所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
　　分布式防火墙由安全策略管理服务器[Server]以及客户端防火墙[Client]组成。客户端防火墙工作在各个从服务器、工作站、个人计算机上，根据安全策略文件的内容，依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查，保护计算机在正常使用网络时不会受到恶意的攻击，提高了网络安全性。而安全策略管理服务器则负责安全策略、用户、日志、审计等的管理。该服务器是集中管理控制中心，统一制定和分发安全策略，负责管理系统日志、多主机的统一管理，使终端用户“零”负担。
　　图1展示了分布式防火墙在政府/企业中的应用解决方案。该方案是纯软件防火墙，无须改变任何硬件设备和网络架构，就可以帮助政府/企业阻挡来自外部网络的攻击。

图1 分布式防火墙在政府/企业中的应用解决方案

　　分布式防火墙结构
　　典型的分布式防火墙系统结构如下图所示，由三部分组成：

分步式防火墙的结构

 　　1、系统管理工具：用来将形成的策略文件分发给被防火墙保护的所有主机。这里所指的防火墙并不是传统意义上的边界防火墙，而是逻辑上的分布式防火墙。
　　2、策略语言：用来说明哪些连接是允许的，哪些连接是禁止的。比如KeyNote就是一种常用的策略描述语言。使用策略描述语言来制定策略，并编译成内部形式存储于策略数据库中，系统管理工具将策略发布到各个终端，各终端根据这些策略对数据包进行过滤。
　　3、IP安全协议：IPSEC是一种对TCP／IP协议族的网络加密保护机制，它为IP层提供了安全服务，用来保护一条或多条主机与主机之间、安全网关与安全网关之间、安全网关与主机之间的路径。IP安全协议中的密码凭证为主机提供了可靠的、唯一的标志，并且与网络的物理拓扑结构无关，通常用密码凭证来标志各个主机。
　　在分布式防火墙工作时，首先由制定防火墙接入控制的策略中心，通过编译器将策略语言的描述转换成内部格式，形成策略文件，然后策略中心采用系统管理工具把策略文件分发给各台“内部”主机，“内部”主机将从IP安全协议和策略文件两个方面来判断是否接受收到的数据包。
　　分步式防火墙在广电网应用的优越性
　　1、系统性能的保证
　　传统的边界防火墙由于单一的接入控制点，无论对网络的安全性还是对网络的可靠性都有不利的影响。虽然目前也有这方面的研究并提出了一些相应的解决方案，如自适应防火墙技术，但是从网络性能角度来说，自适应防火墙只不过是一种在网络性能和网络安全之间寻求平衡的方案；从网络可靠性角度来说，采用多个防火墙冗余也是一种可行的方案，但是它们不仅引入了很多复杂性，而且并没有从根本上解决该问题。分布式防火墙则从根本上去除了单一的接入点，使此问题迎刃而解。更为重要的是，分布式防火墙技术消除了网络的结构性瓶颈问题，提高了系统性能。
　　2、保证了WEB服务器系统的安全性
　　分布式防火墙增加了针对主机的入侵监测和防护功能，特别加强了对来自广电网内部攻击的防范，可以实施全方位的安全策略，提供了多层次立体的防范体系，确保了广电门户网站系统安全、稳定运行。
　　3、系统的易于扩展性
　　分布式防火墙能提高系统性能，消除系统因结构性限制产生的瓶颈问题。分布式防火墙有效地解决了主机托管后，跨地区网络使用和管理的不安全性。分布式防火墙最重要的优势在于，它能够保护物理拓扑上属于内部网络，但位于逻辑上的“内部”网络的那些主机，这种需求随着VPN的发展越来越多。
　　对于这个问题的传统处理方法是：将远程“内部”主机和外部主机的通信依然通过防火墙隔离来控制接入，而远程“内部”主机和防火墙之间采用隧道技术保证安全性。这种方法使原本可直接通信的双方必须绕经防火墙，不仅效率低而且增加了防火墙过滤规则设置的难度。
　　与之相反，分布式防火墙的建立本身就是基于逻辑网络的概念，因此对它而言，远程“内部”主机与物理上的内部主机没有任何区别，它从根本上防止了这种情况的发生。
　　责任编辑：Mary