簡論分布式防火墻

羅躍華

中圖分類號：TP393.08文獻(xiàn)標(biāo)識碼：A文章編號：1673-0992（2009）05-044-02

摘要：隨著Internet在全球的飛速發(fā)展，防火墻成為目前最重要的信息安全產(chǎn)品，然而，以邊界防御為中心的傳統(tǒng)防火墻如今卻很難實(shí)現(xiàn)安全性能和網(wǎng)絡(luò)性能之間的平衡。分布式防火墻的提出很大程度的改善了這種困境，實(shí)現(xiàn)了網(wǎng)絡(luò)的安全。

關(guān)鍵詞：邊界式；分布式；防火墻

防火墻能根據(jù)受保護(hù)的網(wǎng)絡(luò)的安全策略控制允許、拒絕、監(jiān)測出入網(wǎng)絡(luò)的信息流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。

一、分布式防火墻的概念

傳統(tǒng)邊界式防火墻因存在許多不完善的地方，因此分布式防火墻應(yīng)運(yùn)而生。

1.邊界式防火墻存在的問題

傳統(tǒng)防火墻設(shè)置在內(nèi)部企業(yè)網(wǎng)和外部網(wǎng)絡(luò)之間，構(gòu)成一個屏障，進(jìn)行網(wǎng)絡(luò)訪問控制，所以通常稱為邊界防火墻。邊界防火墻可以限制被保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進(jìn)行的信息傳遞和訪問等操作，它處于內(nèi)、外部網(wǎng)絡(luò)的邊界，所有進(jìn)、出的數(shù)據(jù)流量都必須通過防火墻來傳輸?shù)?。這就有效地保證了外部網(wǎng)絡(luò)的所有通信請求都能在防火墻中進(jìn)行過濾。然而，傳統(tǒng)的邊界防火墻要求網(wǎng)絡(luò)對外的所有流量都經(jīng)過防火墻，而且它基于一個基本假設(shè)：防火墻把一端的用戶看成是可信任的，而另一端的用戶則被作為潛在的攻擊者對待。這樣邊界防火墻會在流量從外部的互聯(lián)網(wǎng)進(jìn)入內(nèi)部局域網(wǎng)時進(jìn)行過濾和審查。但是這并不能確保局域網(wǎng)內(nèi)部的安全訪問。不僅在結(jié)構(gòu)性上受限制，其內(nèi)部也不夠安全，而且效率不高、故障點(diǎn)多。最后，邊界防火墻本身也存在著單點(diǎn)故障危險，一旦出現(xiàn)問題或被攻克，整個內(nèi)部網(wǎng)絡(luò)將會完全暴露在外部攻擊者面前。

2.分布式防火墻的提出

由于傳統(tǒng)防火墻的缺陷不斷顯露，于是有人認(rèn)為防火墻是與現(xiàn)代網(wǎng)絡(luò)的發(fā)展不相容的，并認(rèn)為加密的廣泛使用可以廢除防火墻，也有人提出了對傳統(tǒng)防火墻進(jìn)行改進(jìn)的方案，如多重邊界防火墻，內(nèi)部防火墻等，但這些方案都沒有從根本上擺脫拓?fù)湟蕾?，因而也就不能消除傳統(tǒng)防火墻的固有缺陷，反而增加了網(wǎng)絡(luò)安全管理的難度。為了克服以上缺陷而又保留防火墻的優(yōu)點(diǎn)，美國AT&T實(shí)驗(yàn)室研究員Steven MBellovin在他的論文“分布式防火墻”中首次提出了分布式防火墻DistributedFirewall，DFW)的概念，給出了分布式防火墻的原型框架，奠定了分布式防火墻研究的基礎(chǔ)。

二、分布式防火墻的工作原理認(rèn)知分布式防火墻的工作原理是進(jìn)行一切研究的前提

1.分布式防火墻的基本原理

分布式防火墻打破了邊界防火墻對網(wǎng)絡(luò)拓?fù)涞囊蕾囮P(guān)系，將內(nèi)部網(wǎng)的概念由物理意義轉(zhuǎn)變成邏輯意義。在分布式防火墻系統(tǒng)中，每個主機(jī)節(jié)點(diǎn)都有一個標(biāo)識該主機(jī)身份的證書，通常是一個與該節(jié)點(diǎn)所持有的公鑰相對應(yīng)的數(shù)字證書，內(nèi)部網(wǎng)絡(luò)服務(wù)器的存取控制授權(quán)根據(jù)請求客戶的數(shù)字證書來確定，而不再是由節(jié)點(diǎn)所處網(wǎng)絡(luò)的位置來決定。一般情況下由于證書不易偽造，并獨(dú)立于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)， 所以只要擁有合法的證書，不管它處于物理上的內(nèi)網(wǎng)還是外網(wǎng)都被分布式防火墻系統(tǒng)認(rèn)為是“內(nèi)部”用戶，這樣就徹底打破了傳統(tǒng)防火墻對網(wǎng)絡(luò)拓?fù)涞囊蕾嚒Ｓ捎谠诜植际椒呕饓ο到y(tǒng)中安全策略的執(zhí)行被推向了網(wǎng)絡(luò)的邊緣——終端節(jié)點(diǎn)，這樣不僅保留了傳統(tǒng)防火墻的優(yōu)點(diǎn)，同時又解決了傳統(tǒng)防火墻的問題。

2.分布式防火墻的功能

其一，Internet訪問控制。依據(jù)工作站名稱、設(shè)備指紋等屬性，使用“Internet訪問規(guī)則”，控制該工作站或工作站組在指定的時間段內(nèi)是否允許、禁止訪問模板或Internet服務(wù)器。其二，應(yīng)用訪問控制。通過對網(wǎng)絡(luò)通訊從鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層基于源地址、目標(biāo)地址、端口、協(xié)議的逐層包過濾與入侵監(jiān)測，控制來自局域網(wǎng)、Internet的應(yīng)用服務(wù)請求。其三，網(wǎng)絡(luò)狀態(tài)監(jiān)控。實(shí)時動態(tài)報(bào)告當(dāng)前網(wǎng)絡(luò)中所有的用戶登陸、Internet訪問、內(nèi)網(wǎng)訪問、網(wǎng)絡(luò)入侵事件等信息。其四，黑客攻擊的防御。抵御包括surf拒絕服務(wù)攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等在內(nèi)的近百種來自網(wǎng)絡(luò)內(nèi)部以及來自Internet的黑客攻擊手段。其五，日志管理。對工作站協(xié)議規(guī)則日志、用戶登陸事件日志、用戶Internet訪問日志、指紋驗(yàn)證規(guī)則日志、入侵檢測規(guī)則日志的記錄與查詢分析。

3.分布式防火墻的運(yùn)作機(jī)制

分布式防火墻的運(yùn)作公有四個步驟：第一，策略的制定和分發(fā)。在分布式防火墻系統(tǒng)中，策略是針對主機(jī)制定的。在制定策略之后通過策略管理中心“推送”和主機(jī)“索取”兩種機(jī)制分發(fā)到主機(jī)。第二，日志的收集。在分布式防火墻中，日志可以通過管理中心“定期采集”、主機(jī)“定期傳送”、主機(jī)“定量傳送”由主機(jī)傳送到管理中心。第三，策略實(shí)施。策略在管理中心統(tǒng)一制定，通過分發(fā)機(jī)制傳送到終端的主機(jī)防火墻，主機(jī)防火墻根據(jù)策略的配置在受保護(hù)主機(jī)上進(jìn)行策略的實(shí)施。主機(jī)防火墻策略實(shí)施的有效性是分布式防火墻系統(tǒng)運(yùn)行的基礎(chǔ)。第四，認(rèn)證。在分布式防火墻系統(tǒng)中通常采用基于主機(jī)的認(rèn)證方式，即根據(jù)IP地址進(jìn)行認(rèn)證。為了避免IP地址欺騙，可以采用一些強(qiáng)認(rèn)證方法，例如Kerberos，X.509，IP Sec等。

三、分布式防火墻的運(yùn)用

分布式防火墻在現(xiàn)實(shí)生活中的運(yùn)用很廣泛，主要有以下幾點(diǎn)：

1.殺毒與防黑

分布式防火墻技術(shù)的出現(xiàn)，有效地解決了漏洞和病毒檢測這一問題。它不僅提供了個人防火墻、入侵檢測、腳本過濾和應(yīng)用程序訪問控制等功能，最重要的是提供了中央管理功能。利用分布式防火墻中央管理器，可以對網(wǎng)絡(luò)內(nèi)每臺計(jì)算機(jī)上的防火墻進(jìn)行配置、管理和更新，從宏觀上對整個網(wǎng)絡(luò)的防火墻進(jìn)行控制和管理。這種管理可以在企業(yè)內(nèi)部網(wǎng)中進(jìn)行，也可以通過Internet實(shí)現(xiàn)遠(yuǎn)程管理。另外，對于應(yīng)用較簡單的局域網(wǎng)，網(wǎng)絡(luò)殺毒和分布式防火墻的組合是比較易于部署且維護(hù)方便的安全解決方案?？梢灶A(yù)見，分布式和網(wǎng)絡(luò)化是未來企業(yè)殺毒軟件和防火墻產(chǎn)品的特點(diǎn)，未來的病毒防護(hù)和防火墻技術(shù)將會更緊密地結(jié)合并覆蓋到網(wǎng)絡(luò)的每個節(jié)點(diǎn)，給網(wǎng)絡(luò)提供更“貼身”的保護(hù)。

2.保護(hù)內(nèi)網(wǎng)

在傳統(tǒng)邊界式防火墻應(yīng)用中，內(nèi)部網(wǎng)絡(luò)非常容易受到有目的的攻擊，一旦已經(jīng)接入了局域網(wǎng)的某臺計(jì)算機(jī)，并獲得這臺計(jì)算機(jī)的控制權(quán)，便可以利用這臺機(jī)器作為入侵其他系統(tǒng)的跳板。而最新的分布式防火墻將防火墻功能分布到各個子網(wǎng)、桌面系統(tǒng)、筆記本計(jì)算機(jī)以及服務(wù)器PC上，分布于整個網(wǎng)絡(luò)的分布式防火墻使用戶可以方便地訪問信息，而不會將網(wǎng)絡(luò)的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能，內(nèi)各用戶通過內(nèi)部網(wǎng)、外聯(lián)網(wǎng)、虛擬專用網(wǎng)遠(yuǎn)程訪問實(shí)現(xiàn)與互聯(lián)。分布式防火墻使用了IP安全協(xié)議，能夠很好地識別在各種安全協(xié)議下的內(nèi)部主機(jī)之間的端到端網(wǎng)絡(luò)通信，使各主機(jī)之間的通信得到很好的保護(hù)。所以分布式防火墻有能力防止各種類型的被動和主動攻擊。

3.構(gòu)建網(wǎng)絡(luò)安全解決方案

分布式防火墻的網(wǎng)絡(luò)安全解決方案是在內(nèi)部網(wǎng)絡(luò)的主服務(wù)器安裝上分布式防火墻產(chǎn)品的安全策略管理服務(wù)，設(shè)置組和用戶分別分配給相應(yīng)的從服務(wù)器和PC機(jī)工作站，并配置相應(yīng)安全策略。將客戶端防火墻安裝在內(nèi)網(wǎng)和外網(wǎng)中的所有PC機(jī)工作站上，客戶端與安全策略管理服務(wù)器的連接采用SSL協(xié)議建立通信的安全通道，避免下載安全策略和日志通信的不安全性。同時客戶端防火墻的機(jī)器采用多層過濾、入侵檢測、日志記錄等手段，給主機(jī)的安全運(yùn)行提供強(qiáng)有力的保證。作為業(yè)務(wù)延伸部分的遠(yuǎn)程主機(jī)系統(tǒng)物理上不屬于內(nèi)網(wǎng)，但是，在系統(tǒng)中邏輯上仍是內(nèi)網(wǎng)主機(jī)，與內(nèi)網(wǎng)主機(jī)的通信依然通過VPN技術(shù)和防火墻隔離來控制接入。

4.托管服務(wù)

互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展促使互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)的迅速崛起，數(shù)據(jù)中心的主要業(yè)務(wù)之一就是提供服務(wù)器托管服務(wù)。對服務(wù)器托管用戶而言，該服務(wù)器在邏輯上是企業(yè)網(wǎng)的一部分，不過在物理上并不在企業(yè)網(wǎng)內(nèi)部。對于這種應(yīng)用，分布式防火墻就十分得心應(yīng)手。用戶只需在托管服務(wù)器上安裝上防火墻軟件，并根據(jù)該服務(wù)器的應(yīng)用設(shè)置安全策略，利用中心管理軟件對該服務(wù)器進(jìn)行遠(yuǎn)程監(jiān)控即可。

參考文獻(xiàn)：

[1]王達(dá).網(wǎng)絡(luò)基礎(chǔ)[M].北京：電子工業(yè)出版社.2004

[2]高永強(qiáng)等編著.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京:人民郵電出版社.2003

[3]楊毅堅(jiān)、肖德寶.基于Agent的分布式防火墻[J].數(shù)據(jù)通訊.2001.2

[4]李秉鍵.淺談分布式防火墻[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005.11)

[5]彭志豪、李冠宇.分布式入侵檢測系統(tǒng)研究綜述[J].微電子學(xué)與計(jì)算機(jī).2006