摘 要：在綜合信息網(wǎng)建設(shè)中，隨著各種網(wǎng)絡(luò)各種新的應(yīng)用新技術(shù)不斷出現(xiàn)，硬件防火墻具有的一些缺點(diǎn)逐漸顯露，怎樣才能有效的克服硬件防火墻的缺陷，這是網(wǎng)絡(luò)安防設(shè)計(jì)面對(duì)的一大難題，本文主要闡述了基于IPSec技術(shù)的分布式防火墻系統(tǒng)，DFW（Distributed Fire Wall），既分布式防火墻，其應(yīng)用策略集中設(shè)計(jì)，其后再分發(fā)至用戶(hù)終端機(jī)具體執(zhí)行，較好地解決了硬件防火墻單點(diǎn)故障、內(nèi)部攻擊等問(wèn)題。

關(guān)鍵詞：安防；防火墻；IPSec

中圖分類(lèi)號(hào)：TP393.08

我們常用硬件防火墻作為受控端把網(wǎng)絡(luò)分割成內(nèi)網(wǎng)和外網(wǎng)兩部分，分別控制內(nèi)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進(jìn)行通信，防火墻處在內(nèi)網(wǎng)與外網(wǎng)之間。當(dāng)網(wǎng)絡(luò)處在一局限定的拓?fù)鋾r(shí)，這種模式可以起到較好的保護(hù)作用，但當(dāng)網(wǎng)絡(luò)規(guī)模及應(yīng)用不斷擴(kuò)展后，比如應(yīng)用遠(yuǎn)程通信或高速線路等，這樣的方式就不能為網(wǎng)絡(luò)提供優(yōu)質(zhì)的安全防護(hù)。分布式防火墻是基于IPSec的技術(shù)，它為終端駐留式的安全系統(tǒng)，可以保護(hù)局域網(wǎng)中的重要結(jié)點(diǎn)，比如：信息服務(wù)器、數(shù)據(jù)流及應(yīng)用站點(diǎn)等不受到外部入侵的破壞，無(wú)論是外網(wǎng)，還是來(lái)自?xún)?nèi)部網(wǎng)絡(luò)，分布式防火墻能對(duì)信息流進(jìn)行限制與過(guò)濾，起到很好的網(wǎng)絡(luò)防護(hù)作用。

1 硬件邊界防火墻的特點(diǎn)及局限性

硬件邊界防火墻用于限制被保護(hù)局域網(wǎng)絡(luò)與外網(wǎng)之間的相互通信，它處在內(nèi)外網(wǎng)之間，幾乎所有先前應(yīng)用的各種防火墻都是把內(nèi)網(wǎng)用戶(hù)看成是值得信任的，而把外網(wǎng)用戶(hù)則視為潛在的攻擊者來(lái)對(duì)待。網(wǎng)路安全設(shè)置的包過(guò)濾、應(yīng)用層代理、自適應(yīng)代理等都是基于這樣的認(rèn)識(shí)。

目前，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷發(fā)展和各種新技術(shù)相繼涌現(xiàn)，各種類(lèi)型的新攻擊情況更是不斷更新，在以往邊界式防火墻設(shè)計(jì)里，局域網(wǎng)非常容易受到惡意攻擊和破壞，當(dāng)接入局域網(wǎng)的用戶(hù)終端，同時(shí)又得到終端控制權(quán)時(shí)，惡意攻擊者就會(huì)將這臺(tái)PC作為跳板，繼續(xù)入侵其他系統(tǒng)?；贗PSec的DFW的作用，則是將防火墻分布到網(wǎng)絡(luò)的各個(gè)子網(wǎng)、終端或及信息服務(wù)器上。DFW會(huì)讓整個(gè)局域網(wǎng)內(nèi)的用戶(hù)方便地訪問(wèn)信息資源，網(wǎng)絡(luò)的其他部分將不會(huì)被顯露在攻擊者面前。應(yīng)用DFW的網(wǎng)絡(luò)用戶(hù)無(wú)論在局域、互聯(lián)網(wǎng)、VPN網(wǎng)還是遠(yuǎn)程訪問(wèn)，其都能實(shí)現(xiàn)“沒(méi)有區(qū)別的局域網(wǎng)互聯(lián)，即是一種端到端的完全保護(hù)。除此之外，DFW還具有加強(qiáng)網(wǎng)絡(luò)整體抗毀性能，以避免局域網(wǎng)由于部分系統(tǒng)的攻擊而導(dǎo)致的全網(wǎng)絡(luò)蔓延的狀況產(chǎn)生，這樣也限制了采用公共賬號(hào)進(jìn)入網(wǎng)絡(luò)系統(tǒng)的用戶(hù)無(wú)法進(jìn)入受限的重要應(yīng)用系統(tǒng)。

2 DFW的工作原理

DFW（Distributed Fire Wall），既分布式防火墻，這種安防系統(tǒng)的工作原理是：界定合法連接的安防策略集中定義，而安防策略的執(zhí)行則由相關(guān)節(jié)點(diǎn)獨(dú)自實(shí)施。

使用DFW的系統(tǒng)中，會(huì)為每個(gè)節(jié)點(diǎn)頒發(fā)不同的證書(shū)，即一個(gè)節(jié)點(diǎn)對(duì)應(yīng)一個(gè)數(shù)字證書(shū)，安防維護(hù)人員、終端系統(tǒng)維護(hù)員并不是相同的人，網(wǎng)絡(luò)安防維護(hù)人員可以在任何地方用數(shù)字證書(shū)登錄，并不受網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)限制。幾乎與硬件防火墻相同，安防策略還是集中定義，但是，是分別在各節(jié)點(diǎn)實(shí)施。節(jié)點(diǎn)在處理數(shù)據(jù)流IP包時(shí)，必須符合安防策略文件規(guī)則，確保與整個(gè)系統(tǒng)的安防策略一致。由于是終端節(jié)點(diǎn)在執(zhí)行安防策略，這樣，就很自然的克服了以往防火墻的應(yīng)用缺陷。

DFW由各個(gè)端點(diǎn)實(shí)施設(shè)置的策略，由中心定義策略。其主要依賴(lài)說(shuō)明哪一類(lèi)連接可以被允許或禁止的策略語(yǔ)言、一種系統(tǒng)管理工具和IP安全協(xié)議三個(gè)概念來(lái)實(shí)現(xiàn)。

3 DFW的結(jié)構(gòu)設(shè)計(jì)

基于IPSec的DFW系統(tǒng)體系結(jié)構(gòu)主要由：策略控制中心、策略執(zhí)行器以及IPSec通信構(gòu)成。策略控制中心的主要功能是設(shè)置被保護(hù)終端、為被保護(hù)終端設(shè)置安防策略、和向被保護(hù)終端發(fā)送策略文件；策略執(zhí)行器是駐留在被保護(hù)終端的狀態(tài)包過(guò)濾防火墻，解釋并強(qiáng)制執(zhí)行策略控制中心發(fā)放的安防策略；IPSec通信是對(duì)內(nèi)部終端之間的通信進(jìn)行加密保護(hù)以防止內(nèi)部的竊探、欺騙以及重放等攻擊破壞。被保護(hù)終端運(yùn)行的是策略執(zhí)行器，策略控制中心發(fā)放的安防策略的程序由其解釋并強(qiáng)制執(zhí)行，是保護(hù)端點(diǎn)終端的程序，完成的主要功能有：包過(guò)濾作用、實(shí)現(xiàn)與策略控制中心的通信、策略文件的接收、并負(fù)責(zé)將策略文件翻譯成包過(guò)濾模塊可識(shí)別的規(guī)則表達(dá)形式。

4 策略控制中心

策略控制中心的作用主要是注冊(cè)被保護(hù)終端、向被保護(hù)終端設(shè)置安防策略、為被保護(hù)終端發(fā)送策略文件。為策略控制中心的體系結(jié)構(gòu)，主要有終端注冊(cè)模塊、策略編輯模塊以及策略發(fā)送模塊。終端注冊(cè)模塊負(fù)責(zé)完成被保護(hù)終端在策略控制中心的注冊(cè)，并為控制中心添加被保護(hù)終端，設(shè)置被保護(hù)終端的參數(shù)，例如終端名、地址、掩碼和策略文件等。

策略編輯模塊主要功能是為被保護(hù)終端設(shè)置安防策略，策略分別是指包過(guò)濾規(guī)則，包括源地址/端口、目的地址/端口、協(xié)議種類(lèi)、網(wǎng)絡(luò)端口、檢測(cè)狀態(tài)等數(shù)據(jù)。策略發(fā)送模塊負(fù)責(zé)終端在策略控制中心的注冊(cè)信息以及向被保護(hù)終端發(fā)送策略文件。

圖1 策略控制中心體系結(jié)構(gòu)

為防止內(nèi)部攻擊，對(duì)DFW系統(tǒng)內(nèi)部終端間的通信進(jìn)行保護(hù)是通過(guò)IPSec通信完成的。IPSec協(xié)議給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，其中包括Authentication （網(wǎng)絡(luò)認(rèn)證協(xié)議）、（AH）Header、Encapsulation Security payload（ESP）封裝安全載荷協(xié)議、密鑰管理協(xié)議Internet Key Exchange（IKE）和一些加密、認(rèn)證的算法等。其定義相關(guān)基礎(chǔ)結(jié)構(gòu)及IP包格式，使網(wǎng)絡(luò)通信具有端到端、加強(qiáng)的身份驗(yàn)證、抗重播、保密性、和完整性等功能。

5 在構(gòu)建網(wǎng)絡(luò)安全解決方案中的應(yīng)用

DFW的網(wǎng)絡(luò)安防方案是在內(nèi)網(wǎng)的主用管理服務(wù)器安裝產(chǎn)品的安防策略管理服務(wù)，而配置管理組和用戶(hù)分別分配給相應(yīng)的從服務(wù)器和終端工作站，并設(shè)計(jì)對(duì)應(yīng)的安防策略；將終端防火墻安裝在內(nèi)網(wǎng)和外網(wǎng)中的所有終端工作站上，被管理端與安防策略管理服務(wù)器采用SSL協(xié)議進(jìn)行連接，并建立相互通信的安全通道，避免下載安防策略和日志通信的不安全性。在客戶(hù)終端，防火墻的機(jī)器采用多層過(guò)濾、入侵檢測(cè)、日志記錄等手段，給終端的安全運(yùn)行提供強(qiáng)有力的保證。遠(yuǎn)程終端系統(tǒng)，作為應(yīng)用業(yè)務(wù)延伸部分，并不屬于內(nèi)網(wǎng)，但是，在系統(tǒng)中仍是內(nèi)網(wǎng)終端，與內(nèi)網(wǎng)之間的通信仍然可以通過(guò)VPN、防火墻隔離等技術(shù)來(lái)控制接入。因此，對(duì)DFW的網(wǎng)絡(luò)安防方案而言，遠(yuǎn)程終端系統(tǒng)與物理上的內(nèi)部終端沒(méi)有任何區(qū)別。

6 結(jié)束語(yǔ)

本文主要闡述了基于IPSec技術(shù)的分布式防火墻系統(tǒng)，DFW是采用策略集中設(shè)計(jì)，然后再分發(fā)到各終端機(jī)執(zhí)行，較好地解決了硬件防火墻單點(diǎn)故障、內(nèi)部攻擊等問(wèn)題。在作用上，該技術(shù)具備了抵御內(nèi)部攻擊、外部攻擊和穿越非信任的外部網(wǎng)絡(luò)的能力。從應(yīng)用及管理上說(shuō)，其遠(yuǎn)超傳統(tǒng)上應(yīng)用的防火墻，管理和控制更加方便、易行。

參考文獻(xiàn)：

[1]孟慶媛，孟曉景.網(wǎng)絡(luò)防火墻的應(yīng)用[J].終端與信息技術(shù)，2009，11.

[1]趙兵，孫梅.分布式防火墻技術(shù)的分析與研究[J].軟件導(dǎo)刊，2010，3.