分布式防火墙.docx

《分布式防火墙.docx》由会员分享，可在线阅读，更多相关《分布式防火墙.docx（10页珍藏版）》请在三一办公上搜索。

1、分布式防火墙摘要：随着计算机网络的迅猛发展，网络的安全问题也越来越引起人们的重 视。防火墙作为一种有效的安全防护措施被广泛应用于各种类型的网络当中， 其发展也非常的快。本文首先分析了现有的传统防火墙和分布式防火墙，指 出了传统防火墙存在的问题。在此基础上论述了分布式防火墙的概念、研究 现状以及分析了分布式防火墙的工作原理。详细分析了它的体系结构，明确 该体系结构的各组成部分及其相应功能并对之进行了详细的设计。关键字：分布式防火墙；网络安全；体系结构；工作原理Distributed FirewallHuaxiaoling (11110842194) Wenzhou UniversityABSTR

2、ACT： With the rapid development of computer network, the security of network is more and more attention. Firewall is a kind of effective security measures are widely used in various types of networks, and its development is very fast. This paper firstly analyzes the existing traditional firewall and

3、 distributed firewall, points out the existing problems of traditional firewall. On this basis, discussed the concept of the distributed firewall, research status and analysis of the working principle of the distributed firewall. A detailed analysis of its system structure, the system structure of e

4、ach component and its corresponding function and has carried on the detailed design. KEYWORD： Distributed Firewall; Network Security; System Structure; Working Principle 0引言因特网是20世纪的奇迹，通过因特网人们方便地实现了全球资源共享。因特 网的强大功能源于它的广泛连通性和开放性，而这也恰恰导致了它的不安全性。 在网络结构体系中，安全问题越来越受到重视。特别是那些对安全程度要求较高 的部门、单位，往往需要规划一套完整的网络

5、安全策略将敏感资源保护起来。防 火墙作为一种安全手段，在网络中用得非常普遍。在网络边界的入口处安装防火 墙用来阻止攻击是安全防范的主要手段之一,它将受保护部分资源和外部隔离开 来，从而达到限制访问、防止攻击的目的。但是，随着因特网日新月异的发展，传 统边界防火墙的局限性开始显露出来,例如，日益多样化的连接方法(拨号，无线， 隧道)、外联网、加密通信的出现，带宽的不断提高等。面对这些新情况,用一个 防火墙就往往难以完成隔离。如果采用多个防火墙,不仅提高了成本，而且由于防 火墙之间相互独立,难以从总体上进行统一配置，管理起来非常麻烦。于是人们提 出了分布式防火墙的概念，来满足网络发展的新情况。分布

6、式防火墙是指，物理上 有多个防火墙实体在工作,但在逻辑上只有一个防火墙。从管理者角度来看，他不 需要了解防火墙分布细节，只要清楚有哪些资源需要保护，以及资源的权限如何 分配即可。1分布式防火墙概述随着网络技术的不断发展，网络中的漏洞逐渐被发现。恶意的攻击者通过它 们对网络进行大量的攻击，向网络安全进行挑战，对网络安全造成极大的威胁。 为了抵御外界恶意攻击，保护网络安全，防火墙、入侵检测、网络病毒检测、安 全审计等技术应运而生，而处于内外网络交界处的防火墙所扮演的角色尤为重 要。受集中管理和配置的多台防火墙组成了分布式防火墙(DIStributedFirewall, DFw)基于此而应运而生。1

7、.1分布式防火墙产生的原因古代人们为了防止发生火灾时火势蔓延到别处而砌一道砖墙，这道砖墙常被 叫做防火墙。在计算机领域为了保证网络安全，在互联网与内部网之间建立起一 个安全网关(securityGatewa刃，用来保护内部网络不受非法用户的侵入，这种 计算机硬件和软件组成的设备就是防火墙。在网络中，防火墙是内部网络与外界 网络之间的一道防御系统，通过它使得内部网络与Intemet或者其他外部网络之 间相互隔离，并通过限制网络互访来保护内部网络，但这些对数据的处理操作并 不会妨碍人们对风险区域的访问。防火墙系统是建立在内部网络与外部之间的惟一安全通道，通过对它的配置 可以决定哪些内部服务可被外界

8、访问，外界的哪些人可访问内部的服务，以及哪 些外部服务可以被内部人员访问。我们可简单的认为防火墙是个分离器、限制器、 分析器，它有效地监控了内网和Intemet间的任何活动，保证了内网的安全。图 1为常见的防火墙逻辑位置。安全策略语言规定了哪些数据包被允许，哪些数据包被禁止，它应该支持多 种类型的应用。策略制定后分发到网络端点上，策略发布机制应该保证策略在传 输过程中的完整性和真实性。策略发布有多种方式，可以由中心管理主机直接发 到终端系统上，也可以由终端按需获取或定时获取，还可以以证书的形式提供给 用户。策略实施机制位于受保护的主机上，在处理输入输出数据包时，它查询本 地策略来判断允许还是禁

9、止该数据包。INTERNET图1防火墙逻辑位置示意图不论防火墙是非常简单的过滤器，还是一个精心配置的网关，它们的原理都 是一样的。防火墙通常是用来保护由许多台计算机组成的大型网络，这些地方才 是黑客真正感兴趣的地方，因为架设防火墙需要相当大的硬软件资金投入，而且 防火墙一般需要运行在一台独立的计算机上。由于传统防火墙的缺陷不断显露，于是有人认为防火墙是与现代网络的发展 不相容的，并认为加密的广泛使用可以废除防火墙。但加密不能解决所有的安全 问题，防火墙依然有它的优势，比如通过防火墙可以关闭危险的应用，通过防火墙 管理员可以实施统一的监控，也能对新发现的bug快速作出反应等。也有人提出 了对传统

10、防火墙进行改进的方案,如多重边界防火墙，内部防火墙(Intrawall)等, 但这些方案都没有从根本上摆脱拓扑依赖(Topologydependent),因而也就不能 消除传统防火墙的固有缺陷，反而增加了网络安全管理的难度。为了克服以上缺 陷而又保留防火墙的优点，美国AT&T实验室研究员StevenM.Bellovin在他的论 文分布式防火墙中首次提出了分布式防火墙(DistributedFirewalls,DFW)的 概念，给出了分布式防火墙的原型框架，奠定了分布式防火墙研究的基础。分布式防火墙有狭义和广义之分,狭义分布式防火墙是指驻留在网络主机并 对主机系统提供安全防护的软件产品。广义分布

11、式防火墙是一种全新的防火墙， 体系结构包括网络防火墙、主机防火墙和中心管理三部分。为了充分认识分布式 防火墙，我们重点剖析分布式防火墙中最具特色的产品-主机防火墙。(1) 主机驻留主机防火墙的重要特征是驻留在被保护的主机上，该主机以外 的网络不管是在内部网还是在外部网都认为是不可信任的。因此，可以针对该主 机上运行的具体应用和对外提供的服务来设定针对性很强的安全策略。(2) 嵌入操作系统内核为自身的安全和彻底堵住操作系统的漏洞，主机防火 墙的安全检测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，在把 所有数据包进行检查后，再提高操作系统。(3) 适用于托管服务器用户只需在该服务器上安装

12、主机防火墙软件，并根据 该服务器的应用设置策略即可。并可以利用中心管理软件对该服务器进行远程监 控,不须任何额外租用新的空间放置边界防火墙。1.2分布式防火墙的基本原理防火墙可以用来控制Intemet和Intranet之间所有的数据流量。在具体应 用中，防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计 算机网络的多种组合。防火墙为网络安全起到了把关作用，只允许授权的通信通 过。防火墙是两个网络之间的成分集合。在分布式防火墙中，安全策略仍然被集 中定义，但发布在网络端点(例如主机、路由器)上单独实施。传统防火墙缺陷的根源在于它的拓扑结构，分布式防火墙打破了这种拓扑限 制,将内部网

13、的概念由物理意义变成逻辑意义。按照Steven的说法，分布式防火 墙是由一个中心来制定策略,并将策略分发到主机上执行。它使用一种策略语言 (如KeyNote,在RFC2704文挡中说明)来制定策略，并被编译成内部形式存于策略 数据库中，系统管理软件将策略分发到被保护的主机上，而主机根据这些安全策 略和加密的证书来决定是接受还是丢弃包，从而对主机实施保护。在DFW中主机 的识别虽然可以根据IP地址，但IP地址是一种弱的认证方法，容易被欺骗。在 DFW中建议采用强的认证方法，用IPsec加密的证书作为主机认证识别的依据,一 个证书的拥有权不易伪造，并独立于拓扑，所以只要拥有合法的证书不管它处于 物

14、理上的内网还是外网都被认为是内部!用户。加密认证是彻底打破拓扑依赖的 根本保证。在DFW系统中，各台主机的审计事件要被上传到中心日志数据库中统 一保存。分布式防火墙中包含有三个必需的组件：(1)描述网络安全策略的语言。(2 )安全发布策略的机制。(3)应用、实施策略的机制。1.3分布式防火墙的研究现状1999 年 AT&T 实验室的 StevenM.Bellovin 博士在DistributedFirewall 一文中首次提出了将防火墙技术分布式化的思想。该文的核心内容是提出了关于 构建分布式防火墙的三点构想：策略描述语言(aPolioyLanguage);系统管理 工具(SystemMana

15、gementTools):IPSEC。该文主要围绕AT&T实验室在1999年 9月提出了的ThekeynoteTrustMangementSystem策略描述机制展开确立了分 布式防火墙的体系结构，之后的研究大多以此为起点。在网络安全技术领域，防火墙并不是个新课题。防火墙技术经过多年的积累 和发展，已经有了相当成熟和稳定的商业产品，逐渐成为了网络安全技术的一个 基础性设施。在国际防火墙市场上，能够占有两位数市场份额的厂家就只有 CheckPointSoftware公司和Cisco公司，其市场占有率都在20%左右。在国内市 场中，占有优势的仍旧是国外的防火墙产品，CheckpointFirewa

16、ll防火墙、 CiscoPIX防火墙、NetScreen防火墙等在产品功能和质量方面的优势使得许多大 型客户纷纷采用。国内较有名的防火墙品牌有天融信公司网络卫士、东大阿尔派 的网眼等。虽然市场上防火墙产品不少，但是这并不意味着防火墙技术己经过时 或者没有太多研究意义。恰恰相反，随着黑客技术和黑客攻击的不断进步，传统 意义上的有着异常重要作用的防火墙的安全能力却显得相对不足。从市场提供的 商业防火墙品牌来看，国外(一些著名)厂家均是采用专用的操作系统，自行设计 防火墙。而国内所有厂家所采用的操作系统系统都是基于通用的Linux。各厂家 的区别仅仅在于对Linux系统本身和防火墙部分所作的改动量有

17、多大。所以当前 防火墙产品多有各自的缺陷，只有进行深入的防火墙结构、技术的研究，才能从 根本上解决这一问题。从技术的理论上来讲，防火墙属于最底层的网络安全技术， 而且随着网络安全技术的发展，现在的防火墙已经成为一种更为先进和复杂的基 于应用层的网关。然而，随着黑客入侵技术的提高和入侵手段的增加，仅仅使用 网关级防火墙保障网络安全是远远不够的。目前，网关级的边界防火墙技术取得了较大的发展，从初期的简单的包过滤 产品到应用网关代理，以及由CheckPoint公司(世界最大防火墙厂商之一)提出 的状态检测机制的防火墙，产品日趋成熟。但是防火墙技术领域中速度与安全是 永恒的主题和矛盾。通常高安全性的传

18、统防火墙必然构成整个企业网的瓶颈。其 原因是安全计算过度集中，大量的应用级检测、过滤计算使防火墙的吞吐能力大 幅下降。降低了传统网关级边界防火墙在大型网络中的应用效能。又由于传统网 关级的边界防火墙存在着以下缺陷：防外不防内，易于从内部攻破；配置不够灵 活，不便于应用；难以有效防止分布式的攻击；只实现了粗粒度的访问控制和单 薄的安全保护。所以网络安全业界逐渐对一种新型的防火墙技术体系结构一分布 式防火墙系统体系结构一加大了研究力度。分布式防火墙与传统的边界防火墙相比有以下优点：1内外兼顾，可以提供 更高的安全性；2配置灵活，适用性强；3便于集中管理；4提供多层次的纵深 形的防护体系。目前分布式

19、防火墙的研究虽然已经有了一些商业产品，但总体上 说还属于起步阶段。无论从体系结构，运行布置方式，管理手段，以及与其他安 全设备的关联上离技术成熟还有很大的差距。2分布防火墙技术分布式防火墙技术可以总结为如下几个方面：主机驻留(Host-resident)：主机防火墙的重要特征是驻留在被保护的主机 上，该主机以外的网络不管是处在内部网还是外部网都认为是不可信任的，因此 可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策 略。主机防火墙对分布式防火墙体系结构的突出贡献是使安全策略不仅仅停留在 网络与网络之间，而是把安全策略推广延伸到每个网络末端。嵌入操作系统内核(Embedded

20、inOSkermel):众所周知，操作系统自身存在 许多安全漏洞，运行在其上的应用软件无一不受到威胁。主机防火墙也运行在该 主机上，所以起运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵 住操作系统的漏洞，主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形 态运行直接接管网卡，在把所有数据包进行检查后再提交操作系统。为实现这样 的运行机制，除为这需要一些自身的开发技术外，与操作系统厂商的技术合作也 是必要的条件，因为这需要一些操作系统不公开的内部技术接口。不能实现这种 嵌入式运行模式的主机防火墙受到操作系统安全性的制约，存在明显的安全隐 患。个人防火墙(PersonalFirewal

21、l):个人防火墙是在分布式防火墙之前业已 出现一类防火墙产品。IDC将个人防火墙定义为成本在&美圆以下，以一般消 费者和小企业为客户群，通过Cable或DSL调制解调器实现高速不间断来连接的 独立产品。分布式针对桌面应用的主机防火墙与个人防火墙有相似之处如它们管 理方式迥然不同，个人防火墙的安全策略有系统使用者自己设置，目标是防外部 攻击，而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和 设置，除了对该桌面机起到保护作用外。也可以对该桌面机的对外访问加以控制， 并且这种安全机制是对桌面机的使用者是不可见和不可改动的。其次，不同于个 人防火墙面向个人用户，针对桌面应用的主机防火墙

22、是面向企业级客户的，它与 分布式防火墙其它产品共同构成一个企业级应用方案，形成一个安全策略中心统 一管理，安全检查机制分散布置的分布式防火墙体系结构。托管服务器(Hosting)：互联网和电子商务的发展促进了互联网数据中心 (InternetDataCenter)的迅速崛起，起主要业务之一就是服务器托管服务。对 服务器托管用户而言，该服务器逻辑上是其企业网的一部分，只不过物理上不在 企业内部，对于这种应用，边界防火墙解决方案就显得比较牵强附会，而针对服 务器的主机防火墙解决方案则是其一个典型应用。用户只需在改服务器上安装上 主机防火墙软件，并根据该服务器的应用设置安全策略即可，并可以利用中心管

23、 理软件对该服务器进行远程监控，不需任何额外租用新的空间放置边界防火墙。 对互联网数据中心而言，也需要提供包括防火墙安全服务在内的增值服务来提高 竞争力，区别于用边界防火墙方案向托管用户提供防火墙安全增值服务，采用主 机防火墙方案有其独到之处：首先，可以向托管用户提供针对特定用户特定应用 的安全服务，使服务更安全更贴切；其次，消除了边界防火墙的结构性瓶颈问题 9。3分布式防火墙体系结构一个典型的DFW的体系结构见图2,它由3部分组成:边界防火墙，主机防火 墙和中心策略服务器。在DFW的体系结构中并没有废弃边界防火墙，因为物理上 的边界依然存在，只是减轻了其肩上的担子，边界防火墙仍然执行传统防火

24、墙看 守大门的任务，但由于它只处理与全网有关的安全问题，规则较少，因而效率较 高。策略服务器是整个DFW的核心，主要包括中心管理接口、策略数据库、审计 数据库和加密认证等模块。中心管理接口负责人机交互，包括制定规则。规则的 制定是通过使用规则定义语言或图形用户接口完成。管理员可以针对每台机器制 定规则，也可以将全网分成若干个域，然后针对每个域制定规则,各个域内使用相同的规则，域外使用不同的规则。主干防火墙服务器群汇聚防火墙图2分布式防火墙的体系结构3.2火墙体系结构的详细介绍1）边界防火墙边界防火墙包括以下几点功能：1）负责一个内网的边界防御和穿越 Internet通道的安全性。它主要采用包过

25、滤技术进行防御。与普通边界防火墙 不同的是，由于只是分布式防火墙的一部分,只需要提供一些简单的过滤规则（如 只提供所有的内部主机发起的连接给予通过，所有的外部的主动连接拒绝等通配 规则），因此不存在安全性和高效性的矛盾。同时，由于它不是安全性的全部提供 者，使得主十防火墙不会危及整个系统的安全。2）提供网关到网关和主机到网关 的安全通道（VPN）。在穿越非信任网络访问信任网络内部的主机时,如果使用主机 到主机的VPN,大量的连接会影响被访问主机的性能，从而影响业务应用。将VPN 的功能从信任网络内部的主机上分离到一级防火墙上。这样，就使用了网关到网 关,主机到网关的VPN代替了主机到主机的VP

26、N,提高了效率。其体系结构如下图 3所示：4份 认证 安全 代理 运行 状态 应答用户系统企业企业活动完整安全安全11忐性检策略策略系统测-自动执行运行及自下载11忐动修更新复t图3界防火墙体系结构L机 防火 墙、 入侵预防2）主机防火墙主机防火墙驻留在主机中，负责策略的实施。在主机防火墙中如果不允许用 户干预，则只包含包过滤引擎、上载审计事件的模块、加密模块等,防火墙对用户 透明，即用户感觉不到防火墙的存在,用户不能修改规则，也不能绕过防火墙。如 果允许用户部分修改规则，并参与定制个性化的安全策略，则还要包含用户接口。 在一个典型的DFW系统中，所有主机防火墙（包括分支机构和移动用户）和边界

27、防 火墙皆受控于中心策略服务器。3）中央策略服务器在分布式防火墙中，中央策略服务器是整个系统核心。一方面，它负责网络 安全策略的制定、修改、管理和维护，并将策略分发到分布式防火墙的其他部分。 中央策略服务器可以针对分布式防火墙中不同设备制定不同的规则，也可以将全 网分成若干个域，然后针对每个域或每台主机来制定策略；另一方面，中央策略 服务器还要建立和维护网络中每个安全设备的信任关系，对分布式防火墙中的设 备进行认证，避免非法用户冒充合法用户恶意入侵，破坏分布式防火墙的正常运 行。如图4:图4中央策略服务器体系结构3.2分布式防火墙体系结构中各数据流向外网进入内网的数据首先进入边界防火墙进行安全

28、检测，边界防火墙还可以 提供NAT功能，提供与否由策略服务器来决定。数据离开边界防火墙后进入汇聚 防火墙，同时数据也进入日志服务器，通过预处理过滤、重组、存储结构化的日 志信息，便于进行查询审计，以评估网络整体风险状况，并视情况发布预警信息， 原始数据还要做好备份，以作为非法入侵者的犯罪证据。日志服务器的入侵检测 分析模块进行数据分析后将可疑数据送入中央策略服务器的日志生成与发送模 块，最终在策略管理模块的控制下生成相应日志。图5数据流向汇聚防火墙接收数据后执行从中央服务器获得的策略。汇聚防火墙充当中央 策略服务器与主机防火墙的中介，为它们之间的身份认证、策略更新提供帮助， 从而减轻中央策略服

29、务器的压力，并减少网络流量。汇聚防火墙根据检查结果决 定是否允许数据是否可进入内网主机，另外汇聚防火墙也会将工作的情况用日志 纪录下来，并传输给日志服务器。进入内网主机的数据将由桌面防火墙自动地从 策略管理服务器中下载安全策略来进行相应检查，同时桌面防火墙也将收集主机 信息、认知用户的网络行为、监控主机的网络通讯和安全状态并将收集的信息发 送到日志服务器以便管理员有针对性的制定安全策略。4分布式防火墙的应用对大型网络以及需要打破网络拓扑限制的组织，分布式防火墙是最佳的选 择。下面列举了两个DFW的典型应用。1）锁定关键服务器对企业中的关键服务器，可以安装DFW作为第二道防线, 使用DFW的集中

30、管理模块，对这些服务器制定精细的访问控制规则，增强这些服 务器的安全性102）商务伙伴之间共享服务器随着电子商务的发展，商务伙伴之间需要共享信 息，外联网是一般的解决方案，但外联网的实施代价较高，可使用上面介绍的EFW 在一台服务器上安装两个NIC, 一个与内部网相连，另一个与伙伴相连,这样可以 方便地实现服务器共享。拥有服务器的一方控制服务器上的两个NIC,分别对其 进行设置，使对方能够进入共享服务器，但不能进入本方的内部网络。5结论在分布式防火墙策略分发技术中，传统的分布式对象技术都在不同程度上存 在一些局限性，难以满足实际应用中的需求。在新的安全体系结构下，分布式防 火墙代表了新一代防火

31、墙技术的潮流。它形成了一个多层次、多协议、内外皆防 的全方位安全体系。本文主要研究分布式技术，对防火墙从概念、原理、结构、配置以及改进等 方面进行分析。在学习过程中，首先通过网络和书籍等深入的理解和掌握防火墙 的核心技术，其次对网络中流行的软件防火墙和硬件防火墙针对不同攻击进行配 置实验。在配置的过程中加深了对防火墙理论的认识，虽然分布式防火墙目前还 处于起步阶段，但相信其市场的扩大是很迅速的，在未来的日子里，对我们的生 活将会带来更多的安全和方便。参考文献1 SMBellovin.DistributedFirewallJ.SpecialIssueonSecunty,1999.曹莉兰.基于防火

32、墙技术的网络安全机制研究D.电子科技大学20073 BELLOVINSM.DistributedFirewallsEB/OL. fw.html.1999.3947.)4 于文莉，周伟忠，于文华.防火墙技术及发展J.宜宾学院学报.2004.(6).5 SIoannidis,DKeromytis,MBellovinandJMSmith.ImPlementingaDistributedFirewall.In:the8th ACMconferenceonComputerandCommunieationSecurity,2000.190-199.6 MBlaze,JFeigenbaum,JIoannidis,andADKeromytis.TheKeynoteTrustManagementSystemver sion2M.IETFRFC2704,1999.4-45.7 罗明英.分布式防火墙技术及应用J .西昌学院学报(人文社会科学版).2004(04).8 周忠华.分布式防火墙若干关键技术研究D.中南大学2007.9 杨楚华.分布式防火墙体系结构及协同防御架构研究D.北工业大学.008.10 陈春玲,雷世荣，陈丹伟.分布式防火墙的原理、实现 及应用J.南京邮电学院学 报.2002(04).