a_luopeng
中级用户
积分 323
发帖 308
注册 2007-10-20
来自 黑龙江省绥化
|
#1 浅谈分布式防火墙技术的应用与发展趋势
传统的防火墙分为包过滤型和代理型,他们都有各自的缺点与局限性。随着计算机安全技术的发展和用户对防火墙功能要求的提高,目前出现一种新型防火墙,那就是"分布式防火墙",英文名为"Distributed Firewalls"。它是在目前传统的边界式防火墙基础上开发的......
传统的防火墙分为包过滤型和代理型,他们都有各自的缺点与局限性。随着计算机安全技术的发展和用户对防火墙功能要求的提高,目前出现一种新型防火墙,那就是"分布式防火墙",英文名为"Distributed Firewalls"。它是在目前传统的边界式防火墙基础上开发的。但目前主要是以软件形式出现的,也有一些国际著名网络设备开发商开发生产了:集成分布式防火墙技术的硬件分布式防火墙,做成嵌入式防火墙PCI卡或PCMCIA卡的形式,但负责集中管理的还是一个服务器软件。因为是将分布式防火墙技术集成在硬件上,所以通常称之为"嵌入式防火墙",其实其核心技术就是"分布式防火墙"技术。
1.分布式防火墙的产生
1.1 传统防火墙的缺陷
传统防火墙根据所采用的技术,可以分为包过滤型和代理型。下面重点介绍包过滤型防火墙和应用网关防火墙的原理及其缺点。
包过滤防火墙的工作原理:包过滤技术包括两种基本类型:无状态检查的包过滤和有状态检查的包过滤,其区别在于后者通过记住防火墙的所有通信状态,并根据状态信息来过滤整个通信流,而不仅仅是包。包过滤是在IP层实现的,因此,它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容,如IP地址。其工作原理是系统在网络层检查数据包,与应用层无关,包过滤器的应用非常广泛,因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。这样系统就具有很好的传输性能,易扩展。但是这种防火墙不太安全,因为系统对应用层信息无感知――也就是说,它们不理解通信的内容,不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过包过滤器,这样更容易被黑客攻破。 基于这种工作机制,包过滤防火墙有以下缺陷:
(1)特洛伊木马使包过滤器失效;
(2)第0个分段中便过滤TCP;
(3)只能访问部分数据包的头信息;
(4)不能保存来自于通信和应用的状态信息;
(5)处理信息的能力有限。
(6)允许1024以上的端口通过;
应用代理服务器(Application Gateway Proxy)包括回路级代理服务器、代管服务器、IP通道(IP Tunnels)、网络地址转换器(NAT Network Address Translate)、 隔离域名服务器(Split Domain Name Server )和邮件技术(Mail Forwarding)。
应用网关防火墙也存在着许多缺陷:
(1)不能为UDP、RPC等协议族提供代理;
(2)可提供的服务数和伸缩性也有限;
(3)不能被设置为网络透明工作;
(4)容易消除阻断的URL;
(5)无法保护操作系统;
(6)管理复杂,影响系统的整体性能等。
基于上述原因,一种新型的防火墙技术,分布式防火墙(Distributed Firewalls)技术产生了。它可以很好地解决边界防火墙以上的不足,它通过把防火墙的安全防护系统延伸到网络中各台主机,一方面有效地保证了用户的投资不会很高,另一方面给网络带来全面的安全防护。
1.2 分布式防火墙定义
1.广义分布式防火墙
防火墙是一道介于开放的、不安全的公共网与信息、资源汇集的内部网之间的屏障,由一个或一组系统组成。
| |
※ ※ ※ 本文纯属【a_luopeng】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
点饭技术论坛:http://www.mpfans.org/forum-26-1.html
水区我天下!
|
|
|
