综合起来这种新的防火墙技术具有以下几个主要特点: (1). 主机驻留 这种分布式防火墙的最主要特点就是采用主机驻留方式,所以称之为"主机防火墙"(传统边界防火墙通常称之为"网络防火墙")。它的重要特征是驻留在被保护的主机上,该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是,使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。 (2). 嵌入操作系统内核 这主要是针对目前的纯软件式分布式防火墙来说的.操作系统自身存在许多安全漏洞目前是众所周知的,运行在其上的应用软件无一不受到威,。分布式主机防火墙也运行在主机上,所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制,除防火墙厂商自身的开发技术外,与操作系统厂商的技术合作也是必要的条件,因为这需要一些操作系统不公开内部技术接口。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约,存在着明显的安全隐患。 (3). 类似于个人防火墙 个人防火墙是一种软件防火墙产品,它是用来保护单一主机系统的。分布式防火墙与个人防火墙有相似之处,如都是对应个人系统。但它们之间又有着本质上的差别。 首先它们管理方式迥然不同,个人防火墙的安全策略由系统使用者自己设置,全面功能和管理都在本机上实现,它的目标是防止主机以外的任何外部用户攻击;而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置,除了对该桌面机起到保护作用外,也可以对该桌面机的对外访问加以控制,并且这种安全机制是桌面机的使用者不可见和不可改动的。 其次,不同于个人防火墙是单纯的直接面向个人用户,针对桌面应用的主机防火墙是面向企业级客户的,它与分布式防火墙其它产品共同构成一个企业级应用方案,形成一个安全策略中心统一管理,所以它在一定程度上也面对整个网络。它是整个安全防护系统中不可分割的一部分,整个系统的安全检查机制分散布置在整个分布式防火墙体系中。 (4)适用于服务器托管 互联网和电子商务的发展促进了互联网数据中心(IDC)的迅速崛起,其主要业务之一就是服务器托管服务。对服务器托管用户而言,该服务器逻辑上是其企业网的一部分,只不过物理上不在企业内部。对于这种应用,边界防火墙解决方案就显得比较牵强附会。我们在前面介绍了,对于这类用户,他们通常所采用的防火墙方案是采用虚拟防火墙方案,但这种配置相当复杂,非一般网管人员能胜任。而针对服务器的主机防火墙解决方案则是其一个典型应用。对于纯软件式的分布式防火墙则用户只需在该服务器上安装上主机防火墙软件,并根据该服务器的应用设置安全策略即可,并可以利用中心管理软件对该服务器进行远程监控,不需任何额外租用新的空间放置边界防火墙。对于硬件式的分布式防火墙因其通常采用PCI卡式的,通常兼顾网卡作用,所以可以直接插在服务器机箱里面,也就无需单独的空间托管费了,对于企业来说更加实惠。 3. 分布式防火墙的主要优势 在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。主要优势如下: (1)增强的系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。 在传统边界式防火墙应用中,企业内部网络非常容易受到有目的的攻击,一旦已经接入了企业局域网的某台计算机,并获得这台计算机的控制权,他们便可以利用这台机器作为入侵其他系统的跳板。而最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器PC上。分布于整个公司内的分布式防火墙使用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能,用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共帐号登录网络的用户无法进入那些限制访问的计算机系统。针对边界式防火墙对内部网络安全性防范的不足, 另外,由于分布式防火墙使用了IP安全协议,能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信,使各主机之间的通信得到了很好的保护。所以分布式防火墙有能力防止各种类型的被动和主动攻击。特别在当我们使用IP安全协议中的密码凭证来标志内部主机时,基于这些标志的策略对主机来说无疑更具可信性。 (2)提高了系统性能:消除了结构性瓶颈问题,提高了系统性能。 传统防火墙由于拥有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。虽然目前也有这方面的研究并提供了一些相应的解决方案,从网络性能角度来说,自适应防火墙是一种在性能和安全之间寻求平衡的方案;从网络可靠性角度来说,采用多个防火墙冗余也是一种可行的方案,但是它们不仅引入了很多复杂性,而且并没有从根本上解决该问题。分布式防火墙则从根本上去除了单一的接入点,而使这一问题迎刃而解。另一方面分布式防火墙可以针对各个服务器及终端计算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,如此便可在保障网络安全的前提下大大提高网络运转效率。 (3)系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。 因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住。而不会象边界式防火墙一样随着网络规模的增大而不堪重负。 (4)实施主机策略:对网络中的各节点可以起到更安全的防护。 现在防火墙大多缺乏对主机意图的了解,通常只能根据数据包的外在特性来进行过滤控制。虽然代理型防火墙能够解决该问题,但它需要对每一种协议单独地编写代码,其局限性也显而易见的。在没有上下文的情况下,防火墙是很难将攻击包从合法的数据包中区分出来的,因而也就无法实施过滤。事实上,攻击者很容易伪装成合法包发动攻击,攻击包除了内容以外的部分可以完全与合法包一样。分布式防火墙由主机来实施策略控制,毫无疑问主机对自己的意图有足够的了解,所以分布式防火墙依赖主机作出合适的决定就能很自然地解决这一问题。 (5)应用更为广泛,支持VPN通信 其实分布式防火墙最重要的优势在于,它能够保护物理拓朴上不属于内部网络,但位于逻辑上的"内部"网络的那些主机,这种需求随着VPN的发展越来越多。对这个问题的传统处理方法是将远程"内部"主机和外部主机的通信依然通过防火墙隔离来控制接入,而远程"内部"主机和防火墙之间采用"隧道"技术保证安全性,这种方法使原本可以直接通信的双方必须绕经防火墙,不仅效率低而且增加了防火墙过滤规则设置的难度。与之相反,分布式防火墙的建立本身就是基本逻辑网络的概念,因此对它而言,远程"内部"主机与物理上的内部主机没有任何区别,它从根本上防止了这种情况的发生。 4. 分布式防火墙的主要功能 上面介绍了分布式防火墙的特点和优势,那么到底这种防火墙具备哪些功能呢?因为采用了软件形式(有的采用了软件+硬件形式),所以功能配置更加灵活,具备充分的智能管理能力,总的来说可以体现在以下几个方面: (1)Inte.net访问控制 依据工作站名称、设备指纹等属性,使用"Internet访问规则",控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站/用户达到规定流量后确定是否断网。 (2)应用访问控制 通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/Internet的应用服务请求,如SQL数据库访问、IPX协议访问等。 (3)网络状态监控 实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。 (4)黑客攻击的防御 抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。 (5)日志管理 对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。 (6)系统工具 包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。(完)
防火墙概述及技术发展趋势
2. 分布式防火墙的主要特点