防火墙及其群相关技术浅析.docVIP

防火墙及其集群相关技术浅析1 前言 ??? 传统单一的防火墙已经成为限制网络带宽增长的瓶颈，极大地制约了网络的实际应用，同时也降低了网络性能和可扩展性。主要原因有： ??? (1)随着网络视频、IPTV和P2P业务的广泛应用导致互联网络流量高速增长，防火墙网络带宽不够； ??? (2)防火墙所能处理的连接数目有限，无法处理过多用户的通信需求； ??? (3)防火墙身兼认证、访问控制、完整性检查等多项任务，处理能力有限。单一的防火墙不仅存在性能问题，还存在单点故障的瓶颈问题。为了解决这种问题，目前大多数防火墙厂商采用了双机热备的方式。双机热备系统是由两台防火墙及双机热备软件组成，它采用主从工作方式，即一台防火墙节点处于活动工作状态，称为活动防火墙，另一台防火墙节点为备用机，处于热等待监控状态，但是并没有改变放火墙的单点接入方式?。本文提出新的解决方法群式防火墙系统CFS(Cluster FirewallSystem)，将多台性能相同的防火墙并行连接，实现协同工作实现传统单一防火墙的功能，但可以比传统堆一防火墙获得高性能和高可用性，防止了传统单一防火墙的单点失效。 ??? 2 防火墙技术 ??? 防火墙是一种网络安全产品，是在两个网络之间强制实施访问控制策略的一个系统或一组系统。它应具有的功能大致包括： ??? (1)拒绝未经授权的用户访问网络； ??? (2)阻止未经授权的用户存取敏感数据； ??? (3)允许合法用户不受妨碍地访问网络资源。 ??? 防火墙经历了由简单到复杂、功能不断丰富和性能不断增强的过程，防火墙采用的技术大致分为下面几种类型曙1： ??? (1)包过滤防火墙，又称筛选路由器。它一般有一个包检查模块，作用在网络层，分析进出内部网络的所有数据包，按照一定的安全策略(包过滤规则)决定数据包是否允许通过。包过滤规则足以所收到的数据包包头信息为基础，比如，正数据包源地址、正数据包目的地址、封装协议类型(TCP，UDP，ICMP等)、TCP/UDP源端口号、TCP/UDP目的端口号、ICMP报文类型等。当一个数据包满足过滤规则，则允许该数据包通过，否则拒绝通过。 ??? (2)代理技术：代理技术与包过滤技术完全不同，包过滤是在网络层拦截所有的数据包，而代理技术是针对每一个特定应用都有一个程序。代理的原理足在应用层实现防火墙功能，即彻底隔断通信两端的直接通信，所有的通信都必须经过应用层代理转发。 (3)状态检测：状态检测防火墙是由Checkpoint公司率先提出，又称为动态包过滤防火墙。状态检测技术对于新建的应用连接，首先检查预先设置的安全规则，允许符合规则的连接通过，然后在内存中记录下该连接的相关信息，生成状态检测表。最后对于该连接的后续数据包，只要符合状态表，就可以通过。(4)其他防火墙技术：除了前面介绍的包过滤、代理、状态检测技术广泛应用于防火墙系统外，一些新的技术正在防火墙产品中采用，主要有NAT、VPN、内容检查、加密、身份认证。 ??? 3 防火墙的体系结构 ??? 防火墙一般有不同的体系结构，如屏蔽路由器体系结构、双重宿主主机体系结构、屏蔽主机防火墙体系结构和屏蔽子网防火墙体系结构。 ??? (1)屏蔽路由器，又称包过滤路由器，在一般路由器的基础上增加了一些新的安全控制功能，是一个检查通过它的数据包的路由器。这个方法在防火墙概念提出初期非常流行，主要是因为很多公司己经具备了这样的硬件条件，也没有专门的防火墙设备推出。原有路由器设备的公司只需要进行一些另外的包过滤配置即可实现防火墙安全策略，图l所示。在图中当屏蔽路由器角色的就是原有路由器，在其中的防火墙包过滤配置中，可以根据数据包包头信息中的丁地址、UDP和TCP端口来过滤数据。这种防火墙方案最大的缺点就是配置复杂，非专业人员很难正确、有效地配置，其次是功能简单，安全性不高。 ??? 图1 屏蔽路由器体系结构 ??? (2)双重宿主主机。又称应用型防火墙，在运行防火墙软件的堡垒主机上运行代理服务器。双重宿主主机是一个被取消路由功能的主机，与双重宿主主机相连的外部网络与内部网络之间在网络层足断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。双重宿主主机至少有两个网络接口，这种主机可以充当与这些接口相连的网络之间的路由器。它能从一个网络向另一个网络发送正数据包，然而双重宿主主机的防火墙体系结构禁止这种发送。因此，正数据包并不是从一个网络直接发送到另一个网络。外部网络与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制，图2所示。 ??? 图2 双重宿主主机体系结构 (3)屏蔽主机防火墙。屏蔽主机防火墙由包过滤路由器和堡垒主机组成，它所提供的安全性能要比包过滤防火墙系统