用分布式防火墙堵住内部网的漏洞 (图)

传统防火墙通常在网络边界站岗，如果说他对于来自外部网的攻击还算得上是个称职的卫士的话，那么对于80%来自内部网的攻击他就显得心有余而力不足了，为此诞生了一种新兴的防火墙技术分布式防火墙(Distributed Firewalls)，他的专长就在于堵住内部网的漏洞。
边界防火墙有如下固有欠缺：
结构性上受限制
边界防火墙的工作机理依赖于网络的物理拓扑结构。但随着越来越多的企业利用互联网构架自己的跨地区网络，例如家庭移动办公和服务器托管越来越普遍，所谓内部企业网已经变成一个逻辑上的概念；另一方面，电子商务的应用要求商务伙伴之间在一定权限下可以进入到彼此的内部网络，所以说，企业网的边界已经是一个逻辑的边界，物理的边界日趋模糊，边界防火墙的应用受到了愈来愈多的结构性限制。
内部不够安全
边界防火墙设置安全策略的一个基本假设是：网络的一边即外部的所有人是不可信任的，另一边即内部的所有人是可信任的。但在实际环境中，80%的攻击和越权访问来自于内部，也就是说，边界防火墙在对付网络安全的主要威胁时束手无策。
效率不高、故障点多
边界防火墙把检查机制集中在网络边界的单点，造成了网络访问的瓶颈问题，这也是目前防火墙用户在选择防火墙产品时不得不首先考察其检测效率，而安全机制不得不放在其次的原因。边界防火墙厂商也在不遗余力地提高防火墙单机处理能力，甚至采用防火墙群集技术来解决这个边界防火墙固有的结构性问题；另外，安全策略的复杂性也使效率问题雪上加霜，对边界防火墙来说，针对不同的应用和多样的系统要求，不得不经常在效率和可能冲突的安全策略之间权衡利害取得折衷方案，从而产生了许多策略性的安全隐患；最后，边界防火墙本身也存在着单点故障危险，一旦出现问题或被攻克，整个内部网络将会完全暴露在外部攻击者面前。
       
针对传统边界防火墙的缺欠，专家提出分布式防火墙的概念。从狭义和与边界防火墙产品对应来讲，分布式防火墙产品是指那些驻留在网络中主机如服务器或桌面机并对主机系统自身提供安全防护的软件产品；从广义来讲，分布式防火墙是一种新的防火墙体系结构，它包含如下产品：
网络防火墙
用于内部网与外部网之间（即传统的边界防火墙）和内部网子网之间的防护产品，后者区别于前者的一个特征是需支持内部网可能有的IP和非IP协议。
主机防火墙
对于网络中的服务器和桌面机进行防护，这些主机的物理位置可能在内部网中，也可能在内部网外，如托管服务器或移动办公的便携机。
中心管理
边界防火墙只是网络中的单一设备，管理是局部的。对分布式防火墙来说，每个防火墙作为安全监测机制可以根据安全性的不同要求布置在网络中的任何需要的位置上，但总体安全策略又是统一策划和管理的，安全策略的分发及日志的汇总都是中心管理应具备的功能。中心管理是分布式防火墙系统的核心和重要特征之一。
分布式防火墙的在企业网的一个典型应用请见图1，其优点是：
图1
系统的安全性
增加了针对主机的入侵监测和防护功能；
加强了对来自内部攻击的防范；
可以实施全方位的安全策略；
提供了多层次立体的防范体系。
系统性能的保证
消除了结构性瓶颈问题，提高了系统性能。
系统的扩展性
随系统扩充提供了安全防护无限扩充的能力。

为了对分布式防火墙的概念有深入了解，下面我们从如下几个角度重点介绍一下分布式防火墙中最具特色的主机防火墙：
主机驻留
主机防火墙的重要特征是驻留在被保护的主机上，该主机以外的网络不管是处在内部网还是外部网都认为是不可信任的，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是，使安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。
嵌入操作系统内核
众所周知，操作系统自身存在许多安全漏洞，运行在其上的应用软件无一不受到威胁。主机防火墙也运行在该主机上，所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞，主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制，除防火墙厂商自身的开发技术外，与操作系统厂商的技术合作也是必要的条件，因为这需要一些操作系统不公开内部技术接口。不能实现这种嵌入式运行模式的主机防火墙由于受到操作系统安全性的制约，存在着明显的安全隐患。
类似于个人防火墙
个人防火墙是在分布式防火墙之前业已出现的一类防火墙产品。IDC 将个人防火墙定义为成本在100美元以下，以一般消费者和小企业为客户群，通过Cable或DSL调制解调器实现高速不间断来连接的独立产品。分布式针对桌面应用的主机防火墙与个人防火墙有相似之处，如它们都对应个人系统，但其差别又是本质性的。首先它们管理方式迥然不同，个人防火墙的安全策略由系统使用者自己设置，目标是防外部攻击，而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置，除了对该桌面机起到保护作用外，也可以对该桌面机的对外访问加以控制，并且这种安全机制是桌面机的使用者不可见和不可改动的。其次，不同于个人防火墙面向个人用户，针对桌面应用的主机防火墙是面向企业级客户的，它与分布式防火墙其它产品共同构成一个企业级应用方案，形成一个安全策略中心统一管理，安全检查机制分散布置的分布式防火墙体系结构。
适用于托管服务器
互联网和电子商务的发展促进了互联网数据中心的迅速崛起，其主要业务之一就是服务器托管服务。对服务器托管用户而言，该服务器逻辑上是其企业网的一部分，只不过物理上不在企业内部，对于这种应用，边界防火墙解决方案就显得比较牵强附会，而针对服务器的主机防火墙解决方案则是其一个典型应用。用户只需在该服务器上安装上主机防火墙软件，并根据该服务器的应用设置安全策略即可，并可以利用中心管理软件对该服务器进行远程监控，不需任何额外租用新的空间放置边界防火墙。
下面让我们以美国网屹安全系统公司(Network-1 Security Solutions, Inc.)的分布式防火墙系列产品CyberwallPLUS及其在互联网数据中心的应用为实例做一个具体的了解。网屹公司是一个有十年网络安全咨询经验的公司，1999年开始推出CyberwallPLUS系列产品，是分布式防火墙技术的领先厂商，目前该系列产品已到6.1版，它包括如下产品：
网络防火墙
CyberwallPLUS-IP：互联网边界防火墙；CyberwallPLUS-AP：内部网子网防火墙，支持4500多种IP和非IP协议。
主机防火墙
CyberwallPLUS-SV：服务器防火墙，第一个NT/2000的嵌入式服务器防火墙；CyberwallPLUS-WS：客户端防火墙，支持NT工作站、2000个人专业版、WIN95/98，获得ICSA认证的桌面防火墙产品。
中心管理
CyberwallPLUS-CM：中心管理系统。
其中CyberwallPLUS-SV产品已被世纪互联、263等著名互联网数据中心选为托管主机的安全保护方案。对互联网数据中心而言，在激烈的市场竞争环境中，需要提供包括防火墙安全服务在内的增值服务来提高竞争力。以世纪互联为例，该互联网数据中心向托管用户系统提出了管理防火墙系列服务，包括独享式防火墙、共享式防火墙和主机式防火墙三种服务，其中主机式防火墙服务是利用CyberwallPLUS-SV主机防火墙提供的，其应用模式请见图2。
图2
图中的公司A、B、C都是托管用户，他们都有不同数量的服务器在数据中心托管，服务器上也有不同的应用。如果托管用户希望把这些服务器的安全问题委托给数据中心专业的安全服务部门来负责，就可以与数据中心签定相应的安全服务保障合同。数据中心的安全服务部门在需提供安全服务的服务器上安装一套CyberwallPLUS-SV主机防火墙产品，根据用户具体应用要求，设定的相应策略。对于安装了CyberwallPLUS-CM中心管理系统的管理终端，数据中心安全服务部门的技术人员可以对所有在数据中心委托安全服务的服务器的安全状况进行监控和提供有关的安全日志记录。

作者:王英红