【IT168专稿】随着网络的发展和普及，特别是互联网应用的飞速发展，网络安全越来越受到各级用户的普遍关注。人们在享受信息化带来的众多好处的同时，也面临着日益突出的信息安全问题。因为传统的边界防火墙只是在网络边界设置一个屏障，进行网络存取控制。它是把内部网络一端的用户看成是可信任的，而外部网络一端的用户则都被作为潜在的攻击者来对待。

    随着计算机安全技术的发展和网络安全问题的日益严峻，用户对防火墙功能要求也相应提高了，不仅要求对内、外网之间起到防护作用，还要求在内网之间，以及客户端计算机之间都能有一种类似的安全防护，这就是本文所要介绍的“分布式防火墙”，英文名为“Distributed Firewalls”。

    分布式防火墙是一种主机驻留式的安全系统，用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。分布式防火墙通常是内核模式应用，它位于操作系统OSI栈的底部，直接面对网卡，它们对所有的信息流进行过滤与限制，无论是来自Internet，还是来自内部网络。

    分布式防火墙把Internet和内部网络均视为“不友好的”，对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说，分布式防火墙进行配置后能够阻止一些非必要的协议，如HTTP 和 HTTPS之外的协议通过，从而阻止了非法入侵的发生，同时还具有入侵检测及防护功能。

    分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞，如服务否认、应用及口令攻击。从而使操作系统得到强化。分布式防火墙对每个服务器都能进行专门的保护。系统管理员能够将访问权限只赋予服务器上的应用所使用的必要的端口及协议。如HTTP、HTTPS、Port 80、Port 443等。

    分布式防火墙目前主要是以软件形式出现的，如北京安软科技有限公司的EverLink Distributed Firewall就是一款分布式防火墙软件系统。EverLink分布式防火墙依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查，保护个人计算机在正常使用网络时不会受到恶意的攻击，提高了其网络安全属性；同时，为方便管理，所有分布式防火墙的安全策略由统一的中央策略管理服务器进行设置和维护，服务器由系统管理员专人监管，这样就降低了分布式防火墙的使用成本，同时提高了安全保障能力。这里，安全策略包括安全级别以及相关的安全属性。如图1所示，只需要一台服务器上安装中心管理软件，在各需要保护的节点安装客户端防火墙软件，然后在中心管理系统中进行统一配置。

图1

    也有一些国际著名网络设备开发商（如3COM、CISCO等）开发生产了集成分布式防火墙技术的硬件分布式防火墙，开发了嵌入式防火墙PCI卡或PC卡，但负责集中管理的还是一个服务器软件。如3COM公司就开发了一整套分布式防火墙系统，防火墙服务器管理软件安装于服务器上，其它各要防护的工作或成员服务器就只需安装如图2所示的防火墙功能网卡，这些网卡的防火墙功能受中心管理软件统一配置和管理。

图2

    分布式防火墙与传统的边界防火墙不同，它要负责对网络边界、各子网和网络内部各节点之间的安全防护，所以“分布式防火墙”是一个完整的系统，而不是单一的产品。根据其所需完成的功能，新的防火墙体系结构包含如下部分：

    网络防火墙（Network Firewall）

    这一部分有的公司采用的是纯软件方式，而有的可以提供相应的硬件支持。它是用于内部网与外部网之间，以及内部网各子网之间的防护。与传统边界式防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。不过在功能与传统的边界式防火墙类似。

    主机防火墙（Host Firewall）

    同样也有纯软件和硬件两种产品，是用于对网络中的服务器和桌面机进行防护。这也是传统边界式防火墙所不具有的，也算是对传统边界式防火墙在安全体系方面的一个完善。它是作用在同一内部子网之间的工作站与服务器之间，以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间的防护，还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。可以说达到了应用层的安全防护，比起网络层更加彻底。

    中心管理（Central Managerment）软件

    这是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能，也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。

    主机驻留

    这种分布式防火墙的最主要特点就是采用主机驻留方式，所以称之为“主机防火墙”，它的重要特征是驻留在被保护的主机上，该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是，使安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。

    嵌入操作系统内核

    这主要是针对目前的纯软件式分布式防火墙来说的，操作系统自身存在许多安全漏洞目前是众所周知的，运行在其上的应用软件无一不受到威胁。分布式主机防火墙也运行在该主机上，所以其运行机制是主机防火墙的关键技术之一。

    为自身的安全和彻底堵住操作系统的漏洞，主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制，除防火墙厂商自身的开发技术外，与操作系统厂商的技术合作也是必要的条件，因为这需要一些操作系统不公开内部技术接口。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约，存在着明显的安全隐患。

    类似于个人防火墙

    个人防火墙我们知道它是一种软件防火墙产品，它是在分布式防火墙之前业已出现的一类防火墙产品，它是用来保护单一主机系统的。分布式针对桌面应用的主机防火墙与个人防火墙有相似之处，如它们都对应个人系统，但其差别又是本质性的。首先它们管理方式迥然不同，个人防火墙的安全策略由系统使用者自己设置，目标是防外部攻击，而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置，除了对该桌面机起到保护作用外，也可以对该桌面机的对外访问加以控制，并且这种安全机制是桌面机的使用者不可见和不可改动的。

    其次，不同于个人防火墙面向个人用户，针对桌面应用的主机防火墙是面向企业级客户的，它与分布式防火墙其它产品共同构成一个企业级应用方案，形成一个安全策略中心统一管理，安全检查机制分散布置的分布式防火墙体系结构。

    适用于服务器托管

    互联网和电子商务的发展促进了互联网数据中心（DC）的迅速崛起，其主要业务之一就是服务器托管服务。对服务器托管用户而言，该服务器逻辑上是其企业网的一部分，只不过物理上不在企业内部，对于这种应用，边界防火墙解决方案就显得比较牵强附会，而针对服务器的主机防火墙解决方案则是其一个典型应用。

    对于纯软件式的分布式防火墙则用户只需在该服务器上安装上主机防火墙软件，并根据该服务器的应用设置安全策略即可，并可以利用中心管理软件对该服务器进行远程监控，不需任何额外租用新的空间放置边界防火墙。对于硬件式的分布式防火墙因其通常采用PCI卡式的，通常兼顾网卡作用，所以可以直接插在服务器机箱里面，也就无需单独的空间托管费了，对于企业来说更加实惠。

    增强的系统安全性：

    增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击防范，可以实施全方位的安全策略。在传统边界式防火墙应用中，企业内部网络非常容易受到有目的的攻击，一旦已经接入了企业局域网的某台计算机，并获得这台计算机的控制权，他们便可以利用这台机器作为入侵其他系统的跳板。而最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器PC上。分布于整个公司内的分布式防火墙使用户可以方便地访问信息，而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能，用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。

    分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生，同时也使通过公共帐号登录网络的用户无法进入那些限制访问的计算机系统。针对边界式防火墙对内部网络安全性防范的不足。

    另外，由于分布式防火墙使用了IP安全协议，能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信，使各主机之间的通信得到了很好的保护。所以分布式防火墙有能力防止各种类型的被动和主动攻击。特别在当我们使用IP安全协议中的密码凭证来标志内部主机时，基于这些标志的策略对主机来说无疑更具可信性。

    消除了结构性瓶颈问题，提高了系统性能：

    传统防火墙由于拥有单一的接入控制点，无论对网络的性能还是对网络的可靠性都有不利的影响。虽然目前也有这方面的研究并提供了一些相应的解决方案，从网络性能角度来说，自适应防火墙是一种在性能和安全之间寻求平衡的方案；从网络可靠性角度来说，采用多个防火墙冗余也是一种可行的方案，但是它们不仅引入了很多复杂性，而且并没有从根本上解决该问题。

     分布式防火墙则从根本上去除了单一的接入点，而使这一问题迎刃而解。另一方面分布式防火墙可以针对各个服务器及终端计算机的不同需要，对防火墙进行非常好的配置，配置时能够充分考虑到这些主机上运行的应用，如此便可在保障网络安全的前提下大大提高网络运转效率。

    随系统扩充提供了安全防护无限扩充的能力：

    因为分布式防火墙分布在整个企业的网络或服务器中，所以它具有无限制的扩展能力。随着网络的增长，它们的处理负荷也在网络中进一步分布，因此它们的高性能可以持续保持住。而不会象边界式防火墙一样随着网络规模的增大而不堪重负。

    应用更为广泛，支持VPN通信：

    其实分布式防火墙最重要的优势在于，它能够保护物理拓朴上不属于内部网络，但位于逻辑上的“内部”网络的那些主机，这种需求随着VPN的发展越来越多。对这个问题的传统处理方法是将远程“内部”主机和外部主机的通信依然通过防火墙隔离来控制接入，而远程“内部”主机和防火墙之间采用“隧道”技术保证安全性，这种方法使原本可以直接通信的双方必须绕经防火墙，不仅效率低而且增加了防火墙过滤规则设置的难度。与之相反，分布式防火墙的建立本身就是基本逻辑网络的概念，因此对它而言，远程“内部”主机与物理上的内部主机没有任何区别，它从根本上防止了这种情况的发生。