解讀分散式防火牆之――技術篇(轉)

解讀分散式防火牆之――技術篇(轉)[@more@]

　　隨著網路的發展和普及，特別是網際網路應用的飛速發展和普及，網路安全越來越受到各級使用者的普遍關注。人們在享受資訊化帶來的眾多好處的同時，也面臨著日益突出的資訊保安問題。比如：網路環境中國家秘密和商業秘密的保護，特別是政府上網後對機密敏感資訊的保護，網上各種行為者的身份確認與權責利的確認，高度網路化的各種業務（商務、政務、教務等）資訊系統執行的正常和不被破壞，網路銀行、電子商務、各類資金管理系統中的支付與結算的準確真實和金融機構資料保護與管理系統的不被欺詐，都將成為企業形象、商業利益、國家安全和社會穩定的焦點。

　　一、分散式防火牆的產生

　　因為傳統的防火牆設定在網路邊界，在內部企業網和外部網際網路之間構成一個屏障，進行網路存取控制，所以稱為邊界防火牆（Perimeter Firewall）。隨著電腦保安技術的發展和使用者對防火牆功能要求的提高，目前出現一種新型防火牆，那就是"分散式防火牆"，英文名為"Distributed Firewalls"。它是在目前傳統的邊界式防火牆基礎上開發的。但目前主要是以軟體形式出現的，也有一些國際著名網路裝置開發商（如3COM、CISCO等）開發生產了整合分散式防火牆技術的硬體分散式防火牆，做成嵌入式防火牆PCI卡或PCMCIA卡的形式，但負責集中管理的還是一個伺服器軟體。因為是將分散式防火牆技術整合在硬體上，所以通常稱之為"嵌入式防火牆"，其實其核心技術就是"分散式防火牆"技術。關於這些分散式防火牆產品在下一篇文章裡將有介紹。

　　我們都知道，傳統意義上的邊界防火牆用於限制被保護企業內部網路與外部網路（通常是網際網路）之間相互進行資訊存取、傳遞操作，它所處的位置在內部網路與外部網路之間。實際上，所有以前出現的各種不同型別的防火牆，從簡單的包過濾在應用層代理以至自適應代理，都是基於一個共同的假設，那就是防火牆把內部網路一端的使用者看成是可信任的，而外部網路一端的使用者則都被作為潛在的攻擊者來對待。這樣的假設是整個防火牆開發和工作機制，但隨著最近幾年各種網路技術的發展和各種新的攻擊情況不斷出現，人們越來越希望需要重新來探討一下傳統邊界式防火牆存在的種種問題，以尋求新的解決方案，而本文所介紹的"分散式防火牆"技術就是目前認為最有效的解決方案。

　　分散式防火牆是一種主機駐留式的安全系統，用以保護企業網路中的關鍵結點伺服器、資料及工作站免受非法入侵的破壞。分散式防火牆通常是核心模式應用，它位於作業系統OSI棧的底部，直接面對網路卡，它們對所有的資訊流進行過濾與限制，無論是來自Internet，還是來自內部網路。

　　分散式防火牆把Internet和內部網路均視為"不友好的"。它們對個人計算機進行保護的方式如同邊界防火牆對整個網路進行保護一樣。對於Web伺服器來說，分散式防火牆進行配置後能夠阻止一些非必要的協議，如HTTP 和 HTTPS之外的協議透過，從而阻止了非法入侵的發生，同時還具有入侵檢測及防護功能。

　　分散式防火牆克服了作業系統所具有的已知及未知的安全漏洞，如DoS(拒絕服務)、應用及口令攻擊。從而使作業系統得到強化。分散式防火牆對每個伺服器都能進行專門的保護。系統管理員能夠將訪問許可權只賦予伺服器上的應用所使用的必要的埠及協議。如HTTP, HTTPS, port 80, port 443等。

　　為了進一步瞭解這一新的防火牆技術的優越性，我們先來了解一下傳統邊界式防火牆的固有不足之處。

　　二、傳統邊界式防火牆的固有欠缺

　　在介紹這種傳統邊界式防火牆的欠缺之前不得不申明的一點就是，它的欠缺並不是一開始人們就意識到，而是隨著網路技術的不斷髮展、新網路技術的不斷湧現和應用，以及新的網路安全因素的出現而體現的。這一點與任何其它產品的應用過程一樣，雖然在目前來說它存在以下欠缺，但或許隨著網路應用和進一步發展，將來還可能有人提出更多的欠缺之處，哪怕是本文所要介紹的最新分散式防火牆技術。就目前來說邊界式防火牆主要存在以下不足之處：

　　（1）網路應用受到結構性限制

　　隨著像VPN這樣網路技術的應用和普及，企業網邊界逐步成為一個邏輯的邊界，物理的邊界日趨模糊，傳統邊界防火牆在此類網路環境的應用受到了結構性限制。因為傳統的邊界式防火牆依賴於物理上的拓撲結構，它從物理上將網路劃分為內部網路和外部網路，這一點影響了防火牆在虛擬專用網（VPN）上的應用，因為今天的企業電子商務要求員工、遠端辦公人員、裝置供應商、臨時僱員以及商業合作伙伴都能夠自由訪問企業網路，而重要的客戶資料與財務記錄往往也儲存在這些網路上。根據VPN的概念，它對內部網路和外部網路的劃分是基於邏輯上的，而邏輯上同處內部網路的主機可能在物理上分處內部和外部兩面個網路。

　　基於以上原因，所以這種傳統防火牆不能在有在兩個內部網路之間通訊需求的VPN網路中使用，否則VPN通訊將被中斷。雖然目前有一種SSL VPN技術可以繞過企業邊界的防火牆進入內部網路VPN通訊，但是應用更廣泛的傳統IPSec VPN通訊中還是不能使用，除非是專門的VPN防火牆。目前有許多網路裝置開發、生產商都能提供VPN防火牆，如Cisco、3Com和我國的華為（Quidway）公司等。

　　（2）內部安全隱患仍在

　　傳統的邊緣防火牆只對企業網路的周邊提供保護。這些邊緣防火牆會在從外部網路進入企業內部區域網的流量進行過濾和審查，但是，他們並不能確保企業內部網路內部使用者之間的安全訪問。這就好比給一座辦公樓的大門加上一把鎖，但辦公樓內的每個房間卻四門大開一樣，一旦有人透過了辦公樓的大門，便可以隨意出入辦公樓內任何一個房間。改進這種安全性隱患的最簡單辦法便是為樓內每個房間都配置一把鑰匙和一把鎖。邊界式防火牆的作用就相當於整個企業網路大門的那把鎖，但它並沒有為每個客戶端配備相應的安全"大鎖"，與上述所舉只給辦公樓大門配鎖，而每個房間的大門卻敞開所帶來的安全性隱患的道理是一樣的。