现在防火墙大多缺乏对主机意图的了解,通常只能根据数据包的外在特性来进行过滤控制。虽然代理型防火墙能够解决该问题,但它需要对每一种协议单独地编写代码,其局限性也显而易见的。在没有上下文的情况下,防火墙是很难将攻击包从合法的数据包中区分出来的,因而也就无法实施过滤。事实上,攻击者很容易伪装成合法包发动攻击,攻击包除了内容以外的部分可以完全与合法包一样。分布式防火墙由主机来实施策略控制,毫无疑问主机对自己的意图有足够的了解,所以分布式防火墙依赖主机作出合适的决定就能很自然地解决这一问题。
(5)应用更为广泛,支持VPN通信
其实分布式防火墙最重要的优势在于,它能够保护物理拓朴上不属于内部网络,但位于逻辑上的"内部"网络的那些主机,这种需求随着VPN的发展越来越多。对这个问题的传统处理方法是将远程"内部"主机和外部主机的通信依然通过防火墙隔离来控制接入,而远程"内部"主机和防火墙之间采用"隧道"技术保证安全性,这种方法使原本可以直接通信的双方必须绕经防火墙,不仅效率低而且增加了防火墙过滤规则设置的难度。与之相反,分布式防火墙的建立本身就是基本逻辑网络的概念,因此对它而言,远程"内部"主机与物理上的内部主机没有任何区别,它从根本上防止了这种情况的发生。
4. 分布式防火墙的主要功能
上面介绍了分布式防火墙的特点和优势,那么到底这种防火墙具备哪些功能呢?因为采用了软件形式(有的采用了软件+硬件形式),所以功能配置更加灵活,具备充分的智能管理能力,总的来说可以体现在以下几个方面:
(1)Internet访问控制
依据工作站名称、设备指纹等属性,使用"Internet访问规则",控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站/用户达到规定流量后确定是否断网。
(2)应用访问控制
通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/Internet的应用服务请求,如SQL数据库访问、IPX协议访问等。
(3)网络状态监控
实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。
(4)黑客攻击的防御
抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。
(5)日志管理
对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。
(6)系统工具
包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。
(责任编辑:admin) |