分布式防火墙填补边界防火墙存在的缺陷

核心提示： 狭义分布式防火墙 狭义分布式防火墙是指驻留在网络主机（如服务器或桌面机）并对主机系统提供安全防护的软件产品，驻留主机是这类防火墙的重要特征，分布式防火墙填补边界防火墙存在的缺陷(2)，这类防火墙将该驻留主机以外的其他网络都认作是不可信任的，并对驻留主机运行的应用和对外提供的服务设定针对性很

狭义分布式防火墙

狭义分布式防火墙是指驻留在网络主机（如服务器或桌面机）并对主机系统提供安全防护的软件产品，驻留主机是这类防火墙的重要特征。这类防火墙将该驻留主机以外的其他网络都认作是不可信任的，并对驻留主机运行的应用和对外提供的服务设定针对性很强的安全策略。

采用嵌入操作系统内核是狭义防火墙的另一特点。操作系统自身存在许多安全漏洞，使运行其上的应用软件受到威胁，防火墙软件也不能幸免。为彻底堵住操作系统漏洞，狭义防火墙的安全监测核心引擎必须嵌入操作系统内核，直接接管网卡，对所有数据包进行检查后再提交给操作系统。要想实现这种运行机制，防火墙厂商必须要与操作系统厂商进行技术合作。不能实现嵌入式运行模式的狭义防火墙由于受到操作系统安全机制的制约，存在明显的安全隐患。

针对桌面应用的狭义分布式防火墙与个人防火墙有相似之处，如都对应个人系统，但两者的差别又是本质的。首先，它们的管理方式不同，个人防火墙的安全策略由系统使用者自己设置，目标是防止外部攻击; 而针对桌面应用的狭义防火墙的安全策略是由管理员统一设置，除了对该桌面系统起到保护作用外，还对该桌面系统的对外访问加以控制，并且这种安全机制是使用者不能改动的。其次，个人防火墙面向个人用户，而针对桌面应用的狭义防火墙面向的是企业级用户，是企业级安全解决方案的组成部分。

安软EverLink是一种典型的狭义分布式防火墙，该防火墙工作在个人计算机（Windows平台）上，根据安全策略文件的内容，在包过滤和特洛伊木马过滤双层设置过滤检查。其中，安全策略文件的内容根据用户在安装和使用过程中设定的安全级别及相关的安全属性进行确定。包过滤面向IP数据包，既可以对绝大多数网络协议进行检查（如TCP/IP、UDP/IP、ICMP等），同时也可以对非面向连接的网络访问（如UDP，RPC等）进行基于状态的过滤。特洛伊木马过滤能够屏蔽已知的特洛伊木马对网络进行的访问; 同时鉴别应用程序，可以发现未知特洛伊木马，并将其加入屏蔽列表。安软EverLink分布式防火墙的入侵检测可以发现常用的网络攻击方法，如端口扫描、拒绝服务攻击、源路由数据包攻击、连续多次连接等，自动屏蔽发起网络攻击的源地址，并将发现的攻击行为记录到日志中。

在托管服务中的应用

互联网和电子商务的发展促使互联网数据中心的迅速崛起，数据中心的主要业务之一就是提供服务器托管服务。对服务器托管用户而言，该服务器在逻辑上是企业网的一部分，不过在物理上并不在企业网内部。对于这种应用，分布式防火墙就十分得心应手。用户只需在托管服务器上安装上防火墙软件，并根据该服务器的应用设置安全策略，利用中心管理软件对该服务器进行远程监控即可，而不需任何额外租用新的空间放置边界防火墙。

以世纪互联为例，该互联网数据中心向托管用户提供管理防火墙系列服务，其中防火墙服务采用的就是金诺网屹的CyberwallPLUS-SV分布式防火墙。

A、B、C都是托管用户，这些用户都有不同数量的服务器在数据中心托管，服务器上也有不同的应用。如果托管用户希望把这些服务器的安全问题委托给数据中心专业的安全服务部门来负责，就可以与数据中心签定相应的安全服务保障合同。数据中心的安全服务部门在需提供安全服务的服务器上安装一套CyberwallPLUS-SV主机防火墙产品，并根据用户具体应用要求，设定的相应策略。对于安装了CyberwallPLUS-CM中心管理系统的管理终端，数据中心安全服务部门的技术人员可以对所有在数据中心委托安全服务的服务器的安全状况进行监控，并提供有关的安全日志记录。