解读分布式防火墙之——技术篇

　　分布式防火墙是一种主机驻留式的安全系统，用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。分布式防火墙通常是内核模式应用，它位于操作系统OSI栈的底部，直接面对网卡，它们对所有的信息流进行过滤与限制，无论是来自Internet，还是来自内部网络。

　　分布式防火墙把Internet和内部网络均视为"不友好的"。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说，分布式防火墙进行配置后能够阻止一些非必要的协议，如HTTP 和 HTTPS之外的协议通过，从而阻止了非法入侵的发生，同时还具有入侵检测及防护功能。

　　分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞，如DoS(拒绝服务)、应用及口令攻击。从而使操作系统得到强化。分布式防火墙对每个服务器都能进行专门的保护。系统管理员能够将访问权限只赋予服务器上的应用所使用的必要的端口及协议。如HTTP, HTTPS, port 80, port 443等。

　　为了进一步了解这一新的防火墙技术的优越性，我们先来了解一下传统边界式防火墙的固有不足之处。

　　二、传统边界式防火墙的固有欠缺
　　在介绍这种传统边界式防火墙的欠缺之前不得不申明的一点就是，它的欠缺并不是一开始人们就意识到，而是随着网络技术的不断发展、新网络技术的不断涌现和应用，以及新的网络安全因素的出现而体现的。这一点与任何其它产品的应用过程一样，虽然在目前来说它存在以下欠缺，但或许随着网络应用和进一步发展，将来还可能有人提出更多的欠缺之处，哪怕是本文所要介绍的最新分布式防火墙技术。就目前来说边界式防火墙主要存在以下不足之处：
　　（1）网络应用受到结构性限制
　　随着像VPN这样网络技术的应用和普及，企业网边界逐步成为一个逻辑的边界，物理的边界日趋模糊，传统边界防火墙在此类网络环境的应用受到了结构性限制。因为传统的边界式防火墙依赖于物理上的拓扑结构，它从物理上将网络划分为内部网络和外部网络，这一点影响了防火墙在虚拟专用网（VPN）上的应用，因为今天的企业电子商务要求员工、远程办公人员、设备供应商、临时雇员以及商业合作伙伴都能够自由访问企业网络，而重要的客户数据与财务记录往往也存储在这些网络上。根据VPN的概念，它对内部网络和外部网络的划分是基于逻辑上的，而逻辑上同处内部网络的主机可能在物理上分处内部和外部两面个网络。
　　基于以上原因，所以这种传统防火墙不能在有在两个内部网络之间通信需求的VPN网络中使用，否则VPN通信将被中断。虽然目前有一种SSL VPN技术可以绕过企业边界的防火墙进入内部网络VPN通信，但是应用更广泛的传统IPSec VPN通信中还是不能使用，除非是专门的VPN防火墙。目前有许多网络设备开发、生产商都能提供VPN防火墙，如Cisco、3Com和我国的华为（Quidway）公司等。
　　（2）内部安全隐患仍在
　　传统的边缘防火墙只对企业网络的周边提供保护。这些边缘防火墙会在从外部网络进入企业内部局域网的流量进行过滤和审查，但是，他们并不能确保企业内部网络内部用户之间的安全访问。这就好比给一座办公楼的大门加上一把锁，但办公楼内的每个房间却四门大开一样，一旦有人通过了办公楼的大门，便可以随意出入办公楼内任何一个房间。改进这种安全性隐患的最简单办法便是为楼内每个房间都配置一把钥匙和一把锁。边界式防火墙的作用就相当于整个企业网络大门的那把锁，但它并没有为每个客户端配备相应的安全"大锁"，与上述所举只给办公楼大门配锁，而每个房间的大门却敞开所带来的安全性隐患的道理是一样的。
　　另据统计，80%的攻击和越权访问来自与内部，边界防火墙在对付网络内部威胁时束手无策。因为传统的边界式防火墙设置一般都基于IP地址，因而一些内部主机和服务器的IP地址的变化将导致设置文件中的规则改变，也就是说这些规则的设定受到网络拓朴的制约。随着IP安全协议（如IPSec、SSH、SSL等）的逐渐实现，如果分处内部网络和外部网络的两台主机采用IP安全协议进行端到端的通信（其实以上所介绍的SSL VPN就是这样一种端到端通信的应用），防火墙将因为没有相应的密钥而无法看到IP包的内容，因而也就无法对其进行过滤。由于防火墙假设内部网络的用户可信任，所以一旦有内部主机被侵入，通常可以容易扩展该次攻击。对于这些问题，传统意义上的防火墙是很难解决的。
　　（3）效率较低和故障率高
　　由于边界式防火墙把检查机制集中在网络边界处的单点上，产成了网络的瓶颈和单点故障隐患。从性能的角度来说，防火墙极易成为网络流量的瓶颈。从网络可达性的角度来说，由于其带宽的限制，防火墙并不能保证所有请求都能及时响应，所以在可达性方面防火墙也是整个网络中的一个脆弱点。边界防火墙难以平衡网络效率与安全性设定之间的矛盾，无法为网络中的每台服务器订制规则，它只能使用一个折衷的规则来近似满足所有被保护的服务器的需要，因此或者损失效率，或者损失安全性。
　　以上介绍了传统防火墙的几个主要不足之处，当然边界式防火墙作为一种网络安全机制，不可否认它具有许多优点，其中最重要的是它能够提供外部的安全策略控制。目前也仍在整个网络安全中广泛应用，起到不可替代的作用。本文不是否定防火墙技术本身，而是想介绍一种全新的防火墙概念--分布式防火墙，它不仅能够保留传统边界式防火墙的所以优点，而且又能克服前面所说的那些缺点，在目前来说它是最为完善的一种防火墙技术。