基於C/S架構的分布式防火牆

　　隨著政府、企業、個人主機的網路安全需求的與日俱增，防火牆技術應運而生。傳統的邊界式防火牆是企業內部網路與外部網路的一道屏障，但是其無法對內部網路訪問進行控制，也沒有對駭客行為進行入侵檢測和阻斷的功能。企業迫切需要一套真正能夠解決網路內部和外部，防火牆和防駭客的安全解決方案，而基於C/S架構的分布式防火牆很好地滿足了這一需求：它是由安全性原則管理伺服器[Server]以及用戶端防火牆[Client]組成，綜合運用多種先進的網路安全技術，為客戶提供可靠的網路安全服務。

　　一. 分布式防火牆系統架構

　　分布式防火牆由安全性原則管理伺服器[Server]以及用戶端防火牆[Client]組成。用戶端防火牆工作在各個從伺服器、工作站、個人電腦上，根據安全性原則檔案的內容，依靠包過濾、特洛伊木馬過濾和指令碼過濾的三層過濾檢查，保護電腦在正常使用網路時不會受到惡意的攻擊，提高了網路安全性。而安全性原則管理伺服器則負責安全性原則、使用者、日誌、審計等的管理。該伺服器是集中管理控制中心，統一制定和分發安全性原則，負責管理系統日誌、多主機的統一管理，使終端使用者“零”負擔。

　　圖1展示了分布式防火牆在政府/企業中的應用解決方案。該方案是純軟體防火牆，無須改變任何硬體裝置和網路架構，就可以協助政府/企業阻擋來自內部和外部網路的攻擊。

　　

　　圖1 分布式防火牆在政府/企業中的應用解決方案

　　二. 分布式防火牆功能解析

　　在上述圖1所示的分布式防火牆解決方案中，左邊為政府/企業內部網路(內網)的應用拓撲結構圖，中間為Internet公眾網路，我們稱之為外部網路(外網)，右邊為政府/企業辦公和業務的延伸部分，處於外部網路環境中。在內部的財務、總裁辦、人事、檔案、網路管理等主機，以及資料庫伺服器，檔案伺服器上存放著政府/企業的重要訊息，這些資訊一旦泄漏或者存放資訊的主機遭到破壞，會給政府/企業帶來不良的後果。如果不採取相應措施，此網路很容易遭受來自外網和內網上的駭客攻擊。若使用邊界式防火牆，則外網的攻擊將被阻攔，但從資料統計看，還有大部分網路攻擊/破壞來源於內部網路的駭客或員工的不小心應用，這時普通防火牆就無能為力了。而政府/企業的隨處工作人員、代理商、夥伴、遠程分公司在外部網路上很容易受到外部駭客的攻擊。所以說，能夠很好的阻擋內部和外部網路攻擊是政府/企業內部網路安全的重要任務。