防火墙相关知识

keaide

. 负载分担——大型服务节点的解决方案

　　拥有大量的访问量和用户是信息服务提供者的目标，但是大量的访问会给服务器带来沉重的负担，随着出色的Internet应用服务的用户人数不断增加，服务器变得不胜负荷，如果无法及时处理大量的用户服务请求，将出现服务中断的情况。以往在解决这些问题的时候，只能采用更强计算能力的服务器来替换原来的服务器，旧的服务器只能淘汰掉。即使这样，单台服务器的负载能力也是有限的，不可能无限扩展，同时，高档服务器的价格是随着服务器的性能呈现指数型上升，因此，采用多台廉价服务器组成负载分担的系统模型日渐成为主流。

2．负载分担系统的原理

　　负载分担系统主要是将集中在一台服务器上的用户服务请求分发到多台服务器上。在负载分担方式出现的初期，有不少网络的设计采用域名轮转的方式，即是一个域名对应多台服务器，作为一种廉价的方案，域名轮转的方式可以解决一些服务器的负载问题，但是，由于这种负载分担的方式有很大的局限性：无法根据各台服务器的负载情况，将用户服务请求发送到不同的服务器上；在其中一台服务器出现问题无法工作的时候，系统仍然会将用户访问请求发送到出现故障的服务器上，造成一部分服务的中断；由于域名解释一般在各地的服务器上都会有Cache存在，因此会造成一个地区的用户访问请求将集中在同一台服务器上。因而实际上，采用域名轮转的方式来做系统负载分担，其效果并不明显。

keaide

3．天网防火墙的负载分担系统模块

　　使用天网防火墙的分布式方案，可以建造具有快速响应时间和高容错的大容量服务器集群系统。天网防火墙的负载分布模块，可以智能地将用户的服务请求分布到多台服务器上，同时，提供容错功能，可以自动隔离出问题的服务器。系统具体功能如下：
　　
　　1）动态负载均衡
　　天网防火墙的负载分布模块可以根据服务器的负载情况，包括CPU 占用量，系统Load等情况，自动选择负载最小的服务器，将用户的服务请求发送到该机器上。

　　2）容错处理
　　天网防火墙的负载分布模块可以自动检测服务器的可用性，当某一台服务器出现故障的时候，分布式系统会自动绕开发生故障的机器，不会将用户的服务请求发送到该机器上，保证了系统的正常运作。

keaide

4．天网防火墙负载分担模块的工作原理

　　天网防火墙负载分担模块的工作原理主要是将用户的访问按照一定算法分布到多台服务器上。
天网防火墙可以采用多种不同方式实现负载分担。从功能上可以分为两类：

　　1）智能类

　　直接探测
　　方式：天网防火墙负载分担模块直接向服务器发送服务请求数据，根据服务器响应时间，将无响应的服务器标志为问题服务器，确立用户服务请求转发的优先级。
　　优点：与服务器采用的系统无关，用户服务器可以采用任何种类的服务器。
　　缺点：得到的数据不准确，无法做到完全的负载分担。

keaide

服务器Agent
　　方式：在服务器端安装天网防火墙的负载检测代理软件，实时向天网防火墙负载分担模块发送服务器的负载情况，包括CPU 占用量，系统Load，网络流量等情况，天网防火墙根据服务器负载的综合指数，确立用户服务请求转发的优先级。
　　优点：可以准确地将用户服务请求转发到真正空闲的服务器上，保证服务品质。
　　缺点：必须针对不同操作系统的服务器安装负载检测代理软件，目前只有Unix系统的负载检测代理软件。

　　2）固定类

　　按照固定顺序循环或随即将用户服务请求转发到服务器上面。用在某些特殊的场合，例如服务器端对不正确的服务请求不响应或返回数据不正常。

keaide

．IIDR算法

　　在实际应用中，由于服务器端常常存在着CGI程序，这些程序会将用户的信息保存在服务器的内存中，如果负载分担系统不能识别用户来源，就会将同一个用户的请求分布到不同的服务器上，就会导致无法正常运行程序。而天网防火墙的负载负担模块采用独有的IIDR（智能身份识别）算法，能够保证同一个用户的CGI请求可以保留在同一台服务器上，保证服务的正常运作。

6．天网防火墙负载分担模块

　　采用分布式结构建造大规模的Internet应用，可以容纳大量的用户，然而在用户量增大到一定的情况下，负载分担服务器处于整个网络中心的位置，有可能反而成为服务系统的瓶颈。天网防火墙负载分担模块在设计时采用的专用散列算法，保证系统即使在处理巨大的用户量（每秒同时连接数大于30000用户）下，网络效率仍然可以达到80%以上。

keaide

一、安软EverLink DFW分布式防火墙

　　EverLink Distributed Firewall（简称EverLink DFW） 是北京安软科技有限公司推出的一个具备三层过滤结构的软件防火墙产品。它采用多种先进的网络安全技术，为客户提供网络安全服务。EverLink分布式防火墙依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查，保护个人计算机在正常使用网络时不会受到恶意的攻击，提高了其网络安全属性；同时，为方便管理，所有分布式防火墙的安全策略由统一的中央策略管理服务器进行设置和维护，服务器由系统管理员专人监管，这样就降低了分布式防火墙的使用成本，同时提高了安全保障能力。这里，安全策略包括安全级别以及相关的安全属性。其网络连接示意图如图1所示。

keaide

二、3COM的分布式防火墙系统

　　3Com最新发布的嵌入式防火墙是一种基于硬件的分布式防火墙解决方案，它们被嵌入到网卡中，通过嵌入式防火墙策略服务器来实现集中管理。这种嵌入式防火墙技术把硬件解决方案的强健性和集中管理式软件解决方案的灵活性结合在一起，从而提供了分布式防火墙技术，并创建了一种更完善的安全基础架构。

　　1、3Com分布式防火墙系统组成

　　3Com公司的这套分布式防火墙系统其实就是由这些嵌入式防火墙卡和嵌入式防火墙策略服务器软件组成。整个系统所包括的产品图如图2所示。


　　以前，在我们的印象中，防火墙作为单独设备安装在网络的单独节点上，与网络的交换机或者路由器相连，并且处于网络边缘，所以通常称之为"边界式防火墙"。而此次3Com公司所开发的分布式防火墙系统中的嵌入防火墙产品却以卡的形式出现在各位的面前，图3和图4所示的分别是3Com公司针对台式计算机和笔记本计算机所开发的PCI和PC卡式防火墙产品外观图。相信这样的防火墙产品一定是第一次见到吧？

keaide

这种防火墙产品是把分布式防火墙技术嵌入到网卡中，实现高度集成，这样，这样一块普通网卡大小的PCI或者PC卡就同时具有网卡和防火墙功能，所以又称之为"嵌入式防火墙"。这种嵌入式防火墙卡一头提供了RJ-45的以太网接口，带宽有10Mbps和100Mbps两种。对于PCI接口的防火墙卡可以直接插入计算机PCI插槽中，对于笔记本用的PC卡式防火墙卡有两种规格，一种是直接采用32位的CardBus接口与笔记本计算机相连。

　　分布式防火墙的最大特点不再只对网络边缘负责安全防护，而是将防火墙功能渗入网络的各个角落，甚至远程访问用户，不仅对外部网络向内部网络的通信进行过滤，而且还可根据需要对内部网络各用户之间通信进行过滤。它的防护理念就是除了自己以外任何用户的访问都是"不可信"的，都是需要过滤。与以前的个人防火墙软件产品有相似之处，但不完全一样。首先它们管理方式迥然不同，个人防火墙的安全策略由系统使用者自己设置，目标是防外部攻击，而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置，除了对该桌面机起到保护作用外，也可以对该桌面机的对外访问加以控制，并且这种安全机制是桌面机的使用者不可见和不可改动的。其次，不同于个人防火墙面向个人用户，针对桌面应用的主机防火墙是面向企业级客户的，它与分布式防火墙其它产品共同构成一个企业级应用方案，形成一个安全策略中心统一管理，安全检查机制分散布置的分布式防火墙体系结构。它与传统的边界式防火墙仅对外部网络用户访问不信任的防护理念也存在根本区别。

　　应用这套系统时，只需要服务器和工作上安装嵌入式防火墙硬件卡，在服务器端安装3Com公司对应的嵌入式防火墙策略服务器软件，并通过这个策略服务器软件对整个网络系统中的嵌入式防火墙进行配置、管理。

keaide

2、3Com分布式防火墙系统的主要特性

　　3Com嵌入式防火墙解决方案允许IT主管部署一种涵盖整个公司客户机的安全模式。这种功能对政府、金融、保健和教育等注重安全的行业来说更为重要。该解决方案对客户机采用防篡改安全措施以及可管理策略实施方法，加大了对内部威胁的防范力度。以这种独特方式把防火墙硬件和集中式策略管理软件相结合，将能够阻止通过网络边缘的内部和外部对台式系统、服务器和笔记本电脑发起攻击和入侵，从而实现"纵深防御"的网络安全。3Com的分布式防火墙系统主要具有以下几个方面的优点：

　　（1）防篡改可靠性

　　3Com 防火墙 PCI 卡和 PC 卡硬件中嵌入了防火墙功能，提供了仅软件产品难以达到的黑客防护能力，并且，3Com的防火墙卡独立于主机系统工作，这使得它们极为安全。

　　基于硬件的防火墙不受恶意代码或其他安全程序的影响。相反，个人防火墙和防病毒软件能够轻易地"攻破"或译码，因为它们与主机操作系统交互。这种主机相关性使基于软件的安全机制本身极易受到操作系统中众多广泛传播的安全漏洞的影响。

keaide

（2）将防火墙保护扩展到周边之外

　　全球联盟和移动接入需求使当今的企业局域网变成了战略伙伴外部网、宽带 Internet 连接和移动工作者登录的复杂混合体。这种"没有围墙的企业"面临的挑战是当用户在传统的IT基础架构外部连接时如何保持公司局域网的安全性。每一个远程、共享和开放连接都是一个可能给公司造成数百万损失的潜在安全风险。

　　这些企业需要一个提供以下保护的安全系统：
　　·扩展到网络边缘的综合性保护，无论局域网拓扑如何变化或连接源自何地。
　　·独立于主机操作系统并能增强现有安全解决方案的防篡改安全性。
　　·安全的共享服务器、移动式笔记本和远程台式机接入，特别是通过脆弱的宽带连接。
　　·可管理的安全执行，允许由用户策略而不是物理基础架构来定义安全性。

　　3Com 嵌入式防火墙解决方案可满足所有这些要求，在网络内外提供安全、可信的连接。策略服务器软件与支持防火墙的连接硬件的这种独特组合包括 3Com嵌入式防火墙策略服务器、3Com 防火墙PCI卡（用于台式计算机）和3Com防火墙 PC 卡（用于笔记本计算机）。