（計(jì)算機(jī)應(yīng)用技術(shù)專業(yè)論文）基于負(fù)載均衡機(jī)制的防火墻技術(shù)研究與實(shí)現(xiàn).pdf

藹安建筑科技大學(xué)碩士學(xué)位論文 基于負(fù)載均衡機(jī)制的防火墻技術(shù)研究與實(shí)現(xiàn) y 5 3 6 9 7 1 專業(yè) 計(jì)算機(jī)應(yīng)用技術(shù) 碩士生 趙征 指導(dǎo)教師 馬光思教授 摘要 網(wǎng)絡(luò)安全始終是計(jì)算機(jī)科學(xué)技術(shù)領(lǐng)域引人注目的重大研究課題 防火墻作為互聯(lián)網(wǎng)絡(luò)安全 奎需的基礎(chǔ)設(shè)備 其技術(shù)在過(guò)去近十年里經(jīng)歷了不斷的完善和更新 在對(duì)防火墻一直追求的安 e 靈活 可用等性能指標(biāo)中 高可用性始終是防火墻技術(shù)發(fā)展的主要方向 本文作者以國(guó)家 十五 科技攻關(guān)項(xiàng)目 銀行信息系統(tǒng)安全保密平臺(tái) 的子課題 基于負(fù)載均衡機(jī)制的防火墻技術(shù)研究 為背景 開(kāi)展了大量的研發(fā)工作 在理論和實(shí)踐方面 g 獲得了很大收益 結(jié)合實(shí)際課題 論文概要論述了防火墻的基本概念 特點(diǎn) 分類 關(guān)鍵技術(shù)及其發(fā)展 按 淝負(fù)載均衡機(jī)制用于防火墻的策略 探討了負(fù)載均衡的概念 傳輸鏈路聚合 交換技術(shù) 并 照防火墻系統(tǒng)的體系結(jié)構(gòu) 詳細(xì)介紹了l v s 集群策略和各種均衡算法 論文進(jìn)而從設(shè)計(jì)目標(biāo)出發(fā) 根據(jù)作者在項(xiàng)目研發(fā)中所取得的成果 全面闡述了設(shè)計(jì)思路 統(tǒng)平臺(tái)的構(gòu)建 采用的核心技術(shù) 并以此為基礎(chǔ)深入討論了服務(wù)負(fù)載均衡模塊和雙機(jī)熱備份 泱的設(shè)計(jì)和實(shí)現(xiàn)方法 其中包括d n a t 技術(shù) l c 最少連接 算法 心跳檢測(cè)技術(shù) 同步配置 略 盡管加入服務(wù)負(fù)載均衡模塊和雙擊熱備份模塊大大提高了防火墻系統(tǒng)的性能 但沒(méi)改變防 墻單點(diǎn)接入的現(xiàn)狀 為了更好地改善整個(gè)系統(tǒng)性能 在分布式防火墻和防火墻集群的基礎(chǔ)上 文給出了防火墻集群系統(tǒng)的開(kāi)發(fā)原型 指出了可能存在的問(wèn)題 實(shí)現(xiàn)的難點(diǎn)及未來(lái)的研究方向 鍵詞 防火墻 負(fù)載均衡 地址轉(zhuǎn)換 雙機(jī)熱備份 防火墻集群 西安建筑科技大學(xué)碩士學(xué)位論文 r e s e a r c h i m p l e m e n l a t i o no fl o a d i n gb a l a n c e o nf i r e w a l l s p e c i a l t y c o m p u t e ra p p l i c a t i o nt e c h n o l o g y n a m e z h a oz h e n g i n s t r u c t o r p r o f m ag u a n g s i a b s t r a c t n e t w o r ks e c u r i t yw a sa l li m p o r t a n ti s s u ei nc o m p u t e rs c i e n c e f i r e w a l l a st h eb a s i c s t r u c t u r eo nt h en e t w o r k s e c u r i t y h a v ei m p r o v e da n du p d a t e d i nt h er e c e n tt e ny e a r s i nt h e c h a r a c t e r so ff i r e w a l l s u c ha ss e c u r i t y f l e x i b i l i t ya n da v a i l a b i l i t y h i g ha v a i l a b i l i t yi sa t a r g e ti nt h ef u t u r eo f f i r e w a l l r e s e a r c ho f l o a d i n g b a l a n c eo nf i r e w a l li sa s u b p r o j e c t o f r e s e a r c h i n g a n d i m p l e m e n t i n go nt h es e c u r i t yp l a t f o r mo fb a n k i n gi n f o r m a t i o ns y s t e m ak e ys t a t e l e v e l t e c h n o l o g yd e v e l o p m e n tp r o j e c ti nt h et e n t hf i v ey e a r p l a np e r i o d b a s e do nt h i sp r o j e c t w ed ol o t so f r e s e a r c h t h u sb e n e f i tf r o m b o t ht h e o r ya n d p r a c t i c e i nt h i sp a p e r w eg a v et h ed e f i n i t i o n c h a r a c t e r c l a s s k e yt e c h n o l o g yo ff l r e w a l la n d i t sd e v e l o p m e n t a c c o r d i n gt ol o a d i n gb a l a n c eo nf i r e w a l l w ed e s c r i b e dl o a d i n gb a l a n c e s c o n c e p t i o n t r a n s p o r tl i n kp o l y m e r i z a t i o n e x c h a n g et e c h n o l o g y e s p e c i a l l yl v s c l u s t e ra n d b a l a n c ea l g o r i t h m s f r o mt h ed e s i g no b j e c to ft h i ss u b p r o j e c t w ee x p o u n dt h ed e s i g nt h i n k i n g s y s t e m s t r u c t u r ea n dc o r et e c h n o l o g y a n db a s e do nt h i s w ea d d r e s st h ed e s i g na n dm e t h o do f s e r v e r s l o a d i n g b a l a n c em o d u l ea n dh o t s t a n d b ym o d u l e i n c l u d i n gd n a t l c a l g o r i t h m s h e a r t b e a ti n s p e c t i o n a n ds y n c h r o n i z a t i o np o l i c y a l t h o u g h w eh a v e i m p r o v e dp e r f o r m a n c e o ff i r e w a l l u s i n g m o d u l e so fs e r v e r s l o a d i n gb a l a n c ea n d h o ts t a n d b y w ec a n ts e r l es i n g l ee n t r yp o i n to ff i r e w a l l i no r d e rt o m o r ei m p r o v ef i r e w a l lp e r f o r m a n c e a f t e rr e s e a r c h i n ga n da n a l y z i n gd i s t r i b u t e df i r e w a l l a n df i r e w a l lc l u s t e r w ep r e s e n tt h ed e v e l o p m e n tp r o t o t y p eo ff i r e w a l lc l u s t e rs y s t e m d i f f i c u l t i e s a tl a s t w es u m m a r i z eo fo u rd e s i g na n dp u r p o s et h ed e v e l o p m e n td i r e c t i o no ff u t u r e f i r e w a l j k e y w o r d f i r e w a l l l o a d i n gb a l a n c e n a t h o ts t a n d b y f i r e w a l lc l u s t e r 聲明 本人鄭重聲明我所呈交的論文是我個(gè)人在導(dǎo)師指導(dǎo)下 進(jìn)行的研究工作及取得的研究成果 盡我所知 除了文中特 別加以標(biāo)注和致謝的地方外 論文中不包含其他人已經(jīng)發(fā)表 或撰寫(xiě)過(guò)的鏟究成果 也不包含本人或其他人在其它單位已 申請(qǐng)學(xué)位或?yàn)槠渌猛臼褂眠^(guò)的成果 與我一同工作的同志 對(duì)本研究所做的所有貢獻(xiàn)均已在論文中作了明確的說(shuō)明并 表示了致謝 申請(qǐng)學(xué)位論文與資料若有不實(shí)之處 本人承擔(dān)一切相關(guān) 責(zé)任 論文作者簽名 凇彳諺 日期 細(xì)弓 弓 關(guān)于論文使用授權(quán)的說(shuō)明 本人完全了解西安建筑科技大學(xué)有關(guān)保留 使用學(xué)位論 文的規(guī)定 即 學(xué)校有權(quán)保留送交論文的復(fù)印件 允許論文 被查閱和借閱 學(xué)?？梢怨颊撐牡娜炕虿糠謨?nèi)容 可以 采用影印 縮印或者其它復(fù)制手段保存論文 保密的論文在論文解密后應(yīng)遵守此規(guī)定 論文作者簽名 奐一秒導(dǎo)師簽名 注 請(qǐng)將此頁(yè)附在論文首頁(yè) 日期 多 肜 西安建筑科技大學(xué)碩士學(xué)位論文 1 緒論 1 1 研究背景 隨著i n t e m e t 在世界范圍內(nèi)的日益普及 網(wǎng)絡(luò)資源的安全問(wèn)題變得越來(lái)越重要 1 9 8 8 年1 1 月發(fā)生的 蠕蟲(chóng) 事件 使人們更加意識(shí)到計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題同網(wǎng)絡(luò)的其他技術(shù)一樣應(yīng)該 作為今后計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展必須研究的重大課題 1 9 9 6 年美國(guó)國(guó)防部宣布其計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在該 年內(nèi)曾遭受到非法用戶的攻擊多達(dá)2 5 萬(wàn)次 而且這些攻擊中有2 3 獲得成功 盡管大多數(shù)攻擊 未造成損失 但畢竟是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的潛在威脅l l 針對(duì)各種侵襲 采取什么手段進(jìn)行防備 人們可以選擇各種各樣的安全模式或手段 范圍 從完全沒(méi)有安全 模棱兩可的安全 主機(jī)安全 到網(wǎng)絡(luò)安全 相關(guān)安全設(shè)施中 防火墻作為 非常有效的網(wǎng)絡(luò)安全模型 對(duì)防止因特網(wǎng)的威脅傳播到內(nèi)部網(wǎng)絡(luò)起到了非常重要的作用 從第一臺(tái)防火墻誕生至今 已經(jīng)有十多年了 在這十多年中 防火墻經(jīng)歷了體系 結(jié)構(gòu)和 技術(shù)等多方面的變革 第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn) 采用了包過(guò)濾 p a c k e tf i l t e r 技術(shù) 1 9 8 9 年 貝爾實(shí)驗(yàn)室的d a v e p r e s o t t o 和h o w a r dt r i e k e y 推出了第二代防火墻 即電路層 防火墻 同時(shí)提出了第三代防火墻一應(yīng)用層防火墻 代理防火墻 的初步結(jié)構(gòu) 1 9 9 2 年 u s c 信息科學(xué)院的b o b b r a d e n 開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾 d y n a m i cp a c k e tf i l t e r 技術(shù)的第四代 防火墻 后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)檢 1 j s t a t e f u li n s p e c t i o n 技術(shù) 1 9 9 4 年 以色列的c h e c k p o i n t 公司開(kāi)發(fā)出了第一個(gè)基于這種技術(shù)的商業(yè)化的產(chǎn)品 防火墻技術(shù) 作為一種網(wǎng)絡(luò)安全技術(shù)在政府 金融 電信 軍事等領(lǐng)域得到廣泛應(yīng)用 特 別是金融領(lǐng)域 帳戶的安全性不僅關(guān)系著客戶利益 更關(guān)系著國(guó)家金融體系的穩(wěn)定 自 八五 以來(lái) 我國(guó)政府和金融業(yè)自身日漸重視金融信息安全 十五 期間 由中國(guó)人民銀行連同國(guó) 內(nèi)各商業(yè)銀行共同提出的 銀行信息系統(tǒng)安全保密平臺(tái) 被列為國(guó)家 十五 科技攻關(guān)項(xiàng)目 該項(xiàng)目由武漢人行承擔(dān)并進(jìn)行應(yīng)用示范 億陽(yáng)信通作為合作單位參與開(kāi)發(fā) 本人在億陽(yáng)信通實(shí) 習(xí)期間有幸參與了此項(xiàng)目組的一些工作 武漢人行信息專網(wǎng) 是基于a t m 技術(shù)和i n t e m e t 技術(shù)的寬帶多媒體綜合信息網(wǎng)絡(luò)系統(tǒng) 所 有的應(yīng)用系統(tǒng)都建立在這個(gè)統(tǒng)一的公共通信網(wǎng)絡(luò)平臺(tái) 信息網(wǎng)除提供信息交換網(wǎng)絡(luò)平臺(tái) 同時(shí) 也要為網(wǎng)絡(luò)互聯(lián)和信息交換提供相應(yīng)的安全機(jī)制和安全平臺(tái) 信息網(wǎng)的安全需求是全方位的 整體的 而網(wǎng)絡(luò)安全是分層次的 需要在不同層面解決不同的安全問(wèn)題 主要包括網(wǎng)絡(luò)層安全 應(yīng)用層安全以及安全檢測(cè)和報(bào)警 該項(xiàng)目中 網(wǎng)絡(luò)層安全主要解決網(wǎng)絡(luò)互聯(lián)過(guò)程和網(wǎng)絡(luò)通訊層安全問(wèn)題 主要包括 1 網(wǎng) 絡(luò)進(jìn)出控制 2 網(wǎng)絡(luò)和鏈路層數(shù)據(jù)加密 3 對(duì)外通信的管理控制和計(jì)費(fèi) 在所構(gòu)建安全網(wǎng) 西安建筑科技大學(xué)碩士學(xué)位論文 絡(luò)結(jié)構(gòu)中 可將整個(gè)網(wǎng)絡(luò)劃分為非安全區(qū) 停火區(qū)和安全區(qū) 在非安全區(qū)中放置公開(kāi)的不需要 任何安全措施的信息 ?；饏^(qū)為內(nèi)部網(wǎng)用戶提供對(duì)外訪問(wèn)的連接和管理 以及整個(gè)網(wǎng)絡(luò)管理 安全區(qū)內(nèi)為所有重要的服務(wù)器 由于內(nèi)部和外部用戶都能到達(dá)停火區(qū) 所以它提供對(duì)內(nèi)和對(duì)外 的各種服務(wù) 負(fù)責(zé)傳遞或代理內(nèi)外相互之間的訪問(wèn) 并在?；饏^(qū)內(nèi)部針對(duì)應(yīng)用服務(wù)進(jìn)行細(xì)粒度 訪闖控制 對(duì)客戶和服務(wù)器雙方進(jìn)行身份驗(yàn)證 同時(shí)對(duì)安全區(qū)中服務(wù)器的服務(wù)提供代理 實(shí)旋 第一層次的安全保護(hù) 這里要求在?；饏^(qū)和非安全區(qū)的出入口處設(shè)置防火墻 從而可以看出 網(wǎng)絡(luò)層安全主要是通過(guò)防火墻產(chǎn)品解決劃分網(wǎng)絡(luò)結(jié)構(gòu) 管理和控制內(nèi)部與外部通信 通過(guò)防火 墻上的n a t 或p r o x y 功能可以實(shí)現(xiàn)內(nèi)部用戶對(duì)外部的間接訪問(wèn) 目前流行的防火墻也設(shè)定一定 的流量記錄和計(jì)費(fèi)功能 作為網(wǎng)絡(luò)層安全的關(guān)鍵環(huán)節(jié) 項(xiàng)目對(duì)防火墻提出了更高的要求 對(duì)于?；饏^(qū)和安全區(qū)的集 群服務(wù)器 不再采用d n s 實(shí)現(xiàn)負(fù)載均衡 而是直接利用防火墻 作為集中式調(diào)度器 解決在 多個(gè)服務(wù)器結(jié)點(diǎn)問(wèn)均衡分配用戶請(qǐng)求響應(yīng) 同時(shí) 由于傳統(tǒng)防火墻始終采用單點(diǎn)接入網(wǎng)絡(luò) 其 數(shù)據(jù)流量和計(jì)算強(qiáng)度之大 使得單一設(shè)備無(wú)法承擔(dān) 一旦防火墻崩潰 整個(gè)網(wǎng)絡(luò)將陷入癱瘓 為保證防火墻始終有效 對(duì)防火墻構(gòu)建雙機(jī)熱備份模塊 為更好地實(shí)現(xiàn)項(xiàng)目要求 項(xiàng)目組提出 基于負(fù)載均衡機(jī)制的防火墻技術(shù)研究 課題并將它 列為 銀行信息系統(tǒng)安全保密平臺(tái) 的予項(xiàng)目 1 2 作者在系統(tǒng)開(kāi)發(fā)中所承擔(dān)的工作 對(duì)國(guó)家 十五 科技攻關(guān)項(xiàng)目 銀行信息系統(tǒng)安全保密平臺(tái) 的子項(xiàng)目 作者主要負(fù) 責(zé)承擔(dān)研究任務(wù)有 1 利用服務(wù)集群 實(shí)現(xiàn)防火墻上的服務(wù)負(fù)載均衡 2 防火墻實(shí)現(xiàn)雙機(jī) 熱備份 保證任何時(shí)間防火墻都能夠正常工作 3 為進(jìn)一步提高防火墻的可用性 分析國(guó)外 目前研究情況 從理論上給出防火墻集群模型 1 3 本文組織結(jié)構(gòu) 第一章為緒論 給出了課題的研究背景以及作者所承擔(dān)的工作 第二章為防火墻的基礎(chǔ)知 識(shí) 主要介紹防火墻的概念 特點(diǎn) 技術(shù)發(fā)展現(xiàn)狀和防火墻的關(guān)鍵技術(shù) 第三章為負(fù)載均衡機(jī) 制 從防火墻中負(fù)載均衡機(jī)制的提出談起 給出了負(fù)載均衡的概念 策略 特別強(qiáng)調(diào)l v s 集群 技術(shù) 第四章為基于負(fù)載均衡防火墻的設(shè)計(jì)與實(shí)現(xiàn) 在總體設(shè)計(jì)中給出需求分析 系統(tǒng)體系結(jié) 構(gòu) 關(guān)鍵技術(shù)和性能目標(biāo) 緊接著分別詳細(xì)介紹了服務(wù)負(fù)載均衡和雙機(jī)熱備份兩個(gè)模塊的設(shè)計(jì) 和實(shí)現(xiàn) 第五章為進(jìn)一步設(shè)想 為更好地解決防火墻單點(diǎn)失效問(wèn)題 目前國(guó)外提出了兩種方法 分布式防火墻和多臺(tái)防火墻集群系統(tǒng) 根據(jù)實(shí)際情況 作者給出了 種集群系統(tǒng)的實(shí)現(xiàn)模 犁 西安建筑科技大學(xué)碩士學(xué)位論文 2 防火墻及其關(guān)鍵技術(shù) 2 1 防火墻的定義 防火墻是一種網(wǎng)絡(luò)安全技術(shù) 它最初被定義為實(shí)施某些安全策略 保護(hù)可信網(wǎng)絡(luò) 用以防 止來(lái)自不可信網(wǎng)絡(luò)攻擊的設(shè)施 但隨著人們意識(shí)到威脅不僅來(lái)自外部網(wǎng)絡(luò) 還可能來(lái)自內(nèi)部網(wǎng) 絡(luò) 并且技術(shù)上也有可能實(shí)施更多的解決方案時(shí) 現(xiàn)在的防火墻逐漸發(fā)展為在兩個(gè)網(wǎng)絡(luò)之間強(qiáng) 制實(shí)施訪問(wèn)控制策略的一個(gè)系統(tǒng)或一組系統(tǒng) 簡(jiǎn)單地說(shuō) 防火墻就是用來(lái)保護(hù)可信網(wǎng)絡(luò)不受非可信網(wǎng)絡(luò)侵入的一種機(jī)制 并且允許在兩 個(gè)網(wǎng)絡(luò)之間的通信 它應(yīng)具有的功能大致包括 拒絕未經(jīng)授權(quán)的用戶訪問(wèn) 阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù) 允許合法用戶不受妨礙地訪問(wèn)網(wǎng)絡(luò)資源 2 2 防火墻的體系結(jié)構(gòu) 防火墻可以有不同的結(jié)構(gòu) 如雙重宿主主機(jī)體系結(jié)構(gòu) 被屏蔽主機(jī)體系結(jié)構(gòu)和被屏蔽子網(wǎng) 體系結(jié)構(gòu) 2 4 1 2 2 1 雙重宿主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)是一個(gè)被取消路由功能的主機(jī) 與雙重宿主主機(jī)相連的外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò) 之間在網(wǎng)絡(luò)層是斷開(kāi)的 這樣做的目的是使外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的拓?fù)?雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口 這種主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由 器 它能從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)發(fā)送口數(shù)據(jù)包 然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這 種發(fā)送 因此 i p 數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)直接發(fā)送到另 個(gè)網(wǎng)絡(luò) 外部網(wǎng)絡(luò)與雙重宿主主機(jī) 通信 內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信 但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信 它們之間 的通信必須經(jīng)過(guò)雙重宿主主機(jī)的過(guò)濾和控制 雙重宿主主機(jī)防火墻的體系結(jié)構(gòu)相當(dāng)簡(jiǎn)單 它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間 圖2 1 顯示 了這種體系結(jié)構(gòu) 西安建筑科技大學(xué)碩士學(xué)位論文 一i 匿 宿l 主主機(jī) 圖2 1 雙重宿主主機(jī)體系結(jié)構(gòu)防火 嗇 雙重宿主主機(jī)體系結(jié)構(gòu)防火墻只能以代理的方式提供服務(wù) 可用于維護(hù)系統(tǒng)日志 硬件拷 貝日志和遠(yuǎn)程日志 這對(duì)日后檢查很有幫助 但不能幫助網(wǎng)絡(luò)管理者確認(rèn)內(nèi)部網(wǎng)中哪些主機(jī)可 能已被黑客入侵 采用這種體系結(jié)構(gòu)的致命弱點(diǎn)是 一旦入侵者侵入雙重宿主主機(jī)并使其只具有路由功能 則任何網(wǎng)上用戶均可隨便訪問(wèn)內(nèi)部網(wǎng) 例如 若雙重宿主主機(jī)的操作系統(tǒng)是u n i x 系統(tǒng)管理 者可以修改核心變量i p f o r w a r a i n g 來(lái)禁止t c p i p 轉(zhuǎn)發(fā) 但熟知該操作系統(tǒng)的黑客設(shè)法取得系統(tǒng) 特權(quán)后 就可以重設(shè)該變量使其具有路由功能 2 2 2 屏蔽主機(jī)體系結(jié)構(gòu) 屏蔽主機(jī)體系結(jié)構(gòu)防火墻使用單獨(dú)一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔開(kāi) 提供服務(wù)的主 機(jī)只連接內(nèi)部網(wǎng)絡(luò) 這種體系結(jié)構(gòu)的防火墻是由路由器和堡壘主機(jī)組成 主要的安全由數(shù)據(jù)包 過(guò)濾保證 圖2 2 給出這種防火墻的體系結(jié)構(gòu) 4 西安建筑科技大學(xué)碩士學(xué)位論文 防火墻0i 由器 一 灃 內(nèi)部網(wǎng)絡(luò) i 一一一一一 辛 銎 l萄旦i 凰凰匡虱匡 l 一一堡壘圭 一 圖2 2 屏蔽主機(jī)體系結(jié)構(gòu)防火墻 這種體系結(jié)構(gòu)涉及到堡壘主機(jī) 它是i n t e m e t 上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系 統(tǒng) 任何外部系統(tǒng)要訪闖內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺(tái)主機(jī)上 因此堡壘主機(jī)需要保 持更高等級(jí)的主機(jī)安全 一旦攻擊者設(shè)法侵入到堡壘主機(jī) 而且在堡壘主機(jī)和其余的內(nèi)部主機(jī) 之間沒(méi)有任何網(wǎng)絡(luò)安全措施存在的情況下 路由器會(huì)出現(xiàn)一個(gè)單點(diǎn)失敗 如果路由器被損害 整個(gè)網(wǎng)絡(luò)將對(duì)侵襲者就全面開(kāi)放 2 2 3 被屏蔽子網(wǎng)體系結(jié)構(gòu) 被屏蔽子網(wǎng)體系結(jié)構(gòu)增加額外的安全層到被屏蔽的主機(jī)體系結(jié)構(gòu)中 即通過(guò)添加虛擬的內(nèi) 部網(wǎng)絡(luò)更迸一步地把內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔開(kāi) 堡壘主機(jī)是用戶網(wǎng)絡(luò)上最容易受到侵襲的主體 通過(guò)虛擬的內(nèi)部網(wǎng)絡(luò)隔離堡壘主機(jī) 能減 少堡壘主機(jī)被侵入的影響 可以說(shuō) 它只給入侵者一些無(wú)關(guān)緊要的訪問(wèn)機(jī)會(huì) 但不是全部 在 這種結(jié)構(gòu)中 外部網(wǎng)絡(luò)的侵襲者通過(guò)了第一道防火墻 他所看到的是一個(gè)虛擬的內(nèi)部網(wǎng)絡(luò)和堡 壘主機(jī) 在這個(gè)虛擬的環(huán)境中 他看到的是知識(shí)假象 被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單形式是 防火墻為兩個(gè)屏蔽路由器 每個(gè)都連接到虛擬的內(nèi)部網(wǎng)絡(luò)即周邊網(wǎng)絡(luò) 一個(gè)位于周邊網(wǎng)與內(nèi)部 網(wǎng)之間 另一個(gè)位于周邊網(wǎng)與外部網(wǎng)之間 其結(jié)構(gòu)如圖2 3 所示 西安建筑科技大學(xué)碩士學(xué)位論文 圖2 3 屏蔽子網(wǎng)體系結(jié)構(gòu)防火墻 如果攻擊者試圖完全破壞防火墻 他必須重新配置連接三個(gè)網(wǎng)的路由器 既切斷連接 又 不能把自己鎖在外面 同時(shí)又不使自己被發(fā)現(xiàn) 這會(huì)使黑客的性能變得更困難 2 3 防火墻關(guān)鍵技術(shù)及發(fā)展 防火墻技術(shù)隨著信息技術(shù)的迅猛發(fā)展 也經(jīng)歷了由簡(jiǎn)單到復(fù)雜 功能不斷豐富和強(qiáng)大的過(guò) 程 本部分將按照防火墻技術(shù)的發(fā)展歷程簡(jiǎn)要地介紹防火墻中所涉及的關(guān)鍵技術(shù) 舊 2 3 1 包過(guò)濾 包過(guò)濾防火墻 又稱篩選路由器 它一般有一個(gè)包檢查模塊 作用在網(wǎng)絡(luò)層 i p 層 按 照一定的安全策略 信息過(guò)濾規(guī)則 分析進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息 并按照一定授權(quán)通過(guò) 信 息過(guò)濾規(guī)則是以所收到的數(shù)據(jù)包頭信息為基礎(chǔ) 比如i p 數(shù)據(jù)包源地址 口數(shù)據(jù)包目的地址 封裝協(xié)議類型 t c p u d p i c m p 等 t c p i p 源端口號(hào) t c p i p 目的端口號(hào) i c m p 報(bào)文類 型等 當(dāng)一個(gè)數(shù)據(jù)包滿足過(guò)濾規(guī)則 則允許該數(shù)據(jù)包通過(guò) 否則拒絕通過(guò) 它相當(dāng)于數(shù)據(jù)包所 要到達(dá)的網(wǎng)絡(luò)物理上被斷開(kāi) 起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用 包過(guò)濾防火墻具有速度快 邏輯簡(jiǎn)單 成本低 易于安裝和使用等優(yōu)點(diǎn) 并且網(wǎng)絡(luò)性能和 透明度都比較好 其中c p u 用來(lái)處理包過(guò)濾的時(shí)間可以忽略不計(jì) 合法用戶在進(jìn)出網(wǎng)絡(luò)時(shí) 根本感覺(jué)不到包過(guò)濾的存在 但包過(guò)濾技術(shù)也存在不足之處 1 由于該技術(shù)的安全控制層次 只限于數(shù)據(jù)包頭部 對(duì)于惡意的擁塞攻擊 內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段 則無(wú)能 為力 2 包過(guò)濾技術(shù)只能按照規(guī)則取舍數(shù)據(jù)包而不做日志 缺乏用戶級(jí)授權(quán) 3 包過(guò)濾配 西安建筑科技大學(xué)碩士學(xué)位論文 置規(guī)則復(fù)雜 很難準(zhǔn)確地設(shè)置包過(guò)濾器 2 3 2 應(yīng)用代理 代理技術(shù)與包過(guò)濾技術(shù)完全不同 包過(guò)濾是在網(wǎng)絡(luò)層攔截所有的信息流 而代理技術(shù)是針 對(duì)每一個(gè)特定應(yīng)用都有一個(gè)程序 應(yīng)用代理的原理是在應(yīng)用層實(shí)現(xiàn)防火墻功能 即徹底隔斷通 信兩端的直接通信 所有的通信都必須經(jīng)過(guò)應(yīng)用代理層轉(zhuǎn)發(fā) 訪問(wèn)者任何時(shí)候都不能與服務(wù)器 直接建立t c p 連接 應(yīng)用層的協(xié)議會(huì)話過(guò)程必須符合代理的安全策略要求 代理服務(wù)器的優(yōu)點(diǎn)對(duì)于用戶而言 似乎是直接與外部網(wǎng)絡(luò)相連的 代理服務(wù)器對(duì)用戶透明 由于代理機(jī)制完全阻斷了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接聯(lián)系 保證了內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等重要信 息被限制在代理網(wǎng)關(guān)內(nèi)側(cè) 不會(huì)外泄 從而減少了黑客攻擊時(shí)所需的必要信息 另外 應(yīng)用代 理是有狀態(tài)的 它能夠利用擴(kuò)展信息中由應(yīng)用程序產(chǎn)生的信息和部分由通訊上下文產(chǎn)生的狀 態(tài) 具有部分信息處理的能力 然而 代理服務(wù)器的應(yīng)用也受到諸多限制 1 當(dāng)一項(xiàng)新的應(yīng) 用加入時(shí) 如果代理服務(wù)程序不予支持 則此應(yīng)用不能使用 2 應(yīng)用代理防火墻需要在一定 程度上定制用戶系統(tǒng) 這取決于所使用的應(yīng)用程序 而有些應(yīng)用程序可能根本不支持代理連接 3 實(shí)現(xiàn)在應(yīng)用層的應(yīng)用代理 其性能也比較低 2 3 3 狀態(tài)檢測(cè) 狀態(tài)檢測(cè)技術(shù)普遍被認(rèn)為是新一代防火墻的核心技術(shù) 狀態(tài)檢測(cè)防火墻是由c h e c kp o i n t 公司率先提出 又稱為動(dòng)態(tài)包過(guò)濾防火墻 與傳統(tǒng)的包過(guò)濾技術(shù)相比 狀態(tài)檢測(cè)對(duì)新建的應(yīng)用 連接 檢查預(yù)先設(shè)置的安全規(guī)則 允許符合規(guī)則的連接通過(guò) 并在內(nèi)存中記錄下該連接的相關(guān) 信息 生成狀態(tài)檢測(cè)表 對(duì)于該連接的后續(xù)數(shù)據(jù)包 只要符合狀態(tài)表 就可以通過(guò) 這種方式的好處在于 1 由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查 而是一個(gè)連接的后續(xù) 數(shù)據(jù)包通過(guò)哈希算法 直接進(jìn)行狀態(tài)檢查 從而使得性能得到了較大提高 2 由于狀態(tài)表是 動(dòng)態(tài)的 因而可以有選擇地 動(dòng)態(tài)地開(kāi)通1 0 2 4 號(hào)以上的端口 使得安全性得到進(jìn)一步地提高 3 部分狀態(tài)檢測(cè)型防火墻還支持多種用戶認(rèn)證方式 提供了應(yīng)用級(jí)的安全認(rèn)證手段 增加 了某些應(yīng)用代理功能 使得安全控制粒度更為細(xì)致 它的缺點(diǎn)在于這種狀態(tài)檢測(cè)可能造成網(wǎng)絡(luò) 連接的某種遲滯 需要硬件性能的補(bǔ)充 2 3 4 地址轉(zhuǎn)換技術(shù) 網(wǎng)絡(luò)地址轉(zhuǎn)換 n a t 1 5 6 7 1 作為防火墻的一個(gè)重要功能 它能將內(nèi)部地址和外部地址進(jìn)行 轉(zhuǎn)換 以使具備內(nèi)部地址的計(jì)算機(jī)能訪問(wèn)外部網(wǎng)絡(luò) 同樣 外部網(wǎng)絡(luò)訪問(wèn)防火墻擁有的某 b 西安建筑科技大學(xué)碩士學(xué)位論文 部地址時(shí) 防火墻能將其轉(zhuǎn)發(fā)到該地址映射的內(nèi)部地址的計(jì)算機(jī)上 n a t 從功能上講分為源網(wǎng)絡(luò)地址轉(zhuǎn)換和目的網(wǎng)絡(luò)地址轉(zhuǎn)換 從實(shí)現(xiàn)方法上講分為靜態(tài)地址 轉(zhuǎn)換和動(dòng)態(tài)地址轉(zhuǎn)換 n a t 技術(shù)已經(jīng)成熟 但是由網(wǎng)絡(luò)地址轉(zhuǎn)化發(fā)展而來(lái)的技術(shù) 負(fù)載均衡 地址偽裝以及透明代理 成為大眾所關(guān)注的研究熱點(diǎn) 2 3 5 其它防火墻技術(shù) 除上面介紹的防火墻技術(shù)外 一些新的技術(shù)正在防火墻產(chǎn)品中采用 主要有 1 內(nèi)容檢查技術(shù) 內(nèi)容檢查技術(shù)提供對(duì)高層服務(wù)協(xié)議數(shù)據(jù)的監(jiān)控能力 確保用戶的安全 包括計(jì)算機(jī)病毒 惡意的j a v a a p p l e t 或a c t i v e x 攻擊 惡意電子郵件及不健康網(wǎng)頁(yè)內(nèi)容的過(guò)濾防護(hù) 2 安全審計(jì) 絕對(duì)的安全是不可能的 因此必須對(duì)網(wǎng)絡(luò)上發(fā)生的事件進(jìn)行記載和分析 對(duì)某些保護(hù)網(wǎng)絡(luò) 的敏感信息訪問(wèn)保持不問(wèn)斷的記錄 并通過(guò)各種類型的報(bào)表 報(bào)警等方式向系統(tǒng)管理人員進(jìn)行 報(bào)告 比如在防火墻的控制臺(tái)上實(shí)時(shí)顯示與安全有關(guān)的信息 對(duì)用戶1 3 令非法 非法訪問(wèn)進(jìn)行 動(dòng)態(tài)跟蹤等 3 身份認(rèn)證 目前 一般防火墻主要提供三種認(rèn)證方法 用戶認(rèn)證 防火墻設(shè)定可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源的用戶訪問(wèn)權(quán)限 客戶認(rèn)證 防火墻提供特定用戶端授權(quán)用戶特定的服務(wù)權(quán)限 會(huì)話認(rèn)證 防火墻提供通信雙方每次通信時(shí)透明的會(huì)話授權(quán)機(jī)制 2 4 小結(jié) 本節(jié)給出防火墻的定義 主要體系結(jié)構(gòu)和防火墻的關(guān)鍵技術(shù) 從以上對(duì)防火墻各階段技術(shù) 的回顧中也可以看出 包過(guò)濾防火墻在網(wǎng)絡(luò)層提供訪問(wèn)控制 這使得它能夠帶來(lái)高性能和可擴(kuò) 展性 但卻是安全性最差的一類防火墻 因?yàn)樗粰z查地址和端口 使得應(yīng)用層協(xié)議的數(shù)據(jù)很 容易被黑客攻破 應(yīng)用代理防火墻彌補(bǔ)了包過(guò)濾的弱點(diǎn) 在應(yīng)用層實(shí)現(xiàn) 能夠做復(fù)雜的訪問(wèn)控 制 并做精細(xì)的日志和審核 安全性提高 但應(yīng)用代理防火墻對(duì)每一種協(xié)議都需要相應(yīng)的代理 程序 工作量增大 造成性能明顯下降 而在此基礎(chǔ)上的狀態(tài)檢測(cè)防火墻 克服前面兩種技術(shù) 的限制 對(duì)每 個(gè)連接 建立動(dòng)態(tài)的狀態(tài)表 不再需要對(duì)每個(gè)包進(jìn)行規(guī)則檢查 性能得到比較 大地提高 并且能夠從應(yīng)用層提取與狀態(tài)有關(guān)的信息做出安全決策 安全性能進(jìn)一步提高悼j 西安建筑科技大學(xué)碩士學(xué)位論文 從安全性角度考慮 防火墻安全性不斷提高 但其作為網(wǎng)絡(luò)進(jìn)出的唯一扼守點(diǎn) 始終沒(méi)有 改變 使得防火墻單點(diǎn)故障和網(wǎng)絡(luò)性能瓶頸不能得到根本性改變 這就要求防火墻向高性能發(fā) 展 它對(duì)提高防火墻的性能和可伸縮性方面都有很大作用 在基于負(fù)載均衡機(jī)制的防火墻技術(shù) 研究中 主要應(yīng)用了狀態(tài)檢測(cè)技術(shù) 網(wǎng)絡(luò)地址轉(zhuǎn)換和負(fù)載均衡技術(shù) 西安建筑科技大學(xué)碩士學(xué)位論文 3 負(fù)載均衡機(jī)制 3 1 防火墻中負(fù)載均衡機(jī)制的提出 當(dāng)今計(jì)算機(jī)技術(shù)已進(jìn)入以網(wǎng)絡(luò)為中心的計(jì)算時(shí)代 從上世紀(jì)九十年代中期 萬(wàn)維網(wǎng) w o r l d w i d e w e b 的出現(xiàn)以其簡(jiǎn)單操作方式將圖文并茂的網(wǎng)上信息帶給普通大眾 到今天 經(jīng)濟(jì) 文化 生活都強(qiáng)烈地依賴于網(wǎng)絡(luò) 網(wǎng)上業(yè)務(wù)量的發(fā)展遠(yuǎn)遠(yuǎn)超出了人們的估計(jì) 這促進(jìn)i n t e m e t 用戶劇烈 增長(zhǎng)和i n t e m e t 流量爆炸式地增長(zhǎng) 特別是網(wǎng)絡(luò)的核心部分 其數(shù)據(jù)流量和計(jì)算強(qiáng)度之大 使得 單一設(shè)備根本無(wú)法承擔(dān) 如何在完成同樣功能的多個(gè)設(shè)備之間實(shí)現(xiàn)合理的業(yè)務(wù)量分配 改變一些 設(shè)備過(guò)忙影響效率 甚或?qū)е洛礄C(jī) 而別的設(shè)備卻處于閑置 不能充分發(fā)揮作用的現(xiàn)象 就成了 急需解決的問(wèn)題 負(fù)載均衡機(jī)制因此應(yīng)運(yùn)而生 防火墻 位于內(nèi)部網(wǎng)和外部網(wǎng)的交界點(diǎn)上 所有客戶的連接請(qǐng)求都必須經(jīng)由防火墻才能訪問(wèn) 內(nèi)部網(wǎng)絡(luò)的服務(wù)器 因而可以通過(guò)增加防火墻功能 建立服務(wù)器集群系統(tǒng) 將客戶端的用戶請(qǐng)求 均衡地分配到集群系統(tǒng)的各個(gè)設(shè)備上 另外 在網(wǎng)絡(luò)中 單臺(tái)防火墻本身也會(huì)造成網(wǎng)絡(luò)瓶頸 為 了解決該問(wèn)題 在并行多臺(tái)防火墻方案中 提出了集群防火墻 這也是未來(lái)防火墻的發(fā)展方向 3 2 負(fù)載均衡機(jī)制的基本概念 3 2 1 負(fù)載均衡機(jī)制的定義 負(fù)載均衡是一種策略 它使得多臺(tái)服務(wù)器或多條鏈路共同承擔(dān)一些繁重的計(jì)算或f o 任務(wù) 從而以較低成本消除網(wǎng)絡(luò)瓶頸 提高網(wǎng)絡(luò)的靈活性和可靠性 它處理的主要任務(wù)有 解決網(wǎng)絡(luò)擁 塞問(wèn)題 就近提供服務(wù) 實(shí)現(xiàn)位置無(wú)關(guān)性 為用戶提供更好的訪問(wèn)質(zhì)量 提高服務(wù)器響應(yīng)速度 提高服務(wù)器及其他資源的利用率 避免網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點(diǎn)失效等網(wǎng) 3 2 2 負(fù)載均衡機(jī)制的分類 負(fù)載均衡機(jī)制包括兩種 一種是靜態(tài)負(fù)載均衡 一種是動(dòng)態(tài)負(fù)載均衡 9 1 靜態(tài)負(fù)載均衡采取 一勞永逸的方式把任務(wù)分配給處理器 要求預(yù)先知道程序狀態(tài) 設(shè)備性能 根據(jù)系統(tǒng)的先驗(yàn)知識(shí) 做出決策 但是在運(yùn)行時(shí)負(fù)載不能重新分配 相反 動(dòng)態(tài)負(fù)載均衡很少假設(shè)任務(wù)執(zhí)行時(shí)問(wèn)或通信 延遲等運(yùn)行時(shí)的先驗(yàn)信息 由于系統(tǒng)根據(jù)當(dāng)前的負(fù)載狀況來(lái)調(diào)整任務(wù)劃分 重分配進(jìn)程 所以更 好地動(dòng)態(tài)使用了全系統(tǒng)的所有資源 提高了系統(tǒng)的性能 然而 負(fù)載是有代價(jià)的 它主要來(lái)自三 1 0 西安建筑科技大學(xué)碩士學(xué)位論文 方面 1 處理器間傳播的負(fù)載信息 2 任務(wù)轉(zhuǎn)移前的任務(wù)選擇的決定 3 任務(wù)移植的通信延 遲 因而 在實(shí)現(xiàn)動(dòng)態(tài)負(fù)載均衡時(shí)要采取有效的策略阿氐負(fù)載分配的代價(jià) 3 3 負(fù)載均衡的策略 對(duì)一個(gè)網(wǎng)絡(luò)的負(fù)載均衡應(yīng)用 可以從網(wǎng)絡(luò)的不同層次入手 具體情況要看對(duì)網(wǎng)絡(luò)瓶頸所在之 處的具體分析 大體上不外乎從傳輸鏈路聚合 采用更高層網(wǎng)絡(luò)交換技術(shù)和設(shè)置服務(wù)器集群策略 三個(gè)角度實(shí)耐1 0 l 3 3 1 傳輸鏈路聚合 鏈路聚合技術(shù) 將多個(gè)線路的傳輸容量融合成一個(gè)單一的邏輯連接 當(dāng)原有的線路滿足不了 需求 而單一線路的升級(jí)又太昂貴或難以實(shí)現(xiàn)時(shí) 就要采用多線路的解決方案了 縣前有4 種鏈 路聚合技術(shù)可以將多條線路 捆綁 起來(lái) 同步i m u x 系統(tǒng)工作在t l 厄1 的比特層 利用多個(gè)同步 的d s i 信道傳輸數(shù)據(jù) 來(lái)實(shí)現(xiàn)負(fù)載均衡 i m a 是另外 種多線路的反向多路復(fù)用技術(shù) 工作在 信元級(jí) 能夠運(yùn)行在使用a t m 路由器的平臺(tái)上 用路由器來(lái)實(shí)現(xiàn)多線路是一種流行的鏈路聚合 技術(shù) 路由器可以根據(jù)已知的目的地址的緩沖 c a c h e 大小 將分組分配給各個(gè)平行的鏈路 也 可以采用循環(huán)分配的方法來(lái)向線路分發(fā)分組 多重鏈路p p p 又稱m p 或m l p 是應(yīng)用于使用 p p p 封裝數(shù)據(jù)鏈路的路由器負(fù)載平衡技術(shù) m p 可以將大的p p p 數(shù)據(jù)包分解成小的數(shù)據(jù)段 再將 其分發(fā)給平行的多個(gè)線路 還可以根據(jù)當(dāng)前的鏈路利用率來(lái)動(dòng)態(tài)地分配撥號(hào)線路 這樣盡管速度 很慢 因?yàn)閿?shù)據(jù)包分段和附加的緩沖都增加時(shí)延 但可以在低速線路上運(yùn)行得很好 鏈路聚合系統(tǒng)增加了網(wǎng)絡(luò)的復(fù)雜性 但也提高了網(wǎng)絡(luò)的可靠性 使人們可以在服務(wù)器等關(guān)鍵 l a n 段的線路上采用冗余路由 對(duì)于口系統(tǒng) 可以考慮采用v r r p 虛擬路由冗余協(xié)議 v r r p 可以生成一個(gè)虛擬缺省的網(wǎng)關(guān)地址 當(dāng)主路由器無(wú)法接通時(shí) 備用路由器就會(huì)采用這個(gè)地址 使 l a n 通信得以繼續(xù) 總之 當(dāng)主要線路的性能必需提高而單條線路的升級(jí)又不可行時(shí) 采用鏈路 聚合技術(shù)l j0 j 不失為一種行之有效的方案 3 3 2 交換技術(shù) 在 層之上的交換一般可分為四層交換和5 7 層交換 現(xiàn)在許多交換機(jī)提供第四層交換功 能 其交換依據(jù)包括河目的p 地址和溺目的端口號(hào) 可以將 個(gè)外部碑地址映射為多個(gè)內(nèi)部 瑤地址 對(duì)每次t c p 連接請(qǐng)求動(dòng)態(tài)使用其中一個(gè)內(nèi)部地址 達(dá)到負(fù)載均衡的目的 而五砘層交 i i 西安建筑科技大學(xué)碩士學(xué)位論文 換則為應(yīng)用層交換 其交換依據(jù)包括h t t p 的u r l 頭字段等 通常又稱為內(nèi)容交換技術(shù) 內(nèi)容交換技術(shù)提供了一種對(duì)訪問(wèn)流量的高層控制方式 通常需要由服務(wù)器組 虛擬p 地址 和內(nèi)容規(guī)則構(gòu)成 檢查所有的h t i p 報(bào)頭 提取報(bào)頭內(nèi)的信息在內(nèi)容規(guī)則庫(kù)中匹配 然后根據(jù)負(fù) 載均衡算法在服務(wù)器組中選定一個(gè)服務(wù)器 待服務(wù)器成功響應(yīng)連接后 內(nèi)容交換機(jī)就可獲得客戶 與服務(wù)器的一個(gè)t c p 的全部信息 圖3 1 給出內(nèi)容交換設(shè)備的運(yùn)行過(guò)程l l l t c p s y n f v i p js y na c k h t t p 一 t c p 一s y na c k h t t p 一 客戶內(nèi)容交換服務(wù)器 圖3 一l 內(nèi)容交換設(shè)各運(yùn)行過(guò)程 目前 交換技術(shù)主要是以集成硬件的方式設(shè)計(jì) 實(shí)旌成本高 特別是內(nèi)容交換技術(shù)所能支持 的標(biāo)準(zhǔn)和規(guī)則的數(shù)目有限 其采用的標(biāo)準(zhǔn)和規(guī)則的靈活性也有限 它還受到能夠同時(shí)開(kāi)啟的t c p 連接數(shù)量以及t c p 連接的建立和斷開(kāi)比率的限制 而且內(nèi)容交換技術(shù)還會(huì)占用大量的系統(tǒng)資源 包括內(nèi)存占用和處理器占用 另外 由于靈活性差 內(nèi)容交換很難與其他網(wǎng)絡(luò)設(shè)備集成 比 如防火墻或者應(yīng)用網(wǎng)關(guān) 所以 選用交換機(jī)解決網(wǎng)絡(luò)負(fù)載均衡問(wèn)題必須認(rèn)真考慮投入與回報(bào) 1 2 3 3 3 集群策略 所謂集群系統(tǒng)是一種并行或分布式處理系統(tǒng) 它就像把很多連接在一起的獨(dú)立計(jì)算機(jī)集成為 一個(gè)單獨(dú)的計(jì)算資源進(jìn)行協(xié)同工作1 1 3 1 4 1 集群系統(tǒng)具有高性能 可擴(kuò)展性 高吞吐量和易用性等 特點(diǎn) 應(yīng)用它可達(dá)到共享和高效利用資源的目的 并提供大型運(yùn)算 均衡分配請(qǐng)求壓力以及故障 恢復(fù)的能力 3 3 3 1l v s 集群的通用體系結(jié)構(gòu) l v s 集群采用i p 負(fù)載均衡技術(shù)和基于內(nèi)容請(qǐng)求分發(fā)技術(shù) 調(diào)度器具有很好的吞吐率 將請(qǐng) 求均衡地轉(zhuǎn)移到不同的服務(wù)器上執(zhí)行 且調(diào)度器自動(dòng)屏蔽掉服務(wù)器的故障 從而將一組服務(wù)器構(gòu) 成一個(gè)高性能的 高可用的虛擬服務(wù)器 整個(gè)服務(wù)器集群的結(jié)構(gòu)對(duì)客戶是透明的 而且無(wú)需修改 客戶端和服務(wù)器端的程序 為此 在設(shè)計(jì)時(shí)需要考慮系統(tǒng)的透明性 可伸縮性 高可用性和易管 1 2 西安建筑科技大學(xué)碩士學(xué)位論文 理性 一般來(lái)說(shuō) l v s 集群采用三層結(jié)構(gòu) 其體系結(jié)構(gòu)如圖3 2 所示 三層主要組成部分為 1 3 1 4 負(fù)載調(diào)度器 1 0 a db a l a n c e r 它是整個(gè)集群對(duì)外的前端機(jī) 負(fù)責(zé)將客戶請(qǐng)求發(fā)送到一組 服務(wù)器上執(zhí)行 而客戶認(rèn)為服務(wù)是來(lái)自同一個(gè)口地址 常可稱之為虛擬p 地址 服務(wù)器池 s e r v e r p 0 0 1 是真正執(zhí)行客戶請(qǐng)求的一組服務(wù)器 執(zhí)行的服務(wù)有w e b m a i l f r p 和d n s 等 共享存儲(chǔ) s h a r e ds t o r a g e 它為服務(wù)器池提供一個(gè)共享的存儲(chǔ)區(qū) 這樣很容易使得服務(wù) 器池?fù)碛邢嗤膬?nèi)容 提供相同的服務(wù) 圖3 2l v s 集群體系結(jié) 調(diào)度器是服務(wù)器集群系統(tǒng)的唯一入口點(diǎn) s i n g l ee n m y p o i n t 它可以采用口負(fù)載均衡技術(shù) 基于內(nèi)容請(qǐng)求分發(fā)技術(shù)或二者相結(jié)合 在m 負(fù)載均衡技術(shù)中 需要服務(wù)器池?fù)碛邢嗤膬?nèi)容提 供相同的服務(wù) 當(dāng)客戶請(qǐng)求到達(dá)時(shí) 調(diào)度器只根據(jù)服務(wù)器負(fù)載情況和設(shè)定的調(diào)度算法從服務(wù)器池 中選出一個(gè)服務(wù)器 將該請(qǐng)求轉(zhuǎn)發(fā)到選出的服務(wù)器 并記錄這個(gè)調(diào)度 當(dāng)這個(gè)請(qǐng)求的其他報(bào)文到 達(dá) 也會(huì)被轉(zhuǎn)發(fā)到前面選出的服務(wù)器 在基于內(nèi)容請(qǐng)求分發(fā)技術(shù)中 服務(wù)器可以提供不同的服務(wù) 當(dāng)客戶請(qǐng)求到達(dá)時(shí) 調(diào)度器可根據(jù)請(qǐng)求的內(nèi)容選擇服務(wù)器執(zhí)行請(qǐng)求 因?yàn)樗械牟僮鞫际窃趌 i n u x 操作系統(tǒng)核心空間中完成的 其調(diào)度開(kāi)銷很小 所以它具有很高的吞吐率 服務(wù)器池的結(jié)點(diǎn)數(shù)目是可變的 當(dāng)整個(gè)系統(tǒng)收到的負(fù)載超過(guò)目自諺所有結(jié)點(diǎn)的處理能力時(shí) 可 以在服務(wù)器池中增加服務(wù)器來(lái)滿足不斷增長(zhǎng)的負(fù)載請(qǐng)求 對(duì)大多數(shù)網(wǎng)絡(luò)服務(wù)來(lái)說(shuō) 請(qǐng)求間不存在 很強(qiáng)的相關(guān)性 請(qǐng)求可以在不同的結(jié)點(diǎn)上并行執(zhí)行 所以整個(gè)系統(tǒng)的性能基本上可以隨著服務(wù)器 池的結(jié)點(diǎn)數(shù)目增加而線性增長(zhǎng) 共享存儲(chǔ)通常是數(shù)據(jù)庫(kù) 網(wǎng)絡(luò)文件系統(tǒng)或者分布式文件系統(tǒng) 服務(wù)器結(jié)點(diǎn)需要?jiǎng)討B(tài)更新的數(shù) 1 3 西安建筑科技大學(xué)碩士學(xué)位論文 據(jù)一般存儲(chǔ)在數(shù)據(jù)庫(kù)系統(tǒng)中 同時(shí)數(shù)據(jù)庫(kù)會(huì)保證并發(fā)訪問(wèn)時(shí)數(shù)據(jù)的一致性 靜態(tài)的數(shù)據(jù)可以存儲(chǔ) 在網(wǎng)絡(luò)文件系統(tǒng) 如n f s c i f s 中 但網(wǎng)絡(luò)文件系統(tǒng)的伸縮能力有限 一般來(lái)說(shuō) n f s c i f s 服 務(wù)器只能支持3 6 個(gè)繁忙的服務(wù)器結(jié)點(diǎn) 對(duì)于規(guī)模較大的集群系統(tǒng) 可以考慮用分布式文件系統(tǒng) 如a f s i s l g f s l l q l 7 1 c o d a 1 s l 和h l t e 腫e 鋤1 1 9 1 等 分布式文件系統(tǒng)可為各服務(wù)器提供共享的存儲(chǔ) 區(qū) 它們?cè)L問(wèn)分布式文件系統(tǒng)就像訪問(wèn)本地文件系統(tǒng)一樣 同時(shí)分布式文件系統(tǒng)可提供良好的伸 縮性和可用性 此外 當(dāng)不同服務(wù)器上的應(yīng)用程序同時(shí)讀寫(xiě)訪問(wèn)分布式文件系統(tǒng)上同一資源時(shí) 應(yīng)用程序的訪問(wèn)沖突需要消解才能使得資源處于一致?tīng)顟B(tài) 這需要一個(gè)分布式鎖管理器 d i s t r i b u t e dl o c km a n a g e r 它可能是由分布式文件系統(tǒng)內(nèi)部提供的 也可能是外部提供的 開(kāi) 發(fā)者在寫(xiě)應(yīng)用程序時(shí) 可以使用分布式鎖管理器來(lái)保證應(yīng)用程序在不同結(jié)點(diǎn)上并發(fā)訪問(wèn)的一致 性 負(fù)載調(diào)度器 服務(wù)器池和共享存儲(chǔ)系統(tǒng)通過(guò)高速網(wǎng)絡(luò)相連接 如1 0 0 m b p s 交換網(wǎng)絡(luò) m y r i n e t 和o i g a b i t 網(wǎng)絡(luò)等 使用高速的網(wǎng)絡(luò) 主要為避免當(dāng)系統(tǒng)規(guī)模擴(kuò)大時(shí)互聯(lián)網(wǎng)絡(luò)成為整個(gè)系統(tǒng)的瓶 頸 一般來(lái)說(shuō) 調(diào)度器的可靠性較高 因?yàn)檎{(diào)度 i 上運(yùn)行的程序較少而且大部分程序早已遍歷過(guò) 但往往不能排除硬件老化 網(wǎng)絡(luò)線路或者人為誤操作等主要故障 為了避免調(diào)度器失效而導(dǎo)致整 個(gè)系統(tǒng)癱瘓 需要把一個(gè)從調(diào)度器設(shè)立為主調(diào)度器的備份 兩介心跳 h e a r t b e a t 進(jìn)程l 叫分別在 主 從調(diào)度器上運(yùn)行 它們通過(guò)串口線和u d p 等心跳線來(lái)相互定時(shí)地匯報(bào)各自的健康狀況 當(dāng) 從調(diào)度器不能聽(tīng)得主調(diào)度器的心跳時(shí) 從調(diào)度器通過(guò)a r p 欺騙 g r a t u i t o u sa r p 來(lái)接管集群對(duì) 外的v m u a l 口a d d r e s s 同時(shí)接管主調(diào)度器的工作來(lái)提供負(fù)載調(diào)度服務(wù) 當(dāng)主調(diào)度器恢復(fù)時(shí) 這 里有兩種方法 一是主調(diào)度器自動(dòng)變成從調(diào)度器 二是從調(diào)度器釋放v m u a li pa d d r e s s 主調(diào)度 器收回v u t u a li pa d d r e s s 并提供負(fù)載調(diào)度服務(wù) 這里 多條心跳線可以使得因 c z j 線故障導(dǎo)致誤 判 即從調(diào)度器認(rèn)為主調(diào)度器已經(jīng)失效 其實(shí)主調(diào)度器還在正常工作 的概率降到最低 通常 當(dāng)主調(diào)度器失效時(shí) 主調(diào)度器上所有已建立連接的狀態(tài)信息將丟失 已有的連接會(huì)中 斷 客戶需要向重新連接 從調(diào)度器才會(huì)將新連接調(diào)度到各個(gè)服務(wù)器上 這對(duì)客戶會(huì)造成一定的 不便 為此 i p v s 調(diào)度器在l i n u x 內(nèi)核中實(shí)現(xiàn)一種高效狀態(tài)同步機(jī)制 將主調(diào)度器的狀態(tài)信息 及時(shí)地同步到從調(diào)度器 當(dāng)從調(diào)度器接管時(shí) 絕大部分已建立的連接會(huì)持續(xù)下去 3 3 3 2i p 負(fù)載均衡技術(shù) 在集群服務(wù)器策略里調(diào)度器通常是由i p 負(fù)載均衡技術(shù)實(shí)現(xiàn)的 從圖3 之中可以看到 個(gè)集 群由一個(gè)或兩個(gè)路由節(jié)點(diǎn)和很多數(shù)量的機(jī)器組成 其中真實(shí)機(jī)器通過(guò)內(nèi)部網(wǎng)絡(luò)相連 路由節(jié)點(diǎn)同 時(shí)連接著內(nèi)部和外部網(wǎng)絡(luò) 在同一時(shí)刻 僅有一個(gè)路由是激活的 激活的路由扮演的角色是將虛 擬機(jī)器上的請(qǐng)求重定向到真實(shí)機(jī)器上 激活的路由節(jié)點(diǎn)通過(guò)相互交換 我活著的 ia ml i v e 心 1 4 西安建筑科技大學(xué)碩士學(xué)位論文 跳信息 動(dòng)態(tài)地監(jiān)視真實(shí)機(jī)器的健康情況和每個(gè)機(jī)器的工作量 如果有一個(gè)真實(shí)機(jī)器無(wú)效 工作 的路由將停止向這臺(tái)機(jī)器發(fā)送任務(wù)直到它恢復(fù)正常 在路由選擇方式下 常見(jiàn)的實(shí)現(xiàn)方法有 網(wǎng) 絡(luò)地址轉(zhuǎn)換 n a t 隧道技術(shù) t u n n e l i n g 直接路由 d i r e c t r o u t i n g f 1 4 捌 1 網(wǎng)絡(luò)地址轉(zhuǎn)換 n a t 通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換 調(diào)度器重寫(xiě)請(qǐng)求報(bào)文的目標(biāo)地址 根據(jù)預(yù)設(shè)的調(diào)度算法 將請(qǐng)求分派給 后端的真實(shí)機(jī)器 真實(shí)機(jī)器的響應(yīng)報(bào)文通過(guò)調(diào)度器時(shí) 報(bào)文的源地址被重寫(xiě) 再返回給客戶 完 成整個(gè)負(fù)載調(diào)度過(guò)程 這樣做的優(yōu)點(diǎn)是節(jié)約i p 地址 能對(duì)內(nèi)部進(jìn)行偽裝 缺點(diǎn)是效率低 因?yàn)?返回給請(qǐng)求方的流量經(jīng)過(guò)轉(zhuǎn)換器 2 隧道技術(shù) t u n n e l i n g 調(diào)度器把請(qǐng)求報(bào)文通過(guò)口隧道轉(zhuǎn)發(fā)至真實(shí)機(jī)器 而真實(shí)機(jī)器將響應(yīng)直接返回給客戶 所以 調(diào)度器只處理請(qǐng)求報(bào)文 由于 般網(wǎng)絡(luò)服務(wù)應(yīng)答比請(qǐng)求報(bào)文大許多 采用這種技術(shù)后 集群系統(tǒng) 的最大吞吐量可以提高1 0 倍 3 直接路由 d r 直接路由通過(guò)改寫(xiě)請(qǐng)求報(bào)文的m a c 地址 將請(qǐng)求發(fā)送到真實(shí)機(jī)器 而真實(shí)機(jī)器將響應(yīng)直接 返回 同隧道技術(shù)一樣 直接路由技術(shù)可極大地提高集群系統(tǒng)的伸縮性 這種方法沒(méi)有p 隧道 的開(kāi)銷 對(duì)集群中的真實(shí)機(jī)器也沒(méi)有必要支持p 隧道協(xié)議的要求 但是要求調(diào)度器與真實(shí)機(jī)器 都有一塊網(wǎng)卡連在同 物理網(wǎng)段上 從上面集群的實(shí)現(xiàn)技術(shù)上可以看出服務(wù)集群系統(tǒng)具有以下優(yōu)點(diǎn) 性能 網(wǎng)絡(luò)服務(wù)的工作負(fù)載通常是大量相互獨(dú)立的任務(wù) 通過(guò)一組服務(wù)器分而治之 可 以獲得很高的整體性能 性能份格比 組成集群系統(tǒng)的p c 服務(wù)器或r i s c 服務(wù)器和標(biāo)準(zhǔn)網(wǎng)絡(luò)設(shè)備因?yàn)榇笠?guī)模生 產(chǎn)降低成本 價(jià)格低 具有最高的性能 價(jià)格比 若整體性能隨著結(jié)點(diǎn)數(shù)的增長(zhǎng)而接近線 形增長(zhǎng) 該系統(tǒng)的性能倚r 格比更接近p c 服務(wù)器 所以 這種松偶合結(jié)構(gòu)比緊偶的多處 理器具有更好的性能 價(jià)格比 可伸縮性 集群系統(tǒng)中的結(jié)點(diǎn)數(shù)目可以增加 其伸縮性遠(yuǎn)超過(guò)單臺(tái)超級(jí)計(jì)算機(jī) 高可用性 在硬件和軟件上都有冗余 通過(guò)檢測(cè)軟硬件故障 可將故障屏蔽 由存活結(jié) 點(diǎn)提供服務(wù) 可實(shí)現(xiàn)高可用性 3 4 負(fù)載均衡算法 從上一節(jié)可知 當(dāng)某個(gè)服務(wù)請(qǐng)求找到一個(gè)虛擬服務(wù)器時(shí) 會(huì)通過(guò)某種負(fù)載均衡算法規(guī)則將請(qǐng) 西安建筑科技大學(xué)碩士學(xué)位論文 求重定向到真實(shí)服務(wù)器上 因此 負(fù)載均衡算法的優(yōu)劣很大程度上影響著集群的性能 針對(duì)不同 的網(wǎng)絡(luò)服務(wù)需求和服務(wù)器配置 常用的算法有以下幾種口1 捌 1 輪詢 r o u n d r o b i n 輪詢 調(diào)度算法將所有物理服務(wù)器看作一個(gè)有向邏輯環(huán) 依次輪流調(diào)度邏輯環(huán)中的各個(gè)物 理服務(wù)器 當(dāng)各個(gè)物理服務(wù)器的計(jì)算能力不一樣時(shí) 輪詢 算法將造成負(fù)載不平衡 因?yàn)樾阅?較高的服務(wù)器分配不到較多的任務(wù) 2 加權(quán)輪詢 w e i g h t e dr o u n d r o b i n 加權(quán)輪詢 調(diào)度算法允許為每個(gè)物理器s 指定一個(gè)整數(shù)權(quán)值彬 缺省值為1 以標(biāo)記服務(wù) 器性能 性能較高的服務(wù)器具有較高的權(quán)值 假設(shè)有h 個(gè)物理服務(wù)器 定義調(diào)度周期為 該算法也是依次調(diào)度邏輯環(huán)上的物理服務(wù)器 但它同時(shí)保證在一個(gè)調(diào)度周期內(nèi) 服務(wù)器s 被調(diào) 度的次數(shù)為彬 與動(dòng)態(tài)調(diào)度算法相比 該算法的調(diào)度開(kāi)銷比較小 因此可支持更多的物理服務(wù)器 它盼缺點(diǎn)是當(dāng)任務(wù)的大小頻繁交化時(shí) 有可能將大多數(shù)長(zhǎng)任務(wù)調(diào)度到同一個(gè)物理服務(wù)器上 從而 導(dǎo)致負(fù)載不平衡 3 最少連接 l e a s t c o n n e e l i o n s 最少連接 調(diào)度算法的特點(diǎn)是 物理服務(wù)器s 上的活動(dòng)連接數(shù)c 越大 其當(dāng)前的負(fù)載越 大 假設(shè)有 個(gè)物理服務(wù)器 l c 算法每次都將調(diào)度滿足條件的物理服務(wù)器s 顯然 該算法是 一個(gè)動(dòng)態(tài)算法 它可保證不將大多數(shù)長(zhǎng)任務(wù)調(diào)度到同一個(gè)物理服務(wù)器上 如果集群系統(tǒng)的真實(shí)服 務(wù)器具有相近的系統(tǒng)性能 采用 最小連接 調(diào)度算法可以較好地均衡負(fù)載 其缺點(diǎn)是調(diào)度開(kāi)銷較 大 特別是當(dāng)物理服務(wù)器的數(shù)量很多時(shí) 4 加權(quán)最少連接 w a g h t e d l e a s tc o n n e c t i o m 加權(quán)最小連接 調(diào)度算法允許為每個(gè)物理服務(wù)器s 指定一個(gè)整數(shù)權(quán)值彬以標(biāo)記服務(wù)器的 性能 性能較高的服務(wù)器具有較高的權(quán)值 假設(shè)有n 個(gè)物理服務(wù)器 該算法每次都將調(diào)用滿足 條件c w m i n c 彬 1 f n 的物理服務(wù)器s 該算法與l c 算法相比 增加了額外的除 法運(yùn)算 所以當(dāng)各個(gè)物理服務(wù)器具有