分布式防火墙是一种主机驻留式的安全系统，用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。分布式防火墙通常是内核模式应用，它位于操作系统OSI栈的底部，直接面对网卡，它们对所有的信息流进行过滤与限制，无论是来自Internet，还是来自内部网络。

    分布式防火墙把Internet和内部网络均视为“不友好的”，对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说，分布式防火墙进行配置后能够阻止一些非必要的协议，如HTTP 和 HTTPS之外的协议通过，从而阻止了非法入侵的发生，同时还具有入侵检测及防护功能。

    分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞，如服务否认、应用及口令攻击。从而使操作系统得到强化。分布式防火墙对每个服务器都能进行专门的保护。系统管理员能够将访问权限只赋予服务器上的应用所使用的必要的端口及协议。如HTTP、HTTPS、Port 80、Port 443等。

    分布式防火墙目前主要是以软件形式出现的，如北京安软科技有限公司的EverLink Distributed Firewall就是一款分布式防火墙软件系统。EverLink分布式防火墙依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查，保护个人计算机在正常使用网络时不会受到恶意的攻击，提高了其网络安全属性；同时，为方便管理，所有分布式防火墙的安全策略由统一的中央策略管理服务器进行设置和维护，服务器由系统管理员专人监管，这样就降低了分布式防火墙的使用成本，同时提高了安全保障能力。这里，安全策略包括安全级别以及相关的安全属性。如图1所示，只需要一台服务器上安装中心管理软件，在各需要保护的节点安装客户端防火墙软件，然后在中心管理系统中进行统一配置。

图1

    也有一些国际著名网络设备开发商（如3COM、CISCO等）开发生产了集成分布式防火墙技术的硬件分布式防火墙，开发了嵌入式防火墙PCI卡或PC卡，但负责集中管理的还是一个服务器软件。如3COM公司就开发了一整套分布式防火墙系统，防火墙服务器管理软件安装于服务器上，其它各要防护的工作或成员服务器就只需安装如图2所示的防火墙功能网卡，这些网卡的防火墙功能受中心管理软件统一配置和管理。

图2