畢業(yè)設(shè)計--負載均衡技術(shù)在防火墻中的應(yīng)用研究

1、負載均衡技術(shù)在防火墻中的應(yīng)用研究摘要從防火墻誕生之日起, 防火墻最熱門的話題便是其性能與功能。 其一、 網(wǎng)絡(luò)應(yīng)用的防護 功能要求不斷提高, 包括以 Web 應(yīng)用為代表的各種高層協(xié)議的應(yīng)用過濾和對包含視頻、 音頻、 用戶數(shù)據(jù)等多種數(shù)據(jù)流的多媒體應(yīng)用的安全防護得到高速發(fā)展; 其二, 網(wǎng)絡(luò)的發(fā)展對防火墻 的性能要求進一步提高。 現(xiàn)在許多業(yè)務(wù)已移到網(wǎng)絡(luò)上去運行, 導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)量不斷增加, 終 端用戶的網(wǎng)絡(luò)帶寬也在快速提高。 為了確保防火墻不成為整體網(wǎng)絡(luò)的瓶頸, 防火墻的性能對 用戶來說需要不斷提高。文中將從防火墻與負載均衡的知識出發(fā), 提出如何利用負載均衡技術(shù)解決網(wǎng)絡(luò)中的防火 墻瓶頸。文章首先分析防火

2、墻的概念、技術(shù)分類、體系結(jié)構(gòu)、發(fā)展趨勢和優(yōu)缺點等。然后對 負載均衡技術(shù)進行分析,包括負載均衡定義、指標(biāo)、技術(shù)分類、要解決的問題、方案的選擇 與評估和算法。 再具體分析如何在防火墻上實現(xiàn)負載均衡, 包括硬件的負載均衡和軟件的負 載均衡應(yīng)用, 通過防火墻的負載均衡應(yīng)用發(fā)揮防火墻最大功能, 解決網(wǎng)絡(luò)瓶頸。 最后進行工 作總結(jié)及下一步工作的展望。關(guān)鍵詞 :負載均衡;防火墻集群;可用性;多重 Cluster IPThe Application Study Of Load Balance Technique In Firewall AbstractFrom the emerge of firewall,t

3、he most popular topic about firewall are its performance and function. Firstly,the requirement of protection function in network application is continuously improved,and the application filtering of various upper level protocal,which takes Web application as its representative, and the safety protec

4、tion of multimedia application of multiple data streams,which contains vedio,audio frequency,and user data, are rapidly development. Secondly,the development of Network requires a further improvement function of firewall. At present,many business have been done through the Internet,making a continuo

5、us increase of Newwork data,leading to a raipd improvement of terminal users in Network bandwidth. To ensure the firewall cannot be a bottleneck of the entire Network,the performance of firewall needs to improve.This paper starts with firewall and load balance,then proposing how to use load balance

6、technique to solve the bottleneck problems infirewall in the Network. In this paper,we firstly analyse the conception of firewall,its technical classification, architecture,development trend,and relative merits.Then we analyse the load balance technique,including load balance definition,its index, i

7、ts technical classification,the problems need to be solve,the chosen scheme,evaluation and arithmetic. Finally, specifically, we analyze how to achieve the load balance in firewall,which is including the load balance application of both hardware and software,the maximum function of load balance tech

8、nique in firewall.In the last part of this paper,we summerize our research and outlook our study next step.Keywords: Load balance;firewall cluster;vailability;multiple Cluster IP目 錄摘要 .1 ABSTRACT .1緒論 .2 1 網(wǎng)絡(luò)防火墻技術(shù) . .2 1.1防火墻的定義 . .21.2防火墻的體系結(jié)構(gòu) . .3 1.3防火墻的技術(shù)類型 . .5 1.4防火墻發(fā)展的趨勢 . .7 1.4.1 功能趨勢 .7 1.

9、4.2 技術(shù)趨勢 .7 1.5防火墻的缺點 . .8 1.6本章小結(jié) . 錯誤!未定義書簽。2 負載均衡機制 .82.1負載均衡定義 . .9 2.2負載均衡要解決的問題 .9 2.3負載均衡指標(biāo) . .9 2.4負載均衡技術(shù)分類 . .10 2.4.1 從均衡策略上劃分 .10 2.4.2 從實現(xiàn)方式上劃分 .10 2.4.3 從應(yīng)用的地理結(jié)構(gòu)上劃分 .10 2.4.4 從網(wǎng)絡(luò)的不同層次入手分析劃分 . .10 2.5負載均衡調(diào)度算法 . .11 2.6負載均衡方案的選擇與評估 .11 2.7本章結(jié)論 . .123 防火墻中負載均衡機制的應(yīng)用 .123.1防火墻中負載均衡機制的提出 . .1

10、2 3.2防火墻集群 .13 3.3負載均衡在防火墻集群系統(tǒng)的應(yīng)用 . .13 3.3.1 硬件式的解決方案 .13 3.3.2 軟件式的解決方案 .14 3.4本章小結(jié) . .154 總結(jié) .154.1工作總結(jié) . .15 4.2下一步工作的展望 . .15致 謝 .1參考文獻 .1緒論自計算機網(wǎng)絡(luò)誕生以來網(wǎng)絡(luò)安全是不可避免的話題, 也注定是人們關(guān)心的焦點。 在防御 網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源進行非授權(quán)訪問的常用技術(shù)當(dāng)中, 防火墻自然而然的成為了人們首選的 安全技術(shù)。在防火墻給予我們一些服務(wù) (如可以有效的防止黑客入侵 的同時, 一些不可避免的問 題也隨之而來。 首先, 防火墻技術(shù)使網(wǎng)絡(luò)的性能降低和

11、可伸縮性減弱; 其次, 防火墻經(jīng)常成 為單故障點, 這自然會降低了整體網(wǎng)絡(luò)的可用性。 由于防火墻部署在數(shù)據(jù)鏈路路徑上, 因此, 這成為限制網(wǎng)絡(luò)的性能和可伸縮性一大因素。 雖然大部分的防火墻可以使用市場上已有的高 可用性軟件以熱備份的配置部署, 但是, 到現(xiàn)在為止, 還不能解決如何讓一個以上的防火墻 同時工作。 因此, 購買和配置第二個防火墻和高可用性軟件對于用戶來說是必要的, 但卻只 能眼睜睜的看著它們擱置在一邊, 等待故障將它們激活。 由于部署在數(shù)據(jù)鏈路路徑上, 這對 于防火墻來說,它的負擔(dān)相當(dāng)繁重,在內(nèi)網(wǎng)和外網(wǎng)之間的所有網(wǎng)絡(luò)流量都必須通過它。 與此同時, 防火墻的最佳處理結(jié)構(gòu)不適于檢查高容

12、量的數(shù)據(jù)包。 由于這種處理結(jié)構(gòu)的防 火墻必須處理每一個數(shù)據(jù)包, 這扼殺了網(wǎng)絡(luò)的通信速度。 假如要擴展防火墻的性能, 必須直 接升級到功能更強大的硬件平臺,這樣的代價是相當(dāng)大的。本論文所研究的一種防火墻負載均衡技術(shù), 它解決了網(wǎng)絡(luò)中的防火墻瓶頸。 課題研究的 防火墻負載均衡技術(shù)具有以下的優(yōu)點。提高了網(wǎng)絡(luò)信息的安全性,讓人們更加放心的在網(wǎng)絡(luò)上運行業(yè)務(wù),提高 社會工作效率。降低甚至消除防火墻的瓶頸,從而增加網(wǎng)絡(luò)性能和可伸縮性。增強防火墻的可用性,這也在一定程度上增強了網(wǎng)絡(luò)的可用性。發(fā)揮防火墻的最大性能,提高防火墻的利用效率。1 網(wǎng)絡(luò)防火墻技術(shù)現(xiàn)代化科學(xué)信息時代中防火墻是不可或缺的重要部分, 它為計算

13、機網(wǎng)絡(luò)中的信息安全提 供一道屏障。 隨著科學(xué)技術(shù)的不斷發(fā)展, 網(wǎng)絡(luò)信息規(guī)模呈現(xiàn)爆炸式增長, 這對網(wǎng)絡(luò)的性能要 求有極大的提高, 對防火墻的壓力不斷增大, 這促使了對防火墻的要求越來越高, 促進了防 火墻的發(fā)展。1.1 防火墻的定義防火墻指的是一個由軟件和硬件設(shè)備組合而成, 部署在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部 網(wǎng)和不可信任的 Internet 之間或者是在同一個網(wǎng)絡(luò)的不同安全領(lǐng)域之間的一個軟硬部件 的組合系統(tǒng),使 Internet 與 Intranet 之間建立起一個安全網(wǎng)關(guān)(Security Gateway ,從 而保護內(nèi)部網(wǎng)免受非法用戶的侵入。 防火墻主要由服務(wù)訪問規(guī)則、 驗證工具、 包過

14、濾和應(yīng)用 網(wǎng)關(guān) 4個部分組成, 它的本質(zhì)是一種對用戶和信息的分析隔離技術(shù)。 在絕大多數(shù)情況下它部署在所需要保護網(wǎng)絡(luò)的出入接口處, 根據(jù)網(wǎng)管配置要求對網(wǎng)絡(luò)流量執(zhí)行訪問控制, 實現(xiàn)網(wǎng)內(nèi) 外的信息傳遞,從而保證網(wǎng)絡(luò)的安全與穩(wěn)定。防火墻有幾種體系結(jié)構(gòu),下面我們著重分析雙重 /多重宿主主機體系結(jié)構(gòu)、被屏蔽主機 體系結(jié)和被屏蔽子網(wǎng)體系結(jié)構(gòu)。(1 雙重 /多重宿主主機體系結(jié)構(gòu)雙重 /多重宿主主機體系結(jié)構(gòu)的主體是雙重 /多重宿主主機,雙重 /多重宿主主機有兩個 或多個網(wǎng)絡(luò)接口。 該主機可當(dāng)作一個與這些接口相連的網(wǎng)絡(luò)之間的路由器; 它的接口兩端網(wǎng) 絡(luò)之間可相互發(fā)送 IP 數(shù)據(jù)包。然而,實現(xiàn)雙重 / 多重宿主主機

15、的防火墻體系結(jié)構(gòu)禁止這種 發(fā)送功能。所以, IP 數(shù)據(jù)包從一個網(wǎng)絡(luò)(如被保護的內(nèi)網(wǎng)并不是直接到達其它網(wǎng)絡(luò)(如 外網(wǎng) 。 防火墻內(nèi)部的系統(tǒng)與外部系統(tǒng)能同時與雙重 /多重宿主主機通信, 然而防火墻內(nèi)外部 系統(tǒng)之間的 IP 包被完全封截,它們之間卻不能直接互相通信。雙重 / 多重宿主主機體系結(jié)構(gòu)的防火墻相當(dāng)簡單, 它部署在內(nèi)網(wǎng)和外網(wǎng)之間, 并且被連 接到外網(wǎng)和內(nèi)網(wǎng)。圖 1-1顯示了雙重宿主體系結(jié)構(gòu)。圖 1-1 雙重宿主主機防火墻雙重 / 多重宿主主機體系結(jié)構(gòu)提供服務(wù)只能是代理方式, 可在維護系統(tǒng)日志、 硬件拷貝 日志和遠程日志方面使用。 這對日后檢查很有幫助, 卻不能幫助網(wǎng)絡(luò)管理者確定內(nèi)部哪些主 機

16、被黑客攻擊。 圖 1-2 屏蔽主機體系結(jié)構(gòu)防火墻該體系結(jié)構(gòu)最大的弊端是,一旦黑客入侵雙重 /多重宿主主機并使其只具有路由功能, 那么 Internet 上的任一個用戶都可以肆無忌憚的訪問內(nèi)網(wǎng)主機。(2屏蔽主機體系結(jié)構(gòu)屏蔽主機體系結(jié)構(gòu)防火墻的特點是, 提供服務(wù)的主機只連接內(nèi)網(wǎng), 一個單獨路由器把內(nèi) 網(wǎng)和外網(wǎng)隔開。該體系結(jié)構(gòu)由路由器和堡壘主機組成,主要的安全由數(shù)據(jù)包過濾保證。圖 1-2給出這種防火墻的體系結(jié)構(gòu)。該體系結(jié)構(gòu)最重要的部分便是堡壘主機。任何 Internet 上的用戶必須通過堡壘主機系 統(tǒng)才能連接到內(nèi)部系統(tǒng)。 因此堡壘主機的安全級別對于網(wǎng)絡(luò)的安全是最重要的。 如果黑客侵 入堡壘主機, 而

17、堡壘主機和其余的內(nèi)網(wǎng)主機之間無任何安全防護下, 路由器會出現(xiàn)一個單點 失敗。 如果路由器被入侵, 整個網(wǎng)絡(luò)就暴露在黑客面前, 黑客可以肆無忌憚的使用侵入的網(wǎng) 絡(luò)資源。對內(nèi)網(wǎng)來說,這樣的打擊是致命的。(3被屏蔽子網(wǎng)體系結(jié)構(gòu)該體系結(jié)構(gòu)增加額外的安全層到被屏蔽的主機體系結(jié)構(gòu)中, 在內(nèi)外網(wǎng)絡(luò)之間建立一個被 屏蔽的子網(wǎng),定義為“非軍事區(qū)(demilitarized zone”網(wǎng)絡(luò),也稱為周邊網(wǎng) (perimeter network 。 作為內(nèi)外網(wǎng)的連接, 堡壘主機在用戶網(wǎng)絡(luò)上是最容易被攻擊的主機, 在這樣的體 系結(jié)構(gòu)中, 它只是給以入侵者一些不是很重要的訪問機會, 而并非所有訪問權(quán)限。 堡壘主機、 WE

18、B 服務(wù)器、 Email 服務(wù)器等公用服務(wù)器部署在屏蔽子網(wǎng)內(nèi)外網(wǎng)均可訪問屏蔽子網(wǎng),但它們 之間的通信不能穿過屏蔽子網(wǎng)通信。 即使堡壘主機被入侵者控制, 內(nèi)部網(wǎng)仍受到內(nèi)部包過濾 路由器的保護。該結(jié)構(gòu)中, 外網(wǎng)的入侵者通過了第一道防火墻, 看到的是一個虛擬的結(jié)構(gòu), 即虛擬的內(nèi) 網(wǎng)和堡壘主機, 看到的只是假象。 被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單形式是, 防火墻是兩個屏蔽 路由器, 單個連接到虛擬的內(nèi)網(wǎng)即屏蔽子網(wǎng), 一個連接屏蔽子網(wǎng)與內(nèi)網(wǎng), 另一個連接屏蔽子 網(wǎng)與外網(wǎng),其結(jié)構(gòu)如圖 1-3所示。 圖 1-3 屏蔽子網(wǎng)體系結(jié)構(gòu)防火墻 假如黑客想完全攻破防火墻系統(tǒng), 他必須攻破連接三個網(wǎng)的路由器。 既要切斷連接,

19、 也 不能把自己鎖在外面, 又不要讓自己暴露, 這對黑客來說, 實現(xiàn)攻擊是相當(dāng)?shù)睦щy。 因此這 種體系結(jié)構(gòu)的防火墻安全系數(shù)非常高。1.3 防火墻的技術(shù)類型(1 簡單數(shù)據(jù)包過濾包過濾(Packet Filtering技術(shù)是第一代防火墻技術(shù),是 1985年從 Cisco 的軟件中 分離出來的。包過濾器在網(wǎng)絡(luò)層依照設(shè)定的過濾邏輯,即訪問控制表(Access Control Table , 對數(shù)據(jù)包進行選擇, 拒絕或丟棄不符合過濾條件的包。 具體而言, 通過在網(wǎng)絡(luò)中的 適當(dāng)位置對數(shù)據(jù)包進行過濾,根據(jù)檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源 IP 、目的 IP 、所有的 TCP 端口號和 TCP 鏈路狀態(tài)等要素, 然

20、后依據(jù)一組預(yù)定義的規(guī)則, 以允許合乎邏輯的數(shù)據(jù)包通過 防火墻進入到內(nèi)部網(wǎng)絡(luò),而將不合乎邏輯的數(shù)據(jù)包加以刪除。優(yōu)點:對用戶透明,只在包通過時揀選,對網(wǎng)絡(luò)性能影響小。不用改動應(yīng)用程序,不存 在為具體網(wǎng)絡(luò)服務(wù)提供特殊處理方式, 適用廣、 易于維護。 可以不增加設(shè)備就安裝, 現(xiàn)在多 數(shù)的路由器、具有路由功能的交換機和一些操作系統(tǒng)都可以增加包過濾功能,應(yīng)用成本低。缺點:只識別網(wǎng)絡(luò)、 傳輸層的有限信息, 逐一檢測單個數(shù)據(jù)包, 對上下信息的關(guān)聯(lián)和更 高協(xié)議層的信息不識別, 因此防護能力弱。 沒有用戶的使用記錄, 這樣就不能從訪問記錄中 發(fā)現(xiàn)黑客的攻擊記錄。 在需要時增加過濾規(guī)則, 這個降低了速度。配置操作復(fù)

21、雜, 對網(wǎng)絡(luò)管 理員要求較高,管理員要對協(xié)議本身和其在各應(yīng)用程序中的作用有較深的理解。(2電路層防火墻電路層防火墻 (Circuit Level Firewall 于 l989至 l990年間由美國電報公司貝爾實驗 室的 Dave Presotto和 Howard Trickey提出,是第二代防火墻。它是工作在傳輸層的連接中轉(zhuǎn)器, 不允許內(nèi)部端點與外部端點直接進行 TCP 連接, 而是由自己建立兩個 TCP 連接, 一 個在防火墻與內(nèi)部主機之間, 另一個在防火墻與外部網(wǎng)絡(luò)之間, 代表內(nèi)部主機與外部網(wǎng)絡(luò)握 手, 確保只有當(dāng)連接建立后才能通信, 并且只允許屬于該連接的包通過。 在轉(zhuǎn)發(fā)數(shù)據(jù)時內(nèi)部 主

22、機源 IP 地址被轉(zhuǎn)換成電路層網(wǎng)關(guān)的地址,與目的地址通信。優(yōu)點:不檢查數(shù)據(jù)包的有效載荷, 速度較快。 可以在電路層網(wǎng)關(guān)器上增加功能, 具有可 塑性。缺點:只能證實握手, 不能在 TCP 以外的協(xié)議上做訪問限制。 通常需要為各個客戶端服 務(wù)程序做修改,透明性差。(3應(yīng)用層防火墻應(yīng)用層防火墻 (Application Layer Firewall 是第三代防火墻技術(shù), 于 1990年至 1991年間由美國電報公司貝爾實驗室的 Bill Cheswick和 Marcus Ranum提出,也叫應(yīng)用網(wǎng)關(guān) (Application Gateway 技術(shù)。它是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點,能監(jiān)視和隔絕應(yīng)用層信息流

23、, 防止受信任的客戶機或服務(wù)器與不受信任的主機間直接建立聯(lián)系, 為每一個應(yīng)用服務(wù)配置專 門的代理程序。 具體而言, 當(dāng)內(nèi)部用戶請求訪問外部站點, 應(yīng)用層防火墻將驗證用戶身份并 檢查請求是否符合規(guī)定, 如果允許訪問, 連接會被特定的安全化的代理程序處理然后傳遞到 外部站點, 由應(yīng)用層網(wǎng)關(guān)代替用戶訪問服務(wù)器并接受應(yīng)答, 處理應(yīng)答之后再轉(zhuǎn)給發(fā)出請求的 用戶。優(yōu)點:能在應(yīng)用層有效檢查數(shù)據(jù)包,能記錄所有的連接信息(包括地址和持續(xù)時間 , 安全性高。支持可靠的用戶注冊和認證。參與每一個 TCP 連接全過程,能控制指定的連接。 例如能允許或拒絕對某個 IP 地址服務(wù)器的訪問,因而可以只支持經(jīng)過授權(quán)的應(yīng)用服務(wù)

24、,剪 除不需要的服務(wù)以免其占用網(wǎng)絡(luò)。缺點:入站流量必須經(jīng)過代理服務(wù)器和終端用戶的應(yīng)用程序處理,工作量大,速度慢。 每一個要通過代理服務(wù)器的應(yīng)用都必須在防火墻協(xié)議棧作一定修改, 且通常對終端用戶不透 明,系統(tǒng)管理較復(fù)雜。某些應(yīng)用程序還可能不支持代理連接方式。(4狀態(tài)檢測防火墻l992年,第四代防火墻技術(shù)動態(tài)包過濾 (Dynamic Packet Filter技術(shù)被 USC 信息科學(xué) 院的 Bob Braden 開發(fā)出來, 后來發(fā)展成為狀態(tài)檢測防火墻 (Stateful Inspection Firewal1 。 狀態(tài)指的是每個網(wǎng)絡(luò)連接的狀態(tài),即以下信息:源 /目的 IP 、源 /目的 TCP 和

25、 UDP 端口號、 協(xié)議類型、 TCP 序列號和標(biāo)記、基于 RFCed TCP 狀態(tài)機的 TCP 會話狀態(tài)信息、基于定時器的 UDP 流量跟蹤信息。狀態(tài)檢測技術(shù),是一種以會話為單位、基于連接狀態(tài)進行檢測的技術(shù)。 檢查每一個通過防火墻的數(shù)據(jù)包時, 通過跟蹤記錄其狀態(tài)信息, 將屬于同一連接的所有包作 為一個整體數(shù)據(jù)流看待, 生成連接狀態(tài)表, 判斷每個包是否屬于一個已經(jīng)得到許可并且正在 進行連接的會話; 同時, 還使用一組與包過濾規(guī)則相似的規(guī)則集對包進行過濾, 通過狀態(tài)表 與規(guī)則集共同配合, 幾乎可以阻止所有意圖進入內(nèi)部網(wǎng)的流量, 卻又能允許內(nèi)部計算機所產(chǎn) 生流量的返回量進入,具有智能性。優(yōu)點:檢測

26、模塊支持多種協(xié)議和應(yīng)用程序,很容易地實現(xiàn)應(yīng)用和服務(wù)的擴充,能檢查 IP 包的每個字段,過濾規(guī)則能識別包的數(shù)據(jù)部分的特定數(shù)據(jù)串,安全性好。既有應(yīng)用級安 全性,又不行使代理功能,也不在源和目的地址間中轉(zhuǎn),快速而靈活。防范攻擊較堅固。 缺點:配置非常復(fù)雜,當(dāng)有大量狀態(tài)記錄和過濾規(guī)則時,網(wǎng)絡(luò)性能降低。(5其它防火墻技術(shù)除上面介紹的防火墻技術(shù)外,一些新的技術(shù)正在防火墻產(chǎn)品中采用,主要有:A .內(nèi)容檢查技術(shù)內(nèi)容檢查技術(shù)提供對高層服務(wù)協(xié)議數(shù)據(jù)的監(jiān)控能力, 確保用戶的安全。 包括計算機病毒、 惡意的 Java Applet或 ActiveX 攻擊、惡意電子郵件及不健康網(wǎng)頁內(nèi)容的過濾防護。B .安全審計絕對的安

27、全是不可能的, 因此必須對網(wǎng)絡(luò)上發(fā)生的事件進行記載和分析, 對某些保護網(wǎng) 絡(luò)的敏感信息訪問保持不間斷的記錄, 并通過各種類型的報表、 報警等方式向系統(tǒng)管理人員 進行 報告。C .身份認證防火墻主要包括三種認證方法:用戶認證、客戶認證和會話認真。用戶認證是由防火墻設(shè)置決定哪些用戶有哪些訪問權(quán)限。客戶認證是由防火墻確定哪些特定的用戶端讓哪些用戶可以享有特定的服務(wù)權(quán)限。 會話認證是由防火墻為通信雙方在每一次通信時提供透明的會話授權(quán)機制。伴隨著科學(xué)信息技術(shù)的發(fā)展, 業(yè)務(wù)信息量在呈現(xiàn)爆炸式的增加, 促使網(wǎng)絡(luò)帶寬在飛速提 高, 網(wǎng)絡(luò)性能的需求不斷增長。 這促使網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)信息的安全要求不斷提高, 因此用

28、戶 對防火墻的性能與功能要求也在不斷提高。1.4.1 功能趨勢在科學(xué)技術(shù)快速發(fā)展的今天, 性能單一的網(wǎng)絡(luò)防火墻系統(tǒng)不能再滿足用戶的需求, 人們 還需要入侵檢測(IDS 、入侵偵測防御(IDP 防病毒、地址轉(zhuǎn)換、流量過濾等技術(shù)。然而 對于不同的用戶來說, 需求力與購買力又是不一樣的, 防火墻在功能發(fā)展上有以下兩種趨勢。 (1功能擴展趨勢。這種趨勢逐漸要求將網(wǎng)絡(luò)地址轉(zhuǎn)換、虛擬網(wǎng)、服務(wù)質(zhì)量、入侵檢 測、 入侵偵測防御、 防病毒等技術(shù)都匯集到防火墻中, 讓防火墻成為多功能的網(wǎng)絡(luò)防御系統(tǒng)。 這類防火墻可以包含多種功能模塊,比如 IP 包的監(jiān)聽、分析、阻截模塊,分布式探測器控 制模塊, 日志的生成、 保存

29、和分析模塊, 用戶誤用行為的檢測模塊, 系統(tǒng)資源異常的檢測模 塊, 攻擊事件的存儲、 分析模塊, 防火墻的控制模塊等, 并且根據(jù)安全需求的變化功能模塊 還可以擴充。其適用于大多數(shù)對安全性要求較低的用戶(如中小公司的企業(yè)網(wǎng)絡(luò) 。這類用 戶通常對網(wǎng)絡(luò)安全要求不高, 青睞于集成的防火墻功能, 認為購買集所有功能于一身的防火 墻更劃算。(2專業(yè)化與聯(lián)動趨勢。集所有功能于一身的防火墻無法做到每項功能都很強大。因 此對于一些專家級用戶都會傾向于使用專業(yè)性強的獨立設(shè)備, 希望各類單獨設(shè)備不斷提升性 能, 然后通過安全管理平臺促使各系統(tǒng)能相互協(xié)調(diào)工作, 實現(xiàn)網(wǎng)絡(luò)的綜合防御。 例如讓防火 墻與 IDS 、防病毒

30、系統(tǒng)聯(lián)動:當(dāng)防病毒系統(tǒng)發(fā)現(xiàn)病毒,就立即通知防火墻阻斷其傳播路徑, 并進行殺除; 而當(dāng) IDS 發(fā)現(xiàn)入侵行為, 就立即通知防火墻進行阻截, 并生成阻截該入侵的規(guī) 則。 這種體系結(jié)構(gòu)要求單個防火墻設(shè)備對于本職工作需要更加專業(yè), 更嚴(yán)格的訪問控制, 更 精細的協(xié)議研究,支持更多通用路由協(xié)議,更適應(yīng)于網(wǎng)絡(luò)拓撲。1.4.2 技術(shù)趨勢(1分布式技術(shù)。分布式防火墻是將防火墻體系結(jié)構(gòu)分為三部分:網(wǎng)絡(luò)防火墻、主機 防火墻和中央控制平臺。網(wǎng)絡(luò)防火墻部署在內(nèi)網(wǎng)與外網(wǎng)之間以及內(nèi)部子網(wǎng)與內(nèi)部子網(wǎng)之間, 對數(shù)據(jù)進行過濾, 它提供最高的性能但不必執(zhí)行最高的安全策略, 安全級別較低。 主機防火 墻部署在內(nèi)網(wǎng)中重要的主機或服務(wù)

31、器前面, 它只信任默認的主機, 其它的都不可信任, 即使是內(nèi)網(wǎng)也不可信任。 它需要根據(jù)用戶需求執(zhí)行很高的安全策略, 它安全級別相對非常高, 還 可以對數(shù)據(jù)進行加密。 中央控制平臺對各網(wǎng)絡(luò)、 主機防火墻根據(jù)用戶需求配置下發(fā)安全策略 并進行統(tǒng)一管理。這樣形成了一個多層次、多協(xié)議的安全體系。(2智能技術(shù)。該技術(shù)主要是采用人工智能方法,摒棄傳統(tǒng)的匹配檢查所使用的海量 計算,用統(tǒng)計、記憶、智能決策等算法識別數(shù)據(jù),高效發(fā)現(xiàn)非法行為的特征值,實現(xiàn)訪問控 制。目前,以拒絕服務(wù) (DDoS為代表的攻擊、以蠕蟲(Worm 為代表的病毒傳播、以垃圾電 子郵件 (SPAM 為代表的內(nèi)容控制這三大問題, 傳統(tǒng)防火墻已經(jīng)

32、無法解決這些問題, 智能防 火墻將取代傳統(tǒng)防火墻去解決這些問題。(3高速技術(shù)。在科學(xué)技術(shù)的發(fā)展歷程中,從國內(nèi)外歷次測試的結(jié)果證明了目前防火 墻速度不能適應(yīng)網(wǎng)絡(luò)的需要, 這極大限制了網(wǎng)絡(luò)的發(fā)展。 防范 DoS 是防火墻一個很重要的任 務(wù), 防火墻由于經(jīng)常部署于網(wǎng)絡(luò)出口, 在造成網(wǎng)絡(luò)堵塞的情況下, 此時再安全的防火墻也無 法應(yīng)用。防火墻的高速運行必然成為一種趨勢。應(yīng)用 ASIC 、 FPGA 和網(wǎng)絡(luò)處理器是實現(xiàn)高速 防火墻的主要方法, 這些方法可以非常好的實現(xiàn)高速防火墻。 尤其是采用網(wǎng)絡(luò)處理器, 它在 實現(xiàn)高速的同時還具有靈活性。1.5 防火墻的缺點防火墻技術(shù)是當(dāng)今用來實現(xiàn)網(wǎng)絡(luò)安全措施最流行的一種

33、手段,它的安全措施分為三大 類:防御未經(jīng)授權(quán)用戶的訪問; 阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù); 允許合法用戶不受妨礙地 訪問網(wǎng)絡(luò)資源。然后, 世界上沒有什么東西是十全十美的, 作為網(wǎng)絡(luò)安全技術(shù)的防火墻亦是如此。 因此 不可能完美解決網(wǎng)絡(luò)上的所有安全問題,防火墻雖然能對來自外部的攻擊進行有效地保護, 然而對來自內(nèi)部的攻擊卻無計可施。 事實上, 絕大多數(shù)網(wǎng)絡(luò)安全問題都來自內(nèi)網(wǎng)。 即使來自 外部,目前的任何安全系統(tǒng)也不能完全阻擋有經(jīng)驗的黑客的襲擊。所以, 網(wǎng)絡(luò)安全技術(shù)單靠防火墻是遠遠不足的, 結(jié)合其他技術(shù)因素和非技術(shù)因素是必須 要注意的。 如安全加密技術(shù)、 訪問控制技術(shù)、 完善法律制度、 提高網(wǎng)民素質(zhì)和安

34、全意識等。 特別是完善法律制度和提高網(wǎng)民意識是迫切需要解決的問題。傳統(tǒng)防火墻結(jié)構(gòu)在其技術(shù)原理上除了對來自內(nèi)部的安全威脅不具備防范能力外, 還有以 下缺點。(1高成本:內(nèi)網(wǎng)中需要保護的主機或者資源越多,就要設(shè)置更多的安全檢查點,這 樣就需要更高的資源與成本。(2高管理負擔(dān):內(nèi)網(wǎng)中的 IT 管理人員要面臨更大的壓力,管理更多的設(shè)備。(3存在盲點:由于傳統(tǒng)防火墻將檢查點設(shè)立在一個“可信子網(wǎng)”的入口處,來自子 網(wǎng)內(nèi)部任何主機的攻擊都將成為該防火墻的盲點。(4低性能:因為大量的安全檢查點被安置于企業(yè)內(nèi)的各種路由設(shè)備上,內(nèi)網(wǎng)中所有 的通信都將不可避免地經(jīng)過若干個安全檢查點, 以至于造成相應(yīng)的傳輸延遲, 使

35、網(wǎng)絡(luò)性能降 低了。2 負載均衡機制負載均衡機制就是為了解決存在的網(wǎng)絡(luò)瓶頸而提出的一種技術(shù), 它的應(yīng)用在提高網(wǎng)絡(luò)性 能和服務(wù)器效率上發(fā)揮著重要的作用。 負載是一個描述系統(tǒng)的利用程度的抽象概念,指的是在各個服務(wù)器節(jié)點上并行的子任 務(wù)。 負載在并行系統(tǒng)的各服務(wù)器結(jié)點上分布的均衡程度稱為負載均衡度。 負載均衡可以從兩 方面來理解。(1多臺平行的服務(wù)器均衡的運行大量的并行訪問或數(shù)據(jù)流量,提高服務(wù)器的利用效 率,減少用戶的運行等待時間。(2若出現(xiàn)不均衡現(xiàn)象,隨即進行負載均衡,亦即在系統(tǒng)中把重負載的節(jié)點負載任務(wù) 轉(zhuǎn)移到其它一個或多個節(jié)點上并行處理,從而大幅度提高系統(tǒng)的整體性能與效率。因此,所謂負載均衡 (l

36、oad balancing是利用一定的方法使得各個服務(wù)器上節(jié)點上的 負載得到均衡,發(fā)揮系統(tǒng)的最大效率,使系統(tǒng)整體性能達到最優(yōu)。2.2 負載均衡要解決的問題負載均衡只是通過重新分配系統(tǒng)負載的一種策略, 從而使各主機之間的負載達到相對均 衡, 降低任務(wù)的響應(yīng)時間, 使系統(tǒng)資源的利用率得到提高, 提高系統(tǒng)的性能。 它解決的問題 主要有 :(1使用戶能得到最好的訪問質(zhì)量,更好的使用網(wǎng)絡(luò)資源。(2解決網(wǎng)絡(luò)擁塞問題,任務(wù)的運行由就近的服務(wù)器來提供,實現(xiàn)地理位置無關(guān)性。(3 提高主機的響應(yīng)速度,避免不必要的響應(yīng)時間,提高效率。(4 提高主機及其他資源的利用效率,從而最大程度發(fā)揮系統(tǒng)的性能,避免較少資源 的擱

37、置。避免由于關(guān)鍵節(jié)點的失效,使得整個系統(tǒng)處于癱瘓狀態(tài)。2.3 負載均衡指標(biāo)實現(xiàn)負載均衡的首要任務(wù)就是如何衡量服務(wù)器性能和當(dāng)前的負載均衡狀況, 給出合理的 負載均衡指標(biāo)。衡量服務(wù)器性能和當(dāng)前運行情況的有效衡量指標(biāo)包括 :(1 CPU 利用率。 指服務(wù)器所運行的任務(wù)消耗的 CPU 的值占總的值的大小, CPU 的使用 率是一個服務(wù)器最重要的性能指標(biāo)。(2內(nèi)存使用率。指服務(wù)器所運行的任務(wù)消耗的內(nèi)存空間的值占總的值的大小。(3帶寬利用率。網(wǎng)絡(luò)帶寬利用率 =(每秒收到字節(jié)數(shù) +發(fā)送字節(jié)數(shù) /帶寬。(4 物理磁盤讀寫時間情況。 磁盤讀取數(shù)據(jù)過程:硬盤接受到讀取指令, 磁頭從初始 位置移動到目標(biāo)磁道位置,其

38、中經(jīng)過一個尋道時間,然后從目標(biāo)磁盤上找到要讀取的數(shù)據(jù), 其中經(jīng)過一個等待時間, 即硬盤在讀取時間時的平均訪問時間=平均尋道時間+平均等待時 間。(5單位時間內(nèi)完成的服務(wù)次數(shù)和連接客戶數(shù)。指在一個單位內(nèi)服務(wù)器完成的客戶所 請求服務(wù)次數(shù)與連接的客戶連接數(shù)量。 這個指標(biāo)值越高, 任務(wù)越多, 服務(wù)器的壓力越大, 對 服務(wù)器的性能影響越大。(6單個用戶請求任務(wù)的響應(yīng)時間。指單個任務(wù)發(fā)出請求,到服務(wù)器響應(yīng)用戶的請求 所用的時間。理想的負載指標(biāo)應(yīng)滿足以下條件 :測量所耗費的資源少, 能體現(xiàn)所有競爭資源上的負載, 各負載指標(biāo)在測量及控制上互不相關(guān)。負載均衡是一種科學(xué)技術(shù)方法, 它可以按照不同的方式劃分為不同的

39、技術(shù)類型。 下面將 對負載均衡的技術(shù)類型進行全面分析。2.4.1 從均衡策略上劃分該劃分標(biāo)準(zhǔn)分為靜態(tài)負載均衡和動態(tài)負載均衡。 靜態(tài)負載均衡不用事先知道系統(tǒng)各個節(jié) 點的負載, 它根據(jù)集群服務(wù)器系統(tǒng)的單個節(jié)點處理能力, 根據(jù)預(yù)先確定的任務(wù)分配策略將系 統(tǒng)任務(wù)分發(fā)到各個系統(tǒng)節(jié)點, 而動態(tài)負載均衡正好相反, 它需要實現(xiàn)實用軟件對各個主機的 數(shù)據(jù)包進行分析, 從而提取各個節(jié)點的負載狀態(tài), 以便于能動態(tài)合理地將任務(wù)分配到各個服 務(wù)器節(jié)點 。該劃分標(biāo)準(zhǔn)可分為硬件實現(xiàn)和軟件實現(xiàn)。 硬件實現(xiàn)通過在外網(wǎng)與服務(wù)器之間部署一個負 載均衡設(shè)備, 即負載均衡器。 負載均衡器控制著網(wǎng)絡(luò)請求分配, 要根據(jù)各個群節(jié)點的當(dāng)前處

40、理能力, 對網(wǎng)絡(luò)任務(wù)進行均衡分配, 而且需要在每個服務(wù)請求的生命周期里監(jiān)控各個節(jié)點的 有效狀態(tài)。 網(wǎng)絡(luò)中數(shù)據(jù)包由負載平衡器派送至防火墻節(jié)點。 軟件實現(xiàn)是指在一臺或多臺服務(wù) 器的操作系統(tǒng)上安裝一個或多個軟件。 這種軟件可以實現(xiàn)負載均衡。 通常硬件實現(xiàn)能更好的 實現(xiàn)負載均衡,但需要更高的成本。一般專家級別的用戶就需要用到硬件實現(xiàn)的方法。2.4.3 從應(yīng)用的地理結(jié)構(gòu)上劃分該劃分標(biāo)準(zhǔn)可分為本地和全局負載均衡。 顧名思義, 本地負載均衡就是指對本地的服務(wù) 器集群做負載均衡。 本地負載均衡能有效地解決數(shù)據(jù)流量過大、 網(wǎng)絡(luò)負荷過重的問題, 并且 不需花費昂貴開支購置性能卓越的服務(wù)器, 充分利用現(xiàn)有設(shè)備, 避

41、免服務(wù)器單點故障造成數(shù) 據(jù)流量的損失。 其有靈活多樣的均衡策略把數(shù)據(jù)流量合理地分配給服務(wù)器群內(nèi)的服務(wù)器節(jié)點 共同負擔(dān)。 即使是再給現(xiàn)有服務(wù)器擴充升級, 也只是簡單地增加一個新的服務(wù)器到服務(wù)群中, 而不需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、停止現(xiàn)有的服務(wù)。全局負載均衡則是指對分別部署在各地、有各異網(wǎng)絡(luò)結(jié)構(gòu)的服務(wù)器集群間作負載均衡。 全局負載均衡主要用于在一個多區(qū)域擁有自己服務(wù)器的站點,為了使全球用戶只以一個 IP 地址或域名就能訪問到離自己最近的服務(wù)器, 從而獲得最快的訪問速度, 也可用于子公司分 散站點分布廣的大公司通過 Intranet (企業(yè)內(nèi)部網(wǎng)來達到資源統(tǒng)一合理分配的目的。2.4.4 從網(wǎng)絡(luò)的不同層次入

42、手分析劃分網(wǎng)絡(luò)按照 ISO 標(biāo)準(zhǔn)的 OSI 分層模式分為七層, 從這七個不同層次進行分析, 負載均衡技 術(shù)可以分為客戶端負載均衡技術(shù)、 應(yīng)用服務(wù)器技術(shù)、 動態(tài)域名技術(shù)、 高層協(xié)議交換, 低層協(xié) 議交換等幾種方式。它是根據(jù)各層所具有的網(wǎng)絡(luò)協(xié)議進行劃分的。負載均衡就是如何解決網(wǎng)絡(luò)瓶頸的一種技術(shù), 它的核心就是調(diào)度算法, 也就是如何才能 實現(xiàn)各個子任務(wù)能均衡的分配到不同的集群服務(wù)器系統(tǒng)節(jié)點上平行計算, 從而讓集群系統(tǒng)的 各個節(jié)點發(fā)揮出最大的效能,即利用率達到最大。下面將介紹幾種負載均衡調(diào)度算法。 (1輪轉(zhuǎn)調(diào)度算法 (Round-Robin Scheduling:在集群系統(tǒng)中的所有節(jié)點處理性能相同 的

43、情況下, 將外部請求按順序輪流分配到集群中的服務(wù)器節(jié)點上。 該算法是簡單的負載均衡 算法, 但在服務(wù)器組中處理性能不一樣的情況下就不適用了。 該算法的活動是可預(yù)知的, 假 設(shè)有 N 個節(jié)點,則每個節(jié)點被選擇的機會是 1/N,因此,很容易計算出節(jié)點的負載分布。 (2 “加權(quán)輪詢” 調(diào)度算法:該算法為每個服務(wù)器節(jié)點設(shè)置一個整數(shù)權(quán)值 (缺省值為 1 , 此權(quán)值用來標(biāo)記服務(wù)器性能。 性能較高的服務(wù)器權(quán)值較高。 與動態(tài)調(diào)度算法相比, 該算法的 調(diào)度開銷比較小,因此可支持更多的物理服務(wù)器 ; 它的缺點是當(dāng)任務(wù)的大小頻繁交化時,有 可能將大多數(shù)長任務(wù)調(diào)度到同一個物理服務(wù)器上,從而導(dǎo)致負載不平衡。(3隨機均衡

44、調(diào)度算法 (Random Scheduling:把來自網(wǎng)絡(luò)的請求隨機分配給各個服務(wù) 器。該算法非常簡單,但是不能很好的解決問題。(4 最小連接調(diào)度算法 (Least-Connection Scheduling:通過“最少連接” 調(diào)度算法動態(tài) 地將網(wǎng)絡(luò)請求調(diào)度到已建立的連接數(shù)最少的服務(wù)器上。 然而在各個服務(wù)器的處理能力不一樣 時,該算法解決問題的能力并不理想。(5加權(quán)最小連接調(diào)度算法 (Weighted Least-Connection Scheduling:為每個服務(wù)器節(jié) 點設(shè)置一個整數(shù)權(quán)值 (缺省值為 1 , 此權(quán)值用來標(biāo)記服務(wù)器性能。 按權(quán)值分配連接負載比例, 權(quán)值較高的服務(wù)器將承受更大比例的活動連接負載。調(diào)度器可以自動問詢服務(wù)器的負載情 況,并動態(tài)地調(diào)整其權(quán)值。(6目標(biāo)地址散列調(diào)度算法 (Destination Hashing Scheduling:將活動連接請求的 DIP (目的 IP 地址 作為散列鍵 (Hash Key, 通過一個散列 (Hash函數(shù)將這個 DIP 映射到一臺可 用且未超載的服務(wù)器。將請求發(fā)送到該服務(wù)器。(7源地址散列調(diào)度算法 (Sou