WEB开发网
开发学院网络安全防火墙 分布式防火墙填补边界防火墙存在的缺陷 阅读

分布式防火墙填补边界防火墙存在的缺陷

 2007-06-22 12:45:19 来源:WEB开发网   
核心提示:传统防火墙由于被部署在网络边界而被称为边界防火墙,边界防火墙在企业内部网和外部互联网之间构成一道屏障,分布式防火墙填补边界防火墙存在的缺陷,负责进行网络存取控制,随着网络安全技术的深入发展,对广义分布防火墙的管理必须是统一进行的,中心管理是分布式防火墙系统的核心和重要特征之一,边界防火墙逐渐暴露出一些弱点,具体表现在以

传统防火墙由于被部署在网络边界而被称为边界防火墙。边界防火墙在企业内部网和外部互联网之间构成一道屏障,负责进行网络存取控制。随着网络安全技术的深入发展,边界防火墙逐渐暴露出一些弱点,具体表现在以下几个方面。

受网络结构限制

边界防火墙的工作机理依赖于网络的拓扑结构。随着越来越多的用户利用互联网构架跨地区企业网络,移动办公和服务器托管日益普遍,加上电子商务要求商务伙伴之间在一定权限下可以彼此访问,企业内部网和网络边界逐渐成为逻辑上的概念,边界防火墙的应用也受到越来越多的限制。

内部不够安全

边界防火墙设置安全策略是基于这样一个基本假设: 企业网外部的人都是不可信的,而企业网内部的人都是可信的。事实上,接近80%的攻击和越权访问来自于企业网内部,边界防火墙对于来自企业网内部的攻击显得力不从心。

效率不高与故障点多

边界防火墙把检查机制集中在网络边界的单点上,由此造成网络访问瓶颈,并使得用户在选择防火墙产品时首先考虑检测效率,其次才是安全机制。安全策略过于复杂也进一步降低了边界防火墙的效率。为了满足不同应用需求,边界防火墙不得不在效率和安全策略之间采取折中方案,故而留下许多安全隐患。此外,边界防火墙本身也存在单点故障危险,一旦出现问题或被黑客攻克,整个企业网络就会完全暴露在攻击者面前。

针对边界防火墙存在的缺陷,专家提出了分布式防火墙方案。分布式防火墙有狭义和广义之分。堵住内网漏洞是分布式防火墙的专长。

广义分布式防火墙

广义分布式防火墙是一种全新的防火墙体系结构,包括网络防火墙、主机防火墙和中心管理三部分。网络防火墙部署于内部网与外部网之间以及内网子网之间。网络防火墙区别于边界防火墙的特征在于,网络防火墙需支持内部网可能有的IP和非IP协议,而边界防火墙并不需要。主机防火墙对网络中的服务器和桌面系统进行防护,主机的物理位置可能在企业网中,也可能在企业网外(如托管服务器或移动办公的便携机)。由于边界防火墙只是网络中的单一设备,对其进行的管理也只能是局部管理。对于广义分布式防火墙来说,每个防火墙作为安全监测机制的组成部分,必须根据不同的安全要求被布置在网络中任何需要的位置上,对广义分布防火墙的管理必须是统一进行的,中心管理是分布式防火墙系统的核心和重要特征之一。安全策略的分发及日志的汇总都是中心管理具备的功能。

1 2  下一页

Tags:分布式 防火墙 填补

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接