前沿拓展：

防火墻產(chǎn)品

A 、安全策略的檢查站 B 、有效防止內(nèi)部網(wǎng)絡(luò)相互影響 C 、網(wǎng)絡(luò)安全的屏障 D 、對網(wǎng)絡(luò)存取和訪問進行**審云通信和移動客戶參與領(lǐng)域的全球領(lǐng)導(dǎo)者SinchAB(publ)今天宣布，在RoamingConsultingCompany(ROCCO)最近的排名中，其(A2P)被授予最高的“一級”排名，其中還包括適用于移動網(wǎng)絡(luò)**的****onetization套件和A2P**S防火墻產(chǎn)品，以及適用于企業(yè)的A2P**S產(chǎn)品等**S產(chǎn)品套件的關(guān)鍵要素。

圖片來自Baidu

A2P貨幣化使MNO能夠同時產(chǎn)生新收入、提高網(wǎng)絡(luò)安全性、增強用戶隱私和提高客戶滿意度，支持**使用**S防火墻等工具關(guān)閉其網(wǎng)絡(luò)以阻止未經(jīng)授權(quán)的路由**S流量。

Sinch的A2P**S產(chǎn)品擁有超過600個直接**連接，使任何行業(yè)的企業(yè)都能擴大業(yè)務(wù)范圍，與全球客戶互動并增強客戶體驗，同時享受最高的交付率，最低的延遲和內(nèi)置的全球合規(guī)性。

（編譯：墨書）

拓展知識：

防火墻產(chǎn)品

1.什么是防火墻
防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況， 以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。
在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地**了內(nèi)部網(wǎng)和Internet之間的任何活動， 保證了內(nèi)部網(wǎng)絡(luò)的安全。
2.使用Firewall的益處
保護脆弱的服務(wù)
通過過濾不安全的服務(wù)，F(xiàn)irewall可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風(fēng)險。例如， Firewall可以禁止NIS、NFS服務(wù)通過，F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統(tǒng)的訪問
Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如， Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運行于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)， 而無須在內(nèi)部網(wǎng)每臺機器上分別設(shè)立安全策略。Firewall可以定義不同的認(rèn)證方法， 而不需要在每臺機器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Figer和DNS。
記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)
Firewall可以記錄和統(tǒng)計通過Firewall的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計數(shù)據(jù)， 來判斷可能的攻擊和探測。
策略執(zhí)行
Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置Firewall時，網(wǎng)絡(luò)安全取決于每臺主機的用戶。

3.防火墻的種類
防火墻總體上分為包過濾、應(yīng)用級**和**服務(wù)器等幾大類型。

數(shù) 據(jù) 包 過 濾
數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯， 被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、 協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。 數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用， 網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備， 因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費用。
數(shù)據(jù)包過濾防火墻的缺點有二：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊； 二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被**或假冒。

應(yīng) 用 級 網(wǎng) 關(guān)
應(yīng)用級**(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。 它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、 登記和統(tǒng)計，形成報告。實際中的應(yīng)用**通常安裝在專用工作站系統(tǒng)上。
數(shù)據(jù)包過濾和應(yīng)用**防火墻有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。 一旦滿足邏輯，則防火墻內(nèi)外的計算機系統(tǒng)建立直接聯(lián)系， 防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運行狀態(tài)，這有利于實施非法訪問和攻擊。

代 理 服 務(wù)
**服務(wù)(Proxy Service)也稱鏈路級**或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人將它歸于應(yīng)用級**一類。它是針對數(shù)據(jù)包過濾和應(yīng)用**技術(shù)存在的缺點而引入的防火墻技術(shù)， 其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的" 鏈接"， 由兩個終止**服務(wù)器上的" 鏈接"來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達**服務(wù)器， 從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，**服務(wù)也對過往的數(shù)據(jù)包進行分析、注冊登記， 形成報告，同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。

4.設(shè)置防火墻的要素

網(wǎng)絡(luò)策略
影響Firewall系統(tǒng)設(shè)計、安裝和使用的網(wǎng)絡(luò)策略可分為兩級，高級的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)， 低級的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級策略中定義的服務(wù)。

服務(wù)訪問策略
服務(wù)訪問策略集中在Internet訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP連接等）。 服務(wù)訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網(wǎng)絡(luò)風(fēng)險和提供用戶服務(wù)之間獲得平衡。 典型的服務(wù)訪問策略是：允許通過增強認(rèn)證的用戶在必要的情況下從Internet訪問某些內(nèi)部主機和服務(wù)； 允許內(nèi)部用戶訪問指定的Internet主機和服務(wù)。

防火墻設(shè)計策略
防火墻設(shè)計策略基于特定的Firewall，定義完成服務(wù)訪問策略的規(guī)則。通常有兩種基本的設(shè)計策略： 允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。第一種的特點是安全但不好用， 第二種是好用但不安全，通常采用第二種類型的設(shè)計策略。 而多數(shù)防火墻都在兩種之間采取折衷。

增強的認(rèn)證
許多在Internet上發(fā)生的入侵**源于脆弱的傳統(tǒng)用戶/口令機制。多年來，用戶被告知使用難于猜測和破譯口令， 雖然如此，攻擊者仍然在Internet上監(jiān)視傳輸?shù)目诹蠲魑模箓鹘y(tǒng)的口令機制形同虛設(shè)。增強的認(rèn)證機制包含智能卡， 認(rèn)證令牌，生理特征（指紋）以及基于軟件（RSA）等技術(shù)，來克服傳統(tǒng)口令的弱點。雖然存在多種認(rèn)證技術(shù)， 它們均使用增強的認(rèn)證機制產(chǎn)生難被攻擊者重用的口令和密鑰。 目前許多流行的增強機制使用一次有效的口令和密鑰（如**artCard和認(rèn)證令牌）。

5.防火墻在大型網(wǎng)絡(luò)系統(tǒng)中的部署
根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全需要，可以在如下位置部署防火墻：
局域網(wǎng)內(nèi)的VLAN之間控制信息流向時。

Intranet與Internet之間連接時(企業(yè)單位與外網(wǎng)連接時的應(yīng)用**)。

在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)， （通過公網(wǎng)ChinaPac，ChinaDDN，F(xiàn)rame Relay等連接）在總部的局域網(wǎng)和各分支機構(gòu)連接時采用防火墻隔離， 并利用**構(gòu)成虛擬專網(wǎng)。

總部的局域網(wǎng)和分支機構(gòu)的局域網(wǎng)是通過Internet連接，需要各自安裝防火墻，并利用NetScreen的**組成虛擬專網(wǎng)。

在遠(yuǎn)程用戶撥號訪問時，加入虛擬專網(wǎng)。

ISP可利用NetScreen的負(fù)載平衡功能在公共訪問服務(wù)器和客戶端間加入防火墻進行負(fù)載分擔(dān)、 存取控制、用戶認(rèn)證、流量控制、日志紀(jì)錄等功能。

兩網(wǎng)對接時，可利用NetScreen硬件防火墻作為**設(shè)備實現(xiàn)地址轉(zhuǎn)換(NAT)，地址映射（MAP）， 網(wǎng)絡(luò)隔離（DMZ）, 存取安全控制，消除傳統(tǒng)軟件防火墻的瓶頸問題。

6.防火墻在網(wǎng)絡(luò)系統(tǒng)中的作用

防火墻能有效地防止外來的入侵，它在網(wǎng)絡(luò)系統(tǒng)中的作用是：

控制進出網(wǎng)絡(luò)的信息流向和信息包；
提供使用和流量的日志和審計；
隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)；
提供**功能；
參考資料：http://www.chinaitlab.com/www/news/article_show.asp?id=12144
回答者：愛上了蓮 – 舉人 四級 12-1 18:06

——————————————————————————–

評價已經(jīng)被關(guān)閉 目前有 1 個人評價
好
100% （1） 不好
0% （0）

其他回答 共 5 條

用來阻擋信息的，像木馬什么的，也能被阻隔
回答者：homejin – 試用期 一級 12-1 18:01

——————————————————————————–

防火墻定義

防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。

防火墻的功能

防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

為什么使用防火墻

防火墻具有很好的保護作用。入侵者必須第一穿越防火墻的安全防線，才能接觸目標(biāo)計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護選擇。

防火墻的類型

防火墻有不同類型。一個防火墻可以是硬件自身的一部分，你可以將因特網(wǎng)連接和計算機都插入其中。防火墻也可以在一個**的機器上運行，該機器作為它背后網(wǎng)絡(luò)中所有計算機的**和防火墻。最后，直接連在因特網(wǎng)的機器可以使用個人防火墻。

本回答被提問者采納

防火墻產(chǎn)品

一、防火墻技術(shù)發(fā)展概述

傳統(tǒng)的防火墻通常是基于訪問控制列表(ACL)進行包過濾的，位于在內(nèi)部專用網(wǎng)的入口處，所以也俗稱"邊界防火墻"。隨著防火墻技術(shù)的發(fā)展，防火墻技術(shù)也得到了發(fā)展，出現(xiàn)了一些新的防火墻技術(shù)，如電路級**技術(shù)、應(yīng)用**技術(shù)和動態(tài)包過濾技術(shù)，在實際運用中，這些技術(shù)差別非常大，有的工作在OSI參考模式的網(wǎng)絡(luò)層，；有的工作在傳輸層，還有的工作在應(yīng)用層。

在這些已出現(xiàn)的防火墻技術(shù)中，靜態(tài)包過濾是最差的安全解決方案，其應(yīng)用存在著一些不可克服的限制，最明顯的表現(xiàn)就是不能檢測出基于用戶身份的地址欺騙型數(shù)據(jù)包，并且很容易受到諸如DoS（拒絕服務(wù)）、IP地址欺詐等黑客攻擊。現(xiàn)在已基本上沒有防火墻廠商單獨使用這種技術(shù)。應(yīng)用層**和電路級**是比較好的安全解決方案，它們在應(yīng)用層檢查數(shù)據(jù)包。但是，我們不可能對每一個應(yīng)用都運行這樣一個**服務(wù)器，而且部分應(yīng)用**技術(shù)還要求客戶端安裝有特殊的軟件。這兩種解決方案在性能上也有很大的不足之處。動態(tài)包過濾是基于連接狀態(tài)對數(shù)據(jù)包進行檢查，由于動態(tài)包過濾解決了靜態(tài)包過濾的安全限制，并且比**技術(shù)在性能上有了很大的改善，因而目前大多數(shù)防火墻廠商都采用這種技術(shù)。但是隨著主動攻擊的增多，狀態(tài)包過濾技術(shù)也面臨著巨大的挑戰(zhàn)，更需要其它新技術(shù)的輔助。

除了訪問控制功能外，現(xiàn)在大多數(shù)的防火墻制造商在自己的設(shè)備上還集成了其它的安全技術(shù)，如NAT和**、**防護等。

二、防火墻未來的技術(shù)發(fā)展趨勢

隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也有一些新的發(fā)展趨勢。這主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。

1. 防火墻包過濾技術(shù)發(fā)展趨勢

（1）. 一些防火墻廠商把在AAA系統(tǒng)上運用的用戶認(rèn)證及其服務(wù)擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在**網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗證的防火墻通常是采用應(yīng)用級**技術(shù)的，包過濾技術(shù)的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。

（2）. 多級過濾技術(shù)

所謂多級過濾技術(shù)，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡(luò)層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用**（應(yīng)用層）一級，能利用FTP、**TP等各種**，控制和監(jiān)測Internet提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補以上各種單獨過濾技術(shù)的不足。

這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

（3）. 使防火墻具有**防護功能。現(xiàn)在通常被稱之為"**防火墻"，當(dāng)然目前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術(shù)可以有效地防止**在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有**防護功能的防火墻可以大大減少公司的損失。

2. 防火墻的體系結(jié)構(gòu)發(fā)展趨勢

隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。

首信CF-2000 系列EP-600和CG-600高端千兆防火墻即采用了功能強大的可編程專有ASIC芯片作為專門的安全引擎，很好地兼顧了靈活性和性能的需要。它們可以以線速處理網(wǎng)絡(luò)流量，而且其性能不受連接數(shù)目、包大小以及采用何種策略的影響。該款防火墻支持QoS，所造成的延遲可以達到微秒量級，可以滿足各種交互式多媒體應(yīng)用的要求。浙大網(wǎng)新也在杭州正式發(fā)布三款基于ASIC芯片的網(wǎng)新易尚千兆系列**防火墻,據(jù)稱,其ES4000防火墻速度達到4Gbps,3DES速度可達600Mbps。易尚系列千兆防火墻還采用了最新的安全**概念,集成了防火墻、**、IDS、防**、內(nèi)容過濾和流量控制等多項功能,

3. 防火墻的系統(tǒng)管理發(fā)展趨勢

防火墻的系統(tǒng)管理也有一些發(fā)展趨勢，主要體現(xiàn)在以下幾個方面：

（1）. 第一是集中式管理，分布式和分層的安全結(jié)構(gòu)是將來的趨勢。集中式管理可以降低管理成本，并保證在大型網(wǎng)絡(luò)中安全策略的一致性。快速響應(yīng)和快速防御也要求采用集中式管理系統(tǒng)。目前這種分布式防火墻早已在Cisco（思科）、3Com等大的網(wǎng)絡(luò)設(shè)備開發(fā)商中開發(fā)成功，也就是目前所稱的"分布式防火墻"和"嵌入式防火墻"。關(guān)于這一新技術(shù)在本篇下面將詳細(xì)介紹。

（2）. 強大的審計功能和自動日志分析功能。這兩點的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還可以管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞，及時地調(diào)整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火墻通常是比較高級的，早期的靜態(tài)包過濾防火墻是不具有的。
（3）. 網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化

隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，現(xiàn)在有一種提法，叫做"建立以防火墻為核心的網(wǎng)絡(luò)安全體系"。因為我們在現(xiàn)實中發(fā)現(xiàn)，僅現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來入侵。

如現(xiàn)在的IDS設(shè)備就能很好地與防火墻一起聯(lián)合。一般情況下，為了確保系統(tǒng)的通信性能不受安全設(shè)備的影響太大，IDS設(shè)備不能像防火墻一樣置于網(wǎng)絡(luò)入口處，只能置于旁路位置。而在實際使用中，IDS的任務(wù)往往不僅在于檢測，很多時候在IDS發(fā)現(xiàn)入侵行為以后，也需要IDS本身對入侵及時遏止。顯然，要讓處于旁路偵聽的IDS完成這個任務(wù)又太難為，同時主鏈路又不能串接太多類似設(shè)備。在這種情況下，如果防火墻能和IDS、**檢測等相關(guān)安全產(chǎn)品聯(lián)合起來，充分發(fā)揮各自的長處，協(xié)同配合，共同建立一個有效的安全防范體系，那么系統(tǒng)網(wǎng)絡(luò)的安全性就能得以明顯提升。

目前主要有兩種解決辦法：一種是直接把IDS、**檢測部分直接"做"到防火墻中，使防火墻具有IDS和**檢測設(shè)備的功能；另一種是各個產(chǎn)品分立，通過某種通訊方式形成一個整體，一旦發(fā)現(xiàn)安全**，則立即通知防火墻，由防火墻完成過濾和報告。目前更看重后一種方案，因為它實現(xiàn)方式較前一種容易許多。
三、分布式防火墻技術(shù)

在前面已提到一種新的防火墻技術(shù)，即分布式防火墻技術(shù)已在逐漸興起，并在國外一些大的網(wǎng)絡(luò)設(shè)備開發(fā)商中得到了實現(xiàn)，由于其優(yōu)越的安全防護體系，符合未來的發(fā)展趨勢，所以這一技術(shù)一出現(xiàn)便得到許多用戶的認(rèn)可和接受。下面我們就來介紹一下這種新型的防火墻技術(shù)。

1． 分布式防火墻的產(chǎn)生

因為傳統(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，外于內(nèi)、外部互聯(lián)網(wǎng)之間，所以稱為"邊界防火墻（Perimeter Firewall）"。隨著人們對網(wǎng)絡(luò)安全防護要求的提高，邊界防火墻明顯感覺到力不從心，因為給網(wǎng)絡(luò)帶來安全威脅的不僅是外部網(wǎng)絡(luò)，更多的是來自內(nèi)部網(wǎng)絡(luò)。但邊界防火墻無法對內(nèi)部網(wǎng)絡(luò)實現(xiàn)有效地保護，除非對每一臺主機都安裝防火墻，這是不可能的。基于此，一種新型的防火墻技術(shù)，分布式防火墻（Distributed Firewalls）技術(shù)產(chǎn)生了。它可以很好地解決邊界防火墻以上的不足，當(dāng)然不是為每對路主機安裝防火墻，而是把防火墻的安全防護系統(tǒng)延伸到網(wǎng)絡(luò)中各對臺主機。一方面有效地保證了用戶的投資不會很高，另一方面給網(wǎng)絡(luò)所帶來的安全防護是非常全面的。

我們都知道，傳統(tǒng)邊界防火墻用于限制被保護企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（通常是互聯(lián)網(wǎng)）之間相互進行信息存取、傳遞**作，它所處的位置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間。實際上，所有以前出現(xiàn)的各種不同類型的防火墻，從簡單的包過濾在應(yīng)用層**以至自適應(yīng)**，都是基于一個共同的假設(shè)，那就是防火墻把內(nèi)部網(wǎng)絡(luò)一端的用戶看成是可信任的，而外部網(wǎng)絡(luò)一端的用戶則都被作為潛在的攻擊者來對待。而分布式防火墻是一種主機駐留式的安全系統(tǒng)，它是以主機為保護對象，它的設(shè)計理念是主機以外的任何用戶訪問都是不可信任的，都需要進行過濾。當(dāng)然在實際應(yīng)用中，也不是要求對網(wǎng)絡(luò)中每對臺主機都安裝這樣的系統(tǒng)，這樣會嚴(yán)重影響網(wǎng)絡(luò)的通信性能。它通常用于保護企業(yè)網(wǎng)絡(luò)中的關(guān)鍵結(jié)點服務(wù)器、數(shù)據(jù)及工作站免受非法入侵的破壞。

分布式防火墻負(fù)責(zé)對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點之間的安全防護，所以"分布式防火墻"是一個完整的系統(tǒng)，而不是單一的產(chǎn)品。根據(jù)其所需完成的功能，新的防火墻體系結(jié)構(gòu)包含如下部分：

·網(wǎng)絡(luò)防火墻（Network Firewall）：這一部分有的公司采用的是純軟件方式，而有的可以提供相應(yīng)的硬件支持。它是用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護。與傳統(tǒng)邊界防火墻相比，它多了一種用于對內(nèi)部子網(wǎng)之間的安全防護層，這樣整個網(wǎng)絡(luò)的安全防護體系就顯得更加全面，更加可靠。不過在功能與傳統(tǒng)的邊界式防火墻類似。
·主機防火墻（Host Firewall）：同樣也有純軟件和硬件兩種產(chǎn)品，是用于對網(wǎng)絡(luò)中的服務(wù)器和桌面機進行防護。這也是傳統(tǒng)邊界式防火墻所不具有的，也算是對傳統(tǒng)邊界式防火墻在安全體系方面的一個完善。它是作用在同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間，以確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全。這樣防火墻的作用不僅是用于內(nèi)部與外部網(wǎng)之間的防護，還可應(yīng)用于內(nèi)部網(wǎng)各子網(wǎng)之間、同一內(nèi)部子網(wǎng)工作站與服務(wù)器之間。可以說達到了應(yīng)用層的安全防護，比起網(wǎng)絡(luò)層更加徹底。
·中心管理（Central Managerment）：這是一個防火墻服務(wù)器管理軟件，負(fù)責(zé)總體安全策略的策劃、管理、分發(fā)及日志的匯總。這是新的防火墻的管理功能，也是以前傳統(tǒng)邊界防火墻所不具有的。這樣防火墻就可進行智能管理，提高了防火墻的安全防護靈活性，具備可管理性。

2. 分布式防火墻的主要特點

綜合起來這種新的防火墻技術(shù)具有以下幾個主要特點：

（1）. 主機駐留

這種分布式防火墻的最主要特點就是采用主機駐留方式，所以稱之為"主機防火墻"（傳統(tǒng)邊界防火墻通常稱之為"網(wǎng)絡(luò)防火墻"）。它的重要特征是駐留在被保護的主機上，該主機以外的網(wǎng)絡(luò)不管是處在網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部都認(rèn)為是不可信任的，因此可以針對該主機上運行的具體應(yīng)用和對外提供的服務(wù)設(shè)定針對性很強的安全策略。主機防火墻對分布式防火墻體系結(jié)構(gòu)的突出貢獻是，使安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是把安全策略推廣延伸到每個網(wǎng)絡(luò)末端。

（2）. 嵌入**作系統(tǒng)內(nèi)核

這主要是針對目前的純軟件式分布式防火墻來說的.**作系統(tǒng)自身存在許多安全漏洞目前是眾所周知的，運行在其上的應(yīng)用軟件無一不受到威,。分布式主機防火墻也運行在主機上，所以其運行機制是主機防火墻的關(guān)鍵技術(shù)之一。為自身的安全和徹底堵住**作系統(tǒng)的漏洞，主機防火墻的安全監(jiān)測核心引擎要以嵌入**作系統(tǒng)內(nèi)核的形態(tài)運行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進行檢查后再提交**作系統(tǒng)。為實現(xiàn)這樣的運行機制，除防火墻廠商自身的開發(fā)技術(shù)外，與**作系統(tǒng)廠商的技術(shù)合作也是必要的條件，因為這需要一些**作系統(tǒng)不公開內(nèi)部技術(shù)接口。不能實現(xiàn)這種分布式運行模式的主機防火墻由于受到**作系統(tǒng)安全性的制約，存在著明顯的安全隱患。

（3）. 類似于個人防火墻

個人防火墻是一種軟件防火墻產(chǎn)品，它是用來保護單一主機系統(tǒng)的。分布式防火墻與個人防火墻有相似之處，如都是對應(yīng)個人系統(tǒng)。但它們之間又有著本質(zhì)上的差別。

第一它們管理方式迥然不同，個人防火墻的安全策略由系統(tǒng)使用者自己設(shè)置，全面功能和管理都在本機上實現(xiàn)，它的目標(biāo)是防止主機以外的任何外部用戶攻擊；而針對桌面應(yīng)用的主機防火墻的安全策略由整個系統(tǒng)的管理員統(tǒng)一安排和設(shè)置，除了對該桌面機起到保護作用外，也可以對該桌面機的對外訪問加以控制，并且這種安全機制是桌面機的使用者不可見和不可改動的。

第三，不同于個人防火墻是單純的直接面向個人用戶，針對桌面應(yīng)用的主機防火墻是面向企業(yè)級客戶的，它與分布式防火墻其它產(chǎn)品共同構(gòu)成一個企業(yè)級應(yīng)用方案，形成一個安全策略中心統(tǒng)一管理，所以它在一定程度上也面對整個網(wǎng)絡(luò)。它是整個安全防護系統(tǒng)中不可分割的一部分，整個系統(tǒng)的安全檢查機制分散布置在整個分布式防火墻體系中。

（4）適用于服務(wù)器托管

互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展促進了互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）的迅速崛起，其主要業(yè)務(wù)之一就是服務(wù)器托管服務(wù)。對服務(wù)器托管用戶而言，該服務(wù)器邏輯上是其企業(yè)網(wǎng)的一部分，只不過物理上不在企業(yè)內(nèi)部。對于這種應(yīng)用，邊界防火墻解決方案就顯得比較牽強附會。我們在前面介紹了，對于這類用戶，他們通常所采用的防火墻方案是采用虛擬防火墻方案，但這種配置相當(dāng)復(fù)雜，非一般網(wǎng)管人員能勝任。而針對服務(wù)器的主機防火墻解決方案則是其一個典型應(yīng)用。對于純軟件式的分布式防火墻則用戶只需在該服務(wù)器上安裝上主機防火墻軟件，并根據(jù)該服務(wù)器的應(yīng)用設(shè)置安全策略即可，并可以利用中心管理軟件對該服務(wù)器進行遠(yuǎn)程**，不需任何額外租用新的空間放置邊界防火墻。對于硬件式的分布式防火墻因其通常采用PCI卡式的，通常兼顧網(wǎng)卡作用，所以可以直接插在服務(wù)器機箱里面，也就無需單獨的空間托管費了，對于企業(yè)來說更加實惠。

3. 分布式防火墻的主要優(yōu)勢

在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新一代防火墻技術(shù)的潮流，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點處設(shè)置屏障，從而形成了一個多層次、多協(xié)議，內(nèi)外皆防的全方位安全體系。主要優(yōu)勢如下：

（1）增強的系統(tǒng)安全性：增加了針對主機的入侵檢測和防護功能，加強了對來自內(nèi)部攻擊防范，可以實施全方位的安全策略。

在傳統(tǒng)邊界式防火墻應(yīng)用中，企業(yè)內(nèi)部網(wǎng)絡(luò)非常容易受到有目的的攻擊，一旦已經(jīng)接入了企業(yè)局域網(wǎng)的某臺計算機，并獲得這臺計算機的控制權(quán)，他們便可以利用這臺機器作為入侵其他系統(tǒng)的跳板。而最新的分布式防火墻將防火墻功能分布到網(wǎng)絡(luò)的各個子網(wǎng)、桌面系統(tǒng)、筆記本計算機以及服務(wù)器PC上。分布于整個公司內(nèi)的分布式防火墻使用戶可以方便地訪問信息，而不會將網(wǎng)絡(luò)的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能，用戶通過內(nèi)部網(wǎng)、外聯(lián)網(wǎng)、虛擬專用網(wǎng)還是遠(yuǎn)程訪問所實現(xiàn)與企業(yè)的互聯(lián)不再有任何區(qū)別。分布式防火墻還可以使企業(yè)避免發(fā)生由于某一臺端點系統(tǒng)的入侵而導(dǎo)致向整個網(wǎng)絡(luò)蔓延的情況發(fā)生，同時也使通過公共帳號登錄網(wǎng)絡(luò)的用戶無法進入那些限制訪問的計算機系統(tǒng)。針對邊界式防火墻對內(nèi)部網(wǎng)絡(luò)安全性防范的不足，

另外，由于分布式防火墻使用了IP安全協(xié)議，能夠很好地識別在各種安全協(xié)議下的內(nèi)部主機之間的端到端網(wǎng)絡(luò)通信，使各主機之間的通信得到了很好的保護。所以分布式防火墻有能力防止各種類型的被動和主動攻擊。特別在當(dāng)我們使用IP安全協(xié)議中的密碼憑證來標(biāo)志內(nèi)部主機時，基于這些標(biāo)志的策略對主機來說無疑更具可信性。

（2）提高了系統(tǒng)性能：消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能。

傳統(tǒng)防火墻由于擁有單一的接入控制點，無論對網(wǎng)絡(luò)的性能還是對網(wǎng)絡(luò)的可靠性都有不利的影響。雖然目前也有這方面的研究并提供了一些相應(yīng)的解決方案，從網(wǎng)絡(luò)性能角度來說，自適應(yīng)防火墻是一種在性能和安全之間尋求平衡的方案；從網(wǎng)絡(luò)可靠性角度來說，采用多個防火墻冗余也是一種可行的方案，但是它們不僅引入了很多復(fù)雜性，而且并沒有從根本上解決該問題。分布式防火墻則從根本上去除了單一的接入點，而使這一問題迎刃而解。另一方面分布式防火墻可以針對各個服務(wù)器及終端計算機的不同需要，對防火墻進行最佳配置，配置時能夠充分考慮到這些主機上運行的應(yīng)用，如此便可在保障網(wǎng)絡(luò)安全的前提下大大提高網(wǎng)絡(luò)運轉(zhuǎn)效率。

（3）系統(tǒng)的擴展性：分布式防火墻隨系統(tǒng)擴充提供了安全防護無限擴充的能力。

因為分布式防火墻分布在整個企業(yè)的網(wǎng)絡(luò)或服務(wù)器中，所以它具有無限制的擴展能力。隨著網(wǎng)絡(luò)的增長，它們的處理負(fù)荷也在網(wǎng)絡(luò)中進一步分布，因此它們的高性能可以持續(xù)保持住。而不會象邊界式防火墻一樣隨著網(wǎng)絡(luò)規(guī)模的增大而不堪重負(fù)。

（4）實施主機策略：對網(wǎng)絡(luò)中的各節(jié)點可以起到更安全的防護。

現(xiàn)在防火墻大多缺乏對主機意圖的了解，通常只能根據(jù)數(shù)據(jù)包的外在特性來進行過濾控制。雖然**型防火墻能夠解決該問題，但它需要對每一種協(xié)議單獨地編寫代碼，其局限性也顯而易見的。在沒有上下文的情況下，防火墻是很難將攻擊包從合法的數(shù)據(jù)包中區(qū)分出來的，因而也就無法實施過濾。事實上，攻擊者很容易偽裝成合法包發(fā)動攻擊，攻擊包除了內(nèi)容以外的部分可以完全與合法包一樣。分布式防火墻由主機來實施策略控制，毫無疑問主機對自己的意圖有足夠的了解，所以分布式防火墻依賴主機作出合適的決定就能很自然地解決這一問題。

（5）應(yīng)用更為廣泛，支持**通信

其實分布式防火墻最重要的優(yōu)勢在于，它能夠保護物理拓樸上不屬于內(nèi)部網(wǎng)絡(luò)，但位于邏輯上的"內(nèi)部"網(wǎng)絡(luò)的那些主機，這種需求隨著**的發(fā)展越來越多。對這個問題的傳統(tǒng)處理方法是將遠(yuǎn)程"內(nèi)部"主機和外部主機的通信依然通過防火墻隔離來控制接入，而遠(yuǎn)程"內(nèi)部"主機和防火墻之間采用"隧道"技術(shù)保證安全性，這種方法使原本可以直接通信的雙方必須繞經(jīng)防火墻，不僅效率低而且增加了防火墻過濾規(guī)則設(shè)置的難度。與之相反，分布式防火墻的建立本身就是基本邏輯網(wǎng)絡(luò)的概念，因此對它而言，遠(yuǎn)程"內(nèi)部"主機與物理上的內(nèi)部主機沒有任何區(qū)別，它從根本上防止了這種情況的發(fā)生。

4. 分布式防火墻的主要功能

上面介紹了分布式防火墻的特點和優(yōu)勢，那么到底這種防火墻具備哪些功能呢？因為采用了軟件形式（有的采用了軟件+硬件形式），所以功能配置更加靈活，具備充分的智能管理能力，總的來說可以體現(xiàn)在以下幾個方面：

（1）Internet訪問控制

依據(jù)工作站名稱、設(shè)備指紋等屬性，使用"Internet訪問規(guī)則"，控制該工作站或工作站組在指定的時間段內(nèi)是否允許/禁止訪問模板或網(wǎng)址列表中所規(guī)定的Internet Web服務(wù)器，某個用戶可否基于某工作站訪問www服務(wù)器，同時當(dāng)某個工作站/用戶達到規(guī)定流量后確定是否斷網(wǎng)。

（2）應(yīng)用訪問控制

通過對網(wǎng)絡(luò)通訊從鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層基于源地址、目標(biāo)地址、端口、協(xié)議的逐層包過濾與入侵監(jiān)測，控制來自局域網(wǎng)/Internet的應(yīng)用服務(wù)請求，如SQL數(shù)據(jù)庫訪問、IPX協(xié)議訪問等。

（3）網(wǎng)絡(luò)狀態(tài)**

實時動態(tài)報告當(dāng)前網(wǎng)絡(luò)中所有的用戶登陸、Internet訪問、內(nèi)網(wǎng)訪問、網(wǎng)絡(luò)入侵**等信息。

（4）黑客攻擊的防御

抵御包括**urf拒絕服務(wù)攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等在內(nèi)的近百種來自網(wǎng)絡(luò)內(nèi)部以及來自Internet的黑客攻擊手段。

（5）日志管理

對工作站協(xié)議規(guī)則日志、用戶登陸**日志、用戶Internet訪問日志、指紋驗證規(guī)則日志、入侵檢測規(guī)則日志的記錄與查詢分析。

（6）系統(tǒng)工具

包括系統(tǒng)層參數(shù)的設(shè)定、規(guī)則等配置信息的備份與恢復(fù)、流量統(tǒng)計、模板設(shè)置、工作站管理等。

防火墻產(chǎn)品

防火墻產(chǎn)品