基于C/S架构的分布式防火墙

核心提示： 分布式防火墙能很好地解决上述问题，在内部网络的主服务器安装上分布式防火墙产品的安全策略管理服务器后，基于C/S架构的分布式防火墙(2)，设置组和用户分别分配给相应的从服务器和PC机工作站，并配置相应安全策略；将客户端防火墙安装在内网和外网中的所有PC机工作站上， (c)UDP-Flood：

分布式防火墙能很好地解决上述问题。在内部网络的主服务器安装上分布式防火墙产品的安全策略管理服务器后，设置组和用户分别分配给相应的从服务器和PC机工作站，并配置相应安全策略；将客户端防火墙安装在内网和外网中的所有PC机工作站上，客户端与安全策略管理服务器的连接采用SSL协议建立通信的安全通道，避免下载安全策略和日志通信的不安全性。同时客户端防火墙的机器采用多层过滤，入侵检测，日志纪录等手段，给主机的安全运行提供强有力的保证。

具体功能描述如下：

1、阻止网络攻击

目前，黑客们常用的攻击手段有以下几种：

(1)DoS拒绝服务式攻击

拒绝服务攻击是目前网络中新兴起的攻击手段，针对TCP/IP协议的漏洞，使对方服务器承受过多的信息请求而无法处理，产生阻塞导致正常用户的请求被拒绝。一般地有如下方式：

(a)Ping-Flood：使用简单的Ping命令对服务器发送数据包，如果在很短的时间内服务器收到大量Ping数据包，那么服务器就需要耗费很多资源去处理这些数据包从而导致无法正常工作。

(b)TCP-SYN-Flood： SYN数据包是两台计算机在进行TCP通信之前建立握手信号时所用，正常情况下，SYN数据包中包含有想要进行通信的源机器的IP地址，而服务器收到SYN数据包后将回复确认信息，源机器收到后再发送确认信息给服务器，服务器收到，二者就可以建立连接进行通信了。采用这种攻击方式就是在某一个极短的时间内向对方服务器发送大量的带有虚假IP地址的SYN数据包，服务器发出确认信息，但是却无法收到对方的回复，就要耗费大量的资源去处理这些等待信息，最后将使系统资源耗尽以至瘫痪。

(c)UDP-Flood： UDP是基于非连接的用户数据报通讯协议，不包含流控制机制。UDP数据包很容易使得计算机系统忙于响应而丧失正常的网络业务能力。