分布式防火墙在大中型企业网络布局中的应用

发布时间:2012-04-17 11:44 作者:佚名来源:万方数据点击:加载中...次

　　随着计算机网络技术的发展，计算机网络系统已经成为企业力公、获取信息、产品宣传和销售的有效平台。一般大中型企业的计算机网络具有信息点较为密集，计算机使用者水平参差不齐等特点。通过专线与因特网相连为企业计算机网络提供了较快的上网速度。通过公开网络服务器，可以对内外网用户提供WEB ，FTP、MAlL、网上办公等服务。有的企业还建成了无线网络，以及采用VPN接入技术，这为员工的工作带来了极大的便利，但是高速的计算机网络和灵活的接入方式也为整个计算机网络安全带了更大的挑战。

　　一、大中型企业计算机网络面临的主要安全问题

　　(一)非授权访问

　　没有预先经过授权就使用网络或计算机上的资源可以认为是1卜授权访问。一些具有较高技术水平的网络黑客，以非法访问网络资源或恶意破坏等不良目的，探测扫描计算机网络中服务器或客户端存在的漏洞，并且会利用系统中的一切漏洞，非法获取网络信息资源或是取得超级用户权限对网络信息进行篡改、删除。非授权访问主要包括以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未投权方式进行操作等。

　　(二)拒绝服务攻击

　　通过对网络服务系统进行大量干扰，改变其正常的作业流程，执行无关程序来占用系统内存、CPU处理时间、网络带宽。减慢目标主机的运行速度和网络服务响应，使其它合法用户无法及时使用这些资源。

　　(三)计算机病毒的传播

　　计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。它造成破坏的原理与生物病毒相似，目前，全球已有的计算机病毒约7万余种。近年来计算机病毒通过网络进行传播的趋势不断加强，传染的方式也发生了很大改变，有一些病毒先感染部分局域网内计算机，使这些计算机成为病毒源再对其它局域网内的计算机进行传播，其破坏性大大高于单机病毒，并且加大了用户防御、查杀的难度。

　　二、传统防火墙分类及特点

　　(一)包过滤

　　数据包过滤技术是依据系统内设置的过滤逻输也称为访问控制表)来对网络层的数据包进行选择。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议类型等信息，满足过滤条件的数据包才被转发到目标地址，否则丢弃该数据包。数据包过滤防火墙逻辑上简单。易于安装和使用，网络性能和透明性好。路由器通常集成这类防火墙，路由器是连接内部网络与外部网络的设备，因此在网络上增加这样的防火墙费用是十分低廉的。

　　数据包过滤防火墙的缺点表现在以下两个方面：一是随着过滤规则数目的增加，网络性能会受到很大影响;二是数据包的头部包括源地址、目的地址以及IP的端口号等信息，包过滤防火墙只检查这部分信息，而不能对用户身份进行验证，容易受到“地址欺骗攻击”。

　　(二)应用级网关

　　应用级网关是在OSI/RM参考模型的应用层上建立协议过滤和转发功能。它针对不同的网络服务协议使用特定的过公豁逻辑，并在实现数据过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。网络管理员可以据此作进一步的分析，实际中的应用级网关一般是通过在特定服务器安装软件来实现。

　　应用级网关防火墙和包过滤防火墙有一个共同的特点，就是数据包能否通过仅依靠特定逻辑的判定。如果满足逻辑，则防火墙内外的计算机系统建立直接连接，防火墙外部的用户便有可能了解防火墙内部的网络结构及运行状态，这有利于非法访问和网络攻击的实施。

　　(三)代理服务器

　　代理服务器也称链路级网关，也有学者将它归入应用级网关这一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。内外网计算机不能直接连接必须通过代理服务器的审核，再由代理服务器中转，从而起到了隔离防火墙内外计算机的作用，防止入侵者进入内部网络。此外，代删l及务器也对过往的数据包些行分析，形成相关报告，在发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。代理服务器最大的优点就是安全，其缺点也很明显就是速度相对较慢，对内外网数据量大对网关的吞吐量要求高时，代理服务器就会成为整个网络的瓶颈。

　　三、分布式防火墙产生背景

　　计算机网络的安全问题既来自于外部也来自于内部，以上的分析表明传统的边界防火墙只对网络的外部提供保护，从外网进入内网的数据包进行过滤和审查，假设内部网络用户可信任，一旦有内部主机被侵入或是中了病毒木马，它们不能确保企业内部网络用户之间的安全访问。另据统计有60%的攻击和越权访问来自局域网内部，边界防火墙无法应付来自于内网的威胁。另外由于边界防火墙把检查机制集中在网络边界上，容易形成网络瓶颈同时存在单点故障隐患。分布式防火墙把防火墙系统延伸到网络中的各台主机，能够很好的完成传统防火墙完成的任务，同时有效防御来自于内网的攻击，以较低的投入给整个网络带来更加全面的安全防护。

　　(一)分布式防火墙的结构

　　分布式防火墙实现内网与外网之间、子网之间和内部各个结点的安全防护，分布式防火墙的结构主要包括以下三个部分。一是，网络防火墙。主要用于内外网之间及内部子网间的安全防护。二是，主机防火墙。工作在应用层。主要对网络中的计算机及服务器进行防护。这些主机的物理位置可以在内部网内也可以在内部网外，负责策略的实施。三是，策略服务器。是分布式防火墙的管理系统，负责总体安全策略的制定、管理、日志的分析汇总，并将制定好的策略分发给安装主机防火墙的计算机，管理员可以将整个网络分成若干个域，然后对每个域制定安全策略，也可以对单个计算机制定安全策略。