网络工程论文

分布式防火墙的设计与研究

姓名：黄良皓 班级：13网络网络工程一班 学号：1304031013 摘要

随着Internet 的飞速发展，网络安全问题越来越受到人们的关注， 防火墙己经成网络安全的重要产品， 边界防火墙作为一种有效的网络安全技术， 提供了对企业内部网络的保护，但在不断扩大的网络规模和日益多样化的网络技术面前， 边界防火墙的缺也日益突出，它很难实现网络的安全性和网络性能之间的均衡。为了克服传统防火墙的缺陷, 而又保留其优点， 人们提出了分布式防火墙的概念分布式防火墙的本质特征可概括为 “策略集中制定分散实施， 日志分散产生集中保存安全策略必须有管理员统一制定， 策略必须被推到网络的边缘即主机上实施， 日志必统一收集、 集中管理。本文首先分析了目前传统防火墙的作用和存在的问题， 接着对分布式防火墙的经构、 关键技术以及优势进行了深入地研究， 并对分布式防火墙的相关技术以及研究领较有代表性的几种模型进行了比较总结。其次 ，通过对防火墙策略的定义、 实施和分发机制的研究， 对分布式防火墙的略管理进行了探讨， 并对策略执行器的功能、 特点和相关技术做了系统的分析

关键字: 分布式防火墙

1. 研究的意义

随着互联网的飞速发展和网络应用的普及， 计算机网络己经成为人们生活中必不可少的一部分， 但是由于互联网的开放性和跨区域等特点， 使它在安全性上存在一些隐患。并且互联网作为电子商务和电子政务运行的重要平台， 其安全性越来越受到各级用户的普遍关注。 人们在享受信息化带来的众多好处的同时， 也面临着日益突出的信息安全问题， 比如:网络环境中国家机密和商业秘密的保护， 特别是政府上网后对机密敏感信息的保护; 网上各种行为者的身份确认: 高度网络化的各种业务信息系统的正常运行并不受破坏; 网络银行、 电子商务、 各类资金管理系统中的支付与结算的准确真实和金融机构数据保护与管理系统的不被欺诈， 都将成为企业形象、 商业利益、 国家安全和社会稳定的焦点。 所以研究和开发网络安全技术已是一项必不可少和非常迫切的任务。

在目前的网络安全产品中，使用最多的是“边界防火墙”。作为网络安全的第一道屏障， 它是最早出现的网络安全产品， 实现技术也最为成熟。 但是面对不断扩大的网络规模和越来越复杂的网络拓扑结构， 边界防火墙的缺陷也日益突出。 为了切实保障网络的安全， 不断满足网络中不断出现的最新需求，迫切需要对传统的边界防火墙体系结构进行改造。 分布式防火墙将分布式技术和防火墙技术相结合， 扩展了边界防火墙系统架构， 在保留边界防火墙优势的同时， 弥补了边界防火墙的不足， 作为一种新型的网络安全解决方案， 受到了广泛的关注。

2. 防火墙概述

所谓防火墙就是一个或一组网络设备(计算机或路由器等) ， 用来在两个或多个网络间加强访问控制。 它的实现有好多种形式， 有些实现还很复杂， 但基本原理却很简单。你可以把它想象成一对开关， 一个开关用来阻止传输， 另一个开关用来允许传输圈。

设立防火墙的主要目的有多个:

(1) 限制访问从一个特别的节点进入

(2 ) 防止攻击者接近防御措施

(3 ) 限制访问从一个特别的节点离开

(4 ) 有效的阻止入侵者对内部网络中的计算机系统进行破坏

通常， 被保护的网络属于我们自己， 或者是我们负责管理的， 而所要防备的网络则是一个外部的网络， 防火墙认为该网络是不可信赖的， 因为可能有人会从该网络上对我们的网络发起攻击， 破坏网络安全。 其对网络的保护包括以下工作: 拒绝未经授权的用户访问， 阻止未经授权的用户存取敏感数据， 同时允许合法用户不受妨碍地访问网络资

源〔 2，。不同的防火墙侧重点不同。 从某种意义上来说， 防火墙实际上代表了一个网络的访问原则。 如果某个网络决定设定防火墙， 那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略， 即确定哪些类型的信息允许通过防火墙， 哪些类型的信息不允许通过防火墙。 防火墙的职责就是根据本单位的安全策略， 对外部网络与内部网络交流的数据进行检查， 符合的予以放行， 不符合的拒之门外。在设计防火墙时， 除了安全策略以外， 还要确定防火墙类型和网络拓扑结构。 一般来说， 防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间。

3. 防火墙的作用

(1) 网络安全的屏障

防火墙作为阻塞点、 控制点能极大地提高一个内部网络的安全性， 并通过过滤不安全的服务来降低风险。 由于只有经过精心选择的应用协议才能通过防火墙， 所以网络环境变得更安全。 如防火墙可以禁止众所周知的不安全的 N FS 协议进出受保护网络， 这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。 防火墙同时可以保护网络免受基于路由的攻击， 如 IP 选项中的源路由攻击和 Ic M P 重定向中的重定向路径攻

击。 防火墙可以拒绝所有以上类型攻击的报文并通知管理员。

(2 ) 强化网络安全策略

通过以防火墙为中心的安全方案配置， 能将所有安全软件如口令、 加密、 身份认证、审计等配置在防火墙上。 与将网络安全问题分散到各个主机上相比， 防火墙的集中安全管理更经济。 例如在网络访问时， 一次加密口令系统和其它的身份认证系统完全可以不必分散在各个主机上， 而集中在防火墙身上。

(3) 对网络存取和访问进行监控审计因为所有的访问都经过防火墙， 所以防火墙能记录下这些访问并做出日志记录，

。

(4 ) 防止内部信息的外泄

利用防火墙对内部网络的划分， 网络管理员可实现内部网络重点网段的隔离， 从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 再者， 隐私是内部网络非常关心的问题， 一个内部网络中不引人注意的细节就可能包含了有关安全的线索从而引起外部攻击者的兴趣， 甚至因此而暴露了内部网络的某些安全漏洞。 使用防火墙就可以

隐蔽那些内部细节如Fin ge r、 DN S等服务。

(5 ) 阻塞有关内部网络中的ONS 信息

通过这种方法一台主机的域名和IP 地址就不会被外界所了解。

(6) 提供网络地址转换(N AT)

网络地址转换是对In ter ne t隐藏内部地址， 防止内部地址公开t 划〔 刘。 这一功能可以克服IP 寻址方式的诸多限制， 完善内部寻址模式。 把未注册IP 地址映射成合法地址， 就可以对工nt er ne t进行访问。 对于NAT 的另一个名字是工P 地址隐藏。 RFC191 8概述了私有地址并且因特网域名分配组织IANA 建议使用内部地址机制。 以下地址作为保留地址:

10 . 0 . 0. 0 ~ 10 . 25 5. 2 55 。2 5 5

172 . 16 . 0 ， 0 ~ 172 。3 1. 25 5 . 2 55

19 2 . 168， 0 ， 0 ~ 192 . 168 255. 2 55

如果你选择上述列表中的网络地址， 那么不需要向任何互联网授权机构注册即可使用。 使用这些网络地址的一个好处就是在互联网上永远不会被路由。 互联网上所有的路由器发现源或目标地址含有这些私有网络ID 时都会自动地丢弃数据包。

4 分布式防火墙的基本原理

分布式防火墙的基本思想是: 安全策略的制定采用由中心策略服务器集中定义方式， 而安全策略的执行则由相关主机节点独立实施: 安全日志由主机节点分散产生， 而安全日志的保存则集中到中心策略服务器上。 由此， 我们可以看出分布式防火墙规则的制定还是采用集中定义和更新的方式， 然后将这些定义好的规则策略分发到各个相关节点， 最后再在每个受保护的主机节点上独立实施执行。分布式防火墙打破了边界防火墙对网络拓扑的依赖关系， 将内部网的概念由物理意义转变成逻辑意义。 在分布式防火墙系统中， 每个主机节点都有一个标识该主机身份的证书， 通常是一个与该节点所持有的公钥相对应的数字证书， 内部网络服务器的存取控制授权根据请求客户的数字证书来确定， 而不再是由节点所处网络的位置来决定。 一般情况下由于证书不易伪造， 并独立于网络拓扑结构， 所以只要拥有合法的证书， 不管它处于物理上的内网还是外网都被分布式防火墙系统认为是 “内部” 用户， 这样就彻底打破了传统防火墙对网络拓扑的依赖. 但各主机节点在处理数据包时， 还是必须根据中心策略服务器所分发的安全策略和加密的证书来决定是接受还是丢弃包。 这样不但可以对主机实施护， 还能保证与整个系统的安全策略一致。 由于在分布式放火墙系统中安全策略的执行被推向了网络的边缘— 终端节点， 这样不仅保留了传统防火墙的优点， 同时又解决了传统防火墙的问题。 其中最主要的是解决了对网络拓扑结构的依赖、 内部攻击以及网络瓶颈问题: 同时还实现了分级策略的制定、 加密技术应用的支持。综上所述， 可以看出分布式防火墙系统主要依赖于以下三个概念:

(1) 能够不依赖于网络拓扑结构进行规则定义的策略语言。

(2) 能将策略服务器形成的策略文件安全分发给被防火墙保护的所有主机的系统管理工具。 注意: 这里所指的防火墙并不是传统意义上的边界防火墙， 而是逻辑上的分布式防火墙。

(3) 能够保障数据安全传输的安全协议。

基于这三个概念构建的分布式防火墙工作流程如下:

第一步， 安全管理员制定安全策略。 安全策略的制定可以使用各种策略定义语言，定义的策略被放入策略数据库中。 同时， 由编译器将策略语言的描述转换成内部格式，形成策略文件。 策略的组织方法有多种， 可以按域或工作组来组织策略， 也可按策略本身的类型来组织图。

第二步， 分发策略。 就是策略服务器用系统管理工具把策略文件分发给各台“内部”主机。 策略的分发有多种方法， 如策略服务器主动分发、 主机主动到策略服务器上去取等。 但是必须要能做到一旦策略服务器中的策略被更新， 则相应主机的策略文件也应该及时更新。

第三步， 主机执行策略。

第四步， 上传安全日志到策略服务器。 在运行期间主机根据管理员(或用户) 配置的方法将日志数据上传到中心服务器日志数据库中。 日志的上传方法也有多种， 如实时传送、 定期传送或用户控制传送等。分布式防火墙服务器系统管理工具用于将形成的策略文件分发给被分布式防火墙

保护的所有主机。 IP 安全协议是一种对TCP/IP 协议簇的网络层进行加密保护的机制， 包括AH 和ESP ， 分别对工P 包头和整个IP 包进行认证， 可以防止各种类型攻击。 分布式防火墙在工作的时候首先由制定防火墙接入控制策略的中心通过编译器将策略语言描述转换成内部格式， 形成策略文件: 然后中心采用系统管理工具把策略文件分发给各台 “内部” 主机; “内部” 主机将从两方面来判定是否接受收到的包。

5. 展望

分布式防火墙的设计中， 还未能解决三大技术难题， 即跨平台管理、 对用户完全透明和即插即用。 跨平台管理就是在管理中心所管理的域中， 不论主机是什么操作系统皆可受控于管理中心。 对用户完全透明的意思是用户完全感觉不到在本机上有个防火墙，他也无法找到本机中的防火墙， 从而也无法废除防火墙， 就如同在传统边界防火墙保护的环境下使用一样。 即插即用的意思是一旦主机接入某个管理域后， 用户无需直接干预，防火墙即被安装到该机中， 不管用户是情愿还是不情愿。 总之， 当满足上述三个条件以后分布式防火墙就会既克服集中式防火墙的缺陷， 又消除了由此带来的不便和一些缺陷， 犹如在网络的边缘筑起了一道无形的墙， 使网络攻击者无法进入， 而使正常用户畅通无阻。 分布式防火墙概念是在传统边界防火墙内在深刻矛盾不断显露的基础上提出的， 它继承了传统防火墙的优点又克服了它的缺陷， 是一种合理的新一代网络安全解决方案，分布式技术引人防火墙以后， 给防火墙技术注入了新的活力。

参考文献:

冯爱娟. 分布式防火墙系统分析. 福建电脑 . 20 04 、

周伟忠， 于文华， 于文莉. 分布式防火墙技术研究.2004， 19. 3 : 69一72 高峰， 卢尚琼. 分布式防火墙与校园网络安全.8 : 45 一4 7

山东建筑工程学院学报.

分布式防火墙的设计与研究

姓名：黄良皓 班级：13网络网络工程一班 学号：1304031013 摘要

随着Internet 的飞速发展，网络安全问题越来越受到人们的关注， 防火墙己经成网络安全的重要产品， 边界防火墙作为一种有效的网络安全技术， 提供了对企业内部网络的保护，但在不断扩大的网络规模和日益多样化的网络技术面前， 边界防火墙的缺也日益突出，它很难实现网络的安全性和网络性能之间的均衡。为了克服传统防火墙的缺陷, 而又保留其优点， 人们提出了分布式防火墙的概念分布式防火墙的本质特征可概括为 “策略集中制定分散实施， 日志分散产生集中保存安全策略必须有管理员统一制定， 策略必须被推到网络的边缘即主机上实施， 日志必统一收集、 集中管理。本文首先分析了目前传统防火墙的作用和存在的问题， 接着对分布式防火墙的经构、 关键技术以及优势进行了深入地研究， 并对分布式防火墙的相关技术以及研究领较有代表性的几种模型进行了比较总结。其次 ，通过对防火墙策略的定义、 实施和分发机制的研究， 对分布式防火墙的略管理进行了探讨， 并对策略执行器的功能、 特点和相关技术做了系统的分析

关键字: 分布式防火墙

1. 研究的意义

随着互联网的飞速发展和网络应用的普及， 计算机网络己经成为人们生活中必不可少的一部分， 但是由于互联网的开放性和跨区域等特点， 使它在安全性上存在一些隐患。并且互联网作为电子商务和电子政务运行的重要平台， 其安全性越来越受到各级用户的普遍关注。 人们在享受信息化带来的众多好处的同时， 也面临着日益突出的信息安全问题， 比如:网络环境中国家机密和商业秘密的保护， 特别是政府上网后对机密敏感信息的保护; 网上各种行为者的身份确认: 高度网络化的各种业务信息系统的正常运行并不受破坏; 网络银行、 电子商务、 各类资金管理系统中的支付与结算的准确真实和金融机构数据保护与管理系统的不被欺诈， 都将成为企业形象、 商业利益、 国家安全和社会稳定的焦点。 所以研究和开发网络安全技术已是一项必不可少和非常迫切的任务。

在目前的网络安全产品中，使用最多的是“边界防火墙”。作为网络安全的第一道屏障， 它是最早出现的网络安全产品， 实现技术也最为成熟。 但是面对不断扩大的网络规模和越来越复杂的网络拓扑结构， 边界防火墙的缺陷也日益突出。 为了切实保障网络的安全， 不断满足网络中不断出现的最新需求，迫切需要对传统的边界防火墙体系结构进行改造。 分布式防火墙将分布式技术和防火墙技术相结合， 扩展了边界防火墙系统架构， 在保留边界防火墙优势的同时， 弥补了边界防火墙的不足， 作为一种新型的网络安全解决方案， 受到了广泛的关注。

2. 防火墙概述

所谓防火墙就是一个或一组网络设备(计算机或路由器等) ， 用来在两个或多个网络间加强访问控制。 它的实现有好多种形式， 有些实现还很复杂， 但基本原理却很简单。你可以把它想象成一对开关， 一个开关用来阻止传输， 另一个开关用来允许传输圈。

设立防火墙的主要目的有多个:

(1) 限制访问从一个特别的节点进入

(2 ) 防止攻击者接近防御措施

(3 ) 限制访问从一个特别的节点离开

(4 ) 有效的阻止入侵者对内部网络中的计算机系统进行破坏

通常， 被保护的网络属于我们自己， 或者是我们负责管理的， 而所要防备的网络则是一个外部的网络， 防火墙认为该网络是不可信赖的， 因为可能有人会从该网络上对我们的网络发起攻击， 破坏网络安全。 其对网络的保护包括以下工作: 拒绝未经授权的用户访问， 阻止未经授权的用户存取敏感数据， 同时允许合法用户不受妨碍地访问网络资

源〔 2，。不同的防火墙侧重点不同。 从某种意义上来说， 防火墙实际上代表了一个网络的访问原则。 如果某个网络决定设定防火墙， 那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略， 即确定哪些类型的信息允许通过防火墙， 哪些类型的信息不允许通过防火墙。 防火墙的职责就是根据本单位的安全策略， 对外部网络与内部网络交流的数据进行检查， 符合的予以放行， 不符合的拒之门外。在设计防火墙时， 除了安全策略以外， 还要确定防火墙类型和网络拓扑结构。 一般来说， 防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间。

3. 防火墙的作用

(1) 网络安全的屏障

防火墙作为阻塞点、 控制点能极大地提高一个内部网络的安全性， 并通过过滤不安全的服务来降低风险。 由于只有经过精心选择的应用协议才能通过防火墙， 所以网络环境变得更安全。 如防火墙可以禁止众所周知的不安全的 N FS 协议进出受保护网络， 这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。 防火墙同时可以保护网络免受基于路由的攻击， 如 IP 选项中的源路由攻击和 Ic M P 重定向中的重定向路径攻

击。 防火墙可以拒绝所有以上类型攻击的报文并通知管理员。

(2 ) 强化网络安全策略

通过以防火墙为中心的安全方案配置， 能将所有安全软件如口令、 加密、 身份认证、审计等配置在防火墙上。 与将网络安全问题分散到各个主机上相比， 防火墙的集中安全管理更经济。 例如在网络访问时， 一次加密口令系统和其它的身份认证系统完全可以不必分散在各个主机上， 而集中在防火墙身上。

(3) 对网络存取和访问进行监控审计因为所有的访问都经过防火墙， 所以防火墙能记录下这些访问并做出日志记录，

。

(4 ) 防止内部信息的外泄

利用防火墙对内部网络的划分， 网络管理员可实现内部网络重点网段的隔离， 从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 再者， 隐私是内部网络非常关心的问题， 一个内部网络中不引人注意的细节就可能包含了有关安全的线索从而引起外部攻击者的兴趣， 甚至因此而暴露了内部网络的某些安全漏洞。 使用防火墙就可以

隐蔽那些内部细节如Fin ge r、 DN S等服务。

(5 ) 阻塞有关内部网络中的ONS 信息

通过这种方法一台主机的域名和IP 地址就不会被外界所了解。

(6) 提供网络地址转换(N AT)

网络地址转换是对In ter ne t隐藏内部地址， 防止内部地址公开t 划〔 刘。 这一功能可以克服IP 寻址方式的诸多限制， 完善内部寻址模式。 把未注册IP 地址映射成合法地址， 就可以对工nt er ne t进行访问。 对于NAT 的另一个名字是工P 地址隐藏。 RFC191 8概述了私有地址并且因特网域名分配组织IANA 建议使用内部地址机制。 以下地址作为保留地址:

10 . 0 . 0. 0 ~ 10 . 25 5. 2 55 。2 5 5

172 . 16 . 0 ， 0 ~ 172 。3 1. 25 5 . 2 55

19 2 . 168， 0 ， 0 ~ 192 . 168 255. 2 55

如果你选择上述列表中的网络地址， 那么不需要向任何互联网授权机构注册即可使用。 使用这些网络地址的一个好处就是在互联网上永远不会被路由。 互联网上所有的路由器发现源或目标地址含有这些私有网络ID 时都会自动地丢弃数据包。

4 分布式防火墙的基本原理

分布式防火墙的基本思想是: 安全策略的制定采用由中心策略服务器集中定义方式， 而安全策略的执行则由相关主机节点独立实施: 安全日志由主机节点分散产生， 而安全日志的保存则集中到中心策略服务器上。 由此， 我们可以看出分布式防火墙规则的制定还是采用集中定义和更新的方式， 然后将这些定义好的规则策略分发到各个相关节点， 最后再在每个受保护的主机节点上独立实施执行。分布式防火墙打破了边界防火墙对网络拓扑的依赖关系， 将内部网的概念由物理意义转变成逻辑意义。 在分布式防火墙系统中， 每个主机节点都有一个标识该主机身份的证书， 通常是一个与该节点所持有的公钥相对应的数字证书， 内部网络服务器的存取控制授权根据请求客户的数字证书来确定， 而不再是由节点所处网络的位置来决定。 一般情况下由于证书不易伪造， 并独立于网络拓扑结构， 所以只要拥有合法的证书， 不管它处于物理上的内网还是外网都被分布式防火墙系统认为是 “内部” 用户， 这样就彻底打破了传统防火墙对网络拓扑的依赖. 但各主机节点在处理数据包时， 还是必须根据中心策略服务器所分发的安全策略和加密的证书来决定是接受还是丢弃包。 这样不但可以对主机实施护， 还能保证与整个系统的安全策略一致。 由于在分布式放火墙系统中安全策略的执行被推向了网络的边缘— 终端节点， 这样不仅保留了传统防火墙的优点， 同时又解决了传统防火墙的问题。 其中最主要的是解决了对网络拓扑结构的依赖、 内部攻击以及网络瓶颈问题: 同时还实现了分级策略的制定、 加密技术应用的支持。综上所述， 可以看出分布式防火墙系统主要依赖于以下三个概念:

(1) 能够不依赖于网络拓扑结构进行规则定义的策略语言。

(2) 能将策略服务器形成的策略文件安全分发给被防火墙保护的所有主机的系统管理工具。 注意: 这里所指的防火墙并不是传统意义上的边界防火墙， 而是逻辑上的分布式防火墙。

(3) 能够保障数据安全传输的安全协议。

基于这三个概念构建的分布式防火墙工作流程如下:

第一步， 安全管理员制定安全策略。 安全策略的制定可以使用各种策略定义语言，定义的策略被放入策略数据库中。 同时， 由编译器将策略语言的描述转换成内部格式，形成策略文件。 策略的组织方法有多种， 可以按域或工作组来组织策略， 也可按策略本身的类型来组织图。

第二步， 分发策略。 就是策略服务器用系统管理工具把策略文件分发给各台“内部”主机。 策略的分发有多种方法， 如策略服务器主动分发、 主机主动到策略服务器上去取等。 但是必须要能做到一旦策略服务器中的策略被更新， 则相应主机的策略文件也应该及时更新。

第三步， 主机执行策略。

第四步， 上传安全日志到策略服务器。 在运行期间主机根据管理员(或用户) 配置的方法将日志数据上传到中心服务器日志数据库中。 日志的上传方法也有多种， 如实时传送、 定期传送或用户控制传送等。分布式防火墙服务器系统管理工具用于将形成的策略文件分发给被分布式防火墙

保护的所有主机。 IP 安全协议是一种对TCP/IP 协议簇的网络层进行加密保护的机制， 包括AH 和ESP ， 分别对工P 包头和整个IP 包进行认证， 可以防止各种类型攻击。 分布式防火墙在工作的时候首先由制定防火墙接入控制策略的中心通过编译器将策略语言描述转换成内部格式， 形成策略文件: 然后中心采用系统管理工具把策略文件分发给各台 “内部” 主机; “内部” 主机将从两方面来判定是否接受收到的包。

5. 展望

分布式防火墙的设计中， 还未能解决三大技术难题， 即跨平台管理、 对用户完全透明和即插即用。 跨平台管理就是在管理中心所管理的域中， 不论主机是什么操作系统皆可受控于管理中心。 对用户完全透明的意思是用户完全感觉不到在本机上有个防火墙，他也无法找到本机中的防火墙， 从而也无法废除防火墙， 就如同在传统边界防火墙保护的环境下使用一样。 即插即用的意思是一旦主机接入某个管理域后， 用户无需直接干预，防火墙即被安装到该机中， 不管用户是情愿还是不情愿。 总之， 当满足上述三个条件以后分布式防火墙就会既克服集中式防火墙的缺陷， 又消除了由此带来的不便和一些缺陷， 犹如在网络的边缘筑起了一道无形的墙， 使网络攻击者无法进入， 而使正常用户畅通无阻。 分布式防火墙概念是在传统边界防火墙内在深刻矛盾不断显露的基础上提出的， 它继承了传统防火墙的优点又克服了它的缺陷， 是一种合理的新一代网络安全解决方案，分布式技术引人防火墙以后， 给防火墙技术注入了新的活力。

参考文献:

冯爱娟. 分布式防火墙系统分析. 福建电脑 . 20 04 、

周伟忠， 于文华， 于文莉. 分布式防火墙技术研究.2004， 19. 3 : 69一72 高峰， 卢尚琼. 分布式防火墙与校园网络安全.8 : 45 一4 7

山东建筑工程学院学报.