隨著政府、企業、個人主機的網路安全需求的與日俱增,防火牆技術應運而生。傳統的邊界式防火牆是企業內部網路與外部網路的一道屏障,但是其無法對內部網路訪問進行控制,也沒有對駭客行為進行入侵檢測和阻斷的功能。企業迫切需要一套真正能夠解決網路內部和外部,防火牆和防駭客的安全解決方案,而基於C/S架構的分布式防火牆很好地滿足了這一需求:它是由安全性原則管理伺服器[Server]以及用戶端防火牆[Client]組成,綜合運用多種先進的網路安全技術,為客戶提供可靠的網路安全服務。
一. 分布式防火牆系統架構
分布式防火牆由安全性原則管理伺服器[Server]以及用戶端防火牆[Client]組成。用戶端防火牆工作在各個從伺服器、工作站、個人電腦上,根據安全性原則檔案的內容,依靠包過濾、特洛伊木馬過濾和指令碼過濾的三層過濾檢查,保護電腦在正常使用網路時不會受到惡意的攻擊,提高了網路安全性。而安全性原則管理伺服器則負責安全性原則、使用者、日誌、審計等的管理。該伺服器是集中管理控制中心,統一制定和分發安全性原則,負責管理系統日誌、多主機的統一管理,使終端使用者“零”負擔。
圖1展示了分布式防火牆在政府/企業中的應用解決方案。該方案是純軟體防火牆,無須改變任何硬體裝置和網路架構,就可以協助政府/企業阻擋來自內部和外部網路的攻擊。
圖1 分布式防火牆在政府/企業中的應用解決方案
二. 分布式防火牆功能解析
在上述圖1所示的分布式防火牆解決方案中,左邊為政府/企業內部網路(內網)的應用拓撲結構圖,中間為Internet公眾網路,我們稱之為外部網路(外網),右邊為政府/企業辦公和業務的延伸部分,處於外部網路環境中。在內部的財務、總裁辦、人事、檔案、網路管理等主機,以及資料庫伺服器,檔案伺服器上存放著政府/企業的重要訊息,這些資訊一旦泄漏或者存放資訊的主機遭到破壞,會給政府/企業帶來不良的後果。如果不採取相應措施,此網路很容易遭受來自外網和內網上的駭客攻擊。若使用邊界式防火牆,則外網的攻擊將被阻攔,但從資料統計看,還有大部分網路攻擊/破壞來源於內部網路的駭客或員工的不小心應用,這時普通防火牆就無能為力了。而政府/企業的隨處工作人員、代理商、夥伴、遠程分公司在外部網路上很容易受到外部駭客的攻擊。所以說,能夠很好的阻擋內部和外部網路攻擊是政府/企業內部網路安全的重要任務。