嵌入式防火牆(Embedded Firewall)是在嵌入式技術不斷發展的背景提出的,是一種基於硬體實現的分散式防火牆。它將分散式防火牆的策略執行功能嵌入到網卡中,嵌入式網卡作為嵌入式防火牆軟體的載體,軟硬結合實施防火牆的功能。
基本介紹
- 中文名:嵌入式防火牆
- 外文名:Embedded firewall
- 簡稱:EFW
- 類型:一種基於硬體實現的分散式防火牆
- 關鍵字:嵌入式、嵌入式防火牆體系
- 套用領域:計算機技術
簡介,嵌入式防火牆體系,嵌入式防火牆技術舉例,基於OpenBSDUNIX的嵌入式防火牆技術,基於Windows平台的嵌入式防火牆技術,
簡介
防火牆技術主要是對區域網路和外網之間的訪問機制進行控制,但是傳統的依靠拓撲結構進行網路劃分的防火牆在防止來自網路內部的攻擊方面的性能不夠完善,無法實現數據的安全防護。為解決該問題,分散式防火牆技術被提出來解決上述問題,該技術將安全策略的執行下放到各主機端,但是在服務端對各主機進行集中管理,統一控制,該技術解決了傳統防火牆技術在網路結構、內部安全隱患、“單點失效”、過濾規則、端到端加密、旁點登入等諸多方面的問題,具有較好的網路防護性能。隨著分散式防火牆技術的提出,人們不斷對其進行改進,這些改進主要集中於兩個方面:硬體和軟體。其中基於硬體的防火牆技術被稱為嵌入式防火牆技術。
嵌入式防火牆體系
嵌入式防火牆體系主要組成部分包括一個或多個被保護的客戶端和一個用於集中管理的策略伺服器,客戶端和策略伺服器都使用嵌入式防火牆進行保護。策略伺服器集中制定用戶的安全策略,保證了策略的完整性,也減少了用戶操作的開銷。當客戶端嵌入式防火牆加電啟動後,需要從策略伺服器下載實時運行的策略映像,並按照策略進行配置以及執行後續的訪問控制。除了策略伺服器可以終止客戶端嵌入式防火牆工作,其它方式不能阻止它正常運行。策略伺服器的嵌入式防火牆具有接受和解析客戶端請求的功能,一旦收到請求就對其進行處理,將需要的策略回送給請求策略的客戶端。
嵌入式防火牆在網路適配卡(NIC,Network Interface Card)上集成了處理器、記憶體以及其它一些功能器件,這樣即使是主機用戶也無法干涉安全策略的執行機制,滿足了獨立於主機作業系統的要求。防火牆和主機作業系統的相互獨立,使得惡意的攻擊即使攻破了主機作業系統,也無法取得對防火牆的控制權,避免了攻擊者以被攻破的主機為跳板進一步攻擊網路中其他主機的可能,這種在網卡上實現的嵌入式防火牆也可稱為嵌入式網卡。
嵌入式防火牆技術舉例
基於OpenBSDUNIX的嵌入式防火牆技術
該技術的實現基礎為在OpenBSDUNIX作業系統,該平台具有一體化的安全特性和庫,如IPSec棧、KeyNote和SSL等,套用平台中的組件核心擴展程式可以指定安全通信機制;套用平台中的用戶層後台處理程式組件可以對防火牆策略進行執行;設備驅動程式組件用於提供通信接口。
基於Windows平台的嵌入式防火牆技術
該技術的主要實現過程為對主機的具體套用和對外服務制定安全策略。其中數據包過濾引擎被嵌入到核心中的鏈路層和網路層之間,向用戶提供訪問控制、狀態及入侵檢測等防禦機制;用戶配置接口用於配置本地安全策略。
