關鍵字:分佈式防火牆安全管理
Abstract: With the development of network technology and IT, more and more people pay attention to the fire wall technology, and brought the distributed fire wall technology on the basis of defect about the tradition fire wall technology. The paper mainly discussed the principle structure and application of distributed fire wall technology.
Keywords: distributed fire wall security management
一、分佈式防火牆概述
1.傳統防火牆的缺陷
(1)結構性限制:邊界防火牆的工作機理依賴於網絡的物理拓撲結構。但隨着越來越多的企業利用互聯網構架自己的跨地區網絡,包括家庭移動辦公和的服務器託管等越來越普遍,所謂內部企業網已經是一個邏輯的概念;另一方面,電子商務的應用要求商務夥伴之間在一定權限下進入到彼此的內部網絡,所以說,企業網的邊界已經是一個邏輯的邊界物理的邊界日趨模糊,邊界防火牆的應用受到了愈來愈多的結構性限制。
(2)內部安全:邊界防火牆設定安全策略的一個基本假設是:網絡的一邊即外部的所有人是不可信任的,另一邊即內部的所有人是可信任的。但在實際環境中,據統計,80%的攻擊和越權訪問來自與內部,也就是說,邊界防火牆在對付網絡安全的主要威脅內部威脅時束手無策。
(3)效率和故障:邊界防火牆把檢查機制集中在網絡邊界處的單點上,產生了網絡的瓶頸問題,這也是目前防火牆用戶在選擇防火牆產品時不得不首先考察其檢測效率而按前機制反在其次的原因。邊界防火牆廠商也在不遺餘力地提高防火牆單機處理能力甚至採用防火牆羣集技術來解決這個邊界防火牆固有的結構性瓶頸問題;另外,安全策略的複雜性也給效率問題雪上加霜,對邊界防火牆來說,針對不同的應用和多樣的系統要求,不得不經常在效率和可能衝突的安全策略之間權衡利害取得折中方案,產生了許多策略性的安全隱患;最後,邊界防火牆本身也存在着單點故障危險,一旦出現問題或被攻克,整個內部網絡完全暴露在外部攻擊者面前。
2.分佈式防火牆的優點
(1)增強的系統安全性
增加了針對主機的入侵檢測和防護功能,加強了對來自內部攻擊防範,可以實施全方位的安全策略。最新的分佈式防火牆將防火牆功能分佈到網絡的各個子網、桌面系統、筆記本計算機以及服務器PC上。分佈於整個企業內的分佈式防火牆使用戶可以方便地訪問資訊,而不會將網絡的其他部分暴露在潛在非法入侵者面前。憑藉這種端到端的安全性能,用戶透過內部網、外聯網、虛擬專用網還是遠程訪問所實現與企業的互聯不再有任何區別。分佈式防火牆還可以使企業避免發生由於某一臺端點系統的入侵而導致向整個網絡蔓延的情況發生,同時也使透過公共賬號登入網絡的用戶無法進入那些限制訪問的計算機系統。另外,由於分佈式防火牆使用了IP安全協議,能夠很好地識別在各種安全協議下的內部主機之間的端到端網絡通信,使各主機之間的通信得到了很好的保護。所以分佈式防火牆有能力防止各種類型的攻擊。特別在當我們使用IP安全協議中的.密碼憑證來標誌內部主機時,基於這些標誌的策略對主機來說無疑更具可信性。
(2)提高了系統性能
消除了結構性瓶頸問題,提高了系統性能。傳統防火牆由於擁有單一的接入控制點,無論對網絡的性能還是對網絡的可靠性都有不利的影響。分佈式防火牆則從根本上去除了單一的接入點,而使這一問題迎刃而解。另一方面分佈式防火牆可以針對各個服務器及終端計算機的不同需要,對防火牆進行最佳配置,配置時能夠充分考慮到這些主機上執行的應用,如此便可在保障網絡安全的前提下大大提高網絡運轉效率。