高安全度虚拟组织中动态防火墙设计和实现.pdfVIP

Microcomputer Applications Vol . 22 , No. 4 ,2006 　　　　研究与设计 　　　　微型电脑应用 　　　2006 年第 22 卷第 4 期 ( ) 文章编号 :1007 - 757X 2006 04 - 0010 - 03 高安全度虚拟组织中动态防火墙的设计和实现 吕成彬 , 刘建华 摘 　要 :网格计算的本质含义是在动态变化的、拥有多个部门或者团体的复杂虚拟组织内,灵活安全地协同实现资源共享和 问题求解[ 1] 。建立安全 、稳定 、可扩充的虚拟组织是整个网格技术的基础 。本文分析了在网格环境下组建高安全度虚拟组织时 传统防火墙体制遇到的问题 ,设计了旨在保障虚拟组织高度安全性的新型动态防火墙模型 ,并给出了在Linux 平台下这种防火墙 的实现方法 。 关键词 :高安全度虚拟组织 ;动态防火墙 ; 网格安全 中图分类号 :TP393 . 08 　　　文献标识码 :A 1 　前言 的端口。在网格环境下 ,必须打开的端 口还包括 Gatekeeper , GridFTP , Gram 等网格进程所需要的端口。 “网格”是为了满足 日益增长的科学计算能力需求和 比 在所有这些网格进程中 , Gatekeeper 是最重要的 ,位于资 Internet 更进一步的资源共享要求而发展起来的一种先进技术 源管理者或者任务管理者所在节点 ,通过 GSI ( Grid Security In 和重要的基础设施 ,网格技术试图通过动态变化 、可增长的虚 frastructure) 对用户进行鉴别和授权 。Gatekeeper[2 ] 是一个拥有 ( ) root 权限的进程 , 主要负责处理任务和分配请求 。当收到 拟组织 virtual organization 把地理上分散 、隶属于不同部门的 ( ) client 发出的任务分配请求后 , Gatekeeper 与 client 进行相互安 互联网计算资源 软件 ,仪器设备 、服务器 、PC 等等 汇聚起来 提供给处于不同控制域的用户使用以协同资源共享和问题求 全鉴别 ,并通过 grid - mapfile 把 client 映射为一个本地用户 ,在 ( 本地创建一个拥有本地用户权限的任务管理者 Job M anager , 解 。网格计算环境本质上是对各种计算资源 网格应用进程 、 ) 把根据 RSL (Resource Specification Language) 描述解析出的任务 服务 、内存等资源 的动态搜集 ,并保证他们在不信任通信平 台下实现互相通信和互操作 。 分配参数传给Job Manager 。本文主要针对该进程进行讨论 。 GSI 也提供了数据完整性保护 ,但是因为性能原因 ,默认 虚拟组织是网格的基本组成单位和最基本设施 , 网格就 情况下不支持加密通信 ,所以加密通信不在本文的讨论范围 是通过共享虚拟组织所拥有的多个计算资源和服务来实现 之内。传统防火墙保护下虚拟组织示意图如图 1 所示 。 的。每个虚拟组织都有一整套独特的、确保 自身信息环境安 全的用户认证方式和网络安全策略 。这里的计算资源也包括 虚拟组织拥有的处在防火墙保护下但是又必须通过防火墙和 外部进程互相通信的计算资源 。建设安全 、稳定 、具有 良好增 长性的虚拟组织是网格技