦已經接入了局域網的某臺計算機，并獲得這臺計算機的控制權，便可以利用這臺機器作為入侵其他系統的跳板。而最新的分布式防火墻將防火墻功能分布到各個子網、桌面系統、筆記本計算機以及服務器PC上，分布于整個網絡的分布式防火墻使用戶可以方便地訪問信息，而不會將網絡的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能，內各用戶通過內部網、外聯網、虛擬專用網遠程訪問實現與互聯。分布式防火墻使用了IP安全協議，能夠很好地識別在各種安全協議下的內部主機之間的端到端網絡通信，使各主機之間的通信得到很好的保護。所以分布式防火墻有能力防止各種類型的被動和主動攻擊。

3.構建網絡安全解決方案

分布式防火墻的網絡安全解決方案是在內部網絡的主服務器安裝上分布式防火墻產品的安全策略管理服務，設置組和用戶分別分配給相應的從服務器和PC機工作站，并配置相應安全策略。將客戶端防火墻安裝在內網和外網中的所有PC機工作站上，客戶端與安全策略管理服務器的連接采用SSL協議建立通信的安全通道，避免下載安全策略和日志通信的不安全性。同時客戶端防火墻的機器采用多層過濾、入侵檢測、日志記錄等手段，給主機的安全運行提供強有力的保證。作為業務延伸部分的遠程主機系統物理上不屬于內網，但是，在系統中邏輯上仍是內網主機，與內網主機的通信依然通過VPN技術和防火墻隔離來控制接入。

4.托管服務

互聯網和電子商務的發展促使互聯網數據中心(IDC)的迅速崛起，數據中心的主要業務之一就是提供服務器托管服務。對服務器托管用戶而言，該服務器在邏輯上是企業網的一部分，不過在物理上并不在企業網內部。對于這種應用，分布式防火墻就十分得心應手。用戶只需在托管服務器上安裝上防火墻軟件，并根據該服務器的應用設置安全策略，利用中心管理軟件對該服務器進行遠程監控即可。

參考文獻：

[1]王達.網絡基礎[M].北京：電子工業出版社.2004

[2]高永強等編著.網絡安全技術與應用大典[M].北京:人民郵電出版社.2003

[3]楊毅堅、肖德寶.基于Agent的分布式防火墻[J].數據通訊.2001.2

[4]李秉鍵.淺談分布式防火墻[J].網絡安全技術與應用,2005.11)

[5]彭志豪、李冠宇.分布式入侵檢測系統研究綜述[J].微電子學與計算機.2006