因为传统的防火墙设置在网络边界,在内部企业网和外部互联网之间构成一个屏障,进 行网络存取控制,所以称为“边界式防火墙”(Perimeter Firewall)。随着计算机网络安全技术 的发展和用户对防火墙功能要求的不断提高,在目前传统的边界式防火墙基础上开发出了一种 新型防火墙,那就是“分布式防火墙”(Distributed Firewall)。它要负责对网络边界、各子网 和网络内部各节点之间的安全防护,所以分布式防火墙是一个完整的系统,而不是单一的产品。
3.4.1 分布式防火墙的体系结构
分布式防火墙的体系结构包含网络防火墙、主机防火墙、中心管理三个部分:
1.网络防火墙
网络防火墙(Network Firewall)功能上与传统的边界式防火墙类似,用于内部网与外部
网之间,以及内部网各子网之间的防护。与传统边界式防火墙相比,它多了一种用于对内部子 网之间的安全防护层,这样整个网络的安全防护体系就显得更加全面、可靠。这一部分可采用 纯软件方式实现,也可以提供相应的硬件支持。
2.主机防火墙
主机防火墙(Host Firewall)用于对网络中的服务器和桌面机进行防护。这也是传统边界 式防火墙所不具有的,也算是对传统边界式防火墙在安全体系方面的一个完善。它是作用在同 一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。这样防火墙的作用不 仅是用于内部与外部网之间的防护,还可应用于内部网各子网之间、同一内部子网工作站与服 务器之间。可以说达到了应用层的安全防护,比起网络层更加彻底。这一部分同样也有纯软件 和硬件两种产品。
3.中心管理
中心管理(Central Management):这是一个服务器软件,负责总体安全策略的策划、管理、
分发及日志的汇总,防火墙可以进行智能管理,提高了防火墙的安全防护灵活性。这是一种新 的防火墙管理功能,也是传统的边界式防火墙所不具有的。
分布式防火墙由中心管理定义策略,但由各个分布在网络中的端点实施这些制定的策略。
首先由制定防火墙接入控制策略的中心管理通过编译器将策略语言诉描述转换成内部格式,形 成策略文件;然后中心管理采用系统管理工具把策略文件分发给各台“内部”主机;“内部”
主机将从两方面来判定是否接受收到的包,一方面是根据 IP 安全协议,另一方面是根据服务 器端的策略文件。
3.4.2 分布式防火墙的特点
综合起来,分布式防火墙具有以下几个主要特点:
1.主机驻留
这种分布式防火墙的最主要特点就是采用主机驻留方式,所以也可称之为“主机防火墙”,
它的重要特征是驻留在被保护的主机(关键服务器、数据及工作站)上,该主机以外的网络不 管是处在网络内部还是网络外部都认为是不可信任的,因此可以针对该主机上运行的具体应用 和对外提供的服务设定针对性很强的安全策略。对于 Web 服务器来说,分布式防火墙进行配 置后能够阻止一些非必要的协议如 HTTP 和 HTTPS 之外的协议通过,从而阻止了非法入侵的 发生,同时还具有入侵检测及防护功能。
这一特点对分布式防火墙体系结构的突出贡献是,使安全策略不仅仅停留在网络与网络 之间,甚至把安全策略推广延伸到每个网络末端。
2.嵌入操作系统内核
这主要是针对目前的纯软件的分布式防火墙来说的。众所周知,操作系统自身存在许多 安全漏洞,运行在其上的应用软件无一不受到威胁。为了彻底堵住操作系统的漏洞,分布式防 火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,对所有的信息流 进行过滤与限制,无论是来自 Internet,还是来自内部网络,在把所有 IP 数据包进行检查后再 提交操作系统。为实现这样的运行机制,除防火墙厂商自身的开发技术外,与操作系统厂商的 技术合作也是必要的条件,因为这需要一些操作系统不公开的内部技术接口。不能实现这种运 行模式的分布式防火墙由于受到操作系统安全性的制约,存在着明显的安全隐患。
3.类似于个人防火墙
分布式防火墙针对桌面应用的主机防火墙与个人防火墙有相似之处,如它们都对应个人 系统,但其差别又是本质性的。首先它们管理方式迥然不同,个人防火墙的安全策略由系统使 用者自己设置,目标是防外部攻击,而针对桌面应用的主机防火墙的安全策略由整个系统的管 理员统一安排和设置,除了对该桌面机起到保护作用外,也可以对该桌面机的对外访问加以控 制,并且这种安全机制是桌面机的使用者不可见和不可改动的。其次,个人防火墙面向用户个 人,针对桌面应用的主机防火墙是面向企业级客户的,它与分布式防火墙其他产品共同构成一 个企业级应用方案,形成一个安全策略中心统一管理,安全检查机制分散布置的分布式防火墙 体系结构。
4.适用于服务器托管
互联网和电子商务的发展促进了互联网数据中心(DC)的迅速崛起,其主要业务之一就 是服务器托管服务。对服务器托管用户而言,该服务器逻辑上是其企业网的一部分,只不过物 理上不在企业内部,对于这种应用,边界防火墙解决方案就显得比较牵强附会,而分布式防火 墙解决方案则是一个典型应用。对于纯软件式的分布式防火墙则用户只需在该服务器上安装上 主机防火墙软件,并根据该服务器的应用设置安全策略即可,并可以利用中心管理软件对该服 务器进行远程监控,不需任何额外租用新的空间放置边界防火墙。对于硬件式的分布式防火墙 因其通常采用 PCI 卡式的,通常兼顾网卡作用,所以可以直接插在服务器机箱里面,也就无 需单独的空间托管费了,对于企业来说更加实惠。
在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的 任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。
分布式防火墙的优势主要体现在如下几个方面:
(1)增强系统的安全性。增加了针对主机的入侵检测和防护功能,加强了对内部攻击的 防范,可以实施全方位的安全策略。
在传统边界式防火墙应用中,内部网络非常容易受到有目的的攻击,一旦攻击者入侵了 企业局域网的某台计算机,并获得这台计算机的控制权,便可以利用这台计算机作为入侵其他 系统的跳板。而分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机 以及服务器上。凭借这种端到端的安全性能,分布式防火墙可以使企业避免发生由于某一台端 点系统的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共账号登录网络的用户无法 进入那些限制访问的计算机系统。另外,由于分布式防火墙使用了 IP 安全协议使各主机之间 的通信得到了很好的保护。所以分布式防火墙有能力防止各种类型的被动和主动攻击。特别在 当用户使用 IP 安全协议中的密码凭证来标志内部主机时,基于这些标志的策略对主机来说无 疑更具可信性。
(2)提高了系统性能。消除了结构性瓶颈问题,提高了系统性能。
传统防火墙由于拥有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不 利的影响。分布式防火墙不但从根本上去除了单一的接入点,还可以针对各个服务器及终端计 算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,可 在保障网络安全的前提下大大提高网络运转效率。
(3)系统的扩展性。分布式防火墙随系统扩充提供了安全防护无限扩充的能力。
(4)实施主机策略。对网络中的各节点可以起到更安全的防护。
(5)应用更为广泛,支持 VPN 通信。
分布式防火墙最重要的优势在于,它能够保护物理拓扑上不属于内部网络,但位于逻辑 上的“内部”网络的那些主机,这种需求随着 VPN 的发展越来越多。对这个问题的传统处理 方法是将远程“内部”主机和外部主机的通信依然通过防火墙隔离来控制接入,而远程“内部”
主机和防火墙之间采用“隧道”技术保证安全性,这种方法使原本可以直接通信的双方必须绕 经防火墙,不仅效率低而且增加了防火墙过滤规则设置的难度。与之相反,分布式防火墙的建 立本身就是基本逻辑网络的概念,因此对它而言,远程“内部”主机与物理上的内部主机没有 任何区别,它从根本上防止了这种情况的发生。