分布式防火墻的淺析與探究

楊青華

摘要：防火墻是用來(lái)解決網(wǎng)絡(luò)空間安全問(wèn)題的主要手段，針對(duì)不同的網(wǎng)絡(luò)安全需要選擇不同的防火墻。一些企業(yè)和商家在選擇防火墻方面處于矛盾狀態(tài)。而分布式防火墻在使用過(guò)程中存在一定的弊端，但是它可以達(dá)到內(nèi)外兼防的防護(hù)效果，通過(guò)分析分布式防火墻和普通防火墻的區(qū)別讓企業(yè)和商家更好地選擇使用合適的防火墻，探究分布式防火墻面臨的困境和瓶頸等問(wèn)題。

關(guān)鍵詞：邊界防火墻;策略語(yǔ)言;DDoS;瓶頸;防護(hù)

中圖分類(lèi)號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）21-0056-02

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展 ，網(wǎng)絡(luò)空間安全在現(xiàn)實(shí)工作和生活中起著至關(guān)重要的作用。在防火墻類(lèi)別中分布式防火墻從管理機(jī)制到體系架構(gòu)再到網(wǎng)絡(luò)傳輸控制中存在很大的優(yōu)勢(shì)和特點(diǎn)，在網(wǎng)絡(luò)空間安全中，分布式防火墻可以達(dá)到任何分界點(diǎn)和連接節(jié)點(diǎn)處設(shè)置保護(hù)屏障，形成一個(gè)多層次、多重協(xié)議，內(nèi)外兼防的全方位安全防護(hù)體系，達(dá)到很好的防護(hù)效果。

1 分布式防火墻實(shí)現(xiàn)方式

分布式防火墻是通過(guò)各個(gè)分布的相關(guān)節(jié)點(diǎn)來(lái)實(shí)施、實(shí)現(xiàn)這些策略，主要依賴(lài)于策略語(yǔ)言、系統(tǒng)管理工具、IP網(wǎng)絡(luò)安全協(xié)議[1]等。

（1）策略語(yǔ)言

策略語(yǔ)言它的分類(lèi)比較多，在使用語(yǔ)言時(shí)要盡可能達(dá)到能夠方便地表達(dá)自己所需要的策略，這樣選擇的目的是如何正確地標(biāo)識(shí)內(nèi)部主機(jī)[1]。傳統(tǒng)的防火墻達(dá)不到這個(gè)效果。其次我們?cè)跇?biāo)識(shí)的時(shí)候只能用I P地址安全協(xié)議中的密碼來(lái)進(jìn)行標(biāo)識(shí)使用中的各臺(tái)主機(jī)，那么這樣就可以得到一個(gè)可靠的、唯一的標(biāo)識(shí)來(lái)躲避網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)存在這個(gè)問(wèn)題。

（2）系統(tǒng)中使用的管理工具

在系統(tǒng)使用過(guò)程中，分布式防火墻所使用的服務(wù)器系統(tǒng)的管理工具將形成的管理策略文件分別分發(fā)給被防火墻進(jìn)行安全保護(hù)的所有主機(jī)，這時(shí)我們所指的防火墻并不是我們所想的傳統(tǒng)的意義上的邊界式一般防火墻，它是這篇文章所特別強(qiáng)調(diào)的邏輯上的分布式防火墻[2]。只有選擇這樣的防火墻在網(wǎng)絡(luò)完成數(shù)據(jù)在傳輸過(guò)程中對(duì)傳輸數(shù)據(jù)中捆綁的病毒或不安全代碼起到更好的過(guò)濾和防護(hù)。

（3）IP協(xié)議相關(guān)的安全

在網(wǎng)絡(luò)傳輸過(guò)程中IP協(xié)議的安全，是網(wǎng)絡(luò)層加密的一種很好的保護(hù)機(jī)制，常見(jiàn)的有這樣幾種如：AH、ESP和IKE等，它們分別對(duì)I P內(nèi)相關(guān)的整個(gè)數(shù)據(jù)進(jìn)行校驗(yàn)認(rèn)證，校驗(yàn)認(rèn)證的目的就是實(shí)現(xiàn)密鑰的交換，這樣可以有效地防止特別是internet（因特網(wǎng)）上的一些主動(dòng)攻擊[1]。

分布式防火墻首先由它本身的接入控制策略的中心，其次就是通過(guò)編譯器將相關(guān)控制的策略語(yǔ)言進(jìn)行簡(jiǎn)單的描述從而轉(zhuǎn)換成可識(shí)別的內(nèi)部固定格式，從而來(lái)形成相關(guān)防火墻的策略文件，最后控制中心采用相關(guān)所需要的相關(guān)系統(tǒng)管理工具把相關(guān)的所需策略文件分別分發(fā)給每臺(tái)“內(nèi)部”的服務(wù)主機(jī)，“內(nèi)部”服務(wù)相關(guān)的主機(jī)。服務(wù)的主機(jī)從兩個(gè)方面研判是否接收數(shù)據(jù)和指令，一個(gè)方面是根據(jù)相關(guān)符合要求的I P安全協(xié)議;第二個(gè)方面是根據(jù)服務(wù)器端所需遵循的相關(guān)策略文件。

2 分布式防火墻的體系結(jié)構(gòu)

在使用過(guò)程中，分布式防火墻它的主要“責(zé)任”是負(fù)責(zé)整個(gè)網(wǎng)絡(luò)下面的邊界以及所屬的各個(gè)子網(wǎng)、網(wǎng)絡(luò)的各個(gè)內(nèi)部各個(gè)節(jié)點(diǎn)相關(guān)一系列的安全和防護(hù)，下面簡(jiǎn)單看下分布式防火墻的整體的體系結(jié)構(gòu)包含如下幾個(gè)部分（見(jiàn)圖1）：

（1）網(wǎng)絡(luò)防火墻（Network Firewall）

一般所使用的防火墻是簡(jiǎn)單地用于內(nèi)部網(wǎng)和連接的外部網(wǎng)（因特網(wǎng)）之間以及所有內(nèi)部網(wǎng)的防護(hù)。在防護(hù)和使用過(guò)程中功能上與邊界式防火墻所使用的基本一致，但是邊界式防火墻在使用過(guò)程中增加了一種用于對(duì)內(nèi)部子網(wǎng)之間的安全防護(hù)層，從而是整個(gè)網(wǎng)絡(luò)的安全系數(shù)提高，在功能方面更加全面、可靠[1]。

（2）主機(jī)防火墻（Host Firewall）

從網(wǎng)絡(luò)防火墻中的主機(jī)防火墻可以看出它的功能主要是負(fù)責(zé)相關(guān)一些策略的實(shí)施。它的主要功能是對(duì)當(dāng)前服務(wù)器和相關(guān)的桌面系統(tǒng)進(jìn)行保護(hù)和防護(hù)。這種防護(hù)功能在邊界防火墻中是一個(gè)彌補(bǔ)和完善。在使用過(guò)程中也不可缺少的。

（3）托管服務(wù)器（Hosting）

服務(wù)器托管也是當(dāng)今IT界的一個(gè)新興職業(yè)，分布式防火墻的應(yīng)用完全可以實(shí)現(xiàn)用戶(hù)在服務(wù)器（主機(jī)）上安裝防火墻軟件，并根據(jù)相關(guān)的設(shè)置，設(shè)置好需要策略利用設(shè)置好的服務(wù)器安裝上中心管理軟件從而對(duì)該服務(wù)器進(jìn)行遠(yuǎn)程操作即可，不需額外租用服務(wù)器空間安裝或放置另外的防護(hù)設(shè)置或安裝新的邊界防火墻。

（4）中心管理系統(tǒng)（Central Managerment System）

在使用分布式防火墻的時(shí)候，它需要配備管理器軟件，而軟件管理的主要目的是負(fù)責(zé)總體安全。中心管理策略的功能主要分這樣幾部分：策劃→管理→分發(fā)→日志的匯總等[2]。它的管理是智能的從而可以提高分布式防火墻的靈活性、高效可控的管理性。

3 分布式防火墻能得到廣泛使用的必要性

新零售模式的電商企業(yè)大多處于相對(duì)非常開(kāi)放的網(wǎng)絡(luò)環(huán)境中，它的互聯(lián)互通已經(jīng)不再存在邊界，所以增強(qiáng)企業(yè)信息安全和數(shù)據(jù)防護(hù)成為一個(gè)疑難問(wèn)題。

企業(yè)間既要對(duì)產(chǎn)品和品牌的影響力進(jìn)行宣傳交流互通，這種數(shù)據(jù)資源不但要對(duì)自己企業(yè)的客戶(hù)、相關(guān)企業(yè)的合作伙伴、本企業(yè)的在職員工甚至不相干的任何感興趣的人員都需要進(jìn)行共享開(kāi)放。所有這些資源的共享一定會(huì)給網(wǎng)絡(luò)空間帶極大的安全問(wèn)題。針對(duì)這種情況分布式防火墻用兩個(gè)不同的安全策略來(lái)進(jìn)行安全防護(hù)：一、用戶(hù)完全可以完成遠(yuǎn)程終端控制來(lái)實(shí)現(xiàn)安全防護(hù)，杜絕黑客攻擊到企業(yè)內(nèi)部。二、在網(wǎng)絡(luò)傳輸過(guò)程中他可以對(duì)關(guān)鍵服務(wù)器進(jìn)行過(guò)濾保護(hù)不受惡意代碼的侵入，還可以對(duì)類(lèi)似的文件數(shù)據(jù)代碼監(jiān)視，最大化地杜絕這些數(shù)據(jù)代碼對(duì)企業(yè)服務(wù)器的相關(guān)設(shè)置進(jìn)行篡改和攻擊。