可以想象，分布式防火墙的诞生是为了扩展防火墙服务的性能。虽然一个中央防火墙、集群（或其他）今天通常可以处理多达多个 10Gbit/s 的流，但分布式防火墙理论上可以扩展到无限带宽 - 只要您可以实例化/安装下一个单元并同步配置（有时还可以状态）之间。您定义的策略在所有接入网络实体之间同步，并且在网络的所有端口上进行适当的过滤。

例如 - Cisco VSG 与 Nexus 1000v 是分布式防火墙，就像最新的 VMWare NSX 防火墙一样。

我对这个话题有所了解，很高兴回答:-)

什么是分布式防火墙？

分布式防火墙是一种用于保护网络上主机的安全架构。（有些人可能会在这里与“架构”这个词争论，而更喜欢“设计”这个词。）

与导致分布式防火墙的传统防火墙相关的问题是什么？

传统的防火墙架构迫使网络流量通过一个单一的“阻塞点”——防火墙本身。因此，对该特定拓扑有一个基本要求，因此存在许多固有的缺点。这些包括：

• 无法过滤纯粹发生在网络上主机之间的交互，因为防火墙无法观察到该流量。
• 一些主机比其他主机需要更多的“外部”（例如 Internet）访问权限。然后，必须将此要求构建到网络体系结构和主机布置中（例如使用 DMZ 布置）。
• 随着时间的推移，保护大量主机的防火墙规则集趋向于变得非常复杂。（参见特拉维夫大学 Avishai Wool 教授关于此主题的工作。）
• 防火墙必须终止或代理穿越防火墙的端到端加密流量，以检查该加密流量的内容。

在分布式防火墙模型中，网络上的每个主机都负责过滤它单独接收的流量。理论上，这改善了上述问题。

是否有任何类型的攻击可以通过使用分布式防火墙来防止？

分布式防火墙强调单个主机的安全性。因此，分布式模型可能具有优势的特定场景包括：

• 主机之间的攻击，即发生在网络边界内的攻击。
• 根据定义已经在网络边界内的恶意内部人员。
• 击败或破坏外围防火墙的攻击（例如 Mike Schiffman 和 Dave Goldsmith 的“Firewalking”技术。）

我还要指出，分布式防火墙的想法虽然很有趣，但在现实世界中并没有太大的吸引力。外围防火墙仍然普遍存在。可能有人会说分布式防火墙是支持网络的基于主机的配置管理的先驱，尽管这可能有点牵强。

学术研究

关于分布式防火墙主题的早期学术研究是由 Steven M. Bellovin（他也是Firewalls & Internet Security一书的合著者）进行的。Bellovin 关于分布式防火墙主题的两篇最著名的论文是：

1. 分布式防火墙(1999)
2. 实施分布式防火墙(2000)

如果您有兴趣查看其他学术研究，可以在 Microsoft 的学术搜索服务中搜索“分布式防火墙”，该服务目前返回 77 个结果。

我希望这是有用的。祝你好运！