分布式防火墙技术的研究

分布式防火墙技术的研究

随着计算机网络技术的飞速发展，Internet的安全性也越来越重要。防火墙是一种必不可少的安全机制，但是传统的边缘防火墙只能对网络周边提供保护，而对网络内部的攻击无

能为力。分布式防火墙能够解决这一问题，提供高效网络安全。本文分析了传统防火墙的作用和存在的问题，然后提出了分布式防火墙的概念，介绍了其主要结构和特点。

传统的防火墙分为包过滤型和代理型，他们都有各自的缺点与局限性。随着计算机安全技术的发展和用户对防火墙功能要求的提高，目前出现一种新型防火墙，那就是"分布式防火墙"，英文名为"Distributed Firewalls"。它是在目前传统的边界式防火墙基础上开发的。但目前主要是以软件形式出现的，也有一些国际著名网络设备开发商开发生产了：集成分布式防火墙技术的硬件分布式防火墙，做成嵌入式防火墙PCI卡或PCMCIA卡的形式，但负责集中管理的还是一个服务器软件。因为是将分布式防火墙技术集成在硬件上，所以通常称之为"嵌入式防火墙"，其实其核心技术就是"分布式防火墙"技术。

　　1．分布式防火墙的产生

　　1.1传统防火墙的缺陷

　　传统防火墙根据所采用的技术，可以分为包过滤型和代理型。下面重点介绍包过滤型防火墙和应用网关防火墙的原理及其缺点。

　　包过滤防火墙的工作原理：包过滤技术包括两种基本类型：无状态检查的包过滤和有状态检查的包过滤，其区别在于后者通过记住防火墙的所有通信状态，并根据状态信息来过滤整个通信流，而不仅仅是包。包过滤是在IP层实现的，因此，它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容，如IP地址。其工作原理是系统在网络层检查数据包，与应用层无关，包过滤器的应用非常广泛，因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。这样系统就具有很好的传输性能，易扩展。但是这种防火墙不太安全，因为系统对应用层信息无感知――也就是说，它们不理解通信的内容，不能在用户级别上进行过滤，即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址，就可以很轻易地通过包过滤器，这样更容易被黑客攻破。 基于这种工作机制，包过滤防火墙有以下缺陷：

　　（1）特洛伊木马使包过滤器失效；

　　（2）第0个分段中便过滤TCP；

　　（3）只能访问部分数据包的头信息；

　　（4）不能保存来自于通信和应用的状态信息；

　　（5）处理信息的能力有限。