27
分布式防火墙原理及其技术研究
肖昌吉1 周忠丽2 邓文红3
(1电子科技大学计算机学院 2 四川大学图形图像研究所 3 四川省信息产业厅)
摘 要:本文针对传统防火墙的体系结构及其缺陷,提出了分布式防火墙的基本原理,并对其工作流程、体系结构、相关特征进行了分析和研究,同时也对实现技术和未来应做的工作进行了探讨。
关 键 词:边界防火墙 分布式防火墙 主机防火墙 策略服务器 IPSec 中图分类号:TP393.08 文献标识码:A 1 引言
为了提高网络的安全性,人们采用各种网络安全技术来构建安全的网络系统。而防火墙则是作为一种行之有效的安全技术被用户经常采用。防火墙的基本功能是通过对网络外部和内部用户的区分和访问授权机制来防止非法访问,从而实现保护网络安全的目的。然而,随着网络技术的发展和网络规模的扩大,传统防火墙的局限性逐步暴露出来,并且开始难以满足现代网络安全的需要。但同时防火墙在访问控制、协议代理和策略执行方面的优点又使得其在保护网络安全,阻止非法访问方面依然可以发挥强大的作用。因此为了做到既利用传统防火墙优点,同时又克服传统防火墙的缺陷,就需要提出新的防火墙概念,来满足现代网络发展需要。
2 传统防火墙的体系结构及其缺陷
传统防火墙都是基于一个共同的假设,那就是防火墙把内部网络一端的用户看成是可
信任的,而外部网络一端的用户则都被作为潜在的攻击者来对待。因此传统防火墙一般都设置在网络边界,在内部网和外部网(通常是互联网)之间构成一个屏障,进行网络访问控制,所以又称为“边界防火墙(Perimeter Firewall)”。传统防火墙也就作为整个内部网络的代理运行在网络入口处与外部网络进行交互。
但是由于传统防火墙严格依赖于网络拓扑结构且基于这样一个假设基础:那就是防火墙把在受控实体点内部,即防火墙保护的内部连接认为是可靠和安全的;而把在受控实体点的另外一边,即来自防火墙外部的每一个访问都看作是带有攻击性的,或者说至少是有潜在攻击危险的,因而产生了其自身无法克服的缺陷。随着网络规模的日益扩大和对网络服务需求的日渐提高,传统防火墙逐渐暴露出以下的问题:
①传统防火墙主要依赖严格的网络拓扑结构和受控实体点进行工作。但是随着网络的
迅猛发展,越来越多的远程接入使得防火墙这种机制的安全性受到严峻的考验。
②传统的防火墙虽然可以根据内部网络用户的不同安全需求制定不同的分级安全策略并执行,但实现起来异常繁琐;尤其是在内部网络使用动态IP地址情况下,就更难控制。
③传统防火墙在数据传输使用加密机制后,安全保护将失效,也就是无法抵御隧道攻击。
④通常传统防火墙对于来自网络拓扑结构内部的攻击无能为力。
⑤传统防火墙由于使用单一访问控制点模式,因此随着网络速度的日益提高,防火墙将成为限制网络流量的瓶颈。
3 分布式防火墙的提出 为了解决传统防火墙所面临的问题,Steven M.Bellovin于1999年在他的论文“分布式防火墙”(Distributed Firewalls,DFW)一文中,首次提出了分布式防火墙的概念——“DFW是这样的一个方案:策略集中订制,在各台主机上执行”,并在论
28
文中给出了分布式防火墙的基本框架模型。随后,他又在2000年和Sotris loannidis,Angelos D. Keromytis,Jonathan M. Smith等人就如何实现分布式防火墙进行了研究,并给出了基于OpenBSD操作系统实现的分布式防火墙的原型系统。
4 分布式防火墙的基本原理及工作流程
分布式防火墙的基本思想是:安全策略的制定采用由中心策略服务器集中定义方式,而安全策略的执行则由相关主机节点独立实施;安全日志由主机节点分散产生,而安全日志的保存则集中到中心策略服务器上。由此,我们可以看出分布式防火墙规则的制定还是采用集中定义和更新的方式,然后将这些定义好的规则策略分发到各个相关节点,最后再在每个受保护的主机节点上独立实施执行。
从前面的分析中我们可以看出传统防火墙缺陷的根源在于它对网络物理拓扑结构的依赖,而分布式防火墙打破了这种网络拓扑依赖关系,将内部网的概念由物理意义变成逻辑意义。在分布式防火墙系统中,每个主机节点都有一个标识该主机身份的证书,通常是一个与该节点所持有的公钥相对应的数字证书,内部网络服务器的存取控制授权根据请求客户的数字证书来确定,而不再是由节点所处网络的位置来决定。由于一般情况下证书不
易伪造,并独立于网络拓扑结构,所以只要拥有合法的证书,不管它处于物理上的内网还是外网都被分布式防火墙系统认为是“内部”用户,这样就彻底打破了传统防火墙对网络拓扑的依赖。
但各主机节点在处理数据包时,还是必须根据中心策略服务器所分发的安全策略和加密的证书来决定是接受还是丢弃包。这样不但可以对主机实施保护,还能保证与整个系统的安全策略一致。由于在分布式放火墙系统中安全策略的执行被推向了网络的边缘——终端节点,这样不仅保留了传统防火墙的优点,同时又解决了传统防火墙的问题。其中最主要的是解决了对网络拓扑结构的依赖、内部攻击以及网络瓶颈问题;同时还实现了分级策略的制定、加密技术应用的支持。
综上所述,我们不难看出分布式防火墙系统主要依赖于以下三个概念:(1)能够不依赖于网络拓扑结构进行规则定义的策略语言。(2)能将策略服务器形成的策略文件安全分发给被防火墙保护的所有主机的系统管理工具。注意:这里所指的防火墙并不是传统意义上的边界防火墙,而是逻辑上的分布式防火墙。(3)能够保障数据安全传输的安全协议。
基于这三个概念构建的分布式防火墙工作流程如下:第一步,安全管理员制定安全策略。安全策略的制定可以使用
各种策略定义语言(如KeyNote等),定义的策略被放入策略数据库中。同时,由编译器将策略语言的描述转换成内部格式,形成策略文件。策略的组织方法有多种,可以按域或工作组来组织策略,也可按策略本身的类型来组织。第二步,分发策略。就是策略服务器用系统管理工具把策略文件分发给各台“内部”主机。策略的分发有多种方法,如策略服务器主动分发、主机主动到策略服务器上去取等。但是必须要能做到一旦策略服务器中的策略被更新,则相应主机的策略文件也应该及时更新。第三步,主机执行策略。第四步,上传日志到策略服务器。在运行期间主机根据管理员(或用户) 配置的方法将日志数据上传到中心服务器日志数据库中。审计日志的上传方法也有多种,如实时传送、定期传送或用户控制传送等。
5 分布式防火墙的体系结构及其特征
一个典型的分布式防火墙系统一般由三部分组成:网络防火墙(Network Firewall),主机防火墙(Host Firewall)和中心策略服务器(Central Policy Managerment)。它的网络拓扑结构如图1所示。
由图中可以看出,在分布式防火墙系统中并没有废弃传统边界防火墙,因为实际上网络防火墙所扮演的就是传统边界防火墙的角色。由于物理上
29
的移动用户
是在终端主机上执行策略,因此可以说策略的制定和执行达到了应用层的安全防护。从安全程度上讲,比起传统边界防火墙在网络层的防护更加安全。在主机防火墙中一般包括包过滤引擎、下载策略模块、上传日志模块、加密认证模块等。主机防火墙应做到对用户透明,即用户感觉不到防火墙的存在,用户一般不能修改规则,也不能绕过防火墙。主机防火墙中的包过滤引擎主要是根据中心策略服务器发布的策略对数据包进行过滤。下载策略模块主要是用来接收中心策略服务器发布的策略文件或者是定时到中心策略服务器上去获取策略文件。上传日志模块则定时向中心策略服务器传送审计日志。当然,有些主机防火墙允许用户参与对安全策略的制定,以满足用户的一些特殊要求;但是,允许用户制定策略时必须遵循:当发生冲突时,以中心策略服务器发布的策略为准的原则。这也说明了
图1 分布式防火墙网络拓扑结构
内部网络和外部网络的边界依然存在,所以依然需要边界防火墙来执行传统防火墙把内部网络和外部网络隔离开来的任务,只是减轻了其所要完成的任务。网络防火墙只处理与整个内部网络相关的安全问题,因而规则较少,也就可以做到高效执行。它主要是用于内部网与外部网之间,以及内部网各子网之间的防护。但与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络的安全防护体系就显得更加全面和可靠。
中心策略服务器是整个分布式防火墙系统的核心,主要负责总体安全策略的策划、管理、分发及日志的汇总,这是以前传统边界防火墙所不具有的部分。它主要包括安全策略模块、策略数据库、审计处理模块、审计数据库和加密认证模块等。安全策略模块负责制定访问控制策略存入策略数据库并将其分发到各个主机。其中,策略的制定主要是通过使
用策略语言完成。安全管理员既可以针对逻辑上属于该网络的每台具体的主机制定不同的安全策略;也可以根据内部网络中所划分的各个域,以域为单位,针对每个域制定不同的安全策略。这样就可以做到根据不同用户的安全需求制定不同的分级安全策略。策略数据库和审计数据库主要是分别用来存放安全策略和审计日志的。审计处理模块的任务是收集各主机产生的日志存入审计数据库,并对其进行整理、统计和分析,供安全管理员了解网络的安全状况,受攻击程度和追踪攻击者时使用。而加密认证模块所要完成的功能就是前面提到的对主机节点身份的认证(主要通过证书的认证来做到),传输数据的加/解密(包括策略文件和日志文件,以及其他应用数据等)。
主机防火墙驻留在各终端主机中,负责策略的实施,这也是以前传统边界防火墙所不具有的部分。由于主机防火墙
30
一点:就是在一个分布式防火墙系统中,所有主机防火墙和网络防火墙皆受控于中心策略服务器。
通过对分布式防火墙工作原理和体系结构的了解,发现分布式防火墙具有以下特征。
①安全策略必须由中心策略服务器统一制定和管理,而不是由主机的用户来制定,这是分布式防火墙和个人防火墙的根本区别所在。
②策略是在网络的末端即各终端主机上执行。
③日志是由各终端主机产生,但是必须统一收集到中心策略服务器上进行集中管理。
④采用主机驻留方式。 ⑤防火墙嵌入到主机的操作系统内核或主机的网络硬件接口中。
6 分布式防火墙的相关实现技术
一个分布式防火墙的实现系统一般应具备以下的三个基本组成部分:
首先,要有一种能表达策略和处理请求的语言,用于表达安全策略以及解析连接请求。其实采用何种语言并不重要,只要能够标志内部主机,无二义性地描述安全策略即可。既可以选择KeyNote语言来描述,也可以选择其他策略描述方式。像LINUX操作系统的IPTables,FreeBSD操作系统的ipfw,OpenBSD操作系统的pf等都可以作为策略描述语言。
其次,是安全发布策略的
机制。实际上就是前面提到的可信任管理系统。可信任管理系统既可采用Bellovin推荐的Microsoft的SMS或ASD,也可采用Keynote信任管理系统。后者是用来提供定义策略和信任证书的统一语言,主要是用来建立系统用户之间的各种信任形式。总而言之,只要该管理系统能做到安全地分发策略并保证其一致性就行。
最后,就是运行和应用策略的机制。这个机制对进入的IP包以及连接请求根据安全策略实施安全控制,以决定接受还是拒绝。这就要求除了必须要有传统的包过滤机制外还必须要有识别每个包身份的机制。在这方面可以采用IPSec协议,因为IPSec中,每个输入包都可以与一个数字证书相联系,对该IP包的存取控制决定于对相应数字证书的授权。如果某IP包的相应证书不是某一确定的名称或没有IPSec保护,该IP包将被认为非法而被丢弃。IPSec(Internet 协议安全)是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,它有两个基本目标:保护数据包安全和为抵御网络攻击提供防护措施。IPSec通过三个基本要素来提供保护形式,它们就是:认证协议头(AH),安全加载封状(ESP)和互联网密钥管理协议(IKMP)。
7 分布式防火墙未来应做的工作
目前分布式防火墙还存在
以下缺陷:①传统的基于访问控制点的入侵检测方式将难以实施,只有采用相应的分布式入侵检测系统;②日志文件在各主机和中心策略服务器之间频繁地传送将极大地增加网络通信量。另外,在现今的分布式防火墙系统中,还未能解决三大技术难题,即跨平台管理、对用户完全透明和即插即用。跨平台管理就是在策略服务器所管理的域中,不论主机是什么操作系统都要受中心策略服务器的管理。对用户完全透明就是用户完全感觉不到在本机上有防火墙的存在。即插即用就是一旦主机加入某个管理域后,不论用户是否同意,防火墙都将被自动安装到该主机中去。总之,只有这三个技术难题被解决之后,分布式防火墙才会得到更广泛的应用。 参考文献
[1] PAYNE C ,MARKHAM T. Architecture and applications for a distributed embedded firewall [A] . Computer Security Applications Conference 2001 ACSAC 2001 Proceedings 17th Annual [ C], 2001. 329~336
[2] 彭晴岚,李之棠. 分布式防火墙系统的安全机制设计[J]. 计算机工程与科学,2003 [3] 王伟,曹元大. 分布式防火墙关键技术研究[J]. 大连理工大学学报,2003
[4] 杨毅坚,肖德宝. 基于Kerberos认证的分布式防火墙[J]. 小型微型计算机系统,2001
27
分布式防火墙原理及其技术研究
肖昌吉1 周忠丽2 邓文红3
(1电子科技大学计算机学院 2 四川大学图形图像研究所 3 四川省信息产业厅)
摘 要:本文针对传统防火墙的体系结构及其缺陷,提出了分布式防火墙的基本原理,并对其工作流程、体系结构、相关特征进行了分析和研究,同时也对实现技术和未来应做的工作进行了探讨。
关 键 词:边界防火墙 分布式防火墙 主机防火墙 策略服务器 IPSec 中图分类号:TP393.08 文献标识码:A 1 引言
为了提高网络的安全性,人们采用各种网络安全技术来构建安全的网络系统。而防火墙则是作为一种行之有效的安全技术被用户经常采用。防火墙的基本功能是通过对网络外部和内部用户的区分和访问授权机制来防止非法访问,从而实现保护网络安全的目的。然而,随着网络技术的发展和网络规模的扩大,传统防火墙的局限性逐步暴露出来,并且开始难以满足现代网络安全的需要。但同时防火墙在访问控制、协议代理和策略执行方面的优点又使得其在保护网络安全,阻止非法访问方面依然可以发挥强大的作用。因此为了做到既利用传统防火墙优点,同时又克服传统防火墙的缺陷,就需要提出新的防火墙概念,来满足现代网络发展需要。
2 传统防火墙的体系结构及其缺陷
传统防火墙都是基于一个共同的假设,那就是防火墙把内部网络一端的用户看成是可
信任的,而外部网络一端的用户则都被作为潜在的攻击者来对待。因此传统防火墙一般都设置在网络边界,在内部网和外部网(通常是互联网)之间构成一个屏障,进行网络访问控制,所以又称为“边界防火墙(Perimeter Firewall)”。传统防火墙也就作为整个内部网络的代理运行在网络入口处与外部网络进行交互。
但是由于传统防火墙严格依赖于网络拓扑结构且基于这样一个假设基础:那就是防火墙把在受控实体点内部,即防火墙保护的内部连接认为是可靠和安全的;而把在受控实体点的另外一边,即来自防火墙外部的每一个访问都看作是带有攻击性的,或者说至少是有潜在攻击危险的,因而产生了其自身无法克服的缺陷。随着网络规模的日益扩大和对网络服务需求的日渐提高,传统防火墙逐渐暴露出以下的问题:
①传统防火墙主要依赖严格的网络拓扑结构和受控实体点进行工作。但是随着网络的
迅猛发展,越来越多的远程接入使得防火墙这种机制的安全性受到严峻的考验。
②传统的防火墙虽然可以根据内部网络用户的不同安全需求制定不同的分级安全策略并执行,但实现起来异常繁琐;尤其是在内部网络使用动态IP地址情况下,就更难控制。
③传统防火墙在数据传输使用加密机制后,安全保护将失效,也就是无法抵御隧道攻击。
④通常传统防火墙对于来自网络拓扑结构内部的攻击无能为力。
⑤传统防火墙由于使用单一访问控制点模式,因此随着网络速度的日益提高,防火墙将成为限制网络流量的瓶颈。
3 分布式防火墙的提出 为了解决传统防火墙所面临的问题,Steven M.Bellovin于1999年在他的论文“分布式防火墙”(Distributed Firewalls,DFW)一文中,首次提出了分布式防火墙的概念——“DFW是这样的一个方案:策略集中订制,在各台主机上执行”,并在论
28
文中给出了分布式防火墙的基本框架模型。随后,他又在2000年和Sotris loannidis,Angelos D. Keromytis,Jonathan M. Smith等人就如何实现分布式防火墙进行了研究,并给出了基于OpenBSD操作系统实现的分布式防火墙的原型系统。
4 分布式防火墙的基本原理及工作流程
分布式防火墙的基本思想是:安全策略的制定采用由中心策略服务器集中定义方式,而安全策略的执行则由相关主机节点独立实施;安全日志由主机节点分散产生,而安全日志的保存则集中到中心策略服务器上。由此,我们可以看出分布式防火墙规则的制定还是采用集中定义和更新的方式,然后将这些定义好的规则策略分发到各个相关节点,最后再在每个受保护的主机节点上独立实施执行。
从前面的分析中我们可以看出传统防火墙缺陷的根源在于它对网络物理拓扑结构的依赖,而分布式防火墙打破了这种网络拓扑依赖关系,将内部网的概念由物理意义变成逻辑意义。在分布式防火墙系统中,每个主机节点都有一个标识该主机身份的证书,通常是一个与该节点所持有的公钥相对应的数字证书,内部网络服务器的存取控制授权根据请求客户的数字证书来确定,而不再是由节点所处网络的位置来决定。由于一般情况下证书不
易伪造,并独立于网络拓扑结构,所以只要拥有合法的证书,不管它处于物理上的内网还是外网都被分布式防火墙系统认为是“内部”用户,这样就彻底打破了传统防火墙对网络拓扑的依赖。
但各主机节点在处理数据包时,还是必须根据中心策略服务器所分发的安全策略和加密的证书来决定是接受还是丢弃包。这样不但可以对主机实施保护,还能保证与整个系统的安全策略一致。由于在分布式放火墙系统中安全策略的执行被推向了网络的边缘——终端节点,这样不仅保留了传统防火墙的优点,同时又解决了传统防火墙的问题。其中最主要的是解决了对网络拓扑结构的依赖、内部攻击以及网络瓶颈问题;同时还实现了分级策略的制定、加密技术应用的支持。
综上所述,我们不难看出分布式防火墙系统主要依赖于以下三个概念:(1)能够不依赖于网络拓扑结构进行规则定义的策略语言。(2)能将策略服务器形成的策略文件安全分发给被防火墙保护的所有主机的系统管理工具。注意:这里所指的防火墙并不是传统意义上的边界防火墙,而是逻辑上的分布式防火墙。(3)能够保障数据安全传输的安全协议。
基于这三个概念构建的分布式防火墙工作流程如下:第一步,安全管理员制定安全策略。安全策略的制定可以使用
各种策略定义语言(如KeyNote等),定义的策略被放入策略数据库中。同时,由编译器将策略语言的描述转换成内部格式,形成策略文件。策略的组织方法有多种,可以按域或工作组来组织策略,也可按策略本身的类型来组织。第二步,分发策略。就是策略服务器用系统管理工具把策略文件分发给各台“内部”主机。策略的分发有多种方法,如策略服务器主动分发、主机主动到策略服务器上去取等。但是必须要能做到一旦策略服务器中的策略被更新,则相应主机的策略文件也应该及时更新。第三步,主机执行策略。第四步,上传日志到策略服务器。在运行期间主机根据管理员(或用户) 配置的方法将日志数据上传到中心服务器日志数据库中。审计日志的上传方法也有多种,如实时传送、定期传送或用户控制传送等。
5 分布式防火墙的体系结构及其特征
一个典型的分布式防火墙系统一般由三部分组成:网络防火墙(Network Firewall),主机防火墙(Host Firewall)和中心策略服务器(Central Policy Managerment)。它的网络拓扑结构如图1所示。
由图中可以看出,在分布式防火墙系统中并没有废弃传统边界防火墙,因为实际上网络防火墙所扮演的就是传统边界防火墙的角色。由于物理上
29
的移动用户
是在终端主机上执行策略,因此可以说策略的制定和执行达到了应用层的安全防护。从安全程度上讲,比起传统边界防火墙在网络层的防护更加安全。在主机防火墙中一般包括包过滤引擎、下载策略模块、上传日志模块、加密认证模块等。主机防火墙应做到对用户透明,即用户感觉不到防火墙的存在,用户一般不能修改规则,也不能绕过防火墙。主机防火墙中的包过滤引擎主要是根据中心策略服务器发布的策略对数据包进行过滤。下载策略模块主要是用来接收中心策略服务器发布的策略文件或者是定时到中心策略服务器上去获取策略文件。上传日志模块则定时向中心策略服务器传送审计日志。当然,有些主机防火墙允许用户参与对安全策略的制定,以满足用户的一些特殊要求;但是,允许用户制定策略时必须遵循:当发生冲突时,以中心策略服务器发布的策略为准的原则。这也说明了
图1 分布式防火墙网络拓扑结构
内部网络和外部网络的边界依然存在,所以依然需要边界防火墙来执行传统防火墙把内部网络和外部网络隔离开来的任务,只是减轻了其所要完成的任务。网络防火墙只处理与整个内部网络相关的安全问题,因而规则较少,也就可以做到高效执行。它主要是用于内部网与外部网之间,以及内部网各子网之间的防护。但与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络的安全防护体系就显得更加全面和可靠。
中心策略服务器是整个分布式防火墙系统的核心,主要负责总体安全策略的策划、管理、分发及日志的汇总,这是以前传统边界防火墙所不具有的部分。它主要包括安全策略模块、策略数据库、审计处理模块、审计数据库和加密认证模块等。安全策略模块负责制定访问控制策略存入策略数据库并将其分发到各个主机。其中,策略的制定主要是通过使
用策略语言完成。安全管理员既可以针对逻辑上属于该网络的每台具体的主机制定不同的安全策略;也可以根据内部网络中所划分的各个域,以域为单位,针对每个域制定不同的安全策略。这样就可以做到根据不同用户的安全需求制定不同的分级安全策略。策略数据库和审计数据库主要是分别用来存放安全策略和审计日志的。审计处理模块的任务是收集各主机产生的日志存入审计数据库,并对其进行整理、统计和分析,供安全管理员了解网络的安全状况,受攻击程度和追踪攻击者时使用。而加密认证模块所要完成的功能就是前面提到的对主机节点身份的认证(主要通过证书的认证来做到),传输数据的加/解密(包括策略文件和日志文件,以及其他应用数据等)。
主机防火墙驻留在各终端主机中,负责策略的实施,这也是以前传统边界防火墙所不具有的部分。由于主机防火墙
30
一点:就是在一个分布式防火墙系统中,所有主机防火墙和网络防火墙皆受控于中心策略服务器。
通过对分布式防火墙工作原理和体系结构的了解,发现分布式防火墙具有以下特征。
①安全策略必须由中心策略服务器统一制定和管理,而不是由主机的用户来制定,这是分布式防火墙和个人防火墙的根本区别所在。
②策略是在网络的末端即各终端主机上执行。
③日志是由各终端主机产生,但是必须统一收集到中心策略服务器上进行集中管理。
④采用主机驻留方式。 ⑤防火墙嵌入到主机的操作系统内核或主机的网络硬件接口中。
6 分布式防火墙的相关实现技术
一个分布式防火墙的实现系统一般应具备以下的三个基本组成部分:
首先,要有一种能表达策略和处理请求的语言,用于表达安全策略以及解析连接请求。其实采用何种语言并不重要,只要能够标志内部主机,无二义性地描述安全策略即可。既可以选择KeyNote语言来描述,也可以选择其他策略描述方式。像LINUX操作系统的IPTables,FreeBSD操作系统的ipfw,OpenBSD操作系统的pf等都可以作为策略描述语言。
其次,是安全发布策略的
机制。实际上就是前面提到的可信任管理系统。可信任管理系统既可采用Bellovin推荐的Microsoft的SMS或ASD,也可采用Keynote信任管理系统。后者是用来提供定义策略和信任证书的统一语言,主要是用来建立系统用户之间的各种信任形式。总而言之,只要该管理系统能做到安全地分发策略并保证其一致性就行。
最后,就是运行和应用策略的机制。这个机制对进入的IP包以及连接请求根据安全策略实施安全控制,以决定接受还是拒绝。这就要求除了必须要有传统的包过滤机制外还必须要有识别每个包身份的机制。在这方面可以采用IPSec协议,因为IPSec中,每个输入包都可以与一个数字证书相联系,对该IP包的存取控制决定于对相应数字证书的授权。如果某IP包的相应证书不是某一确定的名称或没有IPSec保护,该IP包将被认为非法而被丢弃。IPSec(Internet 协议安全)是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,它有两个基本目标:保护数据包安全和为抵御网络攻击提供防护措施。IPSec通过三个基本要素来提供保护形式,它们就是:认证协议头(AH),安全加载封状(ESP)和互联网密钥管理协议(IKMP)。
7 分布式防火墙未来应做的工作
目前分布式防火墙还存在
以下缺陷:①传统的基于访问控制点的入侵检测方式将难以实施,只有采用相应的分布式入侵检测系统;②日志文件在各主机和中心策略服务器之间频繁地传送将极大地增加网络通信量。另外,在现今的分布式防火墙系统中,还未能解决三大技术难题,即跨平台管理、对用户完全透明和即插即用。跨平台管理就是在策略服务器所管理的域中,不论主机是什么操作系统都要受中心策略服务器的管理。对用户完全透明就是用户完全感觉不到在本机上有防火墙的存在。即插即用就是一旦主机加入某个管理域后,不论用户是否同意,防火墙都将被自动安装到该主机中去。总之,只有这三个技术难题被解决之后,分布式防火墙才会得到更广泛的应用。 参考文献
[1] PAYNE C ,MARKHAM T. Architecture and applications for a distributed embedded firewall [A] . Computer Security Applications Conference 2001 ACSAC 2001 Proceedings 17th Annual [ C], 2001. 329~336
[2] 彭晴岚,李之棠. 分布式防火墙系统的安全机制设计[J]. 计算机工程与科学,2003 [3] 王伟,曹元大. 分布式防火墙关键技术研究[J]. 大连理工大学学报,2003
[4] 杨毅坚,肖德宝. 基于Kerberos认证的分布式防火墙[J]. 小型微型计算机系统,2001