五、分布式防火墙的基本原理
分布式防火墙仍然由中心解释策略,但由各个分布在网络中的端点实施这些制定的策略。它依赖于三个主要的概念:说明哪一类连接可以被允许禁止的策略语言、一种系统管理工具和IP安全协议。
策略语言有很多种,如KeyNote就是一种通用的策略语言。其实只要选用的语言能够方便地表达须要的策略具体采用哪种语言并不主要,真实主要的是如何 标志内部的主机,很显然不应该再采用传统防火墙所用的对物理上的端口执行 标志的办法。以IP地址来标志内部主机是一种可供选择的要领,但它的安全性不高,所以更倾向于运用 IP安全协议中的密码凭证来标志各台主机,它为主机提供了可靠的、唯一的标志,并且与网络的物理拓扑无关。
分布式防火墙服务器系统管理工具用于将形成的策略文件分发给被防火墙保卫的所有主机,应该留心的是这里所指的防火墙并不是传统意义上的物理防火墙,而是逻辑上的分布式防火墙。IP安全协议是一种对TCP/IP协议族的网络层执行 加密保卫的机制,包括AH和ESP,分别对IP包头和整个IP包执行 认证,可以防止 各类主机攻击。
现在我们来看一下分布式防火墙是如何 工作的。
首先由制定防火墙接入控制策略的中心通过编译器将策略语言诉描述转换成内部格式,形成策略文件;然后中心采用系统管理工具把策略文件分发给各台"内部"主机;"内部"主机将从两方面来判定能不能接受收到的包,一方面是根据IP安全协议,另一方面是根据服务器端的策略文件。
六、分布式防火墙的主要功能
上面介绍了分布式防火墙的特点和优势,那么到底这种防火墙具备哪些功能呢?因为采用了软件形式(有的采用了软件+硬件形式),所以功能配置更加灵活,具备充分的智能管理能力,总的来说可以体现在以下多个方面:
(1)Internet访问控制
依据工作站名称、设备指纹等属性,运用 "Internet访问准则 ",控制该工作站或工作站组在指定的时间段内能不能允许/禁止访问模板或网址列表中所规定的Internet Web服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站/用户达到规定流量后确定能不能断网。
(2)使用访问控制
通过对网络通讯从链路层、网络层、传输层、使用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/Internet的使用服务请求,如SQL数据库访问、IPX协议访问等。
(3)网络状态监控
实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。
(4)黑客攻击的防御
抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。
(5)日志管理
对工作站协议准则日志、用户登陆事件日志、用户Internet访问日志、指纹验证准则日志、入侵检测准则日志的记录与查询分析。
(6)系统工具
包括系统层参数的设定、准则等配置信息的备份与恢复、流量统计、模板配置、工作站管理等。