防火墙技术详细说明及技术发展趋势（三）

　　2. 分布式防火墙的主要特点

　　综合起来这种新的防火墙技术具有以下几个主要特点：

　　（1）. 主机驻留

　　这种分布式防火墙的最主要特点就是采用主机驻留方式，所以称之为"主机防火墙"（传统边界防火墙通常称之为"网络防火墙"）。它的重要特征是驻留在被保护的主机上，该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是，使安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。

　　（2）. 嵌入操作系统内核

　　这主要是针对目前的纯软件式分布式防火墙来说的.操作系统自身存在许多安全漏洞目前是众所周知的，运行在其上的应用软件无一不受到威,。分布式主机防火墙也运行在主机上，所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞，主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制，除防火墙厂商自身的开发技术外，与操作系统厂商的技术合作也是必要的条件，因为这需要一些操作系统不公开内部技术接口。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约，存在着明显的安全隐患。

　　（3）. 类似于个人防火墙

　　个人防火墙是一种软件防火墙产品，它是用来保护单一主机系统的。分布式防火墙与个人防火墙有相似之处，如都是对应个人系统。但它们之间又有着本质上的差别。

　　首先它们管理方式迥然不同，个人防火墙的安全策略由系统使用者自己设置，全面功能和管理都在本机上实现，它的目标是防止主机以外的任何外部用户攻击；而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置，除了对该桌面机起到保护作用外，也可以对该桌面机的对外访问加以控制，并且这种安全机制是桌面机的使用者不可见和不可改动的。

　　其次，不同于个人防火墙是单纯的直接面向个人用户，针对桌面应用的主机防火墙是面向企业级客户的，它与分布式防火墙其它产品共同构成一个企业级应用方案，形成一个安全策略中心统一管理，所以它在一定程度上也面对整个网络。它是整个安全防护系统中不可分割的一部分，整个系统的安全检查机制分散布置在整个分布式防火墙体系中。

　　（4）适用于服务器托管

　　互联网和电子商务的发展促进了互联网数据中心（IDC）的迅速崛起，其主要业务之一就是服务器托管服务。对服务器托管用户而言，该服务器逻辑上是其企业网的一部分，只不过物理上不在企业内部。对于这种应用，边界防火墙解决方案就显得比较牵强附会。我们在前面介绍了，对于这类用户，他们通常所采用的防火墙方案是采用虚拟防火墙方案，但这种配置相当复杂，非一般网管人员能胜任。而针对服务器的主机防火墙解决方案则是其一个典型应用。对于纯软件式的分布式防火墙则用户只需在该服务器上安装上主机防火墙软件，并根据该服务器的应用设置安全策略即可，并可以利用中心管理软件对该服务器进行远程监控，不需任何额外租用新的空间放置边界防火墙。对于硬件式的分布式防火墙因其通常采用PCI卡式的，通常兼顾网卡作用，所以可以直接插在服务器机箱里面，也就无需单独的空间托管费了，对于企业来说更加实惠。

　　3. 分布式防火墙的主要优势

　　在新的安全体系结构下，分布式防火墙代表新一代防火墙技术的潮流，它可以在网络的任何交界和节点处设置屏障，从而形成了一个多层次、多协议，内外皆防的全方位安全体系。主要优势如下：

　　（1）增强的系统安全性：增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击防范，可以实施全方位的安全策略。

　　在传统边界式防火墙应用中，企业内部网络非常容易受到有目的的攻击，一旦已经接入了企业局域网的某台计算机，并获得这台计算机的控制权，他们便可以利用这台机器作为入侵其他系统的跳板。而最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器PC上。分布于整个公司内的分布式防火墙使用户可以方便地访问信息，而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能，用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生，同时也使通过公共帐号登录网络的用户无法进入那些限制访问的计算机系统。针对边界式防火墙对内部网络安全性防范的不足，

　　另外，由于分布式防火墙使用了IP安全协议，能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信，使各主机之间的通信得到了很好的保护。所以分布式防火墙有能力防止各种类型的被动和主动攻击。特别在当我们使用IP安全协议中的密码凭证来标志内部主机时，基于这些标志的策略对主机来说无疑更具可信性。