OpenBSD下基于CARP协议的负载均衡防火墙研究.docVIP

OpenBSD下基于CARP协议的负载均衡防火墙研究 董忠 尤良芳 （天水师范学院 物理与信息科学学院，甘肃 天水 741001） 摘 要：OpenBSD的安全性使其赢得了大量忠实的用户，尤其在网络路由、防火墙上的表现，被学校大量作为防火墙(NAT)使用。本系统基于OpenBSD，利用CARP协议实现了防火墙之间的负载均衡，提高了防火墙的可用性；在实验测试中运行良好、性能稳定。 关键字：CARP 负载均衡 防火墙OpenBSD 1 引言 防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去；在内部网和外部网之间、专用网与公共网之间的界面上构造起保护屏障. 传统的单接入点防火墙因为数据包处理速度跟不上带宽的增长要求, 已经成为网络发展的瓶颈, 为了防止其影响网络的性能,网络管理员通常只进行基本的过滤规则配置, 远没有达到必要的网络安全级别要求.。而具有高性能数据包处理能力的、采用专用集成电路或网络处理器实现的先进防火墙设备, 其昂贵的价格很难被一般企事业单位接受. 搭建基于开源软件的防火墙集群可以显著提高网络数据处理能力, 不仅能有效的解决防火墙瓶颈问题, 而且能降低运行成本, 提高检测效率, 并且具有良好的扩展性。[1][2] OpenBSD 项目致力于开发一个免费，基于4.4BSD 的多平台，与 UNIX 兼容的操作系统。关注系统本身的可移植性，正确性，前瞻的安全性，标准化和完整的加密技术。随着Internet的高速发展，安全问题日益突出，OpenBSD的安全性使其赢得了大量忠实的用户。尤其在网络路由、防火墙上的表现，被学校大量作为防火墙(NAT)使用。本系统基于OpenBSD，利用CARP协议实现了防火墙之间的负载均衡，提高了防火墙的可用性。在实际应用中性能良好。 2 系统结构 图1：负载均衡防火墙系统结构图 如图1所示，作为负载均衡防火墙的主机1(简称fw1)和主机2(简称fw2)操作系统均为OpenBSD4.9，防火墙软件使用系统自带的PF。每台主机含三块网卡，其中fw1:em0和fw2:em0两块网卡共享地址00与外网相连；fw1:em2和fw2:em2两块网卡共享地址00与内网核心交换机相连，该ip为内网的网关地址；fw1:em1和fw2:em1直接用交叉线相连，ip地址分别为和用于两台主机实时交换PF状态表。 3 关键技术和主要协议 3.1 PF PF(Packet Filter) 是OpenBSD系统自带的功能完善的防火墙软件，用来过滤TCP/IP通讯和进行网络地址转换。因其优异的包转发性能和流控方面的表现，已被移植到FreeBSD系统中；?第一个将 PF 集成到基本系统中的版本是2004年11月发行的FreeBSD5.3。[3] 3.2 pfsync pfsync是一个伪网络接口，用于反映pf状态表的实时变化，它可以向网络上的其它设备发送或接收pf状态表的变化情况。 如果配置与物理接口同步，pfsync可完成以下两样工作： (1)将本机pf状态表的改变发送到该物理接口； (2)从该物理接口接收网络上其它系统发来对方pf状态改变信息，插入本机的的pf状态表中； 默认情况下, pfsynx使用IP组播数据包将状态变化信息发送到同步化的接口上。 这个协议属于IP protocol 240，而使用的组播组是40。 配置pfsync，使用ifconfig命令，其格式如下： ifconfig pfsyncN syncdev syncdev [syncpeer syncpeer] 其中： pfsyncN ，pfsync接口的名。 syncdev ，用来发出 pfsync 更新的物理接口名。 syncpeer ，这个可选项指定了与之交换 pfsync 更新的对方主机IP地址。默认情况下, 在本地网络上pfsync更新是组播。这个选项调整组播的行为, 将其取代为用单播直接将更新发送到指定的syncpeer 。 3.3 CARP CARP(Common Address Redundancy Protocol) 是一个实现系统冗余的协议, 它主要的功能有以下两条： (1)通过用多台计算机组成一个虚拟网络接口来实现系统冗余；即让一组主机(冗余组)共享一个IP地址, 在其中某台主机出现故障时，冗余组内的另一台主机可以马上接替它的工作; (2)在系统间实现负载均衡，提高系统对网络数据的处理能力。 CARP数据包头定义在/sys/netinet/ip_carp.h中，其格式如下： struct carp_header { #if _BYTE_ORDER == _LITTLE_ENDIAN u_int carp_type:4, carp_version