分布式防火墙介绍

一 传统防火墙
　　防火墙作用：防火墙的基本功能是通过对网络外部和内部用户的区分和访问授权机制来防止非法访问。
　　传统防火墙都是基于一个共同的假设,那就是防火墙把内部网络一端的用户看成是可信，而外部网络一端的用户则都被作为潜在的攻击者来对待。
　　传统防火墙设置在网络边界。称为边界防火墙。
　　由于传统防火墙严格依赖于网络拓扑结构且基于这样一个假设基础:那就是防火墙把在受控实体点内部,即防火墙保护的内部连接认为是可靠和安全的;而把在受控实体点的另一边，即来自防火墙外部的每一个访问都看作是带有攻击性的，或者是说至少是有潜在攻击危险的。
　　缺陷：
　　（1）网络应用受到结构性限制；VPN，内部，边界模糊；
　　（2）内部安全隐患仍在；外部–》内部审查，ip地址，ipsec内部;
　　（3）效率较低和故障率高；带宽，网络流量，性能；
二 分布式防火墙（distributed firewalls,DFW）
　　策略集中定制，在各个主机上执行；
　　分布式防火墙的基本思想是:安全策略的制定采用由中心策略服务器集中定义方式,而安全策略的执行则由相关主机节点独立实施;安全日志由主机节点分散产生,而安全日志的保存则集中到中心策略服务器上。
　　特点：
　　（1）能够不依赖于网络拓扑结构进行规则定义的策略语言。
　　（2）能够将策略服务器形成的策略文件安全分布在给防火墙保护的所有主机的系统管理工具。逻辑意义上的分布式防火墙。
　　（3）能够保障数据安全传输的安全协议。
　　组成部分：
　　（1）网络防火墙（Network firewall）;
　　（２）主机防火墙(Host firewall);
　　（３）中心策略服务器（central policy Managerement）;
　　特点：
　　（1）主机驻留；
　　（2）嵌入操作系统内核；
　　（3）类似于个人防火墙；
　　（4）适用于服务器托管；
三 工作过程
　　首先由制定防火墙接入控制策略的中心通过编译器将策略语言诉描述转换成内部格式，形成策略文件；然后中心采用系统管理工具把策略文件分发给各台"内部"主机；"内部"主机将从两方面来判定是否接受收到的包，一方面是根据IP安全协议，另一方面是根据服务器端的策略文件。
四 主要功能
（1）Internet访问控制；
（2）应用访问控制；
（3）网络状态监控；
（4）黑客攻击的防御；