分布式防火墙在校园网中的应用与研究

摘要：针对校园中传统防火墙应用的不足，进而引出分布式防火墙的概念，简要阐述了分布式防火墙的基本原理，并介绍这一结构在校园网中的应用与研究。

关键词：分布式防火墙；安全管理中心；安全策略

中图分类号：TP393 文献标识码：A 文章编号：1007-9599 (2011) 21-0000-01

Distributed Firewall Application and Research in the Campus Network

Su Wenbao

(Liaoning Finance Vocational College Training Center,Shenyang 110122,China)

Abstract:The application of the campus in less than traditional firewall,and thus leads to the concept of distributed firewall,a brief description of the basic principles of distributed firewall,and describes the structure of the campus network applications and research.

Keywords:Distributed firewall;Security management center;Security policy

一、防火墙技术概述

防火墙就是内部网络与外部网络之间的一道安全防护系统。通过对经过的网络数据包的扫描与分析，过滤掉一些网络攻击并阻止非授权用户访问内部网络。从而大大提高内部网络的安全。

（一）传统边界防火墙的缺点

1.结构缺陷。传统边界防火墙从物理上将网络分为内部网络和外部网络。但物理边界日趋模糊，边界防火墙的应用受到了愈来愈多的结构性限制。

2.防外不防内。据统计，80%的攻击和越权访问来自于内部网络，边界防火墙在对付来自网络内部的威胁时束手无策。

3.效率低故障率高。边界防火墙把检查机制集中在网络边界处的单点上，造成了网络的瓶颈和单点故障隐患的问题。

（二）分布式防火墙

1.分布式防火墙概述。分布式防火墙（Distributed Firewalls，DFW）基于多台主机并采用集中管理和配置的设计思想，在分布式防火墙中集中定义安全策略，到网络端点（如主机、路由器）上单独实施。分布式防火墙是一种主机驻留式的安全系统，以主机为保护对象。其设计理念是主机以外的任何用户的访问都是不可信任的，都需要过滤。

2.分布式防火墙结构。分布式防火墙的组成部分根据其所需完成的功能，新的防火墙体系结构一般包含如下3个部分：（1）策略管理控制中心（Central Management）。这是一个防火墙服务器管理软件，主要负责总体安全策略的策划、管理、分发及日志的汇总，每个防火墙作为安全监测和执行机构可以根据不同的安全要求分布在网络的不同位置上，策略由中心控制是分布式防火墙系统的重要特征之一。（2）主机防火墙（Host Firewall）。主机防火墙用于对网络中的服务器和桌面机进行防护，这也是传统边界式防火墙所不具有的。这些主机防火墙的物理位置可以在内部网中，也可能在内部网之外。（3）网络防火墙（Network Firewall）。网络防火墙设置于内部网与外部网之间以及内部网各子网之间的防护，后者区别于前者的一个特征是需要支持内部网可能有的IP和非IP协议。

二、校园网络现状

校园网面临的安全问题。目前针对校园网服务器主机的攻击有来自外部网络黑客也有可能是来自内部的用户，可供使用的技术及工具手段较多，有的攻击者甚至不必具备专业的技能就能发动针对主机的攻击。攻击行为及后果主要有授权用户的非授权访问、篡改网站主页或造成服务器应用瘫痪、网络拥塞甚至崩溃等。

在对网络安全事件检查、分析中发现，攻击主要来自内部用户发起的。一方面是由于学校内部的学生群体活跃，会有尝试各种技术手段的欲望，加上学校内部网络设防不严以及内部攻击者对网络结构的了解更加细致等，非法访问更易成功。另一方面是由于病毒的传播途径较多，内网用户主机感染病毒的数量多，影响到用户的正常使用。

三、分布式主机防火墙系统部署

针对校园的网络安全现状，一是进一步明确细划网络结构，二是撤销原来的防火墙，全面部署分布式防火墙，结合入侵检测、防病毒、漏洞扫描、主页防窜改和安全审计的安全基础设施。

网络防火墙负责整个校园网的边界防御。保证对外部数据访问的安全性，它主要采用包过滤技术进行防御，与传统校园网中边界防火墙不同的是，由于它只是分布式防火墙的一部分，只需要提供一些简单的过滤规则，可靠性和性能同时得到满足，从而提高了效率消除了网络瓶颈，同时由于不是可靠性的完全提供者，所以即使来自外部的攻击成功，也不会将整个内部网络暴露在外部攻击者面前。

中心策略负责校园网中各部门和部门以外的安全策略。负责本部门用户证书的分发及管理，在分布式防火墙中不同主机可以根据具体工作中安全性的不同要求布置在网络中的不同位置上，但其安全策略又是统一策划和管理的安全策略的分发及日志的汇总就是中心管理应具备的基本功能，对于同一用户策略的分发也可以随着不同的执行而变化，防火墙仅仅利用地址IP来标识主机是不安全的，因此需要一个更加安全的机制即认证机制来识别主机，这也是由中心管理来负责管理校园网中的任一用户，只要基于它的认证被赋予某种特权，那么不管这它在什么物理位置都可以使用这些特权。

主机防火墙负责本机网络安全策略的实施安全策略驻留在被保护的主机上，不管是处在内部网的主机还是外部网的主机，只有具备了分发的认证证书的对它来说才是可以信任的。不同的用户根据不同需求进行分组，由中心管理针对主机上运行的具体应用和对外提供的服务。设定主机安全策略，交于主机防火墙实施，同时它负责本机的日志的生成和定期上报协助完成日志的收集整理工作。利用了个人计算机快速发展的性能承担了大部分原来全部由边界服务器完成的工作，很好的提高了效率，消除了网络瓶颈，提高了网络中主机的利用率。

要完全实现分布式主机防火墙的功能，还是较复杂的。因此方案实施时，在保证其系统应用功能完整性的前提下。具体的功能为：（1）具备有效的策略实施机制，这是主机防火墙的核心功能。负责策略实施的组件应该完全嵌入操作系统内核，以确保其自身的抗干扰能力，同时提供基于账户、应用程序、数据包首部信息和网络接口设备的细粒度网络访问控制。（2）具有审计日志功能，提供完备的安全日志审查。（3）管理人员可随时了解主机防火墙的工作状态。（4）提供策略制定的辅助机制。（5）具备对主机防火墙进程及资源文件的监控能力，防止由于用户的错误操作或恶意代码的破坏而造成的主机防火墙失效。

参考文献：

[1]MichaelRash,陈健.Linux防火墙(第一版)[M].北京:人民邮电出版社,2009,2-3

[2]潘贤.Linux内核中Netfilter/Iptables.防火墙的技术分析[J].计算机安全,2008,8:35

[3]林永菁.多层次校园网络安全设计[J].吉林师范大学学报(自然科学版),2009,3:150-151