基于C/S架构的分布式防火墙

核心提示：随着政府、企业、个人主机的网络安全需求的与日俱增，防火墙技术应运而生，基于C/S架构的分布式防火墙，传统的边界式防火墙是企业内部网络与外部网络的一道屏障，但是其无法对内部网络访问进行控制，而政府/企业的移动办公人员、代理商、合作伙伴、远程分支机构在外部网络上很容易受到外部黑客的攻击，所以说，也没有对黑客行为进行入侵检测

随着政府、企业、个人主机的网络安全需求的与日俱增，防火墙技术应运而生。传统的边界式防火墙是企业内部网络与外部网络的一道屏障，但是其无法对内部网络访问进行控制，也没有对黑客行为进行入侵检测和阻断的功能。企业迫切需要一套真正能够解决网络内部和外部，防火墙和防黑客的安全解决方案，而基于C/S架构的分布式防火墙很好地满足了这一需求：它是由安全策略管理服务器[Server]以及客户端防火墙[Client]组成，综合运用多种先进的网络安全技术，为客户提供可靠的网络安全服务。

一. 分布式防火墙系统架构

分布式防火墙由安全策略管理服务器[Server]以及客户端防火墙[Client]组成。客户端防火墙工作在各个从服务器、工作站、个人计算机上，根据安全策略文件的内容，依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查，保护计算机在正常使用网络时不会受到恶意的攻击，提高了网络安全性。而安全策略管理服务器则负责安全策略、用户、日志、审计等的管理。该服务器是集中管理控制中心，统一制定和分发安全策略，负责管理系统日志、多主机的统一管理，使终端用户“零”负担。

图1展示了分布式防火墙在政府/企业中的应用解决方案。该方案是纯软件防火墙，无须改变任何硬件设备和网络架构，就可以帮助政府/企业阻挡来自内部和外部网络的攻击。

图1 分布式防火墙在政府/企业中的应用解决方案

二. 分布式防火墙功能解析

在上述图1所示的分布式防火墙解决方案中，左边为政府/企业内部网络(内网)的应用拓扑结构图，中间为Internet公众网络，我们称之为外部网络(外网)，右边为政府/企业办公和业务的延伸部分，处于外部网络环境中。在内部的财务、总裁办、人事、档案、网络管理等主机，以及数据库服务器，文件服务器上存放着政府/企业的重要信息，这些信息一旦泄漏或者存放信息的主机遭到破坏，会给政府/企业带来不良的后果。如果不采取相应措施，此网络很容易遭受来自外网和内网上的黑客攻击。若使用边界式防火墙，则外网的攻击将被阻拦，但从数据统计看，还有大部分网络攻击/破坏来源于内部网络的黑客或员工的不小心应用，这时普通防火墙就无能为力了。而政府/企业的移动办公人员、代理商、合作伙伴、远程分支机构在外部网络上很容易受到外部黑客的攻击。所以说，能够很好的阻挡内部和外部网络攻击是政府/企业内部网络安全的重要任务。