安全知識分享 基于C/S架構分布式防火墻

布式防火墻由安全策略管理服務器[Server]以及客戶端防火墻[Client]組成。客戶端防火墻工作在各個從服務器、工作站、個人計算機上，根據安全策略文件的內容，依靠包過濾、特洛伊木馬過濾和腳本過濾的三層過濾檢查，保護計算機在正常使用網絡時不會受到惡意的攻擊，提高了網絡安全性。而安全策略管理服務器則負責安全策略、用戶、日志、審計等的管理。該服務器是集中管理控制中心，統一制定和分發安全策略，負責管理系統日志、多主機的統一管理，使終端用戶“零”負擔。

圖1展示了分布式防火墻在政府/企業中的應用解決方案。該方案是純軟件防火墻，無須改變任何硬件設備和網絡架構，就可以幫助政府/企業阻擋來自內部和外部網絡的攻擊。

一. 分布式防火墻系統架構

　　圖1 分布式防火墻在政府/企業中的應用解決方案

二. 分布式防火墻功能解析

在上述圖1所示的分布式防火墻解決方案中，左邊為政府/企業內部網絡(內網)的應用拓撲結構圖，中間為Internet公眾網絡，我們稱之為外部網絡(外網)，右邊為政府/企業辦公和業務的延伸部分，處于外部網絡環境中。在內部的財務、總裁辦、人事、檔案、網絡管理等主機，以及數據庫服務器，文件服務器上存放著政府/企業的重要信息，這些信息一旦泄漏或者存放信息的主機遭到破壞，會給政府/企業帶來不良的后果。

如果不采取相應措施，此網絡很容易遭受來自外網和內網上的黑客攻擊。若使用邊界式防火墻，則外網的攻擊將被阻攔，但從數據統計看，還有大部分網絡攻擊/破壞來源于內部網絡的黑客或員工的不小心應用，這時普通防火墻就無能為力了。而政府/企業的移動辦公人員、代理商、合作伙伴、遠程分支機構在外部網絡上很容易受到外部黑客的攻擊。所以說，能夠很好的阻擋內部和外部網絡攻擊是政府/企業內部網絡安全的重要任務。

分布式防火墻能很好地解決上述問題。在內部網絡的主服務器安裝上分布式防火墻產品的安全策略管理服務器后，設置組和用戶分別分配給相應的從服務器和PC機工作站，并配置相應安全策略;將客戶端防火墻安裝在內網和外網中的所有PC機工作站上，客戶端與安全策略管理服務器的連接采用SSL協議建立通信的安全通道，避免下載安全策略和日志通信的不安全性。同時客戶端防火墻的機器采用多層過濾，入侵檢測，日志紀錄等手段，給主機的安全運行提供強有力的保證。

具體功能描述如下：

1、阻止網絡攻擊

目前，黑客們常用的攻擊手段有以下幾種：

(1)DoS拒絕服務式攻擊

拒絕服務攻擊是目前網絡中新興起的攻擊手段，針對TCP/IP協議的漏洞，使對方服務器承受過多的信息請求而無法處理，產生阻塞導致正常用戶的請求被拒絕。一般地有如下方式：

(a)Ping-Flood：使用簡單的Ping命令對服務器發送數據包，如果在很短的時間內服務器收到大量Ping數據包，那么服務器就需要耗費很多資源去處理這些數據包從而導致無法正常工作。

(b)TCP-SYN-Flood： SYN數據包是兩臺計算機在進行TCP通信之前建立握手信號時所用，正常情況下，SYN數據包中包含有想要進行通信的源機器的IP地址，而服務器收到SYN數據包后將回復確認信息，源機器收到后再發送確認信息給服務器，服務器收到，二者就可以建立連接進行通信了。采用這種攻擊方式就是在某一個極短的時間內向對方服務器發送大量的帶有虛假IP地址的SYN數據包，服務器發出確認信息，但是卻無法收到對方的回復，就要耗費大量的資源去處理這些等待信息，最后將使系統資源耗盡以至癱瘓。

(c)UDP-Flood： UDP是基于非連接的用戶數據報通訊協議，不包含流控制機制。UDP數據包很容易使得計算機系統忙于響應而喪失正常的網絡業務能力。

另外還有諸如ICMP-Flood， IGMP-Flood等攻擊手段，在此不一一詳述。

(2)源路由包攻擊

源路由包采用了極少使用的一個IP選項，它允許發起者來定義兩臺機器間所采取的路由，而不是讓中間的路由器決定所走的路徑。與ICMP的重定向相比，這種特性能使一個黑客來欺騙你的系統，使之相信它正在與一臺本地機器、一臺ISP機器或某臺其他可信的主機對話。

(3)利用型攻擊

利用型攻擊是一類試圖直接對你的機器進行控制的攻擊，最常見的就是特洛伊木馬(Trojan Horse)。例如BO2000就是典型的特洛伊木馬程序。

(4)信息收集型攻擊

信息收集型攻擊在初期并不對目標本身造成危害，而是被用來為進一步入侵提供有用的信息，例如：端口掃描技術，黑客使用特殊的應用程序對服務器的每個端口進行測試，以尋找可以進入的端口或者找出某些端口可以利用的安全漏洞。

以上的各種攻擊手段，分布式防火墻可以及時地發現，并且采取相應的措施以控制事件的進一步發展，同時記錄該攻擊事件。

2、包過濾

包過濾是防火墻防止計算機受到攻擊的最基本方法，防火墻實時地監控進入以及出去的數據包，根據特定的過濾規則決定是否讓這些數據包通過。分布式防火墻可以直接處理IP(或與IP級別相當的ARP、RARP以及其它的非IP網絡協議)數據包的發送與接收，根據數據包的包頭信息，分析出網絡協議、源地址、目的地址、源端口以及目的端口，然后對照過濾規則進行過濾。對于不符合過濾規則的數據包，防火墻將拒絕通過，同時進行記錄或報警。

3、基于狀態的過濾

對于面向非連接的UDP網絡訪問，為了提供較強過濾控制，就必須根據上下文來進行判斷。例如：對于一個請求進入的UDP訪問，只有在它有對應的出去的 UDP訪問(地址和端口號相匹配)時才可以接受，否則將拒絕或報警。這就需要IP包過濾模塊記錄有過去已經發出的UDP訪問的列表，這樣的列表就叫做上下文。而對于面向連接的TCP訪問，同樣也可以根據不同的應用協議設定相應的上下文，進行更為細粒度的訪問控制。這些技術統稱為基于狀態的包過濾。對于不符合規則的訪問拒絕事件，要進行記錄。

4、特洛伊木馬過濾

如果有黑客侵入到用戶的計算機上，他會運行某一些特殊的應用程序與之進行通信，從而獲取一些信息。分布式防火墻維護一個已知的應用程序列表，只有列表中的應用程序才可以使用網絡，一旦檢測到有未知的應用程序企圖使用網絡，系統將會提醒用戶注意，是否要禁止使用或者是加入到允許訪問網絡的程序列表中。如果用戶不小心運行了帶有特洛伊木馬的程序，當木馬程序企圖向網絡發送信息時，分布式防火墻將會進行攔截。

5、腳本過濾

腳本過濾功能對常見的各種腳本，如Java Script腳本、VB Script腳本在運行前被一一進行分析檢查，判斷它們是否會進行比較危險的操作;如果是，則提醒用戶注意，并要求用戶決定是否允許該腳本執行，從而有選擇地讓無害的腳本通過，對惡意的腳本進行攔截，實現實時腳本過濾。

6、用戶定制的安全策略

用戶可以將任意的IP地址加入到自己的信任/不信任地址列表中，對于在信任地址列表中的地址傳送過來的數據包，分布式防火墻將不進行任何阻攔，而對于在不信任列表中的地址傳送過來的任何數據包，將拒絕接受。如果經常受到某些地址的攻擊，用戶可以將這些地址加入到不信任地址列表中，拒絕接受這些地址所發出的任何數據包。用戶定制的安全策略必須是統一安全策略的超集，也就是說安全級別只能加強不能放松。

7、日志和審計

日志用來記錄防火墻在運行過程中所出現的各種情況，通過查看日志，用戶可以及時、全面地掌握分布式防火墻本身的運轉以及用戶的訪問情況，并可以根據這些日志來制定或修改安全管理策略。強大的日志記錄功能，主要包括：

(1)軟件的安裝、升級記錄;

(2)安全策略改變記錄;

(3)被拒絕的網絡訪問記錄：包括被拒絕網絡訪問的應用程序名，使用的協議，源地址和目的地址，使用的端口等;

(4)遭受到的攻擊記錄： 包括攻擊者使用的協議、端口、來源地址。

8、統一的安全策略管理服務器

安全策略文件以密文形式存放于硬盤中，用戶不能直接對其閱讀，也不可以對其進行隨意更改。分布式防火墻啟動時，安全策略文件經解密后加載到防火墻中。復雜的安全策略以Hash表的方法進行檢索。使用Hash列表對安全策略文件進行檢索能大大加快讀取速度，安全策略可以動態更新，更新總在用戶態進行，同時磁盤文件也被更新。用戶可以在防火墻運行的過程中更改安全級別，而不影響防火墻的正常運行。更新完成后，系統將會在新的安全級別下工作。安全策略服務器和客戶端防火墻之間采用SSL通信，保證了安全策略傳輸時的安全性。另外管理模塊功能還包括：用戶組管理，基于用戶組的安全策略分配，實時監控當前網絡狀態，查看日志，更改安全級別，更改用戶定制的安全屬性等。

基于C/S架構的分布式防火墻產品，采用統一的安全策略管理服務器[Server]，各臺主機客戶端[Client]從服務器下載安全策略，設置多層安全過濾，擁有出色的入侵檢測和強大的日志管理功能，安裝方便，使用簡潔，升級快捷，降低了維護成本，形成了可靠的網絡安全體系，很好地滿足了政府、企業、個人保護網絡信息安全的迫切需求。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]