摘要:防火牆在網絡安全中起著重要作用。但是,目前傳統的邊界防火牆暴露出越來越多的缺陷,無法適應新的網絡應用。分布式防火牆是對傳統防火牆的改進。文中介紹了分布式防火牆的概念,並給出了其在Linux上的設計與實現。
關鍵字:分布式防火牆;KeyNote信任管理系統;安全策略;安全憑證;Linux平台。
1 傳統防火牆及其缺陷
防火牆是指設置在不同網絡或網絡安全域之間,根據一定的安全策略對網絡間的通信實施訪問控制的一系列部件的組合。
傳統意義上的防火牆就是指邊界防火牆,它將網絡分為內網和外網兩部分。它是網絡間信息傳輸的唯一出入口,能夠根據安全策略控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務、實現網絡和信息安全的重要的、基本的安全裝置。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。
傳統防火牆依賴於網絡的拓撲限制,它假定內網上的所有主機都是可信任的,而外網上的所有主機都是不可信的。當網絡遵照拓撲限制時,這種模型工作得很好;但是,隨著網絡連接的擴充和新的網絡應用的發展,這種模型暴露出了越來越多的缺陷,面臨著極大的挑戰。主要表現在:
(1) 對繞過防火牆的攻擊無能為力;如果防火牆的規則設置不當,內網上的所有主機將暴露在外部攻擊的直接威脅之下。
(2) 由於信任內網上的所有主機,而對來自網絡內部的惡意攻擊、未授權訪問或無意的誤操作“視而不見”。
(3) 是潛在的通信瓶頸和單一故障點。
(4) 與端到端加密(如VPN)有沖突。
(5) 由於依賴於網絡拓撲,無法支持移動計算。
為了克服上述缺陷,產生了“分布式防火牆”( Distributed Firewall )的概念。
2 分布式防火牆
多台基於主機但受集中管理和配置的防火牆組成了分布式防火牆。在分布式防火牆中,安全策略仍然被集中定義,但是在每一個單獨的網絡端點(例如主機、路由器)上實施。
分布式防火牆中含有三個必需的組件:
(1) 描述安全策略的語言。
(2) 安全地發布策略的機制。
(3) 應用、實施策略的機制。
安全策略語言規定了哪些通信被允許,哪些通信被禁止,它應該支持多種類型的應用,還應支持權利委派和身份鑒別。策略制定後被發布到網絡端點上。策略發布機制應該保證策略在傳輸過程中的完整性和真實性。策略發布有多種方式,可以直接“推”到終端系統上,可以由終端按需獲取,也可以以證書的形式提供給用戶。策略實施機制位於要保護的主機上,在處理出入的通信之前,它查詢本地策略再做出允許或禁止的決定。
分布式防火牆克服了傳統防火牆的缺陷,它的優勢在於:
(1) 在網絡內部增加了另一層安全。
(2) 有效抵御來自內部的攻擊。
(3) 消除網絡邊界上的通信瓶頸和單一故障點。
(4) 支持基於加密和認證的網絡應用。
(5) 與拓撲無關,支持移動計算。
