防火墙技术详细说明及技术发展趋势（二）

　　3. 防火墙的系统管理发展趋势

　　防火墙的系统管理也有一些发展趋势，主要体现在以下几个方面：

　　（1）. 首先是集中式管理，分布式和分层的安全结构是将来的趋势。集中式管理可以降低管理成本，并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。目前这种分布式防火墙早已在Cisco（思科）、3Com等大的网络设备开发商中开发成功，也就是目前所称的"分布式防火墙"和"嵌入式防火墙"。关于这一新技术在本篇下面将详细介绍。

　　（2）. 强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以管理员有效地发现系统中存的安全漏洞，及时地调整安全策略等各方面管理具有非常大的帮助。不过具有这种功能的防火墙通常是比较高级的，早期的静态包过滤防火墙是不具有的。

　　（3）. 网络安全产品的系统化

　　随着网络安全技术的发展，现在有一种提法，叫做"建立以防火墙为核心的网络安全体系"。因为我们在现实中发现，仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系，就可以为内部网络系统部署多道安全防线，各种安全技术各司其职，从各方面防御外来入侵。

　　如现在的IDS设备就能很好地与防火墙一起联合。一般情况下，为了确保系统的通信性能不受安全设备的影响太大，IDS设备不能像防火墙一样置于网络入口处，只能置于旁路位置。而在实际使用中，IDS的任务往往不仅在于检测，很多时候在IDS发现入侵行为以后，也需要IDS本身对入侵及时遏止。显然，要让处于旁路侦听的IDS完成这个任务又太难为，同时主链路又不能串接太多类似设备。在这种情况下，如果防火墙能和IDS、病毒检测等相关安全产品联合起来，充分发挥各自的长处，协同配合，共同建立一个有效的安全防范体系，那么系统网络的安全性就能得以明显提升。

　　目前主要有两种解决办法：一种是直接把IDS、病毒检测部分直接"做"到防火墙中，使防火墙具有IDS和病毒检测设备的功能；另一种是各个产品分立，通过某种通讯方式形成一个整体，一旦发现安全事件，则立即通知防火墙，由防火墙完成过滤和报告。目前更看重后一种方案，因为它实现方式较前一种容易许多。

　　三、分布式防火墙技术

　　在前面已提到一种新的防火墙技术，即分布式防火墙技术已在逐渐兴起，并在国外一些大的网络设备开发商中得到了实现，由于其优越的安全防护体系，符合未来的发展趋势，所以这一技术一出现便得到许多用户的认可和接受。下面我们就来介绍一下这种新型的防火墙技术。

　　1． 分布式防火墙的产生

　　因为传统的防火墙设置在网络边界，外于内、外部互联网之间，所以称为"边界防火墙（Perimeter Firewall）"。随着人们对网络安全防护要求的提高，边界防火墙明显感觉到力不从心，因为给网络带来安全威胁的不仅是外部网络，更多的是来自内部网络。但边界防火墙无法对内部网络实现有效地保护，除非对每一台主机都安装防火墙，这是不可能的。基于此，一种新型的防火墙技术，分布式防火墙（Distributed Firewalls）技术产生了。它可以很好地解决边界防火墙以上的不足，当然不是为每对路主机安装防火墙，而是把防火墙的安全防护系统延伸到网络中各对台主机。一方面有效地保证了用户的投资不会很高，另一方面给网络所带来的安全防护是非常全面的。

　　我们都知道，传统边界防火墙用于限制被保护企业内部网络与外部网络（通常是互联网）之间相互进行信息存取、传递操作，它所处的位置在内部网络与外部网络之间。实际上，所有以前出现的各种不同类型的防火墙，从简单的包过滤在应用层代理以至自适应代理，都是基于一个共同的假设，那就是防火墙把内部网络一端的用户看成是可信任的，而外部网络一端的用户则都被作为潜在的攻击者来对待。而分布式防火墙是一种主机驻留式的安全系统，它是以主机为保护对象，它的设计理念是主机以外的任何用户访问都是不可信任的，都需要进行过滤。当然在实际应用中，也不是要求对网络中每对台主机都安装这样的系统，这样会严重影响网络的通信性能。它通常用于保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。

　　分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护，所以"分布式防火墙"是一个完整的系统，而不是单一的产品。根据其所需完成的功能，新的防火墙体系结构包含如下部分：

　　·网络防火墙（Network Firewall）：这一部分有的公司采用的是纯软件方式，而有的可以提供相应的硬件支持。它是用于内部网与外部网之间，以及内部网各子网之间的防护。与传统边界防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。不过在功能与传统的边界式防火墙类似。

　　·主机防火墙（Host Firewall）：同样也有纯软件和硬件两种产品，是用于对网络中的服务器和桌面机进行防护。这也是传统边界式防火墙所不具有的，也算是对传统边界式防火墙在安全体系方面的一个完善。它是作用在同一内部子网之间的工作站与服务器之间，以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间的防护，还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。可以说达到了应用层的安全防护，比起网络层更加彻底。

　　·中心管理（Central Managerment）：这是一个防火墙服务器管理软件，负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能，也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。