论文：构建图书馆分布式防火墙

论文：构建图书馆分布式防火墙

提示：本文原版含图表word版全文下载地址附后（正式会员会看到下载地址）。这里只复制粘贴部分内容或目录（下面显示的字数不代表全文字数）,有任何不清楚的烦请咨询本站客服。
摘 要: 分布式防火墙是针对传统的边界防火墙存在的缺陷而提出的一种新型网络a全体系。根据图书馆网络分布情况给出了在图书馆建立分布式防火墙的一个实例。
关键词: 图书馆；分布式防火墙；网络a全
分类号: G250.7

Abstract: The distributed firewall (DFW), aimed to improve on lack of the traditional perimeter firewall, is a new network security system. An idea to co
……（新文秘网https://www.wm114.cn省略625字，正式会员可完整阅读）……　
，主要体现在以下几个方面：

图1 目前图书馆安全体系结构
1.1结构性上受限制
　　　边界防火墙的工作机理依赖于网络的物理拓扑结构。随着VPN技术的日渐成熟，图书馆业务的扩张，图书馆网络已超过了空间的限制，可能不仅由一个物理局域网组成。图1中LAN2是图书馆分馆或是根据业务需要而设的分支机构，由于地域的不同，图1中防火墙1不能对LAN2进行保护。边界防火墙的应用受到了结构性的限制。
1.2内部不够安全
　　　边界防火墙设置安全策略的一个基本假设是：网络外部的所有人是不可信任的，另一边即内部的所有人是完全可信任的。但在实际环境中，80%的攻击和越权访问来自于内部，例如图1中电子阅览室的桌面机对自动化系统的攻击。也就是说，边界防火墙在对付网络a全的主要威胁时束手无策。
1.3易成为网络访问的瓶颈
　　　无论出于何种机制，防火墙对数据包的检查总会耗费一定的网络资源。图1中所有流入LAN1的数据包均需要经过防火墙1的检查，同时防火墙1又是把持外网向内网的惟一入口，因此在防火墙1处容易造成网络流量的阻塞，并且随LAN1规模的扩大越来越严重。
1.4易成为攻击的焦点
　　　图1中防火墙1容易成为攻击的焦点，一旦发生故障会使整个LAN1失去防护而造成很大的安全隐患。
2 引入分布式防火墙
　　　针对传统边界防火墙的欠缺，美国AT&T实验室研究员Steven M．Bellovin首次提出了分布式防火墙(Distributed Firewalls，DFW)的概念[1]，这种防火墙突破了传统防火墙结构和功能上的限制，对以上列出的问题都进行了良好的解决。分布式防火墙有狭义和广义之分，狭义分布式防火墙是指驻留在网络主机并对主机系统提供安全防护的软件产品，广义分布式防火墙则是一个完整的系统，而不是单一的产品。分布式防火墙系统由网络防火墙（Network Firewall）、主机防火墙（Host Firewall）、中心管理（Central Managerment）三部分组成[2]。
3 分布式防火墙的构建
　　　针对传统防火墙的不足并依照图1的网络结构设计一个分布式防火墙体系结构如图2：

图2 分布式防火墙安全体系结构
3.1工作机制及体系结构
　　　网络防火墙，如图2中的过滤Filter1～Filter5，主要实现包过滤。Filter1、Filter2置于局域网与Internet之间负责穿越Internet通道的安全性；其它过滤器负责网关到网关和主机到网关的安全通道(VPN)。Filter1与边界防火墙不同的是，由于它只是DFW的一部分，只需要提供一些简单的过滤规则，因此它不存在安全性和高效性的矛盾。同时由于它不是安全性的完全提供者，它不会危及整个系统的安全[3]。
　　　主机防火墙与个人相似，相当于一个主机驻留防火墙软件，软件嵌入操作系统内核，用于对网络中的服务器和桌面机进行防护。图2中的每一个HOST（包括桌面机及服务器）都安装这种主机防火墙。主机防火墙是安全策略的实施者，主要功能有：管理分发的认证证书；管理接收的安全策略；执行安全策略；日志功能等。
　　　中心管理是分布式防火墙体系的安全策略中心，如图2中的中心管理服务器，安装一个防火墙服务器管理 ……（未完，全文共3476字，当前仅显示1756字，请阅读下面提示信息。收藏《论文：构建图书馆分布式防火墙》）