随着政府、企业、个人主机的网络安全需求的与日俱增，防火墙技术应运而生。传统的边界式防火墙是企业内部网络与外部网络的一道屏障，但是其无法对内部网络访问进行控制，也没有对黑客行为进行入侵检测和阻断的功能。企业迫切需要一套真正能够解决网络内部和外部，防火墙和防黑客的安全解决方案，而基于C/S架构的分布式防火墙很好地满足了这一需求：它是由安全策略管理服务器[Server]以及客户端防火墙[Client]组成，综合运用多种先进的网络安全技术，为客户提供可靠的网络安全服务。

　　一、分布式防火墙系统架构

　　分布式防火墙由安全策略管理服务器[Server]以及客户端防火墙[Client]组成。客户端防火墙工作在各个从服务器、工作站、个人计算机上，根据安全策略文件的内容，依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查，保护计算机在正常使用网络时不会受到恶意的攻击，提高了网络安全性。而安全策略管理服务器则负责安全策略、用户、日志、审计等的管理。该服务器是集中管理控制中心，统一制定和分发安全策略，负责管理系统日志、多主机的统一管理，使终端用户“零”负担。

　　图1展示了分布式防火墙在政府/企业中的应用解决方案。该方案是纯软件防火墙，无须改变任何硬件设备和网络架构，就可以帮助政府/企业阻挡来自内部和外部网络的攻击。

　　图1 分布式防火墙在政府/企业中的应用解决方案

　　二、分布式防火墙功能解析

　　在上述图1所示的分布式防火墙解决方案中，左边为政府/企业内部网络（内网）的应用拓扑结构图，中间为Internet公众网络，我们称之为外部网络（外网），右边为政府/企业办公和业务的延伸部分，处于外部网络环境中。在内部的财务、总裁办、人事、档案、网络管理等主机，以及数据库服务器，文件服务器上存放着政府/企业的重要信息，这些信息一旦泄漏或者存放信息的主机遭到破坏，会给政府/企业带来不良的后果。如果不采取相应措施，此网络很容易遭受来自外网和内网上的黑客攻击。若使用边界式防火墙，则外网的攻击将被阻拦，但从数据统计看，还有大部分网络攻击/破坏来源于内部网络的黑客或员工的不小心应用，这时普通防火墙就无能为力了。而政府/企业的移动办公人员、代理商、合作伙伴、远程分支机构在外部网络上很容易受到外部黑客的攻击。所以说，能够很好的阻挡内部和外部网络攻击是政府/企业内部网络安全的重要任务。

　　分布式防火墙能很好地解决上述问题。在内部网络的主服务器安装上分布式防火墙产品的安全策略管理服务器后，设置组和用户分别分配给相应的从服务器和PC机工作站，并配置相应安全策略；将客户端防火墙安装在内网和外网中的所有PC机工作站上，客户端与安全策略管理服务器的连接采用SSL协议建立通信的安全通道，避免下载安全策略和日志通信的不安全性。同时客户端防火墙的机器采用多层过滤，入侵检测，日志纪录等手段，给主机的安全运行提供强有力的保证。

　　具体功能描述如下：

　　1、阻止网络攻击

　　目前，黑客们常用的攻击手段有以下几种：

　　（1）DoS拒绝服务式攻击

　　拒绝服务攻击是目前网络中新兴起的攻击手段，针对TCP/IP协议的漏洞，使对方服务器承受过多的信息请求而无法处理，产生阻塞导致正常用户的请求被拒绝。一般地有如下方式：

　　（a）Ping-Flood：使用简单的Ping命令对服务器发送数据包，如果在很短的时间内服务器收到大量Ping数据包，那么服务器就需要耗费很多资源去处理这些数据包从而导致无法正常工作。

　　（b）TCP-SYN-Flood：SYN数据包是两台计算机在进行TCP通信之前建立握手信号时所用，正常情况下，SYN数据包中包含有想要进行通信的源机器的IP地址，而服务器收到SYN数据包后将回复确认信息，源机器收到后再发送确认信息给服务器，服务器收到，二者就可以建立连接进行通信了。采用这种攻击方式就是在某一个极短的时间内向对方服务器发送大量的带有虚假IP地址的SYN数据包，服务器发出确认信息，但是却无法收到对方的回复，就要耗费大量的资源去处理这些等待信息，最后将使系统资源耗尽以至瘫痪。

　　（c）UDP-Flood：UDP是基于非连接的用户数据报通讯协议，不包含流控制机制。UDP数据包很容易使得计算机系统忙于响应而丧失正常的网络业务能力。

　　另外还有诸如ICMP-Flood，IGMP-Flood等攻击手段，在此不一一详述。

　　（2）源路由包攻击

　　源路由包采用了极少使用的一个IP选项，它允许发起者来定义两台机器间所采取的路由，而不是让中间的路由器决定所走的路径。与ICMP的重定向相比，这种特性能使一个黑客来欺骗你的系统，使之相信它正在与一台本地机器、一台ISP机器或某台其他可信的主机对话。

　　（3）利用型攻击

　　利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的就是特洛伊木马（Trojan Horse）。例如BO2000就是典型的特洛伊木马程序。

　　（4）信息收集型攻击

　　信息收集型攻击在初期并不对目标本身造成危害，而是被用来为进一步入侵提供有用的信息，例如：端口扫描技术，黑客使用特殊的应用程序对服务器的每个端口进行测试，以寻找可以进入的端口或者找出某些端口可以利用的安全漏洞。

　　以上的各种攻击手段，分布式防火墙可以及时地发现，并且采取相应的措施以控制事件的进一步发展，同时记录该攻击事件。

　　2、包过滤

　　包过滤是防火墙防止计算机受到攻击的最基本方法，防火墙实时地监控进入以及出去的数据包，根据特定的过滤规则决定是否让这些数据包通过。分布式防火墙可以直接处理IP（或与IP级别相当的ARP、RARP以及其它的非IP网络协议）数据包的发送与接收，根据数据包的包头信息，分析出网络协议、源地址、目的地址、源端口以及目的端口，然后对照过滤规则进行过滤。对于不符合过滤规则的数据包，防火墙将拒绝通过，同时进行记录或报警。

　　3、基于状态的过滤

　　对于面向非连接的UDP网络访问，为了提供较强过滤控制，就必须根据上下文来进行判断。例如：对于一个请求进入的UDP访问，只有在它有对应的出去的UDP访问（地址和端口号相匹配）时才可以接受，否则将拒绝或报警。这就需要IP包过滤模块记录有过去已经发出的UDP访问的列表，这样的列表就叫做上下文。而对于面向连接的TCP访问，同样也可以根据不同的应用协议设定相应的上下文，进行更为细粒度的访问控制。这些技术统称为基于状态的包过滤。对于不符合规则的访问拒绝事件，要进行记录。

　　4、特洛伊木马过滤

　　如果有黑客侵入到用户的计算机上，他会运行某一些特殊的应用程序与之进行通信，从而获取一些信息。分布式防火墙维护一个已知的应用程序列表，只有列表中的应用程序才可以使用网络，一旦检测到有未知的应用程序企图使用网络，系统将会提醒用户注意，是否要禁止使用或者是加入到允许访问网络的程序列表中。如果用户不小心运行了带有特洛伊木马的程序，当木马程序企图向网络发送信息时，分布式防火墙将会进行拦截。

　　5、脚本过滤

　　脚本过滤功能对常见的各种脚本，如Java Script脚本、VB Script脚本在运行前被一一进行分析检查，判断它们是否会进行比较危险的操作；如果是，则提醒用户注意，并要求用户决定是否允许该脚本执行，从而有选择地让无害的脚本通过，对恶意的脚本进行拦截，实现实时脚本过滤。

　　6、用户定制的安全策略

　　用户可以将任意的IP地址加入到自己的信任/不信任地址列表中，对于在信任地址列表中的地址传送过来的数据包，分布式防火墙将不进行任何阻拦，而对于在不信任列表中的地址传送过来的任何数据包，将拒绝接受。如果经常受到某些地址的攻击，用户可以将这些地址加入到不信任地址列表中，拒绝接受这些地址所发出的任何数据包。用户定制的安全策略必须是统一安全策略的超集，也就是说安全级别只能加强不能放松。

　　7、日志和审计

　　日志用来记录防火墙在运行过程中所出现的各种情况，通过查看日志，用户可以及时、全面地掌握分布式防火墙本身的运转以及用户的访问情况，并可以根据这些日志来制定或修改安全管理策略。强大的日志记录功能，主要包括：

　　（1）软件的安装、升级记录；

　　（2）安全策略改变记录；

　　（3）被拒绝的网络访问记录：包括被拒绝网络访问的应用程序名，使用的协议，源地址和目的地址，使用的端口等；

　　（4）遭受到的攻击记录：包括攻击者使用的协议、端口、来源地址。

　　8、统一的安全策略管理服务器

　　安全策略文件以密文形式存放于硬盘中，用户不能直接对其阅读，也不可以对其进行随意更改。分布式防火墙启动时，安全策略文件经解密后加载到防火墙中。复杂的安全策略以Hash表的方法进行检索。使用Hash列表对安全策略文件进行检索能大大加快读取速度，安全策略可以动态更新，更新总在用户态进行，同时磁盘文件也被更新。用户可以在防火墙运行的过程中更改安全级别，而不影响防火墙的正常运行。更新完成后，系统将会在新的安全级别下工作。安全策略服务器和客户端防火墙之间采用SSL通信，保证了安全策略传输时的安全性。另外管理模块功能还包括：用户组管理，基于用户组的安全策略分配，实时监控当前网络状态，查看日志，更改安全级别，更改用户定制的安全属性等。

　　基于C/S架构的分布式防火墙产品，采用统一的安全策略管理服务器[Server]，各台主机客户端[Client]从服务器下载安全策略，设置多层安全过滤，拥有出色的入侵检测和强大的日志管理功能，安装方便，使用简洁，升级快捷，降低了维护成本，形成了可靠的网络安全体系，很好地满足了政府、企业、个人保护网络信息安全的迫切需求。