(2)分布式防火墙
    分布式防火墙由一个中心节点来制定安全策略,并将安全策略分发到终端主机上执行。它要负责网络边界、各子网和网络内部各节点的安全防护，是一套完整的体系，而不是单一的产品。根据其所需要完成的功能，分布式防火墙可以认为是由三部分组成的立体防护系统：一部分是网络防火墙，它承担着传统边界防火墙看守大门的职责；一部分是主机防火墙，驻留在受保护的终端主机上，它解决了传统边界防火墙不能解决的问题( 例如来自内部的攻击和结构限制等)；还有一部分是管理中心，它解决由分布式技术带来的管理问题。
    (3) IETF策略管理框架
    IETF为基于策略管理定义了一个通用的框架，它是其它策略体系结构设计工作的基础，IETF策略管理架构主要包含四个组件：策略决策点（PDP）、策略管理工具、策略信息库和策略实施点（PEP）。Ponder策略语言是英国伦敦皇家学院在策略管理领域进行的十年研究的成果，是在IETF策略框架基础上实现的一个具体模型。它具有较大的灵活性、较强的表达性和扩展性，能够满足对分布式系统策略定义的需求。 
   
    四、系统体系结构
    基于P2DR模型的入侵防护系统是一个基于网络的、实时监测入侵与响应的分布式系统，它收集不同管理域的子网的安全告警信息，集中地处理告警信息，及时地为各子网提供有价值的、有关各个网络入侵的预警与响应服务。在这里每个单位的内部网络被定义成从属于安全管理分中心的会员子网。入侵防护系统的结构如图2所示，系统采用了含有加权层次的图结构。
    安全管理中心管理着会员子网的构成，它具有最高的权重。安全管理中心的次级是多个安全管理分中心，为了提高系统的可扩展性，这些分中心之间采用对等的环网结构，安全管理分中心与会员子网之间为一种星型结构。安全管理分中心和会员子网之间通过广播来实现告警和策略的配置。
    为了能够达到系统的设计目标，需要解决数据采集协同和数据分析协同问题以及策略的管理与实施问题。对于异构的网络环境，各子网中的安全信息被综合汇总到分中心上。数据分析协同需要在两个层面进行，一是对一个检测引擎采集的数据进行协同分析，综合使用模式匹配和异常检测技术等，以发现较为常见的、典型的攻击行为，各子网的检测引擎完成对这些数据的分析协同。 二是对来自多个检测引擎的审计数据，利用数据挖掘技术进行分析，以发现较为复杂的攻击行为，安全管理分中心则对这些数据进行分析协同。
    安全管理中心是IETF策略管理框架中的策略决策点，而入侵检测点、防火墙是策略实施点，联动网关是策略实施代理。通过对Ponder语言的扩展，可定义防火墙访问控制策略、入侵检测部件的审计策略、检测策略。同时，还可定义分中心的告警职责策略，以入侵检测部件的告警事件为驱动，启动安全管理中心的策略服务，从而动态更新防火墙的访问控制策略、以及入侵检测部件的审计、检测策略。 由于安全管理中心分为两级，分中心要向中心传递告警信息，并接收中心的动态策略配置信息，从这一点来说，分中心即是策略的决策点，也是策略的实施点。

(责任编辑：adminadmin2008)