淺析分布式防火墻及其在軍網(wǎng)安全中的應(yīng)用

郭仁東

摘要：隨著計算機技術(shù)的發(fā)展，傳統(tǒng)防火墻越來越不能滿足計算機網(wǎng)絡(luò)安全的要求，新興的分布式防火墻有著傳統(tǒng)防火墻的優(yōu)點，同時也克服了傳統(tǒng)防火墻的缺陷，而在許多領(lǐng)域得到廣泛應(yīng)用，其在軍網(wǎng)安全中應(yīng)用更是引起人們的注意。該文將主要從分布式防火墻的概念及其體系結(jié)構(gòu)入手，具體分析軍網(wǎng)安全中分布式防火墻的應(yīng)用問題。

關(guān)鍵詞：分布式防火墻；軍網(wǎng)安全；邊界防火墻

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044（2012）30-7154-02

傳統(tǒng)防火墻主要是在內(nèi)部網(wǎng)跟外部網(wǎng)中設(shè)置一個屏障，對內(nèi)部網(wǎng)和外部網(wǎng)之間的存取情況進行控制，從而使內(nèi)外網(wǎng)絡(luò)的安全風險大大降低。傳統(tǒng)防火墻主要是以受控入點和受限拓撲的為出發(fā)點，假設(shè)在防火墻內(nèi)部有著非常信賴的許多主機，假設(shè)防火墻外部所有的訪問都具有攻擊性和潛在性的。而對于防火墻內(nèi)部網(wǎng)絡(luò)中所出現(xiàn)的攻擊或者問題卻沒有防御性。經(jīng)過相關(guān)實驗研究發(fā)現(xiàn)，幾乎百分之八十以上的攻擊都來自防火墻內(nèi)部網(wǎng)絡(luò)?？梢?，傳統(tǒng)防火墻所存在的內(nèi)部缺陷使得其沒有防范來自內(nèi)部網(wǎng)絡(luò)的威脅，這些威脅也隨著防火墻網(wǎng)絡(luò)拓撲結(jié)構(gòu)而不斷的拓展和擴大化，從而導(dǎo)致傳統(tǒng)防火墻越來越不能滿足計算機網(wǎng)絡(luò)安全的要求。從而出現(xiàn)了一種新型的防火墻技術(shù)，即本文要討論的分布式防火墻。分布式防火墻有著傳統(tǒng)防火墻的優(yōu)點，同時也克服了傳統(tǒng)防火墻的缺陷，而在許多領(lǐng)域得到廣泛應(yīng)用，其在軍網(wǎng)安全中應(yīng)用更是引起人們的注意。

1 分布式防火墻概述

分布式防火墻是在繼承了傳統(tǒng)防火墻優(yōu)點和克服傳統(tǒng)防火墻的缺點而發(fā)展出來的一種新的防火墻技術(shù)，分布式防火墻主要包括中心策略服務(wù)器、主機防火墻和網(wǎng)絡(luò)防火墻三個組成部分。主機防火墻主要是對網(wǎng)絡(luò)中的桌面系統(tǒng)和服務(wù)器進行防護；網(wǎng)絡(luò)防火墻主要在外部網(wǎng)和內(nèi)部網(wǎng)之間進行設(shè)配置，或者是在各個內(nèi)部子網(wǎng)之間進行配置，以實現(xiàn)防護功能；其中主機的物理位置可以配置在軍網(wǎng)的內(nèi)部網(wǎng)中，也可以在軍網(wǎng)的外部網(wǎng)中進行配置。分布式防火墻技術(shù)的主要目的是保護主機，不管主機以外的任何網(wǎng)絡(luò)是內(nèi)部網(wǎng)或是外部網(wǎng)，其都將被防火墻認為不可靠因素而被防御，從而使得防火墻能針對主機上所進行的相關(guān)應(yīng)用或服務(wù)設(shè)計專業(yè)性非常強的安全防護策略。同時，通過分布式防火墻的監(jiān)測，可以將所有跟主機相關(guān)的數(shù)據(jù)包進行檢查，確保主機上任何一條數(shù)據(jù)的安全。其除了對PC機進行安全保護之外，也控制著PC機的對外交流，隨時對PC機及其網(wǎng)絡(luò)進行監(jiān)控和安全保護。

2 分布式防火墻的體系結(jié)構(gòu)

分布式防火墻主要是由以下三各部分所組成，即中心策略服務(wù)器、主機防火墻和網(wǎng)絡(luò)防火墻。由于主機防火墻可以讓那些安全策略不但能在網(wǎng)絡(luò)跟網(wǎng)絡(luò)之間，同時還將其延伸到其他的各個網(wǎng)絡(luò)末端，從根本上改變過去單一接入的局限，使防火墻除了能對內(nèi)網(wǎng)的主機進行保護之外，還可對外網(wǎng)的主機進行保護，從而使整個網(wǎng)絡(luò)系統(tǒng)的性能得到了提升。

2.1 網(wǎng)絡(luò)防火墻

網(wǎng)絡(luò)防火墻主要是配置在軍網(wǎng)跟外部互聯(lián)網(wǎng)之間，一般采取的是純軟件的方式進行防護，跟傳統(tǒng)的邊界防火墻沒有什么區(qū)別。其首先對所有的數(shù)據(jù)包進行全部過濾，從而實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的安全防護，以使主機防火墻和中心策略服務(wù)器的壓力和負擔大大降低。網(wǎng)絡(luò)防火墻可謂分布式防火墻的第一道墻，是主機防火墻和中心策略服務(wù)器的外圍保護欄。

2.2 主機防火墻

網(wǎng)絡(luò)防火墻是配置在內(nèi)部網(wǎng)和外部網(wǎng)之間，主機防火墻卻是配置在內(nèi)部網(wǎng)絡(luò)中的終端主機上，主要是用來保護策略的順利實施。主機防火墻主要的任務(wù)是對網(wǎng)絡(luò)中的桌面系統(tǒng)及服務(wù)器進行安全保護，而這些被保護主機的物理位置卻或者在軍網(wǎng)內(nèi)部，或者在軍網(wǎng)外部，不管其存在于哪里，主機防火墻都能通過硬件和軟件方式來保護主機的安全。同時，為了徹底解決操作系統(tǒng)中可能存在的漏洞以及其自身的安全監(jiān)測問題，主機防火墻通過在操作系統(tǒng)中嵌入了安全監(jiān)測引擎，使所有的數(shù)據(jù)包經(jīng)過主機防火墻檢查后方能進入到操作系統(tǒng)，防止一切安全隱患的進入，確保操作系統(tǒng)的安全穩(wěn)定性。

2.3 中心策略服務(wù)器

分布式防火墻的第三個重要組成部分就是中心管理服務(wù)器，中心管理服務(wù)器主要是用來指定和管理安全策略，并對安全策略進行分發(fā)，在分發(fā)后再對其進行日志匯總及分析，從而整理成安全報告匯報于管理員，以方便管理員做出有效的、針對性較強的、科學(xué)和理性的決策?？梢?，中心策略顧名思義是分布式防火墻技術(shù)的核心特征，其對分布式防火墻是至關(guān)重要的。有了中心策略服務(wù)器，使得分布式防火墻再也不依賴防火墻網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，再不局限于物理位置必須在一定范圍內(nèi)的要求，無論是拓撲內(nèi)還是拓撲外結(jié)構(gòu)，無論是遠程還是近距離的計算機及其網(wǎng)絡(luò)，都能通過中心策略服務(wù)器的監(jiān)控和安全防護。

3 分布式防火墻在軍網(wǎng)安全中的應(yīng)用

分布式防火墻相對于傳統(tǒng)的邊界防火墻有著明顯的優(yōu)勢，從而使得其能在社會上得到廣泛的應(yīng)用，也被軍網(wǎng)的建設(shè)和保護所應(yīng)用，得到了最廣泛的重視。下面主要介紹下分布式防火墻在軍網(wǎng)安全中的應(yīng)用技術(shù)。

3.1 軍網(wǎng)分布式防火墻的邏輯結(jié)構(gòu)

由于分布式防火墻都是針對各個主機設(shè)計不同的策略的，對于軍網(wǎng)中所有服務(wù)器，管理員都要單獨制定安全策略。因此，軍網(wǎng)分布式防火墻也是根據(jù)軍隊的行政隸屬關(guān)系來設(shè)計安全策略。下圖1是軍網(wǎng)各隸屬關(guān)系的防火墻域。

正是由于軍網(wǎng)中各隸屬關(guān)系的存在，使得集團軍中存在著許多小單位或者部門，而這些單位或者部門的物理位置是不同的，因此，分布式防火墻將會根據(jù)不同物理位置的主機設(shè)定一個安全策略，從而有利于分布式防火墻的監(jiān)控和管理。分布式防火墻的這種安全策略制定的邏輯結(jié)構(gòu)如下圖2。

3.2 軍網(wǎng)分布式防火墻安全策略的制定和分發(fā)

軍網(wǎng)分布式防火墻安全策略的制定非常重要，它是整個軍網(wǎng)安全的鑰匙庫、證書庫和策略庫，主要負責對策略進行假設(shè)、實驗、制定、驗證等功能，策略形成的這些過程都是非常嚴謹?shù)?，因為軍網(wǎng)不像一般企業(yè)或者單位的網(wǎng)絡(luò)，一旦遭受攻擊將面對著毀滅性地打擊，其所造成的影響和損失將是巨大的。因此，軍網(wǎng)分布式防火墻往往采用多節(jié)點多實施防火墻的監(jiān)控和防護，以保證軍網(wǎng)各主機或者服務(wù)器收到多級的保護。同樣的，對于策略的分發(fā)也非常重要，其一般采取兩種機制進行分發(fā)，一種是通過策略服務(wù)器進行推送，一種是通過主機主動進行索取。這兩種方法在實施過程中都要嚴格按照防火墻自身安全策略進行。

3.3 軍網(wǎng)分布式防火墻的加密認證

在軍網(wǎng)建設(shè)中，通過分布式防火墻來確保軍網(wǎng)系統(tǒng)的安全，但同樣的首先得保證防火墻自身的安全性。軍網(wǎng)分布式防火墻自身的安全相對于任何安全問題都重要。因此，必須加強軍網(wǎng)分布式防火墻的加密認證機制的建設(shè)。在軍網(wǎng)分布式防火墻的安全上，一般是通過IPSec強認證方法對主機跟策略服務(wù)器之間的通信進行加密和管理，從而防止可能出現(xiàn)的IP地址欺騙現(xiàn)象。這種認證方法目前在軍網(wǎng)安全上已得到認可，現(xiàn)已被廣泛應(yīng)用到許多的網(wǎng)絡(luò)平臺上。

4 結(jié)束語

綜上所述，分布式防火墻有著傳統(tǒng)防火墻的優(yōu)點，同時也克服了傳統(tǒng)防火墻的缺陷，現(xiàn)已在軍網(wǎng)安全建設(shè)中得到廣泛的應(yīng)用。其在“邏輯結(jié)構(gòu)的設(shè)計、安全策略的制定和分發(fā)和防火墻的加密認證”上顯得尤為突出。

參考文獻：

[1] 王海燕，張華貴.淺析網(wǎng)絡(luò)安全中的防火墻技術(shù)[J].電腦知識與技術(shù)，2010（5）.

[2] 韓彬.防火墻技術(shù)在網(wǎng)絡(luò)安全中的實際應(yīng)用[J].科技資訊，2011（1）.

[3] 鄧安遠，胡慧.一種基于智能分布式防火墻的軍網(wǎng)安全模型[J].商場現(xiàn)代化，2009（9）.

[4] 蘆鴻雁.防火墻技術(shù)淺析[J].信息與電腦，2011（3）.