基于多接入点网络的集群防火墙系统设计

来源 :计算机光盘软件与应用 | 被引量 : 0次 | 上传用户:dududi
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘要:为解决分布式网络的安全策略问题,将安全检测在每个接入点上进行,防火墙模块间形成对等网络关系。在此基础上,提出一种基于多节点网络模型的集群防火墙系统设计方案,本系统采用模块化设计思想方法,实现了分布式环境下的安全数据的聚合,在实现传统状态检测技术的同时,又实现了分布式状态检测的基础策略,全面提高了防火墙系统的可用性、可控性、鲁棒性。
  关键词:多接入点网络;集群防火墙;安全防护;对等网络
  中图分类号:TP393.1 文献标识码:A 文章编号:1007-9599 (2013) 02-0000-02
  1 引言
  网络边界安全防护特性主要依赖于网络拓扑结构[1]。分布式网络的拓扑结构直接约束了防火墙技术在其中的应用,而现有的各种网络从实现上体现出了分层的思想。在通过对多接入点网络模型结构进行分析后,提出一种适合该模型的集群防火墙系统设计方案,详细说明了该系统的结构、特点、功能划分及优势。
  2 多接入点网络的模型结构
  随着网络技术的不断进步,多接入點网络应运而生,这是网络规模扩展的直接体现。其具体形式既可能是引入了新的网络出口和接入方式,然后通过内部路由器等设备与现有的网络进行连接;又可能是通过网络互连设备将原有的多个带有外网出口的小型网络连接到一起,形成一个比较大的网络。
  每个接入点的两端所连接的并不是普通的网络主机,而是负责网络接入服务的网络连接设备。这些接入点设备之间的地位是平等的,并不存在某些中心节点。这是因为它们彼此之间不存在从属关系,只是向用户提供了网络连接服务。同时,这些接入点设备之间经常存在数据交换行为。下面来分析单个接入点的行为,每个接入点不仅是客户端而且可以当作服务器。因为它不仅可以作为客户端发送自己的请求;而且可以作为服务器端接收与自己相连接的其它设备的请求。所以,多接入点网络与对等网络的特征相符合,是分布式网络模型的一种应用。
  3 多接入点网络防火墙技术的分析
  如果将防火墙技术应用于分布式网络中,就需要考虑防火墙模块应该应用于哪些节点,以及此节点与其它节点之间的关系。这些内容得到确定以后,我们才能够通过考察流经防火墙节点的数据流状态模式来确定防火墙处理数据流的方法。
  现有的各种网络的实现,体现了分层思想。网络内部的主机登录后,可以将它看作是从属于某一个主机集合,某个接入点负责该主机集合内所有主机的网络连接。因此将接入点看作是向其它节点网络提供接入服务的超级节点,每一个超级节点负责一个节点区域,由该超级节点负责网络连接的主机的集合,安全域由超级节点和它负责的节点区域共同构成。多个安全域通过通信来共同执行系统的安全策略。
  对于现有网络的安全防护而言,最好是将防火墙模块置于接入点之上。它们可以控制所有出入内部网络的数据流,而且还可以在接入点之间进行必要安全信息的交换。对等网络模型最重要的特点就是每个节点不仅是服务器而且还是客户机,它们地位相等,在节点之间可以直接进行数据交换[4]。所以,如果和传统的客户机/服务器模型进行对比,在系统的可扩展性、鲁棒性、系统的资源利用率等等方面,对等网络模型都具有巨大的优势。
  4 集群防火墙系统设计
  本文提出一种适用于多接入点网络的集群防火墙系统方案,该方案设计的集群防火墙系统在执行统一的网络安全策略的时候,采用分布式的方式,降低了网络失效的风险和单个网络节点的负载强度,减少了发布网络查询管理信息的次数和数量,并且使网络流量实现平衡。防火墙各个模块接受系统的统一协调,与此同时,又独立的工作,从而提高防火墙系统的可管理性,并可为网络安全审计和管理提供多种数据。
  4.1 集群防火墙系统的设计
  本系统的设计遵循以下原则:尽量利用现有网络和技术资源,以减少资源耗费并降低成本;尽可能提高防火墙系统的工作效率;必须要拥有良好的可扩展性;图2为根据上述说明设计的集群防火墙系统网络拓扑结构示意图[5]。如图中所示,内、外部网络之间的访问控制工作由基于防火墙模块的各接入点共同构成的安全子网负责。
  4.2 集群防火墙模块设计
  集群防火墙系统分四个子模块:安全核心模块、信息查询模块、信息采集模块、负载平衡模块。各个防火墙子模块具体执行网络安全政策,它们相互之间存在交换信息的行为,并且各自独立地完成访问控制任务并且记录流量数据。系统设计时以分层的模块化思想为基础对集群防火墙系统进行功能划分和定义。图3为防火墙模块的功能示意图,箭头方向为数据流的方向。
  (1)安全核心模块负责执行防火墙系统的安全策略,实现的主要功能与传统防火墙一样。本模块主要采用的是状态检测技术,而且在网络流量减少的状况下,可以对网络进行更深一步的过滤操作。
  (2)信息查询模块执行与负载任务相关的信息查询、安全审计信息的收集以及其它的必要信息的交互工作。主要负责与其它接入点上的防火墙模块进行数据交换。
  (3)信息收集模块的功能:根据本系统已确定的算法,重组IP数据包碎片,并且将同一会话任务中的所有IP数据包定向到算法指定的接入点上去,使得在接入点上执行状态检测操作成为可能,集群防火墙系统的性能与IP数据包重组算法有着直接的关系。
  (4)负载平衡模块的功能:解决防火墙子模块之间负载任务的分配问题。主要用来将比较重的本地负载任务移动到目前负载任务比较轻的相邻节点上去。如果本地节点重新恢复到轻载状态,则需要将迁移出去的负载任务取回,与此同时要保证稳定的访问过程。
  4.3 集群防火墙的数据流程
  (1)外部传入数据的处理流程:从外部网络传递过来的数据包到达防火墙接口的某节点后,首先对该数据包会话属性进行检测,查看该包是否应该由此防火墙节点进行处理。如果是,则继续进行下一步检查;否则按照已规定好的算法进行转发。然后,对数据包是否属于一个已经登记的会话在系统状态表中进行检查,如果是,就直接将其转发至内部网络。否则还需经过防火墙系统规则表的安全过滤,合法的话则在系统状态表中为它建立新的表项,最后通过防火墙转发至内部网络,否则记录此次访问之后抛弃该包。
  (2)内部传出数据的处理流程:内部网络传出的数据包,经过内部路由之后到达防火墙接口的某个节点。第一步要检测该包所属的会话任务是否由该防火墙节点负责处理。如果是,则进行下一步检查;如果否,则需要按照已规定好的算法将其转发到相应的防火墙节点。然后,需要在系统状态表中,检查该数据包是否属于一个已经登记会话,如果是的话,则直接将该包转发至外部网络。如果不是,还需要在防火墙系统中对该包进行安全策略审查,如果其被认定为允许访问外部网络,则在系统状态表中为该数据包建立新的表项,再通过防火墙转发到外部网络,否则记录此次访问并抛弃该数据包。
  5 集群防火墙系统特点
  基于多接入点网络的集群防火墙系统的优势:
  (1)技术成熟,成本低:系统相对较容易构建,网络设备和技术比较成熟。
  (2)安全性高:系统中各防火墙子模块通过单独的网络适配器连接起来构成物理上的防火墙系统子网,这样就将防火墙系统内部与外部网络环境完全隔绝。
  (3)资源利用率高,系统鲁棒性强:引用负载平衡技术,可以使各接入点根据自己的实际情况灵活地处理负载任务,同时能够充分地利用其它接入点的剩余处理能力,从而提高整体的资源利用率和鲁棒性。
  (4)可扩展性好:集群防火墙系统结构模式支持扩展,只需要确定新的接入点、在新的接入点上安装防火墙模块以及和现有网络的进行连接并即可。
  (5)可管理性强:系统采用信息查询模块方便收集各个防火墙模块记录的各种参数及数据,进行预处理后再传送给网络的管理系统,增强防火墙系统的可管理性。
  参考文献:
  [1]宿洁.袁军鹏.防火墙技术及其进展[J].计算机工程与应用,2004,40(9):147-149,160.
  [2]范国闯,朱寰,黄涛等. Web应用服务器自适应负载平衡服务[J].软件学报.2003,14(6):1134-1141.
  [3]阎波,李广军.一种状态检测防火墙的攻击防御机制[J].电子科技大学学报,2005,34(4):509-512.
其他文献
开展FLASH模拟教学是培养技能应用型人才的基本途径,这种教学模式要求针对FLASH的课程特征作好课程定位,主要采用模拟情境的教学方法,同时构建完善的评价体系。
随着我国社会经济的不断发展,计算机在社会各个方面得到深入应用,计算机信息技术也对人们的生活和工作起到了重要的影响。同时,对于中等职业学校来说,无论是哪个专业,一年级都有《
"机械制图"作为机械专业中理论性和实践性都较强的一门重要技术基础课,主要培养学生看图、画图能力和空间想像力、应用能力。随着科学技术的迅猛发展和计算机的广泛应用,生产
对2003年夏秋季利用机载PMS在北京及周边地区进行的不同天气状况下6次气溶胶粒子探测资料进行了分析。结果表明,北京及周边地区气溶胶粒子的分布,在不同天气背景时有较大差别
利用PW1979海冰热力模式,考虑渤海的地理特点和气候特征,假设渤海为薄层海洋,引入二分法求解海冰表面温度.用该地区气候平均的云量、湿度、海平面气压和风速以及附近4站的月
计算机程序设计课程是计算机专业和相关专业的计算机基础课程,在高校大学生的知识体系中占有重要的地位。目前程序设计课程存在实践性教学案例少、教学手段实效不佳、课程评
采用实验室观测和DDA法理论计算,分别获得了球锥扁椭球形冰粒对 3.2、5.6和10.7 cm三种波长极化波的后向散射特性数据.结果表明,测量资料和计算数据具有很好的一致性.球锥扁
通过对数控编程方法的分析和试验,提出复杂零件利用自动编程能够保证编程质量;在CAXA制造工程师软件上绘制要加工的复杂图形,加工方法及编程步骤;利用复杂图形实例验证。采用
文件是高校计算机实验室各项管理和技术活动的依据,管好、用好电子文件,对于发挥计算机优势、开发信息资源、提高工作效率和质量、确保信息安全以及方便我们的日常工作和生活
习语是某一语言在长时间使用过程中形成的独特的固定短语或短句。在习语翻译中,不仅要注重习语的表层表达形式,还要挖掘其深层的文化内涵。本文提出了四点习语翻译方法。