基于多接入点网络集群防火墙系统设计.docVIP

基于多接入点网络集群防火墙系统设计 　　摘要：为解决分布式网络的安全策略问题，将安全检测在每个接入点上进行，防火墙模块间形成对等网络关系。在此基础上，提出一种基于多节点网络模型的集群防火墙系统设计方案，本系统采用模块化设计思想方法，实现了分布式环境下的安全数据的聚合，在实现传统状态检测技术的同时，又实现了分布式状态检测的基础策略，全面提高了防火墙系统的可用性、可控性、鲁棒性。 关键词：多接入点网络；集群防火墙；安全防护；对等网络 中图分类号：TP393.1 文献标识码：A 文章编号：1007-9599 （2013） 02-0000-02 1 引言 网络边界安全防护特性主要依赖于网络拓扑结构[1]。分布式网络的拓扑结构直接约束了防火墙技术在其中的应用，而现有的各种网络从实现上体现出了分层的思想。在通过对多接入点网络模型结构进行分析后，提出一种适合该模型的集群防火墙系统设计方案，详细说明了该系统的结构、特点、功能划分及优势。 2 多接入点网络的模型结构 随着网络技术的不断进步，多接入点网络应运而生，这是网络规模扩展的直接体现。其具体形式既可能是引入了新的网络出口和接入方式，然后通过内部路由器等设备与现有的网络进行连接；又可能是通过网络互连设备将原有的多个带有外网出口的小型网络连接到一起，形成一个比较大的网络。 每个接入点的两端所连接的并不是普通的网络主机，而是负责网络接入服务的网络连接设备。这些接入点设备之间的地位是平等的，并不存在某些中心节点。这是因为它们彼此之间不存在从属关系，只是向用户提供了网络连接服务。同时，这些接入点设备之间经常存在数据交换行为。下面来分析单个接入点的行为，每个接入点不仅是客户端而且可以当作服务器。因为它不仅可以作为客户端发送自己的请求；而且可以作为服务器端接收与自己相连接的其它设备的请求。所以，多接入点网络与对等网络的特征相符合，是分布式网络模型的一种应用。 3 多接入点网络防火墙技术的分析 如果将防火墙技术应用于分布式网络中，就需要考虑防火墙模块应该应用于哪些节点，以及此节点与其它节点之间的关系。这些内容得到确定以后，我们才能够通过考察流经防火墙节点的数据流状态模式来确定防火墙处理数据流的方法。 现有的各种网络的实现，体现了分层思想。网络内部的主机登录后，可以将它看作是从属于某一个主机集合，某个接入点负责该主机集合内所有主机的网络连接。因此将接入点看作是向其它节点网络提供接入服务的超级节点，每一个超级节点负责一个节点区域，由该超级节点负责网络连接的主机的集合，安全域由超级节点和它负责的节点区域共同构成。多个安全域通过通信来共同执行系统的安全策略。 对于现有网络的安全防护而言，最好是将防火墙模块置于接入点之上。它们可以控制所有出入内部网络的数据流，而且还可以在接入点之间进行必要安全信息的交换。对等网络模型最重要的特点就是每个节点不仅是服务器而且还是客户机，它们地位相等，在节点之间可以直接进行数据交换[4]。所以，如果和传统的客户机/服务器模型进行对比，在系统的可扩展性、鲁棒性、系统的资源利用率等等方面，对等网络模型都具有巨大的优势。 4 集群防火墙系统设计 本文提出一种适用于多接入点网络的集群防火墙系统方案，该方案设计的集群防火墙系统在执行统一的网络安全策略的时候，采用分布式的方式，降低了网络失效的风险和单个网络节点的负载强度，减少了发布网络查询管理信息的次数和数量，并且使网络流量实现平衡。防火墙各个模块接受系统的统一协调，与此同时，又独立的工作，从而提高防火墙系统的可管理性，并可为网络安全审计和管理提供多种数据。 4.1 集群防火墙系统的设计 本系统的设计遵循以下原则：尽量利用现有网络和技术资源，以减少资源耗费并降低成本；尽可能提高防火墙系统的工作效率；必须要拥有良好的可扩展性；图2为根据上述说明设计的集群防火墙系统网络拓扑结构示意图[5]。如图中所示，内、外部网络之间的访问控制工作由基于防火墙模块的各接入点共同构成的安全子网负责。 4.2 集群防火墙模块设计 集群防火墙系统分四个子模块：安全核心模块、信息查询模块、信息采集模块、负载平衡模块。各个防火墙子模块具体执行网络安全政策，它们相互之间存在交换信息的行为，并且各自独立地完成访问控制任务并且记录流量数据。系统设计时以分层的模块化思想为基础对集群防火墙系统进行功能划分和定义。图3为防火墙模块的功能示意图，箭头方向为数据流的方向。 （1）安全核心模块负责执行防火墙系统的安全策略，实现的主要功能与传统防火墙一样。本模块主要采用的是状态检测技术，而且在网络流量减少的状况下，可以对网络进行更深一步的过滤操作。 （2）信息查询模块执行与负载任务相