傳統防火墻由于被部署在網絡邊界而被稱為邊界防火墻。邊界防火墻在企業內部網和外部互聯網之間構成一道屏障,負責進行網絡存取控制。隨著網絡安全技術的深入發展,邊界防火墻逐漸暴露出一些弱點,具體表現在以下幾個方面。
受網絡結構限制
邊界防火墻的工作機理依賴于網絡的拓撲結構。隨著越來越多的用戶利用互聯網構架跨地區企業網絡,移動辦公和服務器托管日益普遍,加上電子商務要求商務伙伴之間在一定權限下可以彼此訪問,企業內部網和網絡邊界逐漸成為邏輯上的概念,邊界防火墻的應用也受到越來越多的限制。
內部不夠安全
邊界防火墻設置安全策略是基于這樣一個基本假設: 企業網外部的人都是不可信的,而企業網內部的人都是可信的。事實上,接近80%的攻擊和越權訪問來自于企業網內部,邊界防火墻對于來自企業網內部的攻擊顯得力不從心。
效率不高與故障點多
邊界防火墻把檢查機制集中在網絡邊界的單點上,由此造成網絡訪問瓶頸,并使得用戶在選擇防火墻產品時首先考慮檢測效率,其次才是安全機制。安全策略過于復雜也進一步降低了邊界防火墻的效率。為了滿足不同應用需求,邊界防火墻不得不在效率和安全策略之間采取折中方案,故而留下許多安全隱患。此外,邊界防火墻本身也存在單點故障危險,一旦出現問題或被黑客攻克,整個企業網絡就會完全暴露在攻擊者面前。
針對邊界防火墻存在的缺陷,專家提出了分布式防火墻方案。分布式防火墻有狹義和廣義之分。堵住內網漏洞是分布式防火墻的專長。
廣義分布式防火墻
廣義分布式防火墻是一種全新的防火墻體系結構,包括網絡防火墻、主機防火墻和中心管理三部分。網絡防火墻部署于內部網與外部網之間以及內網子網之間。網絡防火墻區別于邊界防火墻的特征在于,網絡防火墻需支持內部網可能有的IP和非IP協議,而邊界防火墻并不需要。主機防火墻對網絡中的服務器和桌面系統進行防護,主機的物理位置可能在企業網中,也可能在企業網外(如托管服務器或移動辦公的便攜機)。由于邊界防火墻只是網絡中的單一設備,對其進行的管理也只能是局部管理。對于廣義分布式防火墻來說,每個防火墻作為安全監測機制的組成部分,必須根據不同的安全要求被布置在網絡中任何需要的位置上,對廣義分布防火墻的管理必須是統一進行的,中心管理是分布式防火墻系統的核心和重要特征之一。安全策略的分發及日志的匯總都是中心管理具備的功能。
狹義分布式防火墻
狹義分布式防火墻是指駐留在網絡主機(如服務器或桌面機)并對主機系統提供安全防護的軟件產品,駐留主機是這類防火墻的重要特征。這類防火墻將該駐留主機以外的其他網絡都認作是不可信任的,并對駐留主機運行的應用和對外提供的服務設定針對性很強的安全策略。
采用嵌入操作系統內核是狹義防火墻的另一特點。操作系統自身存在許多安全漏洞,使運行其上的應用軟件受到威脅,防火墻軟件也不能幸免。為徹底堵住操作系統漏洞,狹義防火墻的安全監測核心引擎必須嵌入操作系統內核,直接接管網卡,對所有數據包進行檢查后再提交給操作系統。要想實現這種運行機制,防火墻廠商必須要與操作系統廠商進行技術合作。不能實現嵌入式運行模式的狹義防火墻由于受到操作系統安全機制的制約,存在明顯的安全隱患。
針對桌面應用的狹義分布式防火墻與個人防火墻有相似之處,如都對應個人系統,但兩者的差別又是本質的。首先,它們的管理方式不同,個人防火墻的安全策略由系統使用者自己設置,目標是防止外部攻擊; 而針對桌面應用的狹義防火墻的安全策略是由管理員統一設置,除了對該桌面系統起到保護作用外,還對該桌面系統的對外訪問加以控制,并且這種安全機制是使用者不能改動的。其次,個人防火墻面向個人用戶,而針對桌面應用的狹義防火墻面向的是企業級用戶,是企業級安全解決方案的組成部分。
安軟EverLink是一種典型的狹義分布式防火墻,該防火墻工作在個人計算機(Windows平臺)上,根據安全策略文件的內容,在包過濾和特洛伊木馬過濾雙層設置過濾檢查。其中,安全策略文件的內容根據用戶在安裝和使用過程中設定的安全級別及相關的安全屬性進行確定。包過濾面向IP數據包,既可以對絕大多數網絡協議進行檢查(如TCP/IP、UDP/IP、ICMP等),同時也可以對非面向連接的網絡訪問(如UDP,RPC等)進行基于狀態的過濾。特洛伊木馬過濾能夠屏蔽已知的特洛伊木馬對網絡進行的訪問; 同時鑒別應用程序,可以發現未知特洛伊木馬,并將其加入屏蔽列表。安軟EverLink分布式防火墻的入侵檢測可以發現常用的網絡攻擊方法,如端口掃描、拒絕服務攻擊、源路由數據包攻擊、連續多次連接等,自動屏蔽發起網絡攻擊的源地址,并將發現的攻擊行為記錄到日志中。
在托管服務中的應用
互聯網和電子商務的發展促使互聯網數據中心的迅速崛起,數據中心的主要業務之一就是提供服務器托管服務。對服務器托管用戶而言,該服務器在邏輯上是企業網的一部分,不過在物理上并不在企業網內部。對于這種應用,分布式防火墻就十分得心應手。用戶只需在托管服務器上安裝上防火墻軟件,并根據該服務器的應用設置安全策略,利用中心管理軟件對該服務器進行遠程監控即可,而不需任何額外租用新的空間放置邊界防火墻。
以世紀互聯為例,該互聯網數據中心向托管用戶提供管理防火墻系列服務,其中防火墻服務采用的就是金諾網屹的CyberwallPLUS-SV分布式防火墻。
A、B、C都是托管用戶,這些用戶都有不同數量的服務器在數據中心托管,服務器上也有不同的應用。如果托管用戶希望把這些服務器的安全問題委托給數據中心專業的安全服務部門來負責,就可以與數據中心簽定相應的安全服務保障合同。數據中心的安全服務部門在需提供安全服務的服務器上安裝一套CyberwallPLUS-SV主機防火墻產品,并根據用戶具體應用要求,設定的相應策略。對于安裝了CyberwallPLUS-CM中心管理系統的管理終端,數據中心安全服務部門的技術人員可以對所有在數據中心委托安全服務的服務器的安全狀況進行監控,并提供有關的安全日志記錄。
