[科普中国]-嵌入式防火墙

简介

防火墙技术主要是对内网和外网之间的访问机制进行控制，但是传统的依靠拓扑结构进行网络划分的防火墙在防止来自网络内部的攻击方面的性能不够完善，无法实现数据的安全防护。为解决该问题，分布式防火墙技术被提出来解决上述问题，该技术将安全策略的执行下放到各主机端，但是在服务端对各主机进行集中管理，统一控制，该技术解决了传统防火墙技术在网络结构、内部安全隐患、“单点失效”、过滤规则、端到端加密、旁点登陆等诸多方面的问题，具有较好的网络防护性能。随着分布式防火墙技术的提出，人们不断对其进行改进，这些改进主要集中于两个方面：硬件和软件。其中基于硬件的防火墙技术被称为嵌入式防火墙技术。

嵌入式防火墙体系嵌入式防火墙体系主要组成部分包括一个或多个被保护的客户端和一个用于集中管理的策略服务器，客户端和策略服务器都使用嵌入式防火墙进行保护。策略服务器集中制定用户的安全策略，保证了策略的完整性，也减少了用户操作的开销。当客户端嵌入式防火墙加电启动后，需要从策略服务器下载实时运行的策略映像，并按照策略进行配置以及执行后续的访问控制。除了策略服务器可以终止客户端嵌入式防火墙工作，其它方式不能阻止它正常运行。策略服务器的嵌入式防火墙具有接受和解析客户端请求的功能，一旦收到请求就对其进行处理，将需要的策略回送给请求策略的客户端。

嵌入式防火墙在网络适配卡（NIC，Network Interface Card）上集成了处理器、内存以及其它一些功能器件，这样即使是主机用户也无法干涉安全策略的执行机制，满足了独立于主机操作系统的要求。防火墙和主机操作系统的相互独立，使得恶意的攻击即使攻破了主机操作系统，也无法取得对防火墙的控制权，避免了攻击者以被攻破的主机为跳板进一步攻击网络中其他主机的可能，这种在网卡上实现的嵌入式防火墙也可称为嵌入式网卡。1

嵌入式防火墙技术举例基于OpenBSDUNIX的嵌入式防火墙技术该技术的实现基础为在OpenBSDUNIX操作系统，该平台具有一体化的安全特性和库，如IPSec栈、KeyNote和SSL等，应用平台中的组件内核扩展程序可以指定安全通信机制；应用平台中的用户层后台处理程序组件可以对防火墙策略进行执行；设备驱动程序组件用于提供通信接口。

基于Windows平台的嵌入式防火墙技术该技术的主要实现过程为对主机的具体应用和对外服务制定安全策略。其中数据包过滤引擎被嵌入到内核中的链路层和网络层之间，向用户提供访问控制、状态及入侵检测等防御机制；用户配置接口用于配置本地安全策略。