解读分布式防火墙之——技术篇

　　三、分布式防火墙的主要特点
　　针对传统边界防火墙的缺欠，"分布式防火墙"（Distributed Firewalls）的概念被专家学者提出来。因为它要负责对网络边界、各子网和网络内部各节点之间的安全防护，所以"分布式防火墙"是一个完整的系统，而不是单一的产品。根据其所需完成的功能，新的防火墙体系结构包含如下部分： ·网络防火墙（Network Firewall）：这一部分有的公司采用的是纯软件方式，而有的可以提供相应的硬件支持。它是用于内部网与外部网之间，以及内部网各子网之间的防护。与传统边界式防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。不过在功能与传统的边界式防火墙类似。
　　·主机防火墙（Host Firewall）：同样也有纯软件和硬件两种产品，是用于对网络中的服务器和桌面机进行防护。这也是传统边界式防火墙所不具有的，也算是对传统边界式防火墙在安全体系方面的一个完善。它是作用在同一内部子网之间的工作站与服务器之间，以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间的防护，还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。可以说达到了应用层的安全防护，比起网络层更加彻底。
　　·中心管理（Central Managerment）：这是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能，也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。
　　综合起来这种新的防火墙技术具有以下几个主要特点：
　　（1）主机驻留
　　这种分布式防火墙的最主要特点就是采用主机驻留方式，所以称之为"主机防火墙"，它的重要特征是驻留在被保护的主机上，该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是，使安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。
　　（2）嵌入操作系统内核
　　这主要是针对目前的纯软件式分布式防火墙来说的，操作系统自身存在许多安全漏洞目前是众所周知的，运行在其上的应用软件无一不受到威胁。分布式主机防火墙也运行在该主机上，所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞，主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制，除防火墙厂商自身的开发技术外，与操作系统厂商的技术合作也是必要的条件，因为这需要一些操作系统不公开内部技术接口。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约，存在着明显的安全隐患。
　　（3）类似于个人防火墙
　　个人防火墙我们知道它是一种软件防火墙产品，它是在分布式防火墙之前业已出现的一类防火墙产品，它是用来保护单一主机系统的。分布式针对桌面应用的主机防火墙与个人防火墙有相似之处，如它们都对应个人系统，但其差别又是本质性的。首先它们管理方式迥然不同，个人防火墙的安全策略由系统使用者自己设置，目标是防外部攻击，而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置，除了对该桌面机起到保护作用外，也可以对该桌面机的对外访问加以控制，并且这种安全机制是桌面机的使用者不可见和不可改动的。其次，不同于个人防火墙面向个人用户，针对桌面应用的主机防火墙是面向企业级客户的，它与分布式防火墙其它产品共同构成一个企业级应用方案，形成一个安全策略中心统一管理，安全检查机制分散布置的分布式防火墙体系结构。
　　（4）适用于服务器托管
　　互联网和电子商务的发展促进了互联网数据中心（DC）的迅速崛起，其主要业务之一就是服务器托管服务。对服务器托管用户而言，该服务器逻辑上是其企业网的一部分，只不过物理上不在企业内部，对于这种应用，边界防火墙解决方案就显得比较牵强附会，而针对服务器的主机防火墙解决方案则是其一个典型应用。对于纯软件式的分布式防火墙则用户只需在该服务器上安装上主机防火墙软件，并根据该服务器的应用设置安全策略即可，并可以利用中心管理软件对该服务器进行远程监控，不需任何额外租用新的空间放置边界防火墙。对于硬件式的分布式防火墙因其通常采用PCI卡式的，通常兼顾网卡作用，所以可以直接插在服务器机箱里面，也就无需单独的空间托管费了，对于企业来说更加实惠。