/001年第/期%总第23期&
大众科技$%&’()*+,-. ABL) ! )PP! S:2G287/-I38TABK($U
防火墙技术发展的一大趋势! !! 分布式防火墙
李蓉! 周维柏
#华南师范大学增城学院! 广东增城!""#$#$
要" 文章首先简要介绍了分布式防火墙的产生及基理! 进而介绍了分布式防火墙的主要特点! 并在此基础上! 对分布式防火墙的技术优势作了进一步的阐述"
! 关键词" 分布式防火墙&技术&特点&优势
! 摘
! 中图分类号" N?#! 文献标识码" @! 文章编号" OPPQ R OO!O %)PP! &P) *PP!M *P)
图#
随着网络的发展和普及! 特别是互联网应用的飞速发展和普及! 网络安全威胁的不仅是外部网络! 更多的是来自内部网络" 但传统的边界防火墙无法对内部网络实现有效地保护" 因此! 随着人们对网络安全防护要求的提高! 边界防火墙明显感觉到力不从心! 在这样的背景下! 一种新型防火墙$#$分布式防火墙%,-./0-12/345-036788. &应运而生" 它是就目前传统的边界式防火墙基础上开发的" 但目前主要是以软件形式出现的! 也有一些国际著名网络设备开发商%如9:;:;等&开发生产了集成分布式防火墙技术的硬件分布式防火墙! 做成嵌入式防火墙?:=卡或?:
一#分布式防火墙工作基理
分布式防火墙仍然由中心定义策略! 但是由各个分布在网络中的端点实施这些制定的策略(它依赖于三个主要的概念+即说明哪一类连接可以被允许禁止的策略语言, 一种系统管理工具和=?安全协议" 分布式防火墙由制定防火墙接入控制策略的中心通过编译器将策略语言描述转换成内部格式! 形成策略文件-然后中心采用系统管理工具把策略文件分发给各台) 内部*主机-) 内部*主机将从两方面来判定是否接受收到的包! 一方面是根据=?安全协议! 另一方面是根据服务器终端的策略文件"
的安全策略! 使安全策略不仅仅停留在网络与网络之间! 而是把安全策略推广延伸到每个网络末端! 因此! 分布式防火墙可以用来保护企业网络中的关键结点服务器’数据及工作站免受非法入侵的破坏"
)L 嵌入操作系统内核$由于操作系统自身存在许多安全漏洞! 纯软件式防火墙无一不受到威胁" 而分布式防火墙是主机运行机制! 主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行! 直接接管网卡! 再把所有数据包进行检查后再提交操作系统" 为此! 实现了自身的安全和彻底堵住操作系统的漏洞"
9L 有别于个人防火墙$虽然分布式防火墙和个人防火墙有相似之处! 如它们都对应个人系统" 但又有着本质性的差别" 一方面是管理方式迥然不同" 个人防火墙的安全策略由系统使用者自己设置! 目标是防外部攻击! 而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置! 除了对该桌面机起到保护作用外! 也可以对该桌面机的对外访问加以控制! 并且这种安全机制是桌面机的使用者不可见和不可改动的" 另一方面! 个人防火墙是单纯的直接面向个人用户的! 而桌面应用的主机防火墙是面向企业级客户的! 它与分布式防火墙其他产品共同构成一个企业级应用方案! 形成一个安全策略中心统一管理! 所以它在一定程度上也面对整个网络" 它是整个安全防护系统中不可分割的一部分! 整个系统的安全检查机制分散布置在整个分布式防火墙体系中"
二#分布式防火墙的特点
由于分布式防火墙个人防火墙是单纯的直接面向个人用户的! 而桌面应用的主机防火墙是面向企业级客户的! 它与分布式防火墙其他产品共同构成一个企业级应用方案! 形成一个安全策略中心统一管理! 所以它在一定程度上也面对整个网络" 它是整个安全防护系统中不可分割的一部分! 整个系统的安全检查机制分散布置在整个分布式防火墙体系中" 网络防火墙%A3/6B0C5-036788&’主机防火墙%DB./5-036788&和中心管理%:3E/078
根据上图分布式防火墙的部署! 可以概括出分布式防火墙的几个主要特点+
"K 主机驻留$分布式防火墙是一种主机驻留式的安全系统! 驻留在被保护的主机上! 该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的! 因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强
ML 便于服务器托管$我们都清楚! 当前服务器托管服务是互联网数据中心%=,:&主要业务之一" 对服务器托管用户而言! 该服务器逻辑上是其企业网的一部分! 只不过物理上不在企业内部! 对于这种应用! 边界防火墙解决方案就显得
! 收稿日期" !""#$"%$&!
! 作者简介" 李蓉#%’()*$!女! 辽宁抚顺人! 华南师范大学增城学院老师! 研究方向+计算机工程%R !M R
比较牵强附会! 而针对服务器的主机防火墙解决方案则是其一个典型应用" 对于纯软件式的分布式防火墙! 用户只需在该服务器上安装主机防火墙软件! 并根据该服务器的应用设置安全策略即可! 并可以利用中心管理软件对该服务器进行远程监控! 不需任何额外租用新的空间放置边界防火墙" 这对于广大服务器托管的企业来说显然就更加实惠了"
的应用! 为此! 便可以在保障网络安全的前提下大大提高网络运转效率"
("进一步提高系统的扩展性" 因为分布式防火墙分布在整个企业的网络或服务器中! 所以它具有无限制的扩展能力" 随着网络的增长! 它们的处理负荷同样能在网络中进一步分布! 因此它们的高性能可以持续保持着! 而不会象边界式防火墙"
!" 提高效率! 降低成本" 从人力成本上来讲! 分布式防火墙使整个企业只要培训一名高水平的系统管理员就可以轻松地处理好全网的安全! 其使用成本较单机产品明显降低"
)" 对网络中的各节点实施更安全的防护" 由于分布式防火墙由主机来实施策略控制! 而基于主机的包过滤和入侵检测针对性更强! 更准确" 另外结合应用的过滤检查可以有效地防止特洛伊木马和恶意脚本等对主机的侵害" 为此! 分布式防火墙依赖主机作出合适的决定就能较好地解决传统防火墙在没有上下文的情况下! 很难将攻击包从合法的数据包中区分出来! 因而也就无法实施过滤的问题"
正是由于分布式防火墙具有以上技术优势! 在实际应用中就显示出其部署容易$使用方便$安全防护效果好等优点! 并克服了高速网络带来的检测困难的问题" 为此! 许多操作系统! 包括*+,-.$/+,01234$等都将主机防火墙集成进来%还有许多传统的防火墙厂商! 如%5678$1+,9等! 也不断推出各种软件和硬件形式的分布式边界防火墙和主机防火墙! 并提供多种分布式管理方案" 因此! 我们可以预料! 分布式防火墙技术必将是未来防火墙技术发展的一大重要趋势"
参考文献
三#分布式防火墙的优势
基于分布式防火墙的上述特点! 决定了它具备相应的技术优势#
#"有效地增强了系统安全性" 分布式防火墙能将防火墙功能分布到网络的各个子网$桌面系统$笔记本计算机以及服务器$%上" 分布于整个公司内的分布式防火墙使用户可以方便地访问信息! 而不会将网络的其他部分暴露在潜在的非法入侵者面前" 另外! 分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生! 同时也使通过公共帐号登录网络的用户无法进入那些限制访问的计算机系统" 再者! 由于分布式防火墙使用了
&$安全协议! 能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信! 使各主机之间的通信得到了很好的保护" 从而加强了针对主机的入侵检测和防护功能! 对来自内部攻击进行有效防范! 提高整个系统的安全性"
’"消除了结构性瓶颈问题! 提高了系统性能" 由于传统防火墙拥有单一的接入控制点! 无论对网络的性能还是对网络的可靠性都有不利的影响" 而分布式防火墙则从根本上去除了单一的接入点! 而使这一问题迎刃而解" 另外! 分布式防火墙还可以针对各个服务器及终端计算机的不同需要! 对防火墙进行最佳配置! 配置时能够充分考虑到这些主机上运行:#;钟乐海编>(
:’;雷咏梅" 赵霖编>(
:(;杨义先" 钮心忻" 等编著" 信息安全新技术:=;>’
$上接第!’页%
同步" 同时通过软件产生统计数据供生产管理部门分析研究! 为生产调度及管网管理提供有益的数据资料"
? 打印客户发票? 打印委托凭证? 日收费明细表? 产值$水量日报表? 日$月汇总表? 水表汇总表
? 收费汇总月报表? 欠费明细表? 大客户报表)" 数据对账系统
对账系统主要用于自来水公司应答银行的收费网点的数据查询$对账请求$收费确认等命令" 通过@%$建立与前置机的连接! 并向前置机发送注册数据包! 标明自身为对账系统" 接受银行发送的数据信息! 并查询数据库或保存数据到数据库中! 并将反馈信息发送给银行" 其中包括#用户欠费查询$用户缴费确认$用户历来水费查询$当日退单$对总账$对收费点清单$单价类查询等"
四#营业收费系统运行效果及特点
缴费的过程是一项新的服务! 这种服务应使客户感到亲切$方便$清楚$满意" 面对广大的居民客户! 我们以往采取的是将账务交由一家银行独立收取! 定期汇报缴费欠费的情况! 数据传递的方式是人工传送磁盘! 弊端很多! 比如无法即时掌握收费$欠费情况! 单一银行网点有限! 不方便客户缴费等" 现在我们采用的开放式收费系统! 将收费系统的数据源平台化了! 只要有银行愿意收取水费! 通过一条专线接入进来! 其各个营业网点就可以收费了" 企业根据自身发展需要! 也可以随时增加营业网点! 老百姓普遍感到缴费方便了! 同时也提高了我们的收费及时率"
目前与我们联网的已有建设银行$农业银行$商业银行三家银行! 我公司自已现有新海营业大厅$云台营业大厅$连云营业大厅三个营业网点! 多家银行数百个营业网点与我们共同构成遍布全市的水费缴费网" 一方面加快了企业的资金回笼! 另一方面解决了边远地区客户缴费难$服务跟不上等问题"
三#收费系统数据的运用
客户用水信息经输入$处理后留在数据库中! 这些数据是水司的一笔无形财富! 除了生成日常报表打印以外! 我们计划对镜像数据库作进一步的分析利用" 首先结合我们的门户网站将其上网! 客户可以通过互联网查询水价及用水信息! 了解自已的用水情况! 目前该项功能已实现" 下一步将通过网络或呼叫中心诸手段进行欠费催缴" 进一步与客户档案联系起来! 做到一次客户档案信息录入! 收费$管网系统数据
五#结语
水费的收取直接关系到企业的再生产和发展" 为了更快地回收水费! 企业必须实时监控当前的收费状态! 包括客户数$收费金额$欠费金额的分布等等" 并通过一定的手段! 敦促客户结清费用" 公司上上下下决心打破龙头老大的陈旧思想! 把垄断经营变为以客户需求为主! 以客户服务为中心的经营思想" 从技术和管理两方面下手! 在保证收费及时率的同时! 注重良好的社会效益"
A !! B
/001年第/期%总第23期&
大众科技$%&’()*+,-. ABL) ! )PP! S:2G287/-I38TABK($U
防火墙技术发展的一大趋势! !! 分布式防火墙
李蓉! 周维柏
#华南师范大学增城学院! 广东增城!""#$#$
要" 文章首先简要介绍了分布式防火墙的产生及基理! 进而介绍了分布式防火墙的主要特点! 并在此基础上! 对分布式防火墙的技术优势作了进一步的阐述"
! 关键词" 分布式防火墙&技术&特点&优势
! 摘
! 中图分类号" N?#! 文献标识码" @! 文章编号" OPPQ R OO!O %)PP! &P) *PP!M *P)
图#
随着网络的发展和普及! 特别是互联网应用的飞速发展和普及! 网络安全威胁的不仅是外部网络! 更多的是来自内部网络" 但传统的边界防火墙无法对内部网络实现有效地保护" 因此! 随着人们对网络安全防护要求的提高! 边界防火墙明显感觉到力不从心! 在这样的背景下! 一种新型防火墙$#$分布式防火墙%,-./0-12/345-036788. &应运而生" 它是就目前传统的边界式防火墙基础上开发的" 但目前主要是以软件形式出现的! 也有一些国际著名网络设备开发商%如9:;:;等&开发生产了集成分布式防火墙技术的硬件分布式防火墙! 做成嵌入式防火墙?:=卡或?:
一#分布式防火墙工作基理
分布式防火墙仍然由中心定义策略! 但是由各个分布在网络中的端点实施这些制定的策略(它依赖于三个主要的概念+即说明哪一类连接可以被允许禁止的策略语言, 一种系统管理工具和=?安全协议" 分布式防火墙由制定防火墙接入控制策略的中心通过编译器将策略语言描述转换成内部格式! 形成策略文件-然后中心采用系统管理工具把策略文件分发给各台) 内部*主机-) 内部*主机将从两方面来判定是否接受收到的包! 一方面是根据=?安全协议! 另一方面是根据服务器终端的策略文件"
的安全策略! 使安全策略不仅仅停留在网络与网络之间! 而是把安全策略推广延伸到每个网络末端! 因此! 分布式防火墙可以用来保护企业网络中的关键结点服务器’数据及工作站免受非法入侵的破坏"
)L 嵌入操作系统内核$由于操作系统自身存在许多安全漏洞! 纯软件式防火墙无一不受到威胁" 而分布式防火墙是主机运行机制! 主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行! 直接接管网卡! 再把所有数据包进行检查后再提交操作系统" 为此! 实现了自身的安全和彻底堵住操作系统的漏洞"
9L 有别于个人防火墙$虽然分布式防火墙和个人防火墙有相似之处! 如它们都对应个人系统" 但又有着本质性的差别" 一方面是管理方式迥然不同" 个人防火墙的安全策略由系统使用者自己设置! 目标是防外部攻击! 而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置! 除了对该桌面机起到保护作用外! 也可以对该桌面机的对外访问加以控制! 并且这种安全机制是桌面机的使用者不可见和不可改动的" 另一方面! 个人防火墙是单纯的直接面向个人用户的! 而桌面应用的主机防火墙是面向企业级客户的! 它与分布式防火墙其他产品共同构成一个企业级应用方案! 形成一个安全策略中心统一管理! 所以它在一定程度上也面对整个网络" 它是整个安全防护系统中不可分割的一部分! 整个系统的安全检查机制分散布置在整个分布式防火墙体系中"
二#分布式防火墙的特点
由于分布式防火墙个人防火墙是单纯的直接面向个人用户的! 而桌面应用的主机防火墙是面向企业级客户的! 它与分布式防火墙其他产品共同构成一个企业级应用方案! 形成一个安全策略中心统一管理! 所以它在一定程度上也面对整个网络" 它是整个安全防护系统中不可分割的一部分! 整个系统的安全检查机制分散布置在整个分布式防火墙体系中" 网络防火墙%A3/6B0C5-036788&’主机防火墙%DB./5-036788&和中心管理%:3E/078
根据上图分布式防火墙的部署! 可以概括出分布式防火墙的几个主要特点+
"K 主机驻留$分布式防火墙是一种主机驻留式的安全系统! 驻留在被保护的主机上! 该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的! 因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强
ML 便于服务器托管$我们都清楚! 当前服务器托管服务是互联网数据中心%=,:&主要业务之一" 对服务器托管用户而言! 该服务器逻辑上是其企业网的一部分! 只不过物理上不在企业内部! 对于这种应用! 边界防火墙解决方案就显得
! 收稿日期" !""#$"%$&!
! 作者简介" 李蓉#%’()*$!女! 辽宁抚顺人! 华南师范大学增城学院老师! 研究方向+计算机工程%R !M R
比较牵强附会! 而针对服务器的主机防火墙解决方案则是其一个典型应用" 对于纯软件式的分布式防火墙! 用户只需在该服务器上安装主机防火墙软件! 并根据该服务器的应用设置安全策略即可! 并可以利用中心管理软件对该服务器进行远程监控! 不需任何额外租用新的空间放置边界防火墙" 这对于广大服务器托管的企业来说显然就更加实惠了"
的应用! 为此! 便可以在保障网络安全的前提下大大提高网络运转效率"
("进一步提高系统的扩展性" 因为分布式防火墙分布在整个企业的网络或服务器中! 所以它具有无限制的扩展能力" 随着网络的增长! 它们的处理负荷同样能在网络中进一步分布! 因此它们的高性能可以持续保持着! 而不会象边界式防火墙"
!" 提高效率! 降低成本" 从人力成本上来讲! 分布式防火墙使整个企业只要培训一名高水平的系统管理员就可以轻松地处理好全网的安全! 其使用成本较单机产品明显降低"
)" 对网络中的各节点实施更安全的防护" 由于分布式防火墙由主机来实施策略控制! 而基于主机的包过滤和入侵检测针对性更强! 更准确" 另外结合应用的过滤检查可以有效地防止特洛伊木马和恶意脚本等对主机的侵害" 为此! 分布式防火墙依赖主机作出合适的决定就能较好地解决传统防火墙在没有上下文的情况下! 很难将攻击包从合法的数据包中区分出来! 因而也就无法实施过滤的问题"
正是由于分布式防火墙具有以上技术优势! 在实际应用中就显示出其部署容易$使用方便$安全防护效果好等优点! 并克服了高速网络带来的检测困难的问题" 为此! 许多操作系统! 包括*+,-.$/+,01234$等都将主机防火墙集成进来%还有许多传统的防火墙厂商! 如%5678$1+,9等! 也不断推出各种软件和硬件形式的分布式边界防火墙和主机防火墙! 并提供多种分布式管理方案" 因此! 我们可以预料! 分布式防火墙技术必将是未来防火墙技术发展的一大重要趋势"
参考文献
三#分布式防火墙的优势
基于分布式防火墙的上述特点! 决定了它具备相应的技术优势#
#"有效地增强了系统安全性" 分布式防火墙能将防火墙功能分布到网络的各个子网$桌面系统$笔记本计算机以及服务器$%上" 分布于整个公司内的分布式防火墙使用户可以方便地访问信息! 而不会将网络的其他部分暴露在潜在的非法入侵者面前" 另外! 分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生! 同时也使通过公共帐号登录网络的用户无法进入那些限制访问的计算机系统" 再者! 由于分布式防火墙使用了
&$安全协议! 能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信! 使各主机之间的通信得到了很好的保护" 从而加强了针对主机的入侵检测和防护功能! 对来自内部攻击进行有效防范! 提高整个系统的安全性"
’"消除了结构性瓶颈问题! 提高了系统性能" 由于传统防火墙拥有单一的接入控制点! 无论对网络的性能还是对网络的可靠性都有不利的影响" 而分布式防火墙则从根本上去除了单一的接入点! 而使这一问题迎刃而解" 另外! 分布式防火墙还可以针对各个服务器及终端计算机的不同需要! 对防火墙进行最佳配置! 配置时能够充分考虑到这些主机上运行:#;钟乐海编>(
:’;雷咏梅" 赵霖编>(
:(;杨义先" 钮心忻" 等编著" 信息安全新技术:=;>’
$上接第!’页%
同步" 同时通过软件产生统计数据供生产管理部门分析研究! 为生产调度及管网管理提供有益的数据资料"
? 打印客户发票? 打印委托凭证? 日收费明细表? 产值$水量日报表? 日$月汇总表? 水表汇总表
? 收费汇总月报表? 欠费明细表? 大客户报表)" 数据对账系统
对账系统主要用于自来水公司应答银行的收费网点的数据查询$对账请求$收费确认等命令" 通过@%$建立与前置机的连接! 并向前置机发送注册数据包! 标明自身为对账系统" 接受银行发送的数据信息! 并查询数据库或保存数据到数据库中! 并将反馈信息发送给银行" 其中包括#用户欠费查询$用户缴费确认$用户历来水费查询$当日退单$对总账$对收费点清单$单价类查询等"
四#营业收费系统运行效果及特点
缴费的过程是一项新的服务! 这种服务应使客户感到亲切$方便$清楚$满意" 面对广大的居民客户! 我们以往采取的是将账务交由一家银行独立收取! 定期汇报缴费欠费的情况! 数据传递的方式是人工传送磁盘! 弊端很多! 比如无法即时掌握收费$欠费情况! 单一银行网点有限! 不方便客户缴费等" 现在我们采用的开放式收费系统! 将收费系统的数据源平台化了! 只要有银行愿意收取水费! 通过一条专线接入进来! 其各个营业网点就可以收费了" 企业根据自身发展需要! 也可以随时增加营业网点! 老百姓普遍感到缴费方便了! 同时也提高了我们的收费及时率"
目前与我们联网的已有建设银行$农业银行$商业银行三家银行! 我公司自已现有新海营业大厅$云台营业大厅$连云营业大厅三个营业网点! 多家银行数百个营业网点与我们共同构成遍布全市的水费缴费网" 一方面加快了企业的资金回笼! 另一方面解决了边远地区客户缴费难$服务跟不上等问题"
三#收费系统数据的运用
客户用水信息经输入$处理后留在数据库中! 这些数据是水司的一笔无形财富! 除了生成日常报表打印以外! 我们计划对镜像数据库作进一步的分析利用" 首先结合我们的门户网站将其上网! 客户可以通过互联网查询水价及用水信息! 了解自已的用水情况! 目前该项功能已实现" 下一步将通过网络或呼叫中心诸手段进行欠费催缴" 进一步与客户档案联系起来! 做到一次客户档案信息录入! 收费$管网系统数据
五#结语
水费的收取直接关系到企业的再生产和发展" 为了更快地回收水费! 企业必须实时监控当前的收费状态! 包括客户数$收费金额$欠费金额的分布等等" 并通过一定的手段! 敦促客户结清费用" 公司上上下下决心打破龙头老大的陈旧思想! 把垄断经营变为以客户需求为主! 以客户服务为中心的经营思想" 从技术和管理两方面下手! 在保证收费及时率的同时! 注重良好的社会效益"
A !! B