分布式防火墙由哪几个部分组成
分布式防火墙技术
在前面已提到一种新的防火墙技术,即分布式防火墙技术已在逐渐兴起,并在国外一些大的网络设备开发商中得到了实现,由于其优越的安全防护体系,符合未来的发展趋势,所以这一技术一出现便得到许多用户的认可和接受。下面我们就来介绍一下这种新型的防火墙技术。
因为传统的防火墙设置在网络边界,外于内、外部互联网之间,所以称为"边界防火墙(Perimeter Firewall)"。随着人们对网络安全防护要求的提高,边界防火墙明显感觉到力不从心,因为给网络带来安全威胁的不仅是外部网络,更多的是来自内部网络。但边界防火墙无法对内部网络实现有效地保护,除非对每一台主机都安装防火墙,这是不可能的。基于此,一种新型的防火墙技术,分布式防火墙(Distributed Firewalls)技术产生了。它可以很好地解决边界防火墙以上的不足,当然不是为每对路主机安装防火墙,而是把防火墙的安全防护系统延伸到网络中各对台主机。一方面有效地保证了用户的投资不会很高,另一方面给网络所带来的安全防护是非常全面的。
我们都知道,传统边界防火墙用于限制被保护企业内部网络与外部网络(通常是互联网)之间相互进行信息存取、传递操作,它所处的位置在内部网络与外部网络之间。实际上,所有以前出现的各种不同类型的防火墙,从简单的包过滤在应用层代理以至自适应代理,都是基于一个共同的假设,那就是防火墙把内部网络一端的用户看成是可信任的,而外部网络一端的用户则都被作为潜在的攻击者来对待。而分布式防火墙是一种主机驻留式的安全系统,它是以主机为保护对象,它的设计理念是主机以外的任何用户访问都是不可信任的,都需要进行过滤。当然在实际应用中,也不是要求对网络中每对台主机都安装这样的系统,这样会严重影响网络的通信性能。它通常用于保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏
随着网络的升级和扩容,传统的盒式防火墙已经很难满足大容量、高性能、可扩展的需求和挑战。这就引入了机架式防火墙产品的设计与研发。分布式的Crossbar架构能够很好的满足高性能和灵活扩展性的挑战。 分布式Crossbar架构除了交换网板采用了Crossbar架构之外,在每个业务板上也采用了Crossbar+交换芯片的架构。在业务板上加交换芯片可以很好地解决了本地交换的问题,而在业务板交换芯片和交换网板之间的Crossbar芯片解决了把业务板的业务数据信元化从而提高了交换效率,并且使得业务板的数据类型和交换网板的信元成为两个平面,也就是说可以有非常丰富的业务板,比如可以把防火墙、IPS系统、路由器、内容交换、IPv6等等类型的业务整合到核心交换平台上。同时这个Crossbar有相应的高速接口分别连接到两个主控板或者交换网板,从而大大提高了双主控主备切换的速度。分布式Crossbar设计中,CPU也采用了分布式设计。设备主控板上的主CPU负责整机控制调度、路由表学习和下发;业务板从CPU主要负责本地查表、业务板状态维护、安全业务功能处理等工作。这就实现了分布式路由计算和分布式路由表查询,大大缓解主控板的压力,提高了设备的整体性能,这也是业务板本地转发能够提高效率的重要原因。这种分布式Crossbar、分布式业务处理的设计理念是核心网络设备设计的发展方向,保证了防火墙等安全设备能够部署到网络核心位置,不会成为网络的瓶颈。上面的分布式Crossbar技术解决了高性能、可扩展的需求,下面的主要部件备份冗余设计解决了高可靠性的需求。如图1所示:不仅交换网板和控制模块采用双冗余设计,防火墙板、电源和接口板也采用双冗余设计。为了配合分布式硬件架构,软件也采用分布式设计。主控板上运行主操作系统,负责整台设备的管理配置、路由学习、配置下发等。业务板操作系统负责接收下发的配置,和业务处理等功能。 由于采用了分布式架构设计,防火墙系统不仅在硬件上实现了控制平面和转发平面的分离,而且在软件上也实现了控制平面和转发平面的分离。这样能有效的提高系统的高性能和高可靠性。要想利用分布式处理技术来提高网络安全产品的性能,我们首先要解决数据流在内部网络间转发的问题。在机架式体系架构上,一般用主控板来操作整台设备,对设备进行管理、配置,然后把配置下发到各个子系统上使他们协同工作。接口板用来提供设备的接口供用户接入网络,并把数据流提交到安全业务板上。由安全业务板完成访问策略控制、NAT地址转换、IPS防御、防病毒、IPSEC VPN等功能。
分布式防火墙广义上包括网络防火墙,主机防火墙,中心管理三个部分。狭义的分布式防火墙是指驻留在网络主机(如服务器或桌面机)并对主机系统提供安全防护的软件产品,驻留主机是这类防火墙的重要特征。
1.网络防火墙。用于内部网御外部网之间,以及内部网各子网之间的防护。在功能上与传统的边界式防火墙类似,但与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络的安全防护体系就显得更加全面,更加可靠。
2.主机防火墙。用于对网络中的服务器和桌面机进行防护,达到了应用层的安全防护,比起网络层更加彻底。这是传统边界式防火墙所不具有的,是对传统边界式防火墙在安全体系方面的一个完善。
3.中心管理系统。这是分布式防火墙管理器软件,负责总体安全策略的策划、管理、分发以及日志的汇总。提高了防火墙的安全防护灵活性,同时具备高可管理性。
扩展资料:
分布式防火墙存在问题:
(1)在安全性方面,如何能够确保策略管理和任务管理在分发的过程中安全。
(2)在今后的发展方面,如何进行功能扩展,如何让主机防火墙实现机制。
在这两方面中,主机防火墙对于分布式防火墙来讲是一个必要的组成部分,因为在局域网中的每一台主机上我们都会安装一个主机防火墙,它要负责执行安全策略,这个安全策略就是由管理中心进行制定和分发的,这时主机防火墙就成为了分布式防火墙的一个策略执行节点。
东方砍东药: 防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件.该计算机流入流出的所有网络通信和数据包均要经过此防火墙. 防火墙(英文:firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过.防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件.
管城回族区18294441399: 计算机网络防火墙的结构分类有哪些? - ?
东方砍东药: 按防火墙结构分类可以划分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种.单一主机防火墙是最为传统的防火墙,它独立于其他网络设备,位于网络边界. 这种防火墙其实与一台计算机结构差不多,同样包括CPU、内存、硬盘...
管城回族区18294441399: 防火墙包括哪些类型? - ?
东方砍东药: 目前防火墙产品非常之多,划分的标准也比较杂. 主要分类如下: 1. 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙. 2.从防火墙技术分为 “包过滤型”和“应用代理型”两大类. 3.从防火墙结构分为
管城回族区18294441399: 什么是“防火墙”??
东方砍东药: 防火墙是一个位于内部网络与 Internet 之间的网络安全系统,是按照一定的安全策略建立起来的硬件和(或)软件的有机组成体,以防止黑客的攻击,保护内部网络的安全运行.防火墙可以被安全在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中,发挥更大的网络安全保护作用.防火墙被广泛用来让用户在一个安全屏障后接入互联网,还被用来把一家企业的公共网络服务器和企业内部网络隔开.另外,防火墙还可以被用来保护企业内部网络某一个部分的安全.例如,一个研究或者会计子网可能很容易受到来自企业内部网络里面的窥探.
管城回族区18294441399: 什么是防火墙,它有什么用 - ?
东方砍东药: 所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(...
管城回族区18294441399: 解释一下什么是防火墙 - ?
东方砍东药: 是在保护的Intranet和Internet之间竖起的一道安全屏障,用于增强Intranet的安全性.典型的防火墙系统可以由一个或多个构件组成,其主要部分 是:包过滤路由器. 应用层网关和电路层网关.
管城回族区18294441399: 防火墙如何分类 - ?
东方砍东药: 如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙.从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种.如果按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类.
