郭仁東

摘要：隨著計(jì)算機(jī)技術(shù)的發(fā)展，傳統(tǒng)防火墻越來越不能滿足計(jì)算機(jī)網(wǎng)絡(luò)安全的要求，新興的分布式防火墻有著傳統(tǒng)防火墻的優(yōu)點(diǎn)，同時(shí)也克服了傳統(tǒng)防火墻的缺陷，而在許多領(lǐng)域得到廣泛應(yīng)用，其在軍網(wǎng)安全中應(yīng)用更是引起人們的注意。該文將主要從分布式防火墻的概念及其體系結(jié)構(gòu)入手，具體分析軍網(wǎng)安全中分布式防火墻的應(yīng)用問題。

關(guān)鍵詞：分布式防火墻；軍網(wǎng)安全；邊界防火墻

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044（2012）30-7154-02

傳統(tǒng)防火墻主要是在內(nèi)部網(wǎng)跟外部網(wǎng)中設(shè)置一個(gè)屏障，對內(nèi)部網(wǎng)和外部網(wǎng)之間的存取情況進(jìn)行控制，從而使內(nèi)外網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)大大降低。傳統(tǒng)防火墻主要是以受控入點(diǎn)和受限拓?fù)涞臑槌霭l(fā)點(diǎn)，假設(shè)在防火墻內(nèi)部有著非常信賴的許多主機(jī)，假設(shè)防火墻外部所有的訪問都具有攻擊性和潛在性的。而對于防火墻內(nèi)部網(wǎng)絡(luò)中所出現(xiàn)的攻擊或者問題卻沒有防御性。經(jīng)過相關(guān)實(shí)驗(yàn)研究發(fā)現(xiàn)，幾乎百分之八十以上的攻擊都來自防火墻內(nèi)部網(wǎng)絡(luò)?？梢姡瑐鹘y(tǒng)防火墻所存在的內(nèi)部缺陷使得其沒有防范來自內(nèi)部網(wǎng)絡(luò)的威脅，這些威脅也隨著防火墻網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)而不斷的拓展和擴(kuò)大化，從而導(dǎo)致傳統(tǒng)防火墻越來越不能滿足計(jì)算機(jī)網(wǎng)絡(luò)安全的要求。從而出現(xiàn)了一種新型的防火墻技術(shù)，即本文要討論的分布式防火墻。分布式防火墻有著傳統(tǒng)防火墻的優(yōu)點(diǎn)，同時(shí)也克服了傳統(tǒng)防火墻的缺陷，而在許多領(lǐng)域得到廣泛應(yīng)用，其在軍網(wǎng)安全中應(yīng)用更是引起人們的注意。

1 分布式防火墻概述

分布式防火墻是在繼承了傳統(tǒng)防火墻優(yōu)點(diǎn)和克服傳統(tǒng)防火墻的缺點(diǎn)而發(fā)展出來的一種新的防火墻技術(shù)，分布式防火墻主要包括中心策略服務(wù)器、主機(jī)防火墻和網(wǎng)絡(luò)防火墻三個(gè)組成部分。主機(jī)防火墻主要是對網(wǎng)絡(luò)中的桌面系統(tǒng)和服務(wù)器進(jìn)行防護(hù)；網(wǎng)絡(luò)防火墻主要在外部網(wǎng)和內(nèi)部網(wǎng)之間進(jìn)行設(shè)配置，或者是在各個(gè)內(nèi)部子網(wǎng)之間進(jìn)行配置，以實(shí)現(xiàn)防護(hù)功能；其中主機(jī)的物理位置可以配置在軍網(wǎng)的內(nèi)部網(wǎng)中，也可以在軍網(wǎng)的外部網(wǎng)中進(jìn)行配置。分布式防火墻技術(shù)的主要目的是保護(hù)主機(jī)，不管主機(jī)以外的任何網(wǎng)絡(luò)是內(nèi)部網(wǎng)或是外部網(wǎng)，其都將被防火墻認(rèn)為不可靠因素而被防御，從而使得防火墻能針對主機(jī)上所進(jìn)行的相關(guān)應(yīng)用或服務(wù)設(shè)計(jì)專業(yè)性非常強(qiáng)的安全防護(hù)策略。同時(shí)，通過分布式防火墻的監(jiān)測，可以將所有跟主機(jī)相關(guān)的數(shù)據(jù)包進(jìn)行檢查，確保主機(jī)上任何一條數(shù)據(jù)的安全。其除了對PC機(jī)進(jìn)行安全保護(hù)之外，也控制著PC機(jī)的對外交流，隨時(shí)對PC機(jī)及其網(wǎng)絡(luò)進(jìn)行監(jiān)控和安全保護(hù)。

2 分布式防火墻的體系結(jié)構(gòu)

分布式防火墻主要是由以下三各部分所組成，即中心策略服務(wù)器、主機(jī)防火墻和網(wǎng)絡(luò)防火墻。由于主機(jī)防火墻可以讓那些安全策略不但能在網(wǎng)絡(luò)跟網(wǎng)絡(luò)之間，同時(shí)還將其延伸到其他的各個(gè)網(wǎng)絡(luò)末端，從根本上改變過去單一接入的局限，使防火墻除了能對內(nèi)網(wǎng)的主機(jī)進(jìn)行保護(hù)之外，還可對外網(wǎng)的主機(jī)進(jìn)行保護(hù)，從而使整個(gè)網(wǎng)絡(luò)系統(tǒng)的性能得到了提升。

2.1 網(wǎng)絡(luò)防火墻

網(wǎng)絡(luò)防火墻主要是配置在軍網(wǎng)跟外部互聯(lián)網(wǎng)之間，一般采取的是純軟件的方式進(jìn)行防護(hù)，跟傳統(tǒng)的邊界防火墻沒有什么區(qū)別。其首先對所有的數(shù)據(jù)包進(jìn)行全部過濾，從而實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)的安全防護(hù)，以使主機(jī)防火墻和中心策略服務(wù)器的壓力和負(fù)擔(dān)大大降低。網(wǎng)絡(luò)防火墻可謂分布式防火墻的第一道墻，是主機(jī)防火墻和中心策略服務(wù)器的外圍保護(hù)欄。

2.2 主機(jī)防火墻

網(wǎng)絡(luò)防火墻是配置在內(nèi)部網(wǎng)和外部網(wǎng)之間，主機(jī)防火墻卻是配置在內(nèi)部網(wǎng)絡(luò)中的終端主機(jī)上，主要是用來保護(hù)策略的順利實(shí)施。主機(jī)防火墻主要的任務(wù)是對網(wǎng)絡(luò)中的桌面系統(tǒng)及服務(wù)器進(jìn)行安全保護(hù)，而這些被保護(hù)主機(jī)的物理位置卻或者在軍網(wǎng)內(nèi)部，或者在軍網(wǎng)外部，不管其存在于哪里，主機(jī)防火墻都能通過硬件和軟件方式來保護(hù)主機(jī)的安全。同時(shí)，為了徹底解決操作系統(tǒng)中可能存在的漏洞以及其自身的安全監(jiān)測問題，主機(jī)防火墻通過在操作系統(tǒng)中嵌入了安全監(jiān)測引擎，使所有的數(shù)據(jù)包經(jīng)過主機(jī)防火墻檢查后方能進(jìn)入到操作系統(tǒng)，防止一切安全隱患的進(jìn)入，確保操作系統(tǒng)的安全穩(wěn)定性。

2.3 中心策略服務(wù)器

分布式防火墻的第三個(gè)重要組成部分就是中心管理服務(wù)器，中心管理服務(wù)器主要是用來指定和管理安全策略，并對安全策略進(jìn)行分發(fā)，在分發(fā)后再對其進(jìn)行日志匯總及分析，從而整理成安全報(bào)告匯報(bào)于管理員，以方便管理員做出有效的、針對性較強(qiáng)的、科學(xué)和理性的決策?？梢姡行牟呗灶櫭剂x是分布式防火墻技術(shù)的核心特征，其對分布式防火墻是至關(guān)重要的。有了中心策略服務(wù)器，使得分布式防火墻再也不依賴防火墻網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，再不局限于物理位置必須在一定范圍內(nèi)的要求，無論是拓?fù)鋬?nèi)還是拓?fù)渫饨Y(jié)構(gòu)，無論是遠(yuǎn)程還是近距離的計(jì)算機(jī)及其網(wǎng)絡(luò)，都能通過中心策略服務(wù)器的監(jiān)控和安全防護(hù)。

3 分布式防火墻在軍網(wǎng)安全中的應(yīng)用

分布式防火墻相對于傳統(tǒng)的邊界防火墻有著明顯的優(yōu)勢，從而使得其能在社會(huì)上得到廣泛的應(yīng)用，也被軍網(wǎng)的建設(shè)和保護(hù)所應(yīng)用，得到了最廣泛的重視。下面主要介紹下分布式防火墻在軍網(wǎng)安全中的應(yīng)用技術(shù)。

3.1 軍網(wǎng)分布式防火墻的邏輯結(jié)構(gòu)

由于分布式防火墻都是針對各個(gè)主機(jī)設(shè)計(jì)不同的策略的，對于軍網(wǎng)中所有服務(wù)器，管理員都要單獨(dú)制定安全策略。因此，軍網(wǎng)分布式防火墻也是根據(jù)軍隊(duì)的行政隸屬關(guān)系來設(shè)計(jì)安全策略。下圖1是軍網(wǎng)各隸屬關(guān)系的防火墻域。

正是由于軍網(wǎng)中各隸屬關(guān)系的存在，使得集團(tuán)軍中存在著許多小單位或者部門，而這些單位或者部門的物理位置是不同的，因此，分布式防火墻將會(huì)根據(jù)不同物理位置的主機(jī)設(shè)定一個(gè)安全策略，從而有利于分布式防火墻的監(jiān)控和管理。分布式防火墻的這種安全策略制定的邏輯結(jié)構(gòu)如下圖2。

3.2 軍網(wǎng)分布式防火墻安全策略的制定和分發(fā)

軍網(wǎng)分布式防火墻安全策略的制定非常重要，它是整個(gè)軍網(wǎng)安全的鑰匙庫、證書庫和策略庫，主要負(fù)責(zé)對策略進(jìn)行假設(shè)、實(shí)驗(yàn)、制定、驗(yàn)證等功能，策略形成的這些過程都是非常嚴(yán)謹(jǐn)?shù)模驗(yàn)檐娋W(wǎng)不像一般企業(yè)或者單位的網(wǎng)絡(luò)，一旦遭受攻擊將面對著毀滅性地打擊，其所造成的影響和損失將是巨大的。因此，軍網(wǎng)分布式防火墻往往采用多節(jié)點(diǎn)多實(shí)施防火墻的監(jiān)控和防護(hù)，以保證軍網(wǎng)各主機(jī)或者服務(wù)器收到多級的保護(hù)。同樣的，對于策略的分發(fā)也非常重要，其一般采取兩種機(jī)制進(jìn)行分發(fā)，一種是通過策略服務(wù)器進(jìn)行推送，一種是通過主機(jī)主動(dòng)進(jìn)行索取。這兩種方法在實(shí)施過程中都要嚴(yán)格按照防火墻自身安全策略進(jìn)行。

3.3 軍網(wǎng)分布式防火墻的加密認(rèn)證

在軍網(wǎng)建設(shè)中，通過分布式防火墻來確保軍網(wǎng)系統(tǒng)的安全，但同樣的首先得保證防火墻自身的安全性。軍網(wǎng)分布式防火墻自身的安全相對于任何安全問題都重要。因此，必須加強(qiáng)軍網(wǎng)分布式防火墻的加密認(rèn)證機(jī)制的建設(shè)。在軍網(wǎng)分布式防火墻的安全上，一般是通過IPSec強(qiáng)認(rèn)證方法對主機(jī)跟策略服務(wù)器之間的通信進(jìn)行加密和管理，從而防止可能出現(xiàn)的IP地址欺騙現(xiàn)象。這種認(rèn)證方法目前在軍網(wǎng)安全上已得到認(rèn)可，現(xiàn)已被廣泛應(yīng)用到許多的網(wǎng)絡(luò)平臺上。

4 結(jié)束語

綜上所述，分布式防火墻有著傳統(tǒng)防火墻的優(yōu)點(diǎn)，同時(shí)也克服了傳統(tǒng)防火墻的缺陷，現(xiàn)已在軍網(wǎng)安全建設(shè)中得到廣泛的應(yīng)用。其在“邏輯結(jié)構(gòu)的設(shè)計(jì)、安全策略的制定和分發(fā)和防火墻的加密認(rèn)證”上顯得尤為突出。

參考文獻(xiàn)：

[1] 王海燕，張華貴.淺析網(wǎng)絡(luò)安全中的防火墻技術(shù)[J].電腦知識與技術(shù)，2010（5）.

[2] 韓彬.防火墻技術(shù)在網(wǎng)絡(luò)安全中的實(shí)際應(yīng)用[J].科技資訊，2011（1）.

[3] 鄧安遠(yuǎn)，胡慧.一種基于智能分布式防火墻的軍網(wǎng)安全模型[J].商場現(xiàn)代化，2009（9）.

[4] 蘆鴻雁.防火墻技術(shù)淺析[J].信息與電腦，2011（3）.