(二)分布式防火墙的特点

　　1.主机驻留。分布式防火墙的最重要特征是在被保护的主机上驻留，该主机以外不论是内部还是外部网络都认为是不可信任的，可以针对该主机上运行的具体应用和服务设定针对性强的安全策略。使得安全策略不仅仅局限于内外部网络之间，而是把网络安全策略延伸到整个网络的各个节点。

　　2.嵌入操作系统内核。这是针对纯软件式的分布式防火墙而言的，操作系统存在很多已知和未知的安全漏洞。纯软件式的分布式主机防火墙运行在主机上，为自身的安全和彻底堵住操作系统的漏洞，主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接管理网卡，在把所有数据包进行检查后再提交操作系统，这样可以有效减少因操作系统漏洞造成的攻击。

　　3.安全策略的统一管理与部署。主机防火墙安全策略由系统管理员在策略服务器上有针对性的安排和设置，除了能保护该主机之外，还可以提高该主机的对外访问的安全性，且安全策略是普通主机使用者不可改动的。网络防火墙、主机防火墙、安全策略管理中心共同构成一个整体安全防护体系。

　　四、分布式防火墙的实现

　　如图2给出了某企业分布式网络结构图：

　　图2某企业分布式网络结构图

　　(一)分布式防火墙产品的选择

　　国外的厂商如3COM ， C1SC0、美国网络安全系统公司生产的嵌入式防火墙产品主要采用“软件+硬件”形式，主机防火墙为集成了分布式防火墙技术的硬件产品，将分布式防火墙芯片集成到网卡中，而防火墙策略服务器则采用纯软件的形式。国内的厂商如：北京安软和中洲网警公司推出了纯软件的分布式防火墙产品。总体上国外厂商在技术上取得了一定的领先，国内厂商也有价格和服务上的优势。

　　(二)分布式防火墙的部署

　　一是，企业可以将内部网络根据功能或位置划分成若干个虚拟网(VLAN)，中心交换机采用三层交换机，这样可以提高网络性能。策略服务器可以针对不同虚拟网制定不同的安全策略，降低管理的难度同时也增强了网络的安全性。

　　二是，提供便捷的方式确保所有的终端计算机和服务器能够安装主机防火墙，这样才能充分发挥分布式防火墙网络防护的延伸性和多接入点的优势。

　　三是，分布式防火墙的安全策略与传统的边界防火墙有很大的不同，在策略制定的时候应考虑到网络的逻辑结构，针对不同域或计算机设定不同的策略。而分布式防火墙最大的优势在于能够有效防止内网的攻击，因此在安全策略制定时对于内、外网都应该是怀疑的(提高分布式防火墙对于内网的安全策略设置，可以大大降低内网攻击造成的损失。

　　五、结论

　　分布式防火墙代表新一代的防火墙技术，可以在网络的所有终端节点设置安全屏障，随着网络的扩大，所需处理的负荷也在网络的各个节点进行分布，不会像传统边际防火墙那样随着网络规模扩大成为网络的瓶颈。而基于C/S结构可以在策略服务器上设置安全策略再分发到客户端，便于安全策略的及时更新。同时具有强大的入侵检测和日志管理功能，形成了较好的安全体系，安装和使用都相对简单，无需改变网络的现有架构，可以较低的成木满足大中型企业对于计算机网络的安全需求。

(责任编辑：)