研究针对云服务的混合防火墙技术论文.docVIP

研究针对云服务的混合防火墙技术论文 　　 　　摘要：对于网络服务以及应用,防火墙是第一道防线.尽管通过现有的方法能够显著增强系统的安全性,但很多研究也证明了传统防火墙的局限性.随着虚拟化和云计算的出现,基于网络的服务呈现爆炸式的增长.面向云服务,利用无固有边界的虚拟化的云来构建虚拟防火墙,存在安全性与可靠性无法有效控制的问题.这将导致用户无法正常使用这些云服务,本文提出了一种有效的混合架构来权衡云防火墙的性能与可靠性.该混合架构由物理部分和虚拟部分共同构成,采用虚拟的方法实现了物理防火墙的基本功能,同时保障了云计算节点间的高性能合作,增强防火墙的计算能力.提出的架构通过仿真实验部署,结果表明,基于云计算的混合防火墙机制有效的改善了传统防火墙的计算能力. 　　 　　关键词：防火墙;网络安全;云服务;云计算;混合架构; 　　 　　防火墙是网络服务以及本地应用安全的主要防线,但是对于很多企业(尤其是小型企业)来说,设立防火墙无疑增添了他们的成本投资.防火墙对于主流的网络架构来说是一个不可或缺的关键要素,它不仅仅只是部署在网络的边缘,已经逐渐升级为一种服务. 　　 　　对于一个拥有5Mbps网络接入的美国中型大小的公司而言,物理防火墙的首次部署投资以及维护成本大约是12万美元,而之后每年的成本支出约为10万美元[1].投资成本之所以这么高,主要是防火墙需要有专业的管理员来进行部署、维护、检测以及调试.而当防火墙需要新技术更新时,公司还要花钱对防火墙管理员进行专门的培训.另外,如果开发出了新的防火墙技术或者出现了新型的攻击,对于防火墙的固件也需要进一步升级以提升它的存储容量和计算能力等. 　　 　　为了减少防火墙管理以及部署的成本投资,企业将他们的防火墙作为服务外包给第三方提供商,作为软件及服务和效能计算的一部分由云计算来提供支持[2].更迅速的服务要求,迫使企业经常部署、维护他们的应用以及解决方案.随着互联网连接速度加快以及流量不断增长,导致传统的防火墙需要分析巨大的流量以增强安全策略,所以目前防火墙处理的瓶颈是网络. 　　 　　由于虚拟化以及云计算的出现[3-5],物理防火墙没能设计检测以及过滤由虚拟机产生的巨大流量.相反,研究者们设计开发了基于云的防火墙,作为一种服务运行在一个虚拟的环境当中,并提供常规的防火墙技术(如包过滤以及服务检测). 　　 　　一般来说,基于云的防火墙遵循以下两种方法[6]:①虚拟防火墙部署在虚拟监控管理程序上;②虚拟防火墙放置在不同网络分段的桥接处,使他们自己成为一个虚拟机.然而,这些方法同时也给网络的性能以及可靠性之间带来了新的问题和挑战.肯定的是,他们的确改进了网络安全性,但是却没能够解决性能的问题.由云计算抽象出来的简单灵活与控制服务行为以及对基础资源的可见性和可控性之间存在着一种基本的权衡关系. 　　 　　在监控管理层中进行部署,由于防火墙不会被视为网络中的一部分,因此可以允许防火墙管理本地流量.另外,许多研究者都指出了关于性能、延迟以及可靠性方面的挑战.在文献[7]中,研究者们指出,目前云计算的主要挑战为服务的连续性以及可用性.一些组织仍然在担心效能计算能否提供足够的可用性,出于这种考虑,对应用防火墙服务还需要慎重考虑. 　　 　　因此,本文提出了一种新型的高效的混合架构来管理基于云的防火墙的性能和可靠性之间的权衡.提出的架构同时改善了吞吐量以及异常检测能力,提高了物理防火墙的计算能力.额外的计算能力的提高是由于采用了虚拟防火墙的理念,通过云提供大量的资源.目标是在拥有大量计算能力的云中完成虚拟防火墙的基本功能,进一步解决巨大流量对防火墙性能的影响.实验结果显示,所提出的架构在延迟、存储以及CPU性能方面都有很大提升. 　　 　　本文首先对背景以及相关的工作进行了介绍,然后描述了提出的架构,接下来列出了测试以及相应的结果,最后,对全文进行了总结并指出了进一步的研究工作. 　　 　　1研究背景 　　 　　防火墙安全策略[8]是一系列的过滤规则,它定义了满足特定条件下的对数据包执行的相关动作.防火墙主要有三种类型:包过滤器、状态检测器以及应用防火墙.最古老的也就是最基本的就是包过滤器,路由器对网络层或传输层的数据包进行检查,从而获得好的投递性能.它的优点是适应路由、低开销、高吞吐量以及低成本.但是,它的安全等级非常的低. 　　 　　状态检测器提供了一种执行在传输层却对应用层进行过滤的能力.这种防火墙通过跟踪连接的状态以及阻塞偏离特定状态的包,改善了包过滤器的功能.但是,这也暗示出需要使用更多的资源,并且使防火墙的管理操作变得更加的复杂.应用防火墙含有一个代理程序,由代理充当一个通信双方的透明的链路,这样使得通信双方能够通信但是不能进行直接连接.这样,应用程序防火墙并不能防止