登录
【IT168 编者按】分布式防火墙不是一个新事物,是一种主机驻留式的安全系统,用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏;其原则是把Internet和内部网络均视为“不友好的”,对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。分布式防火墙的部属对于企业网络安全到底能有多少作用?通过广电网络实例——无锡广播电视局集团相关网站应用了分布式防火墙技术,我们可以了解到企业如何利用此技术,通过设置多层安全策略,形成了可靠的网络体系,从而满足了企业自身安全要求。
随着广电网络的不断发展,我们创办了丰富多彩的具有广电特色的门户网站,但随之而来的网络安全问题也日益受到了我们的关注,为了保证网站的安全正常运行,网络管理员利用防火墙、路由器等网络产品进行安全防护,这些客观上起到了防止“外界”的攻击和入侵的作用,但是这种传统的防火墙技术(俗称边界防火墙)能够阻止来自外部的大部分攻击, 对于局域内部的入侵则形同虚设。为此,诞生了一种专用于隔离、堵住内部网漏的新兴防火墙技术——分布式防火墙。
一、分布式防火墙的技术特点
1.1主机驻留
分布式防火墙的最主要特点就是采用主机驻留方式,所以称之为“主机防火墙”,它的重要特征是驻留在被保护的主机上,该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是,使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。
1.2嵌入操作系统内核
这主要是针对目前的纯软件式分布式防火墙来说的,为了自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌人操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后再提交操作系统。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约,存在着明显的安全隐患。
1.3 类似于个人防火墙
个人防火墙是一种软件防火墙产品,它是在分布式防火墙之前业已出现的一类防火墙产品,它是用来保护单一主机系统的。分布式针对桌面应用的主机防火墙与个人防火墙有相似之处,如它们都对应个人系统,但其差别又是本质性的。首先它们管理方式迥然不同,个人防火墙的安全策略由系统使用者自己设置,目标是防外部攻击,而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置,除了对该桌面机起到保护作用外,也可以对该桌面机的对外访问加以控制,并且这种安全机制是桌面机的使用者不可见和不可改动的。
其次,不同于个人防火墙面向个人用户,针对桌面应用的主机防火墙是面向企业级客户的,它与分布式防火墙其它产品共同构成一个企业级应用方案,形成一个安全策略中心统一管理,安全检查机制分散布置的分布式防火墙体系结构。
| 第1页:分布式防火墙的技术特点 | 第2页:分布式防火墙的结构与原理 |
