防火墙技术详细说明及技术发展趋势（四） - 网络安全 - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 网络安全 » 防火墙技术详细说明及技术发展趋势（四） [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

userli

副版主

帖子 1107
精华 1
无忧币 15421
积分 3306
阅读权限 140

注册日期 2006-9-17

最后登录 2008-8-30

离线

[查看资料] [发短消息] [Blog]

发表于:2008-3-22 14:53　　标题：防火墙技术详细说明及技术发展趋势（四）
＜上一帖 | 下一帖＞

（2）提高了系统性能：消除了结构性瓶颈问题，提高了系统性能。

传统防火墙由于拥有单一的接入控制点，无论对网络的性能还是对网络的可靠性都有不利的影响。虽然目前也有这方面的研究并提供了一些相应的解决方案，从网络性能角度来说，自适应防火墙是一种在性能和安全之间寻求平衡的方案；从网络可靠性角度来说，采用多个防火墙冗余也是一种可行的方案，但是它们不仅引入了很多复杂性，而且并没有从根本上解决该问题。分布式防火墙则从根本上去除了单一的接入点，而使这一问题迎刃而解。另一方面分布式防火墙可以针对各个服务器及终端计算机的不同需要，对防火墙进行最佳配置，配置时能够充分考虑到这些主机上运行的应用，如此便可在保障网络安全的前提下大大提高网络运转效率。

（3）系统的扩展性：分布式防火墙随系统扩充提供了安全防护无限扩充的能力。

因为分布式防火墙分布在整个企业的网络或服务器中，所以它具有无限制的扩展能力。随着网络的增长，它们的处理负荷也在网络中进一步分布，因此它们的高性能可以持续保持住。而不会象边界式防火墙一样随着网络规模的增大而不堪重负。

（4）实施主机策略：对网络中的各节点可以起到更安全的防护。

现在防火墙大多缺乏对主机意图的了解，通常只能根据数据包的外在特性来进行过滤控制。虽然代理型防火墙能够解决该问题，但它需要对每一种协议单独地编写代码，其局限性也显而易见的。在没有上下文的情况下，防火墙是很难将攻击包从合法的数据包中区分出来的，因而也就无法实施过滤。事实上，攻击者很容易伪装成合法包发动攻击，攻击包除了内容以外的部分可以完全与合法包一样。分布式防火墙由主机来实施策略控制，毫无疑问主机对自己的意图有足够的了解，所以分布式防火墙依赖主机作出合适的决定就能很自然地解决这一问题。

（5）应用更为广泛，支持VPN通信

其实分布式防火墙最重要的优势在于，它能够保护物理拓朴上不属于内部网络，但位于逻辑上的"内部"网络的那些主机，这种需求随着VPN的发展越来越多。对这个问题的传统处理方法是将远程"内部"主机和外部主机的通信依然通过防火墙隔离来控制接入，而远程"内部"主机和防火墙之间采用"隧道"技术保证安全性，这种方法使原本可以直接通信的双方必须绕经防火墙，不仅效率低而且增加了防火墙过滤规则设置的难度。与之相反，分布式防火墙的建立本身就是基本逻辑网络的概念，因此对它而言，远程"内部"主机与物理上的内部主机没有任何区别，它从根本上防止了这种情况的发生。

4. 分布式防火墙的主要功能

上面介绍了分布式防火墙的特点和优势，那么到底这种防火墙具备哪些功能呢？因为采用了软件形式（有的采用了软件+硬件形式），所以功能配置更加灵活，具备充分的智能管理能力，总的来说可以体现在以下几个方面：

（1）Internet访问控制

依据工作站名称、设备指纹等属性，使用"Internet访问规则"，控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web服务器，某个用户可否基于某工作站访问www服务器，同时当某个工作站/用户达到规定流量后确定是否断网。

（2）应用访问控制

通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测，控制来自局域网/Internet的应用服务请求，如SQL数据库访问、IPX协议访问等。

（3）网络状态监控

实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。

（4）黑客攻击的防御

抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。

（5）日志管理

对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。

（6）系统工具

包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。