分布式防火墻的淺析與探究

楊青華

摘要：防火墻是用來解決網絡空間安全問題的主要手段，針對不同的網絡安全需要選擇不同的防火墻。一些企業和商家在選擇防火墻方面處于矛盾狀態。而分布式防火墻在使用過程中存在一定的弊端，但是它可以達到內外兼防的防護效果，通過分析分布式防火墻和普通防火墻的區別讓企業和商家更好地選擇使用合適的防火墻，探究分布式防火墻面臨的困境和瓶頸等問題。

關鍵詞：邊界防火墻;策略語言;DDoS;瓶頸;防護

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）21-0056-02

開放科學（資源服務）標識碼（OSID）：

隨著網絡技術的飛速發展 ，網絡空間安全在現實工作和生活中起著至關重要的作用。在防火墻類別中分布式防火墻從管理機制到體系架構再到網絡傳輸控制中存在很大的優勢和特點，在網絡空間安全中，分布式防火墻可以達到任何分界點和連接節點處設置保護屏障，形成一個多層次、多重協議，內外兼防的全方位安全防護體系，達到很好的防護效果。

1 分布式防火墻實現方式

分布式防火墻是通過各個分布的相關節點來實施、實現這些策略，主要依賴于策略語言、系統管理工具、IP網絡安全協議[1]等。

（1）策略語言

策略語言它的分類比較多，在使用語言時要盡可能達到能夠方便地表達自己所需要的策略，這樣選擇的目的是如何正確地標識內部主機[1]。傳統的防火墻達不到這個效果。其次我們在標識的時候只能用I P地址安全協議中的密碼來進行標識使用中的各臺主機，那么這樣就可以得到一個可靠的、唯一的標識來躲避網絡拓撲結構存在這個問題。

（2）系統中使用的管理工具

在系統使用過程中，分布式防火墻所使用的服務器系統的管理工具將形成的管理策略文件分別分發給被防火墻進行安全保護的所有主機，這時我們所指的防火墻并不是我們所想的傳統的意義上的邊界式一般防火墻，它是這篇文章所特別強調的邏輯上的分布式防火墻[2]。只有選擇這樣的防火墻在網絡完成數據在傳輸過程中對傳輸數據中捆綁的病毒或不安全代碼起到更好的過濾和防護。

（3）IP協議相關的安全

在網絡傳輸過程中IP協議的安全，是網絡層加密的一種很好的保護機制，常見的有這樣幾種如：AH、ESP和IKE等，它們分別對I P內相關的整個數據進行校驗認證，校驗認證的目的就是實現密鑰的交換，這樣可以有效地防止特別是internet（因特網）上的一些主動攻擊[1]。

分布式防火墻首先由它本身的接入控制策略的中心，其次就是通過編譯器將相關控制的策略語言進行簡單的描述從而轉換成可識別的內部固定格式，從而來形成相關防火墻的策略文件，最后控制中心采用相關所需要的相關系統管理工具把相關的所需策略文件分別分發給每臺“內部”的服務主機，“內部”服務相關的主機。服務的主機從兩個方面研判是否接收數據和指令，一個方面是根據相關符合要求的I P安全協議;第二個方面是根據服務器端所需遵循的相關策略文件。

2 分布式防火墻的體系結構

在使用過程中，分布式防火墻它的主要“責任”是負責整個網絡下面的邊界以及所屬的各個子網、網絡的各個內部各個節點相關一系列的安全和防護，下面簡單看下分布式防火墻的整體的體系結構包含如下幾個部分（見圖1）：

（1）網絡防火墻（Network Firewall）

一般所使用的防火墻是簡單地用于內部網和連接的外部網（因特網）之間以及所有內部網的防護。在防護和使用過程中功能上與邊界式防火墻所使用的基本一致，但是邊界式防火墻在使用過程中增加了一種用于對內部子網之間的安全防護層，從而是整個網絡的安全系數提高，在功能方面更加全面、可靠[1]。

（2）主機防火墻（Host Firewall）

從網絡防火墻中的主機防火墻可以看出它的功能主要是負責相關一些策略的實施。它的主要功能是對當前服務器和相關的桌面系統進行保護和防護。這種防護功能在邊界防火墻中是一個彌補和完善。在使用過程中也不可缺少的。

（3）托管服務器（Hosting）

服務器托管也是當今IT界的一個新興職業，分布式防火墻的應用完全可以實現用戶在服務器（主機）上安裝防火墻軟件，并根據相關的設置，設置好需要策略利用設置好的服務器安裝上中心管理軟件從而對該服務器進行遠程操作即可，不需額外租用服務器空間安裝或放置另外的防護設置或安裝新的邊界防火墻。

（4）中心管理系統（Central Managerment System）

在使用分布式防火墻的時候，它需要配備管理器軟件，而軟件管理的主要目的是負責總體安全。中心管理策略的功能主要分這樣幾部分：策劃→管理→分發→日志的匯總等[2]。它的管理是智能的從而可以提高分布式防火墻的靈活性、高效可控的管理性。

3 分布式防火墻能得到廣泛使用的必要性

新零售模式的電商企業大多處于相對非常開放的網絡環境中，它的互聯互通已經不再存在邊界，所以增強企業信息安全和數據防護成為一個疑難問題。

企業間既要對產品和品牌的影響力進行宣傳交流互通，這種數據資源不但要對自己企業的客戶、相關企業的合作伙伴、本企業的在職員工甚至不相干的任何感興趣的人員都需要進行共享開放。所有這些資源的共享一定會給網絡空間帶極大的安全問題。針對這種情況分布式防火墻用兩個不同的安全策略來進行安全防護：一、用戶完全可以完成遠程終端控制來實現安全防護，杜絕黑客攻擊到企業內部。二、在網絡傳輸過程中他可以對關鍵服務器進行過濾保護不受惡意代碼的侵入，還可以對類似的文件數據代碼監視，最大化地杜絕這些數據代碼對企業服務器的相關設置進行篡改和攻擊。