关键字:分布式防火墙安全管理
abstract: with the development of network technology and it, more and more people pay attention to the fire wall technology, and brought the distributed fire wall technology on the basis of defect about the tradition fire wall technology. the paper mainly discussed the principle structure and application of distributed fire wall technology.
keywords: distributed fire wall security management
一、分布式防火墙概述
1.传统防火墙的缺陷
(1)结构性限制:边界防火墙的工作机理依赖于网络的物理拓扑结构。但随着越来越多的企业利用互联网构架自己的跨地区网络,包括家庭移动办公和的服务器托管等越来越普遍,所谓内部企业网已经是一个逻辑的概念;另一方面,电子商务的应用要求商务伙伴之间在一定权限下进入到彼此的内部网络,所以说,企业网的边界已经是一个逻辑的边界物理的边界日趋模糊,边界防火墙的应用受到了愈来愈多的结构性限制。wwW.lw881.com
(2)内部安全:边界防火墙设置安全策略的一个基本假设是:网络的一边即外部的所有人是不可信任的,另一边即内部的所有人是可信任的。但在实际环境中,据统计,80%的攻击和越权访问来自与内部,也就是说,边界防火墙在对付网络安全的主要威胁内部威胁时束手无策。
(3)效率和故障:边界防火墙把检查机制集中在网络边界处的单点上,产生了网络的瓶颈问题,这也是目前防火墙用户在选择防火墙产品时不得不首先考察其检测效率而按前机制反在其次的原因。边界防火墙厂商也在不遗余力地提高防火墙单机处理能力甚至采用防火墙群集技术来解决这个边界防火墙固有的结构性瓶颈问题;另外,安全策略的复杂性也给效率问题雪上加霜,对边界防火墙来说,针对不同的应用和多样的系统要求,不得不经常在效率和可能冲突的安全策略之间权衡利害取得折中方案,产生了许多策略性的安全隐患;最后,边界防火墙本身也存在着单点故障危险,一旦出现问题或被攻克,整个内部网络完全暴露在外部攻击者面前。
2.分布式防火墙的优点
(1)增强的系统安全性
增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器pc上。分布于整个企业内的分布式防火墙使用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能,用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共账号登录网络的用户无法进入那些限制访问的计算机系统。另外,由于分布式防火墙使用了ip安全协议,能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信,使各主机之间的通信得到了很好的保护。所以分布式防火墙有能力防止各种类型的攻击。特别在当我们使用ip安全协议中的密码凭证来标志内部主机时,基于这些标志的策略对主机来说无疑更具可信性。
(2)提高了系统性能
消除了结构性瓶颈问题,提高了系统性能。传统防火墙由于拥有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙则从根本上去除了单一的接入点,而使这一问题迎刃而解。另一方面分布式防火墙可以针对各个服务器及终端计算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,如此便可在保障网络安全的前提下大大提高网络运转效率。
(3)系统的扩展性
分布式防火墙随系统扩充提供了安全防护无限扩充的能力。因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住,克服了传统防火墙因网络规模增大而不堪重负的弊端。
二、分布式防火墙的体系结构
1.网络防火墙
它是用于内部网与外部网之间,以及内部网各子网之间的防护产品。与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络间的安全防护体系就显得更加安全可靠。
2.主机防火墙
主机防火墙驻留在主机中,负责策略的实施。它对网络中的服务器和桌面机进行防护,这些主机的物理位置可能在内部网中,也可能在内部网外(如托管服务器或移动办公的便携机)。
(1)主机驻留。主机防火墙驻留在被保护的主机上。该主机以外的网络(内部网或外部网)都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务来设定针对性很强的安全策略。从而使安全策略从网络与网络之间推广延伸到每个网络末端。
(2)嵌入操作系统内核。由于操作系统自身存在许多安全漏洞。运行在其上的应用软件无一不受到威胁。主机防火墙也运行在该主机上,所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后再提交操作系统,以杜绝隐患。 论文网在线
(3)类似于个人防火墙。分布式针对桌而应用的主机防火墙与个人防火墙有相似之处,如它们都对应个人系统,但其差别又是本质性的。首先,管理方式不同,个人防火墙的安全策略由系统使用者自己设置,别人不能干涉,其目的是防外部攻击,主机防火墙的安全策略必须由管理员统一安排和设置,除了对该桌面机起到保护作用外,还可以对该桌面机的对外访问加以控制。其次,个人防火墙面向个人用户,主机防火墙则面向企业级客户。
3.中心管理
中心管理服务器负责安全策略的制定!管理!分发及日志的汇总,中心策略是分布式防火墙系统的核心和重要特征之一。一个良好的分布式防火墙系统策略管理模型,对于分布式防火墙系统而言是至关重要的。对于分布式防火端系统,由于在结构上不再依赖拓扑结构,因此系统的规模伸缩性很大。这就决定了分布式防火墙系统策略管理模型必须适应这一需求,所构造的系统必须具有良好的伸缩性。
1.分布式防火墙的主要功能
分布式防火墙大都采用软件形式(有的采用了软件+硬件形式),所以功能配置更加灵活,具备充分的智能管理能力,总的来说可以体现在以下几个方面:
(1)internet访问控制。依据工作站名称、设备指纹等属性,使用“internet访问规则”,控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的internetweb服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站/用户达到规定流量后确定是否断网。
(2)应用访问控制。通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/internet的应用服务请求,如sql数据库访问、ipx协议访问等。
(3)网络状态监控。实时动态报告当前网络中所有的用户登陆、internet访问、内网访问、网络入侵事件等信息。
(4)黑客攻击的防御。抵御包括smurf拒绝服务攻击、arp欺骗式攻击、ping攻击、trojan木马攻击等在内的近百种来自网络内部以及来自internet的黑客攻击手段。 论文网在线
(5)日志管理。对工作站协议规则日志、用户登陆事件日志、用户internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。
(6)系统工具。包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。
2.分布式防火墙构建网络安全解决方案的具体应用
一个典型的分布式防火墙系统一般由三部分组成:网络防火墙(networkfirewall),主机防火墙(hostfirewall)和中心策略服务器(centralpolicymanagement)。已的网络拓扑结构如图1所示。
在这里我们具体介绍分布式防火墙在托管服务中的应用。互联网和电子商务的发展促使互联网数据中心的迅速崛起,数据中心的主要业务之一就是提供服务器托管服务。对服务器托管用户而言,该服务器在逻辑上是企业网的一部分,不过在物理上并不在企业网内部。对于这种应用分布式防火墙就十分得心应手。用户只需在托管服务器上安装上防火墙软件,并根据该服务器的应用设置安全策略,利用中心管理软件对该服务器进行远程监控即可。具体体系结构如下图:
图中的公司a、b、c都是托管用户,这些用户都有不同数量的服务器在数据中心托管,服务器上也有不同的应用。如果托管用户希望把这些服务器的安全问题委托给数据中心专业的安全服务部门来负责,就可以与数据中心签定相应的安全服务保障合同。数据中心的安全服务部门在需提供安全服务的服务器上安装一套cyberwallplus-sv主机防火墙产品,并根据用户具体应用要求,设定的相应策略。对于安装了cyberwallplus-cm中心管理系统的管理终端,数据中心安全服务部门的技术人员可以对所有在数据中心委托安全服务的服务器的安全状况进行监控,并提供有关的安全日志记录。
参考文献:
[1]肖昌吉,周忠丽,邓文红.分布式防火墙原理及其技术研究中国民航飞行学院学报,2005
[2]王伟,曹元大.分布式防火墙关键技术研究[j].大连理工大学学报,2003
[3]王江峰,牟永敏,李美贵.基于的桥式防火墙的研究[j].北京机械工业学院学报,2006