摘要：防火墻在網絡安全中起著重要作用。但是，目前傳統的邊界防火墻暴露出越來越多的缺陷，無法適應新的網絡應用。分布式防火墻是對傳統防火墻的改進。文中介紹了分布式防火墻的概念，并給出了其在Linux上的設計與實現。

關鍵字：分布式防火墻；KeyNote信任管理系統；安全策略；安全憑證；Linux平臺。

1 傳統防火墻及其缺陷

防火墻是指設置在不同網絡或網絡安全域之間，根據一定的安全策略對網絡間的通信實施訪問控制的一系列部件的組合。

傳統意義上的防火墻就是指邊界防火墻，它將網絡分為內網和外網兩部分。它是網絡間信息傳輸的唯一出入口，能夠根據安全策略控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務、實現網絡和信息安全的重要的、基本的安全裝置。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。

傳統防火墻依賴于網絡的拓撲限制，它假定內網上的所有主機都是可信任的，而外網上的所有主機都是不可信的。當網絡遵照拓撲限制時，這種模型工作得很好；但是，隨著網絡連接的擴充和新的網絡應用的發展，這種模型暴露出了越來越多的缺陷，面臨著極大的挑戰。主要表現在：

(1) 對繞過防火墻的攻擊無能為力；如果防火墻的規則設置不當，內網上的所有主機將暴露在外部攻擊的直接威脅之下。

(2) 由于信任內網上的所有主機，而對來自網絡內部的惡意攻擊、未授權訪問或無意的誤操作“視而不見”。

(3) 是潛在的通信瓶頸和單一故障點。

(4) 與端到端加密（如VPN）有沖突。

(5) 由于依賴于網絡拓撲，無法支持移動計算。

為了克服上述缺陷，產生了“分布式防火墻”（ Distributed Firewall ）的概念。

2 分布式防火墻

多臺基于主機但受集中管理和配置的防火墻組成了分布式防火墻。在分布式防火墻中，安全策略仍然被集中定義，但是在每一個單獨的網絡端點（例如主機、路由器）上實施。

分布式防火墻中含有三個必需的組件：

(1) 描述安全策略的語言。

(2) 安全地發布策略的機制。

(3) 應用、實施策略的機制。

安全策略語言規定了哪些通信被允許，哪些通信被禁止，它應該支持多種類型的應用，還應支持權利委派和身份鑒別。策略制定后被發布到網絡端點上。策略發布機制應該保證策略在傳輸過程中的完整性和真實性。策略發布有多種方式，可以直接“推”到終端系統上，可以由終端按需獲取，也可以以證書的形式提供給用戶。策略實施機制位于要保護的主機上，在處理出入的通信之前，它查詢本地策略再做出允許或禁止的決定。