随着广电网络的不断发展，我们创办了丰富多彩的具有广电特色的门户网站，但随之而来的网络安全问题也日益受到了我们的关注，为了保证网站的安全正常运行，网络管理员利用防火墙、路由器等网络产品进行安全防护，这些客观上起到了防止“外界”的攻击和入侵的作用，但是这种传统的防火墙技术(俗称边界防火墙)能够阻止来自外部的大部分攻击， 对于局域内部的入侵则形同虚设。为此，诞生了一种专用于隔离、堵住内部网漏的新兴防火墙技术——分布式防火墙。

　　 一、分布式防火墙的技术特点

　　 1.1主机驻留

　　 分布式防火墙的最主要特点就是采用主机驻留方式，所以称之为“主机防火墙”，它的重要特征是驻留在被保护的主机上，该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是，使安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。

　　 1.2嵌入操作系统内核

　　 这主要是针对目前的纯软件式分布式防火墙来说的，为了自身的安全和彻底堵住操作系统的漏洞，主机防火墙的安全监测核心引擎要以嵌人操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约，存在着明显的安全隐患。

　　 1.3 类似于个人防火墙

　　 个人防火墙是一种软件防火墙产品，它是在分布式防火墙之前业已出现的一类防火墙产品，它是用来保护单一主机系统的。分布式针对桌面应用的主机防火墙与个人防火墙有相似之处，如它们都对应个人系统，但其差别又是本质性的。首先它们管理方式迥然不同，个人防火墙的安全策略由系统使用者自己设置，目标是防外部攻击，而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置，除了对该桌面机起到保护作用外，也可以对该桌面机的对外访问加以控制，并且这种安全机制是桌面机的使用者不可见和不可改动的。

　　 其次，不同于个人防火墙面向个人用户，针对桌面应用的主机防火墙是面向企业级客户的，它与分布式防火墙其它产品共同构成一个企业级应用方案，形成一个安全策略中心统一管理，安全检查机制分散布置的分布式防火墙体系结构。

　　二、分布式防火墙的结构与原理

　　 2.1分布式防火墙结构

　　 典型的分布式防火墙系统结构由三部分组成：

　　 (1)策略语言：用来说明哪些连接是允许的，哪些连接是禁止的。比如KeyNote就是一种常用的策略描述语言。使用策略描述语言来制定策略，并编译成内部形式存储于策略数据库中，系统管理工具将策略发布到各个终端， 各终端根据这些策略对数据包进行过滤。

　　 (2)系统管理工具：用来将形成的策略文件分发给被防火墙保护的所有主机。这里所指的防火墙并不是传统意义上的边界防火墙，而是逻辑上的分布式防火墙。

　　 (3)IP安全协议：IPSEC是一种对TCP／IP协议族的网络加密保护机制，它为IP层提供了安全服务，用来保护一条或多条主机与主机之间、安全网关与安全网关之间、安全网关与主机之间的路径。IP安全协议中的密码凭证为主机提供了可靠的、唯一的标志，并且与网络的物理拓扑结构无关，通常用密码凭证来标志各个主机。

　　 在分布式防火墙工作时，首先由制定防火墙接入控制的策略中心，通过编译器将策略语言的描述转换成内部格式，形成策略文件，然后策略中心采用系统管理工具把策略文件分发给各台“内部”主机，“内部”主机将从IP安全协议和策略文件两个方面来判断是否接受收到的数据包。

　　三．分布式防火墙在广电网应用的优越性

　　 3．1保证了WEB服务器系统的安全性

　　 分布式防火墙增加了针对主机的入侵监测和防护功能，特别加强了对来自广电网内部攻击的防范，可以实施全方位的安全策略，提供了多层次立体的防范体系，确保了广电门户网站系统安全、稳定运行。

　　 3．2系统的易于扩展性

　　 分布式防火墙能提高系统性能，消除系统因结构性限制产生的瓶颈问题。分布式防火墙有效地解决了主机托管后，跨地区网络使用和管理的不安全性。分布式防火墙最重要的优势在于，它能够保护物理拓扑上属于内部网络，但位于逻辑上的“内部”网络的那些主机，这种需求随着VPN的发展越来越多。

　　 对于这个问题的传统处理方法是：将远程“内部” 主机和外部主机的通信依然通过防火墙隔离来控制接入，而远程“内部”主机和防火墙之间采用隧道技术保证安全性。这种方法使原本可直接通信的双方必须绕经防火墙，不仅效率低而且增加了防火墙过滤规则设置的难度。

　　 与之相反，分布式防火墙的建立本身就是基于逻辑网络的概念，因此对它而言，远程“内部”主机与物理上的内部主机没有任何区别，它从根本上防止了这种情况的发生。

　　 3．3系统性能的保证

　　 传统的边界防火墙由于单一的接入控制点，无论对网络的安全性还是对网络的可靠性都有不利的影响。虽然目前也有这方面的研究并提出了一些相应的解决方案，如自适应防火墙技术，但是从网络性能角度来说，自适应防火墙只不过是一种在网络性能和网络安全之间寻求平衡的方案；从网络可靠性角度来说，采用多个防火墙冗余也是一种可行的方案，但是它们不仅引入了很多复杂性，而且并没有从根本上解决该问题。分布式防火墙则从根本上去除了单一的接入点，使此问题迎刃而解。更为重要的是，分布式防火墙技术消除了网络的结构性瓶颈问题，提高了系统性能。