1、傳統(tǒng)的邊界防火墻存在單點(diǎn)失效和性能瓶頸的局限性，而且依賴于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)實(shí)施其安全策略。在網(wǎng)絡(luò)高速發(fā)展的今天，傳統(tǒng)防火墻的局限性越發(fā)顯得明顯，分布式防火墻正是在這樣的背景下產(chǎn)生的。通過將防火墻分布到具體的受保護(hù)主機(jī)上，分布式防火墻可以解決單點(diǎn)失效和性能瓶頸的問題。然而，分布式防火墻雖然解決了傳統(tǒng)防火墻面臨的許多問題，但其自身也面臨著以下的缺陷：1、傳統(tǒng)的基于訪問控制點(diǎn)的入侵檢測方式難以實(shí)施；2、日志文件在各主機(jī)和中心策略服務(wù)器之間頻繁地

2、傳送將極大地增加網(wǎng)絡(luò)通信量；3、未能解決跨平臺(tái)管理問題、對(duì)用戶完全透明和即插即用問題，這幾個(gè)問題的解決才能使得分布式防火墻得到更廣泛的應(yīng)用。 分布式入侵檢測系統(tǒng)(DIDS，Distributed Intrusion Detection System)是一種自頂向下樹狀的分級(jí)多層次結(jié)構(gòu)，它把各個(gè)子系統(tǒng)安排到不同的節(jié)點(diǎn)上，各節(jié)點(diǎn)充分發(fā)揮自身性能、相互協(xié)調(diào)地完成任務(wù)，能夠適應(yīng)網(wǎng)絡(luò)通信的需要，方便進(jìn)行擴(kuò)充與縮減。 本文在分析了分

3、布式防火墻和分布式入侵檢測系統(tǒng)現(xiàn)狀的基礎(chǔ)上提出了一個(gè)基于分布式防火墻的入侵檢測聯(lián)動(dòng)系統(tǒng)模型。通過使用代理服務(wù)器構(gòu)建分布式代理防火墻分別對(duì)不同的服務(wù)器實(shí)施保護(hù)，防火墻直接從中心策略服務(wù)器獲取并實(shí)施防御策略，而分布式入侵檢測系統(tǒng)是一種分布于網(wǎng)絡(luò)環(huán)境的入侵檢測系統(tǒng)，用來監(jiān)視與網(wǎng)絡(luò)相連的主機(jī)及網(wǎng)絡(luò)自身，關(guān)鍵技術(shù)是檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取，然后傳送至中心策略服務(wù)器，同時(shí)，中心策略服務(wù)器通過分布式防火墻從聯(lián)動(dòng)的入侵檢測系統(tǒng)獲取制

4、定策略的依據(jù)，再通過專家系統(tǒng)或管理員分析配置，形成全局一致的可執(zhí)行的防御策略，在這個(gè)模型中，分布式代理防火墻之間合理的策略協(xié)同是保證它能高效運(yùn)作的基礎(chǔ)，分布式防火墻技術(shù)與入侵檢測技術(shù)結(jié)合在一起，利用分布式防火墻技術(shù)既實(shí)現(xiàn)了對(duì)入侵檢測所需網(wǎng)絡(luò)數(shù)據(jù)的獲取，又解決了傳統(tǒng)入侵檢測不能進(jìn)行主動(dòng)控制的問題，同時(shí)，網(wǎng)絡(luò)入侵檢測的結(jié)果也為防火墻的安全管理策略提供了依據(jù)，從而大大提高系統(tǒng)的安全防護(hù)水平，實(shí)現(xiàn)網(wǎng)絡(luò)安全立體縱深、多層次的防御體系以及智能訪問控