组稿人联盟网
欢迎来到组稿人联盟网
客服电话:400-6735-660 客服在线时间:09:00~22:30(节假日不休息) 客服邮箱:dufu2614@126.com在线投稿:非工作时间点此在线提交您的稿件

计算机技术学 研讨针对云效劳的混合防火墙技术

时间:2019/8/12 10:03:29来源: 作者: 点击:

  摘要:关于网络效劳以及应用, 防火墙是第一道防线.固然经过现有的方法能够显著增强系统的安全性, 但很多研讨也证明了传统防火墙的局限性.随着虚拟化和云计算的呈现, 基于网络的效劳呈现爆炸式的增长.面向云效劳, 应用无固有边境的虚拟化的云来构建虚拟防火墙, 存在安全性与可靠性无法有效控制的问题.这将招致用户无法正常运用这些云效劳, 本文提出了一种有效的混合架构来权衡云防火墙的性能与可靠性.该混合架构由物理部分和虚拟部分共同构成, 采用虚拟的方法完成了物理防火墙的基本功用, 同时保证了云计算节点间的高性能协作, 增强防火墙的计算才干.提出的架构经过仿真实验部署, 结果标明, 基于云计算的混合防火墙机制有效的改善了传统防火墙的计算才干.

  关键词:防火墙; 网络安全; 云效劳; 云计算; 混合架构;

  防火墙是网络效劳以及本地应用安全的主要防线, 但是关于很多企业 (特别是小型企业) 来说, 设立防火墙无疑添加了他们的本钱投资.防火墙关于主流的网络架构来说是一个不可或缺的关键要素, 它不只仅只是部署在网络的边缘, 曾经逐渐升级为一种效劳.

  关于一个具有5Mbps网络接入的美国中型大小的公司而言, 物理防火墙的初次部署投资以及维护本钱大约是12万美圆, 而之后每年的本钱支出约为10万美圆.投资本钱之所以这么高, 主要是防火墙需求有专业的管理员来中止部署、维护、检测以及调试.而当防火墙需求新技术更新时, 公司还要花钱对防火墙管理员中止特地的培训.另外, 假设开发出了新的防火墙技术或者呈现了新型的攻击, 关于防火墙的固件也需求进一步升级以提升它的存储容量和计算才干等.

  为了减少防火墙管理以及部署的本钱投资, 企业将他们的防火墙作为效劳外包给第三方提供商, 作为软件及效劳和效能计算的一部分由云计算来提供支持.更疾速的效劳恳求, 迫使企业经常部署、维护他们的应用以及处置方案.随着互联网衔接速度加快以及流量不时增长, 招致传统的防火墙需求分析庞大的流量以增强安全战略, 所以目前防火墙处置的瓶颈是网络.

  由于虚拟化以及云计算的呈现, 物理防火墙没能设计检测以及过滤由虚拟机产生的庞大流量.相反, 研讨者们设计开发了基于云的防火墙, 作为一种效劳运转在一个虚拟的环境当中, 并提供常规的防火墙技术 (如包过滤以及效劳检测) .

  普通来说, 基于云的防火墙遵照以下两种方法:①虚拟防火墙部署在虚拟监控管理程序上;②虚拟防火墙放置在不同网络分段的桥接处, 使他们自己成为一个虚拟机.但是, 这些方法同时也给网络的性能以及可靠性之间带来了新的问题和应战.肯定的是, 他们的确改进了网络安全性, 但是却没能够处置性能的问题.由云计算笼统出来的简单灵活与控制效劳行为以及对基础资源的可见性和可控性之间存在着一种基本的权衡关系.

  在监控管理层中中止部署, 由于防火墙不会被视为网络中的一部分, 因此可以允许防火墙管理本地流量.另外, 许多研讨者都指出了关于性能、延迟以及可靠性方面的应战.在文献中, 研讨者们指出, 目前云计算的主要应战为效劳的连续性以及可用性.一些组织仍然在担忧效能计算能否提供足够的可用性, 出于这种思索, 对应用防火墙效劳还需求慎重思索.

  因此, 本文提出了一种新型的高效的混合架构来管理基于云的防火墙的性能和可靠性之间的权衡.提出的架构同时改善了吞吐量以及异常检测才干, 进步了物理防火墙的计算才干.额外的计算才干的进步是由于采用了虚拟防火墙的理念, 经过云提供大量的资源.目的是在具有大量计算才干的云中完成虚拟防火墙的基本功用, 进一步处置庞大流量对防火墙性能的影响.实验结果显现, 所提出的架构在延迟、存储以及CPU性能方面都有很大提升.

  本文首先对背景以及相关的工作中止了引见, 然后描画了提出的架构, 接下来列出了测试以及相应的结果, 最后, 对全文中止了总结并指出了进一步的研讨工作.

  1 研讨背景

  防火墙安全战略是一系列的过滤规则, 它定义了满足特定条件下的对数据包执行的相关动作.防火墙主要有三种类型:包过滤器、状态检测器以及应用防火墙.最古老的也就是最基本的就是包过滤器, 路由器对网络层或传输层的数据包中止检查, 从而获得好的投递性能.它的优点是顺应路由、低开支、高吞吐量以及低本钱.但是, 它的安全等级非常的低.

  状态检测器提供了一种执行在传输层却对应用层中止过滤的才干.这种防火墙经过跟踪衔接的状态以及阻塞偏离特定状态的包, 改善了包过滤器的功用.但是, 这也暗示出需求运用更多的资源, 并且使防火墙的管理操作变得愈加的复杂.应用防火墙含有一个代理程序, 由代理充任一个通讯双方的透明的链路, 这样使得通讯双方能够通讯但是不能中止直接衔接.这样, 应用程序防火墙并不能防止对低层的攻击, 而且每个应用都需求一个分别的程序, 资源消耗量大, 并且性能比较差.

  下一代防火墙代表着对传统防火墙的一种反动, 经过集成多种安全功用, 如将反渣滓过滤、反病毒软件、检测系统或入侵防范等, 整合到一个模块内或集成为一个平台, 进而进步防火墙的性能.下一代防火墙与传统的防火墙相比, 还提供了更多粒度的检测和愈加透明的流量状态.

  固然云计算能够增加业务的灵活性、可扩展性和效率, 但是也引进了一些新的安全风险和担忧.传统的物理安全处置方案曾经变得过时, 由于虚拟机之间的网络可能不需求越过同一个物理效劳器的边境.直到往常, 虚拟化处置提供商提出了虚拟防火墙作为最好的处置方案, 关于孤岛以及网络分析的流量有不同方式的减少.关于Cisco, 它的虚拟安全网关分布在云中的物理节点上, 他为指定的管理程序设立一个虚拟防火墙, 而VMware也在安全方面设计了一系列的丈量统称为v Shield模块.

  之前定义的虚拟化防火墙, 是运转在虚拟环境下的, 并且提供类似物理防火墙完成的常规包过滤器和检测器功用的防火墙效劳.它主要有两个方式:管理程序方式以及桥接方式.管理程序方式是一个运转在虚拟机监控上的虚拟防火墙, 因此, 没有被看作为网络的一部分, 只需求管理本地流量.而桥接方式是不同网络模块之间的, 可以被看作是一个独立的虚拟机.这种方式由于可以按需分配资源, 吸收了很多研讨者的关注, 但是虚拟机迁移成为了这类型虚拟防火墙的主要问题, 由于它必需求对不同的安全战略中止管理.

  这一部分, 对当前物理机和虚拟机上的防火墙部署的现有的各种处置方案中止了概览.物理防火墙受限于硬件的性能以及部署模型和增加的本钱付出.虚拟防火墙是很具有潜力的, 由于它没有资源上的限制并且支持动态部署.但是, 虚拟防火墙都无力抵御虚拟机域外的大范围攻击, 从而影响其可靠性.因此, 本文提出了一个架构同时包含了物理和虚拟部分.经过运用强大的云计算来提供效劳, 抵御大量攻击下增长的流量, 在下一节中给出了本文提出的架构.

  2 混合架构

  本文努力于经过增强现有物理防火墙的计算才干来顺应现存的用于下一代宽带网络的技术来提升其性能.本文创新之处在于运用由云计算提供的安全及效劳模型 (Secaa S) , 提出了一种混合的架构.这种架构是混合的, 缘由是它包含了两大主要部分, 虚拟部分和物理部分.虚拟部分有多个虚拟机构成, 每个虚拟机执行一个防火墙程序, 他们的功用包括分析、检测、报告以及许多其他的动态资源配置.物理部分就是企业的物理防火墙, 这个企业同时置办的有云提供商提供的安全效劳, 这部分效劳作为现有物理防火墙的额外资源作为补充, 其中心的思想是当物理防火墙过载时, 将流量重定向到云端的虚拟防火墙上.

  2.1 物理部分

  物理部分是在企业内部开发的模块, 如图1所示, 其中的物理防火墙管理中心是一个管理工具, 辅佐提供更高的性能和效率的架构管理.它主要由三个模块构成:认证、决策以及负载平衡, 下面分别对三个模块中止解释.

  首先, 所运转的环境必需是基于有效证书签名的可信执行环境.为了这个目的, 需求两个步骤:中止认证并在物理和虚拟防火墙间树立一个安全的隧道.关于认证模块提供了运用多种不同认证协议的可能性, 这是由RADIUS效劳器所决议的.可以运用开源的工具freeradius, 它允许用户经过PAP、CHAP、MS-CHAP、MS-CHAPv2以及一切的常规的EAP方法中止认证.建议采用基于SSL协议的EAP-TLS, 由于SSL握手是在EAP之上执行的.固然是网络上, 但是SSL握手是经过TCP传输的, 愈加的安全可靠.

  决策模块是物理防火墙管理中心的中心模块, 它的任务是来判别能否应该把流量转交给虚拟防火墙, 以防止物理防火墙负载过多.出于这个目的, 决策模块需求处置系统和网络检测模块搜集到的本地的一些信息.然后根据检测到的信息可以判定目前防火墙能否过载, 假设超载, 就会将一定量的流量转移到虚拟防火墙中止分析.假设说没有负载, 这个模块继续执行检测.至于重定向到虚拟防火墙的流量的百分比, 由企业或者公司的网络管理员来设定.根据防火墙的负载情况, 假设设计一个程序来中止计算这个百分比将是很有趣的.关于虚拟防火墙过载的一些补充信息将传送到虚拟防火墙管理单元的检测模块, 从而减速或者改动传输参数中的目的地到其他虚拟防火墙或者改动流的类型 (如FTP, HTTP以及SMTP) .

  负载平衡模块接纳来自决策模块的命令, 这个模块的第一个功用是树立可共享的流量, 这样就能够将决策模块的规则应用到对应的状态.这个模块是完好动态的运转方式, 指定的端口、协议以及IP地址.在该模块运转的时分, 首先需求从决策模块查询, 然后从认证模块取到虚拟防火墙的网络信息.但是, 为了最优化, 建议采用最少会话算法 (LSA) 来共享接入的流量.正如流量分配的百分比是由网络管理员控制分配的.负载平衡模块需求与认证模块交互以获得可信的信息 (如IP地址和端口号) 来重定向流量.第二个功用是将虚拟防火墙接纳到的没经过火析处置的流量转移到企业的本地局域网中.

  2.2 虚拟部分

  虚拟部分包含一系列的虚拟机, 它们是以Iaa S方式由云提供商提供的.每一个虚拟机运转一个防火墙, 它们的工作就是认真的分析由企业配置的物理防火墙转移过来的流量数据, 然后将合法的数据流量重定向回企业的本地局域网.所以, 每一个虚拟防火墙都配备一个虚拟防火墙管理单元, 如图1中所示.虚拟防火墙单元是一个可以与物理防火墙中心中止交互的设备, 由三大模块组成:认证模块、检测模块以及重定向模块.

  其中认证模块和物理防火墙管理中心的相对应, 他们具有相同的结构配置.检测模块正如它名字所暗示, 这个模块主要是对虚拟防火墙的网络参数以及系统参数中止检测.假设虚拟网络防火墙负荷超载, 它就会发出正告信息到物理防火墙的决策模块.否则, 这个模块就继续执行它的检测职能.重定向模块只接受来自物理防火墙的流量, 拒绝其他一切的流量.同时它还要担任转发虚拟防火墙过滤后的合法流量到物理防火墙管理中心, 最终抵达企业内部局域网.

  3 测试和结果

  为了观察提出的架构的有效性, 设计开发了一个真实的实验台, 并分析了提出的混合架构在两种部署场景下的情况.细致讨论了用来证明本文的部署情况以及测试场景.

  提出了两种安全部署场景来为物理防火墙提供更高的计算才干, 第一种部署就是安全转发架构, 第二种是安全共享架构.在这两种部署情况下, 都运用了虚拟化来动态配置资源.虚拟和物理防火墙之间的一切通讯都是经过基于EAP-TLS协议的安全隧道中止传输的.思索到基准部署即最基本的单一防火墙架构, 用于和本文提出的两种架构部署方式中止对比实验.需求留意的是, 本文选用的基准部署是许多中小型企业中防火墙运用的基本拓扑结构.

  安全转发架构, 在这种架构下, 主要有两个参与者:物理防火墙 (PF) 和虚拟防火墙 (VF) 节点.将这个拓扑结构下的PF节点等价于一个简单的路由器, 它只中止转发一切收到的数据包.应用虚拟节点来确保过滤功用.它的中心机想就是对进入的流量中止检查, 然后向企业的防火墙转发过滤后的数据包.这里的检查与基本架构下的安全战略完好相同.

  安全共享架构具有同样的组成成分, 但是它的部署方式不同于安全转发架构.传统的防火墙提供的有过滤器的功用, 但是它需求拜托一个或多个虚拟防火墙来中止特地的检验.事实上, 可以完成一个监控器用来查看网络以及系统的属性状态从而触发负载平衡.因此, 物理防火墙可以将其负载分发给一个或者多个虚拟防火墙.负载平衡器将一部分流量转发给一个或多个后端的虚拟防火墙, 同时这些后端防火墙需求向负载平衡器中止信息反响.

  关于每一个进入的流, 一切的负载平衡器 (物理防火墙) 运用最少会话算法共享一切的数据包.这种动态平衡的方法, 经过选择当前列表中链接数目最小的效劳器, 并且在这个环境下工作最好的虚拟机配置, 用于负载平衡调用.衔接的分布是由效劳器的实时性能以及多方面分析决议的, 例如, 每个节点的当前衔接数量或者最快节点的回应时间.一旦树立负载平衡, 就要拦截流量到虚拟机上来中止分析, 然后再转发到物理防火墙, 正如之前阐述的架构那样, 只会把可接受的数据包重定向到企业的防火墙.在这一步骤中, 目的就是减小信令消息以及响应时间从而释放更多的资源去进步Qo S.

  实验台如图2所示, 由三个要素构成.防火墙网关:为了保证过滤功用, 运用了Netfilter工具.效劳器/客户端:运用这个配置用来检测和评价本文部署的架构在改善网络性能后的Qo S等级, 这里运用了Iperf, 它是具有效劳器和客户端模拟的功用, 并且可以经过它来丈量端到端的吞吐量.虚拟防火墙:一个完成了过滤功用的虚拟机, 这里运用了Net Filter, 与防火墙网关具有相似的规则.

  分别对三种部署架构中止了实验:即基本架构、安全转发架构以及安全共享架构.关于每一个架构, 都测试了性能变化率, 在系统和网络性能一定, 不同带宽饱和度变化下的系统整体性能.图3、图4和图5给出了实验的结果情况.

  在图3中, 可以看出, 随着带宽饱和度的增长, CPU负荷也随之增长.这是由于处置数据包的数目也在不时地增加.留意到, 安全共享架构能够多提供10%的负荷, 而且可以看出, 负载不时增加的情况下安全共享架构与基本架构以及安全转发架构相比愈加的稳定.在图4中的内存消耗上可以愈加确认这一点, 另外可以看出安全共享架构的内存消耗比基本架构的消耗要大, 这主要是由于负载平衡软件对内存消耗较大, 另外可以发现安全转发架构的内存消耗更大, 这是由于路由器需求引导未经处置的数据包, 这时也要耗费大量内存.

  图5给出了网络性能实验结果.评判网络质量好坏的一个很重要的参数就是延迟, 从图中的曲线可以观察到以下几点:①提出的两个架构明显的改善了网络延迟状况.②安全共享架构对延迟的改善要比安全转发架构更好.③安全共享架构愈加的稳定, 平均能够提升30%的性能.这就愈加的支持安全共享架构作为混合架构下最优的部署方式.

  4 结论

  提出了一种混合防火墙安全架构, 主要是增强物理防火墙的计算才干, 运用云计算提供的大量资源降低本钱投入.该架构能很好地顺应现有的下一代宽带网络技术.经过设计的仿真测试台, 证明了提出的混合架构的有效性, 实验结果显现, 其在系统和网络性能以及计算才干方面都有很大的提升. 


如对职称晋升论文要求,如有疑问立即咨询本站客服,为您提供专业级服务

在线投稿