論文：構(gòu)建圖書館分布式防火墻

論文：構(gòu)建圖書館分布式防火墻

提示：本文原版含圖表word版全文下載地址附后（正式會員會看到下載地址）。這里只復(fù)制粘貼部分內(nèi)容或目錄（下面顯示的字?jǐn)?shù)不代表全文字?jǐn)?shù)）,有任何不清楚的煩請咨詢本站客服。
摘 要: 分布式防火墻是針對傳統(tǒng)的邊界防火墻存在的缺陷而提出的一種新型網(wǎng)絡(luò)a全體系。根據(jù)圖書館網(wǎng)絡(luò)分布情況給出了在圖書館建立分布式防火墻的一個實(shí)例。
關(guān)鍵詞: 圖書館；分布式防火墻；網(wǎng)絡(luò)a全
分類號: G250.7

Abstract: The distributed firewall (DFW), aimed to improve on lack of the traditional perimeter firewall, is a new network security system. An idea to co
……（新文秘網(wǎng)http://www.120pk.cn省略625字，正式會員可完整閱讀）……　
，主要體現(xiàn)在以下幾個方面：

圖1 目前圖書館安全體系結(jié)構(gòu)
1.1結(jié)構(gòu)性上受限制
　　　邊界防火墻的工作機(jī)理依賴于網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)。隨著VPN技術(shù)的日漸成熟，圖書館業(yè)務(wù)的擴(kuò)張，圖書館網(wǎng)絡(luò)已超過了空間的限制，可能不僅由一個物理局域網(wǎng)組成。圖1中LAN2是圖書館分館或是根據(jù)業(yè)務(wù)需要而設(shè)的分支機(jī)構(gòu)，由于地域的不同，圖1中防火墻1不能對LAN2進(jìn)行保護(hù)。邊界防火墻的應(yīng)用受到了結(jié)構(gòu)性的限制。
1.2內(nèi)部不夠安全
　　　邊界防火墻設(shè)置安全策略的一個基本假設(shè)是：網(wǎng)絡(luò)外部的所有人是不可信任的，另一邊即內(nèi)部的所有人是完全可信任的。但在實(shí)際環(huán)境中，80%的攻擊和越權(quán)訪問來自于內(nèi)部，例如圖1中電子閱覽室的桌面機(jī)對自動化系統(tǒng)的攻擊。也就是說，邊界防火墻在對付網(wǎng)絡(luò)a全的主要威脅時束手無策。
1.3易成為網(wǎng)絡(luò)訪問的瓶頸
　　　無論出于何種機(jī)制，防火墻對數(shù)據(jù)包的檢查總會耗費(fèi)一定的網(wǎng)絡(luò)資源。圖1中所有流入LAN1的數(shù)據(jù)包均需要經(jīng)過防火墻1的檢查，同時防火墻1又是把持外網(wǎng)向內(nèi)網(wǎng)的惟一入口，因此在防火墻1處容易造成網(wǎng)絡(luò)流量的阻塞，并且隨LAN1規(guī)模的擴(kuò)大越來越嚴(yán)重。
1.4易成為攻擊的焦點(diǎn)
　　　圖1中防火墻1容易成為攻擊的焦點(diǎn)，一旦發(fā)生故障會使整個LAN1失去防護(hù)而造成很大的安全隱患。
2 引入分布式防火墻
　　　針對傳統(tǒng)邊界防火墻的欠缺，美國AT&T實(shí)驗(yàn)室研究員Steven M．Bellovin首次提出了分布式防火墻(Distributed Firewalls，DFW)的概念[1]，這種防火墻突破了傳統(tǒng)防火墻結(jié)構(gòu)和功能上的限制，對以上列出的問題都進(jìn)行了良好的解決。分布式防火墻有狹義和廣義之分，狹義分布式防火墻是指駐留在網(wǎng)絡(luò)主機(jī)并對主機(jī)系統(tǒng)提供安全防護(hù)的軟件產(chǎn)品，廣義分布式防火墻則是一個完整的系統(tǒng)，而不是單一的產(chǎn)品。分布式防火墻系統(tǒng)由網(wǎng)絡(luò)防火墻（Network Firewall）、主機(jī)防火墻（Host Firewall）、中心管理（Central Managerment）三部分組成[2]。
3 分布式防火墻的構(gòu)建
　　　針對傳統(tǒng)防火墻的不足并依照圖1的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)一個分布式防火墻體系結(jié)構(gòu)如圖2：

圖2 分布式防火墻安全體系結(jié)構(gòu)
3.1工作機(jī)制及體系結(jié)構(gòu)
　　　網(wǎng)絡(luò)防火墻，如圖2中的過濾Filter1～Filter5，主要實(shí)現(xiàn)包過濾。Filter1、Filter2置于局域網(wǎng)與Internet之間負(fù)責(zé)穿越Internet通道的安全性；其它過濾器負(fù)責(zé)網(wǎng)關(guān)到網(wǎng)關(guān)和主機(jī)到網(wǎng)關(guān)的安全通道(VPN)。Filter1與邊界防火墻不同的是，由于它只是DFW的一部分，只需要提供一些簡單的過濾規(guī)則，因此它不存在安全性和高效性的矛盾。同時由于它不是安全性的完全提供者，它不會危及整個系統(tǒng)的安全[3]。
　　　主機(jī)防火墻與個人相似，相當(dāng)于一個主機(jī)駐留防火墻軟件，軟件嵌入操作系統(tǒng)內(nèi)核，用于對網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)。圖2中的每一個HOST（包括桌面機(jī)及服務(wù)器）都安裝這種主機(jī)防火墻。主機(jī)防火墻是安全策略的實(shí)施者，主要功能有：管理分發(fā)的認(rèn)證證書；管理接收的安全策略；執(zhí)行安全策略；日志功能等。
　　　中心管理是分布式防火墻體系的安全策略中心，如圖2中的中心管理服務(wù)器，安裝一個防火墻服務(wù)器管理 ……（未完，全文共3476字，當(dāng)前僅顯示1756字，請閱讀下面提示信息。收藏《論文：構(gòu)建圖書館分布式防火墻》）