傳統(tǒng)防火墻由于被部署在網(wǎng)絡邊界而被稱為邊界防火墻。邊界防火墻在企業(yè)內(nèi)部網(wǎng)和外部互聯(lián)網(wǎng)之間構成一道屏障，負責進行網(wǎng)絡存取控制。隨著網(wǎng)絡安全技術的深入發(fā)展，邊界防火墻逐漸暴露出一些弱點，具體表現(xiàn)在以下幾個方面。

受網(wǎng)絡結構限制

邊界防火墻的工作機理依賴于網(wǎng)絡的拓撲結構。隨著越來越多的用戶利用互聯(lián)網(wǎng)構架跨地區(qū)企業(yè)網(wǎng)絡，移動辦公和服務器托管日益普遍，加上電子商務要求商務伙伴之間在一定權限下可以彼此訪問，企業(yè)內(nèi)部網(wǎng)和網(wǎng)絡邊界逐漸成為邏輯上的概念，邊界防火墻的應用也受到越來越多的限制。

內(nèi)部不夠安全

邊界防火墻設置安全策略是基于這樣一個基本假設: 企業(yè)網(wǎng)外部的人都是不可信的，而企業(yè)網(wǎng)內(nèi)部的人都是可信的。事實上，接近80%的攻擊和越權訪問來自于企業(yè)網(wǎng)內(nèi)部，邊界防火墻對于來自企業(yè)網(wǎng)內(nèi)部的攻擊顯得力不從心。

效率不高與故障點多

邊界防火墻把檢查機制集中在網(wǎng)絡邊界的單點上，由此造成網(wǎng)絡訪問瓶頸，并使得用戶在選擇防火墻產(chǎn)品時首先考慮檢測效率，其次才是安全機制。安全策略過于復雜也進一步降低了邊界防火墻的效率。為了滿足不同應用需求，邊界防火墻不得不在效率和安全策略之間采取折中方案，故而留下許多安全隱患。此外，邊界防火墻本身也存在單點故障危險，一旦出現(xiàn)問題或被黑客攻克，整個企業(yè)網(wǎng)絡就會完全暴露在攻擊者面前。

針對邊界防火墻存在的缺陷，專家提出了分布式防火墻方案。分布式防火墻有狹義和廣義之分。堵住內(nèi)網(wǎng)漏洞是分布式防火墻的專長。

廣義分布式防火墻

廣義分布式防火墻是一種全新的防火墻體系結構，包括網(wǎng)絡防火墻、主機防火墻和中心管理三部分。網(wǎng)絡防火墻部署于內(nèi)部網(wǎng)與外部網(wǎng)之間以及內(nèi)網(wǎng)子網(wǎng)之間。網(wǎng)絡防火墻區(qū)別于邊界防火墻的特征在于，網(wǎng)絡防火墻需支持內(nèi)部網(wǎng)可能有的IP和非IP協(xié)議，而邊界防火墻并不需要。主機防火墻對網(wǎng)絡中的服務器和桌面系統(tǒng)進行防護，主機的物理位置可能在企業(yè)網(wǎng)中，也可能在企業(yè)網(wǎng)外（如托管服務器或移動辦公的便攜機）。由于邊界防火墻只是網(wǎng)絡中的單一設備，對其進行的管理也只能是局部管理。對于廣義分布式防火墻來說，每個防火墻作為安全監(jiān)測機制的組成部分，必須根據(jù)不同的安全要求被布置在網(wǎng)絡中任何需要的位置上，對廣義分布防火墻的管理必須是統(tǒng)一進行的，中心管理是分布式防火墻系統(tǒng)的核心和重要特征之一。安全策略的分發(fā)及日志的匯總都是中心管理具備的功能。

狹義分布式防火墻

狹義分布式防火墻是指駐留在網(wǎng)絡主機（如服務器或桌面機）并對主機系統(tǒng)提供安全防護的軟件產(chǎn)品，駐留主機是這類防火墻的重要特征。這類防火墻將該駐留主機以外的其他網(wǎng)絡都認作是不可信任的，并對駐留主機運行的應用和對外提供的服務設定針對性很強的安全策略。

采用嵌入操作系統(tǒng)內(nèi)核是狹義防火墻的另一特點。操作系統(tǒng)自身存在許多安全漏洞，使運行其上的應用軟件受到威脅，防火墻軟件也不能幸免。為徹底堵住操作系統(tǒng)漏洞，狹義防火墻的安全監(jiān)測核心引擎必須嵌入操作系統(tǒng)內(nèi)核，直接接管網(wǎng)卡，對所有數(shù)據(jù)包進行檢查后再提交給操作系統(tǒng)。要想實現(xiàn)這種運行機制，防火墻廠商必須要與操作系統(tǒng)廠商進行技術合作。不能實現(xiàn)嵌入式運行模式的狹義防火墻由于受到操作系統(tǒng)安全機制的制約，存在明顯的安全隱患。

針對桌面應用的狹義分布式防火墻與個人防火墻有相似之處，如都對應個人系統(tǒng)，但兩者的差別又是本質的。首先，它們的管理方式不同，個人防火墻的安全策略由系統(tǒng)使用者自己設置，目標是防止外部攻擊; 而針對桌面應用的狹義防火墻的安全策略是由管理員統(tǒng)一設置，除了對該桌面系統(tǒng)起到保護作用外，還對該桌面系統(tǒng)的對外訪問加以控制，并且這種安全機制是使用者不能改動的。其次，個人防火墻面向個人用戶，而針對桌面應用的狹義防火墻面向的是企業(yè)級用戶，是企業(yè)級安全解決方案的組成部分。

安軟EverLink是一種典型的狹義分布式防火墻，該防火墻工作在個人計算機（Windows平臺）上，根據(jù)安全策略文件的內(nèi)容，在包過濾和特洛伊木馬過濾雙層設置過濾檢查。其中，安全策略文件的內(nèi)容根據(jù)用戶在安裝和使用過程中設定的安全級別及相關的安全屬性進行確定。包過濾面向IP數(shù)據(jù)包，既可以對絕大多數(shù)網(wǎng)絡協(xié)議進行檢查（如TCP/IP、UDP/IP、ICMP等），同時也可以對非面向連接的網(wǎng)絡訪問（如UDP，RPC等）進行基于狀態(tài)的過濾。特洛伊木馬過濾能夠屏蔽已知的特洛伊木馬對網(wǎng)絡進行的訪問; 同時鑒別應用程序，可以發(fā)現(xiàn)未知特洛伊木馬，并將其加入屏蔽列表。安軟EverLink分布式防火墻的入侵檢測可以發(fā)現(xiàn)常用的網(wǎng)絡攻擊方法，如端口掃描、拒絕服務攻擊、源路由數(shù)據(jù)包攻擊、連續(xù)多次連接等，自動屏蔽發(fā)起網(wǎng)絡攻擊的源地址，并將發(fā)現(xiàn)的攻擊行為記錄到日志中。

在托管服務中的應用

互聯(lián)網(wǎng)和電子商務的發(fā)展促使互聯(lián)網(wǎng)數(shù)據(jù)中心的迅速崛起，數(shù)據(jù)中心的主要業(yè)務之一就是提供服務器托管服務。對服務器托管用戶而言，該服務器在邏輯上是企業(yè)網(wǎng)的一部分，不過在物理上并不在企業(yè)網(wǎng)內(nèi)部。對于這種應用，分布式防火墻就十分得心應手。用戶只需在托管服務器上安裝上防火墻軟件，并根據(jù)該服務器的應用設置安全策略，利用中心管理軟件對該服務器進行遠程監(jiān)控即可，而不需任何額外租用新的空間放置邊界防火墻。

以世紀互聯(lián)為例，該互聯(lián)網(wǎng)數(shù)據(jù)中心向托管用戶提供管理防火墻系列服務，其中防火墻服務采用的就是金諾網(wǎng)屹的CyberwallPLUS-SV分布式防火墻。

A、B、C都是托管用戶，這些用戶都有不同數(shù)量的服務器在數(shù)據(jù)中心托管，服務器上也有不同的應用。如果托管用戶希望把這些服務器的安全問題委托給數(shù)據(jù)中心專業(yè)的安全服務部門來負責，就可以與數(shù)據(jù)中心簽定相應的安全服務保障合同。數(shù)據(jù)中心的安全服務部門在需提供安全服務的服務器上安裝一套CyberwallPLUS-SV主機防火墻產(chǎn)品，并根據(jù)用戶具體應用要求，設定的相應策略。對于安裝了CyberwallPLUS-CM中心管理系統(tǒng)的管理終端，數(shù)據(jù)中心安全服務部門的技術人員可以對所有在數(shù)據(jù)中心委托安全服務的服務器的安全狀況進行監(jiān)控，并提供有關的安全日志記錄。