分布式防火墻技術(shù)在企業(yè)內(nèi)聯(lián)網(wǎng)中的應(yīng)用

李研

【摘要】分布式防火墻代表新一代防火墻技術(shù)的潮流，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點(diǎn)處設(shè)置屏障，從而形成了一個(gè)多層次、多協(xié)議，內(nèi)外皆防的全方位安全體系。分布式防火墻具有許多傳統(tǒng)邊界防火墻所無法比擬的優(yōu)勢(shì)，在企業(yè)內(nèi)聯(lián)網(wǎng)中有著非常廣泛和重要的應(yīng)用。

【關(guān)鍵詞】分布式防火墻 網(wǎng)絡(luò)安全 應(yīng)用

【中圖分類號(hào)】TP393.08 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2013）01—0138-01

0 引言

近幾年來，隨著互聯(lián)網(wǎng)應(yīng)用的飛速發(fā)展，許多政府機(jī)構(gòu)、企事業(yè)單位及各類學(xué)校都紛紛建成了諸如城域網(wǎng)、企業(yè)網(wǎng)、校園網(wǎng)等內(nèi)部互聯(lián)網(wǎng)。但人們?cè)谙硎芫W(wǎng)絡(luò)帶來的諸多便利的同時(shí)，也正在面臨著日益嚴(yán)重的網(wǎng)絡(luò)安全問題。能否確保內(nèi)部網(wǎng)不被來自網(wǎng)內(nèi)外的用戶非法登陸及惡意攻擊，使政務(wù)、商務(wù)等信息系統(tǒng)能正常運(yùn)行，將成為影響企業(yè)利益、國(guó)家安全和社會(huì)穩(wěn)定的重要因素。因此，作為新一代的網(wǎng)絡(luò)安全技術(shù)，分布式防火墻技術(shù)已應(yīng)運(yùn)而生，并逐漸取代傳統(tǒng)防火墻技術(shù)，成為目前網(wǎng)絡(luò)安全應(yīng)用的主流。

1 分布式防火墻技術(shù)的主要優(yōu)勢(shì)

1.1 增強(qiáng)的系統(tǒng)安全性

分布式防火墻增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)來自網(wǎng)絡(luò)內(nèi)部的攻擊防范，可以實(shí)施全方位的安全策略。

1.2 提高了系統(tǒng)性能

傳統(tǒng)防火墻由于具有單一的接入控制點(diǎn)，無論對(duì)網(wǎng)絡(luò)的性能還是對(duì)網(wǎng)絡(luò)的可靠性都有不利的影響。分布式防火墻則從根本上拋棄了單一的接入點(diǎn)，而使這一問題迎刃而解。另一方面，分布式防火墻可以針對(duì)各個(gè)服務(wù)器及終端計(jì)算機(jī)的不同需要，對(duì)防火墻進(jìn)行最佳配置，配置時(shí)能夠充分考慮到這些主機(jī)上運(yùn)行的應(yīng)用，如此便可在保障網(wǎng)絡(luò)安全的前提下大大提高網(wǎng)絡(luò)運(yùn)行效率。

1.3 系統(tǒng)的可擴(kuò)展性

因?yàn)榉植际椒阑饓Ψ植荚谡麄€(gè)企業(yè)的網(wǎng)絡(luò)或服務(wù)器中，所以它具有無限制的擴(kuò)展能力。隨著網(wǎng)絡(luò)的增長(zhǎng)，它們的處理負(fù)荷也在網(wǎng)絡(luò)中進(jìn)一步分布，因此它們的高性能可以持續(xù)保持住。而不會(huì)像邊界式防火墻一樣隨著網(wǎng)絡(luò)規(guī)模的增大而不堪重負(fù)。

1.4 實(shí)施主機(jī)策略

傳統(tǒng)防火墻大多缺乏對(duì)主機(jī)意圖的了解，通常只能根據(jù)數(shù)據(jù)包的外在特性來進(jìn)行過濾控制。雖然代理型防火墻能夠解決該問題，但它需要對(duì)每一種協(xié)議單獨(dú)地編寫代碼，其局限性也是顯而易見的。在沒有上下文的情況下，防火墻是很難將攻擊包從合法的數(shù)據(jù)包中區(qū)分出來的，因而也就無法實(shí)施過濾。分布式防火墻由主機(jī)來實(shí)施策略控制，毫無疑問主機(jī)對(duì)自己的意圖有足夠的了解，所以分布式防火墻依賴主機(jī)作出合適的決定就能很自然地解決這一問題，對(duì)網(wǎng)絡(luò)中的各節(jié)點(diǎn)可以起到更安全的防護(hù)。

1.5 支持VPN通信

分布式防火墻最重要的優(yōu)勢(shì)在于它能夠保護(hù)物理拓?fù)渖喜粚儆趦?nèi)部網(wǎng)絡(luò)，但位于邏輯上的“內(nèi)部”網(wǎng)絡(luò)的那些主機(jī)，這種需求隨著VPN的發(fā)展越來越多。對(duì)這個(gè)問題的傳統(tǒng)處理方法是將遠(yuǎn)程“內(nèi)部”主機(jī)和外部主機(jī)的通信依然通過防火墻隔離來控制接人，而遠(yuǎn)程“內(nèi)部”主機(jī)和防火墻之間采用“隧道”技術(shù)保證安全性。這種方法使原本可以直接通信的雙方必須經(jīng)過防火墻，不僅效率低而且增加了防火墻過濾規(guī)則設(shè)置的難度。與此相反，分布式防火墻從根本上防止了這種情況的發(fā)生，因?yàn)樗旧砭褪腔谶壿嬀W(wǎng)絡(luò)的概念，對(duì)它而言，遠(yuǎn)程“內(nèi)部”主機(jī)與物理上的內(nèi)部主機(jī)沒有任何區(qū)別。

2 分布式防火墻技術(shù)的應(yīng)用

2.1 利用分布式防火墻查殺病毒

企業(yè)級(jí)防火墻作為企業(yè)網(wǎng)絡(luò)安全的“門神”，有著不可替代的作用。但實(shí)踐證明，企業(yè)級(jí)防火墻也不能令人完全滿意。與企業(yè)級(jí)防火墻相比，個(gè)人防火墻（主機(jī)防火墻）可以有效地阻止內(nèi)部網(wǎng)絡(luò)攻擊，并且由于防護(hù)節(jié)點(diǎn)在主機(jī)，可以大大減輕對(duì)網(wǎng)絡(luò)帶寬和資源的影響。但個(gè)人防火墻在企業(yè)網(wǎng)絡(luò)中的應(yīng)用和防病毒軟件的應(yīng)用一樣面臨管理的問題，沒有統(tǒng)一整體的管理，個(gè)人防火墻也不會(huì)起到應(yīng)有的作用。

分布式防火墻技術(shù)的出現(xiàn)，有效地解決了這一問題。以北京安軟天地科技的EVERLINK分布式防火墻為例，它不僅提供了個(gè)人防火墻、入侵檢測(cè)、腳本過濾和應(yīng)用程序訪問控制等功能，最主要的是提供了中央管理功能。利用EVERLINK分布式防火墻中央管理器，可以對(duì)網(wǎng)絡(luò)內(nèi)每臺(tái)計(jì)算機(jī)上的防火墻進(jìn)行配置、管理和更新，從宏觀上對(duì)整個(gè)網(wǎng)絡(luò)的防火墻進(jìn)行控制和管理。這種管理可以在企業(yè)內(nèi)部網(wǎng)中進(jìn)行，也可以通過Iternet實(shí)現(xiàn)遠(yuǎn)程管理。另外，對(duì)于應(yīng)用較簡(jiǎn)單的局域網(wǎng)，網(wǎng)絡(luò)殺毒和分布式防火墻的組合是比較易于部署且維護(hù)方便的安全解決方案。

2.2 利用分布式防火墻堵住內(nèi)網(wǎng)漏洞

隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，傳統(tǒng)邊界防火墻逐漸暴露出一些弱點(diǎn)，具體表現(xiàn)在以下幾個(gè)方面。

（1）受網(wǎng)絡(luò)結(jié)構(gòu)限制邊界防火墻的工作機(jī)理依賴于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。隨著越來越多的用戶利用互聯(lián)網(wǎng)構(gòu)架跨地區(qū)企業(yè)網(wǎng)絡(luò)，移動(dòng)辦公和服務(wù)器托管日益普遍，加上電子商務(wù)要求商務(wù)伙伴之間在一定權(quán)限下可以彼此訪問，企業(yè)內(nèi)部網(wǎng)和網(wǎng)絡(luò)邊界逐漸成為邏輯上的概念，邊界防火墻的應(yīng)用也受到越來越多的限制。

（2）內(nèi)部不夠安全邊界防火墻設(shè)置安全策略是基于這樣一個(gè)基本假設(shè)：企業(yè)網(wǎng)外部的人都是不可信的，而企業(yè)網(wǎng)內(nèi)部的人都是可信的。事實(shí)上，接近80%的攻擊和越權(quán)訪問來自于企業(yè)網(wǎng)內(nèi)部，邊界防火墻對(duì)于來自企業(yè)網(wǎng)內(nèi)部的攻擊顯得力不從心。分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為不“友好”的。它們對(duì)個(gè)人計(jì)算機(jī)進(jìn)行保護(hù)的方式如同邊界防火墻對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行保護(hù)一樣。對(duì)于Web服務(wù)器來說，分布式防火墻進(jìn)行配置后能夠阻止一些不必要的協(xié)議通過，從而阻止了非法入侵的發(fā)生。

（3）效率不高與故障點(diǎn)多邊界防火墻把檢查機(jī)制集中在網(wǎng)絡(luò)邊界的單點(diǎn)上，由此造成網(wǎng)絡(luò)訪問瓶頸，并使得用戶在選擇防火墻產(chǎn)品時(shí)首先考慮檢測(cè)效率，其次才是安全機(jī)制。安全策略過于復(fù)雜也進(jìn)一步降低了邊界防火墻的效率。

針對(duì)傳統(tǒng)邊界防火墻存在的缺陷，專家提出了分布式防火墻方案。該方案能有效地消除前面提到的各種內(nèi)網(wǎng)漏洞。正是由于分布式防火墻這種優(yōu)越的安全防護(hù)體系，并且符合未來的發(fā)展趨勢(shì)，所以使得這一技術(shù)剛出現(xiàn)便為許多用戶所接受，成為目前公認(rèn)的最有效的網(wǎng)絡(luò)安全解決方案。

3 結(jié)束語

防火墻技術(shù)從邊界防火墻逐漸演變到主機(jī)防火墻、分布式防火墻，并日益與IDS（入侵檢測(cè)系統(tǒng)）相融合，分布式防護(hù)的理念已逐漸被主流安全廠商所擁護(hù)，也逐步得到使用者的認(rèn)可。但大多數(shù)的企業(yè)網(wǎng)絡(luò)都非常復(fù)雜，要保護(hù)它們免受當(dāng)今難以捉摸且快速傳播的混合威脅，是一件非常不容易的事?！凹惺焦芾?、分布式防護(hù)”是近年來提出的一個(gè)新話題，它能真正解決高速網(wǎng)絡(luò)帶來的入侵檢測(cè)困難的問題。網(wǎng)絡(luò)安全技術(shù)未來的發(fā)展目標(biāo)，勢(shì)必是各種分布式安全模塊在統(tǒng)一的網(wǎng)絡(luò)管理軟件框架內(nèi)的融合，共同構(gòu)架起一個(gè)從內(nèi)到外、安全無處不在的大安全體系，使企業(yè)盡可能地全面保護(hù)自己的網(wǎng)絡(luò)信息安全。

參考文獻(xiàn)

[1]John Viga，Gary McGraw[美]，Building Secure Software[M]，北京：清華大學(xué)出版社，2003，160-162

[2]王偉，曹元大，分布式防火墻下主機(jī)防火墻Agent技術(shù)[J]，計(jì)算機(jī)工程，2004，30（8）

[3]葉丹，網(wǎng)絡(luò)安全實(shí)用技術(shù)[M]，北京：清華大學(xué)出版社，2003，85-86

[4]曹宇，分布式防火墻構(gòu)建網(wǎng)絡(luò)屏障[J]，網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004（2）

[5]王達(dá)，解讀分布式防火墻