论文首页哲学论文经济论文法学论文教育论文文学论文历史论文理学论文工学论文医学论文管理论文艺术论文 |
关键字:分布式防火墙安全管理
Abstract: With the development of network technology and IT, more and more people pay attention to the fire wall technology, and brought the distributed fire wall technology on the basis of defect about the tradition fire wall technology. The paper mainly discussed the principle structure and application of distributed fire wall technology.
Keywords: distributed fire wall security management
一、分布式防火墙概述
1.传统防火墙的缺陷
(1)结构性限制:边界防火墙的工作机理依赖于网络的物理拓扑结构。但随着越来越多的企业利用互联网构架自己的跨地区网络,包括家庭移动办公和的服务器托管等越来越普遍,所谓内部企业网已经是一个逻辑的概念;另一方面,电子商务的应用要求商务伙伴之间在一定权限下进入到彼此的内部网络,所以说,企业网的边界已经是一个逻辑的边界物理的边界日趋模糊,边界防火墙的应用受到了愈来愈多的结构性限制。
(2)内部安全:边界防火墙设置安全策略的一个基本假设是:网络的一边即外部的所有人是不可信任的,另一边即内部的所有人是可信任的。但在实际环境中,据统计,80%的攻击和越权访问来自与内部,也就是说,边界防火墙在对付网络安全的主要威胁内部威胁时束手无策。
(3)效率和故障:边界防火墙把检查机制集中在网络边界处的单点上,产生了网络的瓶颈问题,这也是目前防火墙用户在选择防火墙产品时不得不首先考察其检测效率而按前机制反在其次的原因。边界防火墙厂商也在不遗余力地提高防火墙单机处理能力甚至采用防火墙群集技术来解决这个边界防火墙固有的结构性瓶颈问题;另外,安全策略的复杂性也给效率问题雪上加霜,对边界防火墙来说,针对不同的应用和多样的系统要求,不得不经常在效率和可能冲突的安全策略之间权衡利害取得折中方案,产生了许多策略性的安全隐患;最后,边界防火墙本身也存在着单点故障危险,一旦出现问题或被攻克,整个内部网络完全暴露在外部攻击者面前。
2.分布式防火墙的优点
(1)增强的系统安全性
增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器PC上。分布于整个企业内的分布式防火墙使用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能,用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共账号登录网络的用户无法进入那些限制访问的计算机系统。另外,由于分布式防火墙使用了IP安全协议,能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信,使各主机之间的通信得到了很好的保护。所以分布式防火墙有能力防止各种类型的攻击。特别在当我们使用IP安全协议中的密码凭证来标志内部主机时,基于这些标志的策略对主机来说无疑更具可信性。
(2)提高了系统性能
消除了结构性瓶颈问题,提高了系统性能。传统防火墙由于拥有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙则从根本上去除了单一的接入点,而使这一问题迎刃而解。另一方面分布式防火墙可以针对各个服务器及终端计算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,如此便可在保障网络安全的前提下大大提高网络运转效率。