随着网络的发展和普及,特别是互联网应用的飞速发展和普及,网络安全越来越受到各级用户的普遍关注。人们在享受信息化带来的众多好处的同时,也面临着日益突出的信息安全问题。比如:网络环境中国家秘密和商业秘密的保护,特别是政府上网后对机密敏感信息的保护,网上各种行为者的身份确认与权责利的确认,高度网络化的各种业务(商务、政务、教务等)信息系统运行的正常和不被破坏,网络银行、电子商务、各类资金管理系统中的支付与结算的准确真实和金融机构数据保护与管理系统的不被欺诈,都将成为企业形象、商业利益、国家安全和社会稳定的焦点。
一、分布式防火墙的产生
因为传统的防火墙设置在网络边界,在内部企业网和外部互联网之间构成一个屏障,进行网络存取控制,所以称为边界防火墙(Perimeter Firewall)。随着计算机安全技术的发展和用户对防火墙功能要求的提高,目前出现一种新型防火墙,那就是"分布式防火墙",英文名为"Distributed Firewalls"。它是在目前传统的边界式防火墙基础上开发的。但目前主要是以软件形式出现的,也有一些国际著名网络设备开发商(如3COM、CISCO等)开发生产了集成分布式防火墙技术的硬件分布式防火墙,做成嵌入式防火墙PCI卡或PCMCIA卡的形式,但负责集中管理的还是一个服务器软件。因为是将分布式防火墙技术集成在硬件上,所以通常称之为"嵌入式防火墙",其实其核心技术就是"分布式防火墙"技术。关于这些分布式防火墙产品在下一篇文章里将有介绍。
我们都知道,传统意义上的边界防火墙用于限制被保护企业内部网络与外部网络(通常是互联网)之间相互进行信息存取、传递操作,它所处的位置在内部网络与外部网络之间。实际上,所有以前出现的各种不同类型的防火墙,从简单的包过滤在应用层代理以至自适应代理,都是基于一个共同的假设,那就是防火墙把内部网络一端的用户看成是可信任的,而外部网络一端的用户则都被作为潜在的攻击者来对待。这样的假设是整个防火墙开发和工作机制,但随着最近几年各种网络技术的发展和各种新的攻击情况不断出现,人们越来越希望需要重新来探讨一下传统边界式防火墙存在的种种问题,以寻求新的解决方案,而本文所介绍的"分布式防火墙"技术就是目前认为最有效的解决方案。
分布式防火墙是一种主机驻留式的安全系统,用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。分布式防火墙通常是内核模式应用,它位于操作系统OSI栈的底部,直接面对网卡,它们对所有的信息流进行过滤与限制,无论是来自Internet,还是来自内部网络。
分布式防火墙把Internet和内部网络均视为"不友好的"。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说,分布式防火墙进行配置后能够阻止一些非必要的协议,如HTTP 和 HTTPS之外的协议通过,从而阻止了非法入侵的发生,同时还具有入侵检测及防护功能。
分布式防火墙克服了操作系统所具有的已知及未知的安全漏洞,如DoS(拒绝服务)、应用及口令攻击。从而使操作系统得到强化。分布式防火墙对每个服务器都能进行专门的保护。系统管理员能够将访问权限只赋予服务器上的应用所使用的必要的端口及协议。如HTTP, HTTPS, port 80, port 443等。
为了进一步了解这一新的防火墙技术的优越性,我们先来了解一下传统边界式防火墙的固有不足之处。
二、传统边界式防火墙的固有欠缺
在介绍这种传统边界式防火墙的欠缺之前不得不申明的一点就是,它的欠缺并不是一开始人们就意识到,而是随着网络技术的不断发展、新网络技术的不断涌现和应用,以及新的网络安全因素的出现而体现的。这一点与任何其它产品的应用过程一样,虽然在目前来说它存在以下欠缺,但或许随着网络应用和进一步发展,将来还可能有人提出更多的欠缺之处,哪怕是本文所要介绍的最新分布式防火墙技术。就目前来说边界式防火墙主要存在以下不足之处:
(1)网络应用受到结构性限制
随着像VPN这样网络技术的应用和普及,企业网边界逐步成为一个逻辑的边界,物理的边界日趋模糊,传统边界防火墙在此类网络环境的应用受到了结构性限制。因为传统的边界式防火墙依赖于物理上的拓扑结构,它从物理上将网络划分为内部网络和外部网络,这一点影响了防火墙在虚拟专用网(VPN)上的应用,因为今天的企业电子商务要求员工、远程办公人员、设备供应商、临时雇员以及商业合作伙伴都能够自由访问企业网络,而重要的客户数据与财务记录往往也存储在这些网络上。根据VPN的概念,它对内部网络和外部网络的划分是基于逻辑上的,而逻辑上同处内部网络的主机可能在物理上分处内部和外部两面个网络。
基于以上原因,所以这种传统防火墙不能在有在两个内部网络之间通信需求的VPN网络中使用,否则VPN通信将被中断。虽然目前有一种SSL VPN技术可以绕过企业边界的防火墙进入内部网络VPN通信,但是应用更广泛的传统IPSec VPN通信中还是不能使用,除非是专门的VPN防火墙。目前有许多网络设备开发、生产商都能提供VPN防火墙,如Cisco、3Com和我国的华为(Quidway)公司等。
(2)内部安全隐患仍在
传统的边缘防火墙只对企业网络的周边提供保护。这些边缘防火墙会在从外部网络进入企业内部局域网的流量进行过滤和审查,但是,他们并不能确保企业内部网络内部用户之间的安全访问。这就好比给一座办公楼的大门加上一把锁,但办公楼内的每个房间却四门大开一样,一旦有人通过了办公楼的大门,便可以随意出入办公楼内任何一个房间。改进这种安全性隐患的最简单办法便是为楼内每个房间都配置一把钥匙和一把锁。边界式防火墙的作用就相当于整个企业网络大门的那把锁,但它并没有为每个客户端配备相应的安全"大锁",与上述所举只给办公楼大门配锁,而每个房间的大门却敞开所带来的安全性隐患的道理是一样的。