毕业设计--负载均衡技术在防火墙中的应用研究.doc

负载均衡技术在防火墙中的应用研究负载均衡技术在防火墙中的应用研究 摘要 从防火墙诞生之日起 防火墙最热门的话题便是其性能与功能 其一 网络应用的防 护功能要求不断提高 包括以 Web 应用为代表的各种高层协议的应用过滤和对包含视频 音频 用户数据等多种数据流的多媒体应用的安全防护得到高速发展 其二 网络的发展 对防火墙的性能要求进一步提高 现在许多业务已移到网络上去运行 导致网络数据量不 断增加 终端用户的网络带宽也在快速提高 为了确保防火墙不成为整体网络的瓶颈 防 火墙的性能对用户来说需要不断提高 文中将从防火墙与负载均衡的知识出发 提出如何利用负载均衡技术解决网络中的防 火墙瓶颈 文章首先分析防火墙的概念 技术分类 体系结构 发展趋势和优缺点等 然 后对负载均衡技术进行分析 包括负载均衡定义 指标 技术分类 要解决的问题 方案 的选择与评估和算法 再具体分析如何在防火墙上实现负载均衡 包括硬件的负载均衡和 软件的负载均衡应用 通过防火墙的负载均衡应用发挥防火墙最大功能 解决网络瓶颈 最后进行工作总结及下一步工作的展望 关键词 负载均衡 防火墙集群 可用性 多重 Cluster IP The Application Study Of Load Balance Technique In Firewall Abstract From the emerge of firewall the most popular topic about firewall are its performance and function Firstly the requirement of protection function in network application is continuously improved and the application filtering of various upper level protocal which takes Web application as its representative and the safety protection of multimedia application of multiple data streams which contains vedio audio frequency and user data are rapidly development Secondly the development of Network requires a further improvement function of firewall At present many business have been done through the Internet making a continuous increase of Newwork data leading to a raipd improvement of terminal users in Network bandwidth To ensure the firewall cannot be a bottleneck of the entire Network the performance of firewall needs to improve This paper starts with firewall and load balance then proposing how to use load balance technique to solve the bottleneck problems infirewall in the Network In this paper we firstly analyse the conception of firewall its technical classification architecture development trend and relative merits Then we analyse the load balance technique including load balance definition its index its technical classification the problems need to be solve the chosen scheme evaluation and arithmetic Finally specifically we analyze how to achieve the load balance in firewall which is including the load balance application of both hardware and software the maximum function of load balance technique in firewall In the last part of this paper we summerize our research and outlook our study next step Keywords Load balance firewall cluster vailability multiple Cluster IP 第 1 页 共 20 页 目目 录录 摘要摘要 1 ABSTRACTABSTRACT 2 绪论绪论 2 1 网络防火墙技术网络防火墙技术 2 1 1 防火墙的定义 2 1 2 防火墙的体系结构 3 1 3 防火墙的技术类型 5 1 4 防火墙发展的趋势 7 1 4 1 功能趋势 7 1 4 2 技术趋势 7 1 5 防火墙的缺点 8 1 6 本章小结 8 2 负载均衡机制负载均衡机制 9 2 1 负载均衡定义 9 2 2 负载均衡要解决的问题 9 2 3 负载均衡指标 9 2 4 负载均衡技术分类 10 2 4 1 从均衡策略上划分 10 2 4 2 从实现方式上划分 10 2 4 3 从应用的地理结构上划分 10 2 4 4 从网络的不同层次入手分析划分 11 2 5 负载均衡调度算法 11 2 6 负载均衡方案的选择与评估 12 2 7 本章结论 12 3 防火墙中负载均衡机制的应用防火墙中负载均衡机制的应用 12 3 1 防火墙中负载均衡机制的提出 12 3 2 防火墙集群 13 3 3 负载均衡在防火墙集群系统的应用 13 3 3 1 硬件式的解决方案 13 3 3 2 软件式的解决方案 14 3 4 本章小结 15 4 总结总结 16 4 1 工作总结 16 4 2 下一步工作的展望 16 致致 谢谢 17 参考文献参考文献 17 第 2 页 共 20 页 绪论 自计算机网络诞生以来网络安全是不可避免的话题 也注定是人们关心的焦点 在防 御网络用户对网络资源进行非授权访问的常用技术当中 防火墙自然而然的成为了人们首 选的安全技术 在防火墙给予我们一些服务 如可以有效的防止黑客入侵 的同时 一些不可避免的 问题也随之而来 首先 防火墙技术使网络的性能降低和可伸缩性减弱 其次 防火墙经 常成为单故障点 这自然会降低了整体网络的可用性 由于防火墙部署在数据链路路径上 因此 这成为限制网络的性能和可伸缩性一大因素 虽然大部分的防火墙可以使用市场上 已有的高可用性软件以热备份的配置部署 但是 到现在为止 还不能解决如何让一个以 上的防火墙同时工作 因此 购买和配置第二个防火墙和高可用性软件对于用户来说是必 要的 但却只能眼睁睁的看着它们搁置在一边 等待故障将它们激活 由于部署在数据链 路路径上 这对于防火墙来说 它的负担相当繁重 在内网和外网之间的所有网络流量都 必须通过它 与此同时 防火墙的最佳处理结构不适于检查高容量的数据包 由于这种处理结构的 防火墙必须处理每一个数据包 这扼杀了网络的通信速度 假如要扩展防火墙的性能 必 须直接升级到功能更强大的硬件平台 这样的代价是相当大的 本论文所研究的一种防火墙负载均衡技术 它解决了网络中的防火墙瓶颈 课题研究 的防火墙负载均衡技术具有以下的优点 提高了网络信息的安全性 让人们更加放心的在网络上运行业务 提 高社会工作效率 降低甚至消除防火墙的瓶颈 从而增加网络性能和可伸缩性 增强防火墙的可用性 这也在一定程度上增强了网络的可用性 发挥防火墙的最大性能 提高防火墙的利用效率 1 网络防火墙技术 现代化科学信息时代中防火墙是不可或缺的重要部分 它为计算机网络中的信息安全 提供一道屏障 随着科学技术的不断发展 网络信息规模呈现爆炸式增长 这对网络的性 能要求有极大的提高 对防火墙的压力不断增大 这促使了对防火墙的要求越来越高 促 进了防火墙的发展 1 11 1 防火墙的定义 防火墙指的是一个由软件和硬件设备组合而成 部署在不同网络 如可信任的企业内 部网和不可信任的 Internet 之间或者是在同一个网络的不同安全领域之间的一个软硬部 件的组合系统 使 Internet 与 Intranet 之间建立起一个安全网关 Security Gateway 从而保护内部网免受非法用户的侵入 防火墙主要由服务访问规则 验证工具 包过滤和 第 3 页 共 20 页 应用网关 4 个部分组成 它的本质是一种对用户和信息的分析隔离技术 在绝大多数情况 下它部署在所需要保护网络的出入接口处 根据网管配置要求对网络流量执行访问控制 实现网内外的信息传递 从而保证网络的安全与稳定 1 21 2 防火墙的体系结构 防火墙有几种体系结构 下面我们着重分析双重 多重宿主主机体系结构 被屏蔽主机 体系结和被屏蔽子网体系结构 1 双重 多重宿主主机体系结构 双重 多重宿主主机体系结构的主体是双重 多重宿主主机 双重 多重宿主主机有两个 或多个网络接口 该主机可当作一个与这些接口相连的网络之间的路由器 它的接口两端 网络之间可相互发送 IP 数据包 然而 实现双重 多重宿主主机的防火墙体系结构禁止这 种发送功能 所以 IP 数据包从一个网络 如被保护的内网 并不是直接到达其它网络 如外网 防火墙内部的系统与外部系统能同时与双重 多重宿主主机通信 然而防火墙 内外部系统之间的 IP 包被完全封截 它们之间却不能直接互相通信 双重 多重宿主主机体系结构的防火墙相当简单 它部署在内网和外网之间 并且被 连接到外网和内网 图 1 1 显示了双重宿主体系结构 主机 2主机 1主机 4主机 3服务器 服务器 内网 1 双重宿主主机防火墙 内网 2 Internet 图 1 1 双重宿主主机防火墙 双重 多重宿主主机体系结构提供服务只能是代理方式 可在维护系统日志 硬件拷 贝日志和远程日志方面使用 这对日后检查很有帮助 却不能帮助网络管理者确定内部哪 些主机被黑客攻击 第 4 页 共 20 页 防火墙 主主机 2主主主机 4堡垒主机主机 3 Intranet 屏蔽路由器 主机 1 Internet 图 1 2 屏蔽主机体系结构防火墙 该体系结构最大的弊端是 一旦黑客入侵双重 多重宿主主机并使其只具有路由功能 那么 Internet 上的任一个用户都可以肆无忌惮的访问内网主机 2 屏蔽主机体系结构 屏蔽主机体系结构防火墙的特点是 提供服务的主机只连接内网 一个单独路由器把 内网和外网隔开 该体系结构由路由器和堡垒主机组成 主要的安全由数据包过滤保证 图 1 2 给出这种防火墙的体系结构 该体系结构最重要的部分便是堡垒主机 任何 Internet 上的用户必须通过堡垒主机系 统才能连接到内部系统 因此堡垒主机的安全级别对于网络的安全是最重要的 如果黑客 侵入堡垒主机 而堡垒主机和其余的内网主机之间无任何安全防护下 路由器会出现一个 单点失败 如果路由器被入侵 整个网络就暴露在黑客面前 黑客可以肆无忌惮的使用侵 入的网络资源 对内网来说 这样的打击是致命的 3 被屏蔽子网体系结构 该体系结构增加额外的安全层到被屏蔽的主机体系结构中 在内外网络之间建立一个 被屏蔽的子网 定义为 非军事区 demilitarized zone 网络 也称为周边网 perimeter network 作为内外网的连接 堡垒主机在用户网络上是最容易被攻击的主机 在这样的体系结构中 它只是给以入侵者一些不是很重要的访问机会 而并非所有访问权 限 堡垒主机 WEB 服务器 Email 服务器等公用服务器部署在屏蔽子网内外网均可访问屏 蔽子网 但它们之间的通信不能穿过屏蔽子网通信 即使堡垒主机被入侵者控制 内部网 仍受到内部包过滤路由器的保护 该结构中 外网的入侵者通过了第一道防火墙 看到的是一个虚拟的结构 即虚拟的 内网和堡垒主机 看到的只是假象 被屏蔽子网体系结构的最简单形式是 防火墙是两个 屏蔽路由器 单个连接到虚拟的内网即屏蔽子网 一个连接屏蔽子网与内网 另一个连接 屏蔽子网与外网 其结构如图 1 3 所示 第 5 页 共 20 页 Internet 屏蔽子网 Intranet 内网路由器 堡垒主机 防 火 墙 系 统 外网路由器 内网主机 服务器 图 1 3 屏蔽子网体系结构防火墙 假如黑客想完全攻破防火墙系统 他必须攻破连接三个网的路由器 既要切断连接 也不能把自己锁在外面 又不要让自己暴露 这对黑客来说 实现攻击是相当的困难 因 此这种体系结构的防火墙安全系数非常高 1 31 3 防火墙的技术类型 1 简单数据包过滤 包过滤 Packet Filtering 技术是第一代防火墙技术 是 1985 年从 Cisco 的软件中 分离出来的 包过滤器在网络层依照设定的过滤逻辑 即访问控制表 Access Control Table 对数据包进行选择 拒绝或丢弃不符合过滤条件的包 具体而言 通过在网络中 的适当位置对数据包进行过滤 根据检查数据流中每个数据包的源 IP 目的 IP 所有的 TCP 端口号和 TCP 链路状态等要素 然后依据一组预定义的规则 以允许合乎逻辑的数据 包通过防火墙进入到内部网络 而将不合乎逻辑的数据包加以删除 优点 对用户透明 只在包通过时拣选 对网络性能影响小 不用改动应用程序 不 存在为具体网络服务提供特殊处理方式 适用广 易于维护 可以不增加设备就安装 现 在多数的路由器 具有路由功能的交换机和一些操作系统都可以增加包过滤功能 应用成 本低 缺点 只识别网络 传输层的有限信息 逐一检测单个数据包 对上下信息的关联和 更高协议层的信息不识别 因此防护能力弱 没有用户的使用记录 这样就不能从访问记 录中发现黑客的攻击记录 在需要时增加过滤规则 这个降低了速度 配置操作复杂 对 网络管理员要求较高 管理员要对协议本身和其在各应用程序中的作用有较深的理解 2 电路层防火墙 电路层防火墙 Circuit Level Firewall 于 l989 至 l990 年间由美国电报公司贝尔实 验室的 Dave Presotto 和 Howard Trickey 提出 是第二代防火墙 它是工作在传输层的连 第 6 页 共 20 页 接中转器 不允许内部端点与外部端点直接进行 TCP 连接 而是由自己建立两个 TCP 连接 一个在防火墙与内部主机之间 另一个在防火墙与外部网络之间 代表内部主机与外部网 络握手 确保只有当连接建立后才能通信 并且只允许属于该连接的包通过 在转发数据 时内部主机源 IP 地址被转换成电路层网关的地址 与目的地址通信 优点 不检查数据包的有效载荷 速度较快 可以在电路层网关器上增加功能 具有 可塑性 缺点 只能证实握手 不能在 TCP 以外的协议上做访问限制 通常需要为各个客户端 服务程序做修改 透明性差 3 应用层防火墙 应用层防火墙 Application Layer Firewall 是第三代防火墙技术 于 1990 年至 1991 年间由美国电报公司贝尔实验室的 Bill Cheswick 和 Marcus Ranum 提出 也叫应用 网关 Application Gateway 技术 它是内部网与外部网的隔离点 能监视和隔绝应用层信 息流 防止受信任的客户机或服务器与不受信任的主机间直接建立联系 为每一个应用服 务配置专门的代理程序 具体而言 当内部用户请求访问外部站点 应用层防火墙将验证 用户身份并检查请求是否符合规定 如果允许访问 连接会被特定的安全化的代理程序处 理然后传递到外部站点 由应用层网关代替用户访问服务器并接受应答 处理应答之后再 转给发出请求的用户 优点 能在应用层有效检查数据包 能记录所有的连接信息 包括地址和持续时间 安全性高 支持可靠的用户注册和认证 参与每一个 TCP 连接全过程 能控制指定的连接 例如能允许或拒绝对某个 IP 地址服务器的访问 因而可以只支持经过授权的应用服务 剪 除不需要的服务以免其占用网络 缺点 入站流量必须经过代理服务器和终端用户的应用程序处理 工作量大 速度慢 每一个要通过代理服务器的应用都必须在防火墙协议栈作一定修改 且通常对终端用户不 透明 系统管理较复杂 某些应用程序还可能不支持代理连接方式 4 状态检测防火墙 l992 年 第四代防火墙技术动态包过滤 Dynamic Packet Filter 技术被 USC 信息科 学院的 Bob Braden 开发出来 后来发展成为状态检测防火墙 Stateful Inspection Firewal1 状态指的是每个网络连接的状态 即以下信息 源 目的 IP 源 目的 TCP 和 UDP 端口号 协议类型 TCP 序列号和标记 基于 RFCed TCP 状态机的 TCP 会话状态信息 基于定时器的 UDP 流量跟踪信息 状态检测技术 是一种以会话为单位 基于连接状态进 行检测的技术 检查每一个通过防火墙的数据包时 通过跟踪记录其状态信息 将属于同 一连接的所有包作为一个整体数据流看待 生成连接状态表 判断每个包是否属于一个已 经得到许可并且正在进行连接的会话 同时 还使用一组与包过滤规则相似的规则集对包 进行过滤 通过状态表与规则集共同配合 几乎可以阻止所有意图进入内部网的流量 却 又能允许内部计算机所产生流量的返回量进入 具有智能性 优点 检测模块支持多种协议和应用程序 很容易地实现应用和服务的扩充 能检查 IP 包的每个字段 过滤规则能识别包的数据部分的特定数据串 安全性好 既有应用级安 全性 又不行使代理功能 也不在源和目的地址间中转 快速而灵活 防范攻击较坚固 缺点 配置非常复杂 当有大量状态记录和过滤规则时 网络性能降低 5 其它防火墙技术 除上面介绍的防火墙技术外 一些新的技术正在防火墙产品中采用 主要有 A 内容检查技术 内容检查技术提供对高层服务协议数据的监控能力 确保用户的安全 包括计算机病 毒 恶意的 Java Applet 或 ActiveX 攻击 恶意电子邮件及不健康网页内容的过滤防护 第 7 页 共 20 页 B 安全审计 绝对的安全是不可能的 因此必须对网络上发生的事件进行记载和分析 对某些保护 网络的敏感信息访问保持不间断的记录 并通过各种类型的报表 报警等方式向系统管理 人员进行 报告 C 身份认证 防火墙主要包括三种认证方法 用户认证 客户认证和会话认真 用户认证是由防火墙设置决定哪些用户有哪些访问权限 客户认证是由防火墙确定哪些特定的用户端让哪些用户可以享有特定的服务权限 会话认证是由防火墙为通信双方在每一次通信时提供透明的会话授权机制 1 41 4 防火墙发展的趋势 伴随着科学信息技术的发展 业务信息量在呈现爆炸式的增加 促使网络带宽在飞速 提高 网络性能的需求不断增长 这促使网络用户对网络信息的安全要求不断提高 因此 用户对防火墙的性能与功能要求也在不断提高 1 4 1 功能趋势功能趋势 在科学技术快速发展的今天 性能单一的网络防火墙系统不能再满足用户的需求 人 们还需要入侵检测 IDS 入侵侦测防御 IDP 防病毒 地址转换 流量过滤等技术 然 而对于不同的用户来说 需求力与购买力又是不一样的 防火墙在功能发展上有以下两种 趋势 1 功能扩展趋势 这种趋势逐渐要求将网络地址转换 虚拟网 服务质量 入侵检 测 入侵侦测防御 防病毒等技术都汇集到防火墙中 让防火墙成为多功能的网络防御系 统 这类防火墙可以包含多种功能模块 比如 IP 包的监听 分析 阻截模块 分布式探测 器控制模块 日志的生成 保存和分析模块 用户误用行为的检测模块 系统资源异常的 检测模块 攻击事件的存储 分析模块 防火墙的控制模块等 并且根据安全需求的变化 功能模块还可以扩充 其适用于大多数对安全性要求较低的用户 如中小公司的企业网络 这类用户通常对网络安全要求不高 青睐于集成的防火墙功能 认为购买集所有功能于一 身的防火墙更划算 2 专业化与联动趋势 集所有功能于一身的防火墙无法做到每项功能都很强大 因 此对于一些专家级用户都会倾向于使用专业性强的独立设备 希望各类单独设备不断提升 性能 然后通过安全管理平台促使各系统能相互协调工作 实现网络的综合防御 例如让 防火墙与 IDS 防病毒系统联动 当防病毒系统发现病毒 就立即通知防火墙阻断其传播 路径 并进行杀除 而当 IDS 发现入侵行为 就立即通知防火墙进行阻截 并生成阻截该 入侵的规则 这种体系结构要求单个防火墙设备对于本职工作需要更加专业 更严格的访 问控制 更精细的协议研究 支持更多通用路由协议 更适应于网络拓扑 1 4 2 技术趋势技术趋势 1 分布式技术 分布式防火墙是将防火墙体系结构分为三部分 网络防火墙 主机 防火墙和中央控制平台 网络防火墙部署在内网与外网之间以及内部子网与内部子网之间 对数据进行过滤 它提供最高的性能但不必执行最高的安全策略 安全级别较低 主机防 第 8 页 共 20 页 火墙部署在内网中重要的主机或服务器前面 它只信任默认的主机 其它的都不可信任 即使是内网也不可信任 它需要根据用户需求执行很高的安全策略 它安全级别相对非常 高 还可以对数据进行加密 中央控制平台对各网络 主机防火墙根据用户需求配置下发 安全策略并进行统一管理 这样形成了一个多层次 多协议的安全体系 2 智能技术 该技术主要是采用人工智能方法 摒弃传统的匹配检查所使用的海量 计算 用统计 记忆 智能决策等算法识别数据 高效发现非法行为的特征值 实现访问 控制 目前 以拒绝服务 DDoS 为代表的攻击 以蠕虫 Worm 为代表的病毒传播 以垃 圾电子邮件 SPAM 为代表的内容控制这三大问题 传统防火墙已经无法解决这些问题 智能防火墙将取代传统防火墙去解决这些问题 3 高速技术 在科学技术的发展历程中 从国内外历次测试的结果证明了目前防火 墙速度不能适应网络的需要 这极大限制了网络的发展 防范 DoS 是防火墙一个很重要的 任务 防火墙由于经常部署于网络出口 在造成网络堵塞的情况下 此时再安全的防火墙 也无法应用 防火墙的高速运行必然成为一种趋势 应用 ASIC FPGA 和网络处理器是实现 高速防火墙的主要方法 这些方法可以非常好的实现高速防火墙 尤其是采用网络处理器 它在实现高速的同时还具有灵活性 1 51 5 防火墙的缺点 防火墙技术是当今用来实现网络安全措施最流行的一种手段 它的安全措施分为三大 类 防御未经授权用户的访问 阻止未经授权用户存取敏感数据 允许合法用户不受妨碍 地访问网络资源 然后 世界上没有什么东西是十全十美的 作为网络安全技术的防火墙亦是如此 因 此不可能完美解决网络上的所有安全问题 防火墙虽然能对来自外部的攻击进行有效地保 护 然而对来自内部的攻击却无计可施 事实上 绝大多数网络安全问题都来自内网 即 使来自外部 目前的任何安全系统也不能完全阻挡有经验的黑客的袭击 所以 网络安全技术单靠防火墙是远远不足的 结合其他技术因素和非技术因素是必 须要注意的 如安全加密技术 访问控制技术 完善法律制度 提高网民素质和安全意识 等 特别是完善法律制度和提高网民意识是迫切需要解决的问题 传统防火墙结构在其技术原理上除了对来自内部的安全威胁不具备防范能力外 还有 以下缺点 1 高成本 内网中需要保护的主机或者资源越多 就要设置更多的安全检查点 这 样就需要更高的资源与成本 2 高管理负担 内网中的 IT 管理人员要面临更大的压力 管理更多的设备 3 存在盲点 由于传统防火墙将检查点设立在一个 可信子网 的入口处 来自子 网内部任何主机的攻击都将成为该防火墙的盲点 4 低性能 因为大量的安全检查点被安置于企业内的各种路由设备上 内网中所有 的通信都将不可避免地经过若干个安全检查点 以至于造成相应的传输延迟 使网络性能 降低了 2 负载均衡机制 负载均衡机制就是为了解决存在的网络瓶颈而提出的一种技术 它的应用在提高网络 性能和服务器效率上发挥着重要的作用 第 9 页 共 20 页 2 1 负载均衡定义 负载是一个描述系统的利用程度的抽象概念 指的是在各个服务器节点上并行的子任 务 负载在并行系统的各服务器结点上分布的均衡程度称为负载均衡度 负载均衡可以从 两方面来理解 1 多台平行的服务器均衡的运行大量的并行访问或数据流量 提高服务器的利用效 率 减少用户的运行等待时间 2 若出现不均衡现象 随即进行负载均衡 亦即在系统中把重负载的节点负载任务 转移到其它一个或多个节点上并行处理 从而大幅度提高系统的整体性能与效率 因此 所谓负载均衡 load balancing 是利用一定的方法使得各个服务器上节点上的 负载得到均衡 发挥系统的最大效率 使系统整体性能达到最优 2 2 负载均衡要解决的问题 负载均衡只是通过重新分配系统负载的一种策略 从而使各主机之间的负载达到相对 均衡 降低任务的响应时间 使系统资源的利用率得到提高 提高系统的性能 它解决的 问题主要有 1 使用户能得到最好的访问质量 更好的使用网络资源 2 解决网络拥塞问题 任务的运行由就近的服务器来提供 实现地理位置无关性 3 提高主机的响应速度 避免不必要的响应时间 提高效率 4 提高主机及其他资源的利用效率 从而最大程度发挥系统的性能 避免较少资源 的搁置 避免由于关键节点的失效 使得整个系统处于瘫痪状态 2 3 负载均衡指标 实现负载均衡的首要任务就是如何衡量服务器性能和当前的负载均衡状况 给出合理 的负载均衡指标 衡量服务器性能和当前运行情况的有效衡量指标包括 1 CPU 利用率 指服务器所运行的任务消耗的 CPU 的值占总的值的大小 CPU 的使 用率是一个服务器最重要的性能指标 2 内存使用率 指服务器所运行的任务消耗的内存空间的值占总的值的大小 3 带宽利用率 网络带宽利用率 每秒收到字节数 发送字节数 带宽 4 物理磁盘读写时间情况 磁盘读取数据过程 硬盘接受到读取指令 磁头从初 始位置移动到目标磁道位置 其中经过一个寻道时间 然后从目标磁盘上找到要读取的数 据 其中经过一个等待时间 即硬盘在读取时间时的平均访问时间 平均寻道时间 平均 等待时间 5 单位时间内完成的服务次数和连接客户数 指在一个单位内服务器完成的客户所 请求服务次数与连接的客户连接数量 这个指标值越高 任务越多 服务器的压力越大 对服务器的性能影响越大 6 单个用户请求任务的响应时间 指单个任务发出请求 到服务器响应用户的请求 所用的时间 理想的负载指标应满足以下条件 测量所耗费的资源少 能体现所有竞争资源上的负载 各负载指标在测量及控制上互不相关 第 10 页 共 20 页 2 4 负载均衡技术分类 负载均衡是一种科学技术方法 它可以按照不同的方式划分为不同的技术类型 下面 将对负载均衡的技术类型进行全面分析 2 4 1 从均衡策略上划分 该划分标准分为静态负载均衡和动态负载均衡 静态负载均衡不用事先知道系统各个 节点的负载 它根据集群服务器系统的单个节点处理能力 根据预先确定的任务分配策略 将系统任务分发到各个系统节点 而动态负载均衡正好相反 它需要实现实用软件对各个 主机的数据包进行分析 从而提取各个节点的负载状态 以便于能动态合理地将任务分配 到各个服务器节点 2 4 2 从实现方式上划分 该划分标准可分为硬件实现和软件实现 硬件实现通过在外网与服务器之间部署一个 负载均衡设备 即负载均衡器 负载均衡器控制着网络请求分配 要根据各个群节点的当 前处理能力 对网络任务进行均衡分配 而且需要在每个服务请求的生命周期里监控各个 节点的有效状态 网络中数据包由负载平衡器派送至防火墙节点 软件实现是指在一台或 多台服务器的操作系统上安装一个或多个软件 这种软件可以实现负载均衡 通常硬件实 现能更好的实现负载均衡 但需要更高的成本 一般专家级别的用户就需要用到硬件实现 的方法 2 4 3 从应用的地理结构上划分 该划分标准可分为本地和全局负载均衡 顾名思义 本地负载均衡就是指对本地的服 务器集群做负载均衡 本地负载均衡能有效地解决数据流量过大 网络负荷过重的问题 并且不需花费昂贵开支购置性能卓越的服务器 充分利用现有设备 避免服务器单点故障 造成数据流量的损失 其有灵活多样的均衡策略把数据流量合理地分配给服务器群内的服 务器节点共同负担 即使是再给现有服务器扩充升级 也只是简单地增加一个新的服务器 到服务群中 而不需改变现有网络结构 停止现有的服务 全局负载均衡则是指对分别部署在各地 有各异网络结构的服务器集群间作负载均衡 全局负载均衡主要用于在一个多区域拥有自己服务器的站点 为了使全球用户只以一个 IP 地址或域名就能访问到离自己最近的服务器 从而获得最快的访问速度 也可用于子公司 分散站点分布广的大公司通过 Intranet 企业内部网 来达到资源统一合理分配的目的 2 4 4 从网络的不同层次入手分析划分 网络按照 ISO 标准的 OSI 分层模式分为七层 从这七个不同层次进行分析 负载均衡 技术可以分为客户端负载均衡技术 应用服务器技术 动态域名技术 高层协议交换 低 层协议交换等几种方式 它是根据各层所具有的网络协议进行划分的 第 11 页 共 20 页 2 5 负载均衡调度算法 负载均衡就是如何解决网络瓶颈的一种技术 它的核心就是调度算法 也就是如何才 能实现各个子任务能均衡的分配到不同的集群服务器系统节点上平行计算 从而让集群系 统的各个节点发挥出最大的效能 即利用率达到最大 下面将介绍几种负载均衡调度算法 1 轮转调度算法 Round Robin Scheduling 在集群系统中的所有节点处理性能相同 的情况下 将外部请求按顺序轮流分配到集群中的服务器节点上 该算法是简单的负载均 衡算法 但在服务器组中处理性能不一样的情况下就不适用了 该算法的活动是可预知的 假设有 N 个节点 则每个节点被选择的机会是 1 N 因此 很容易计算出节点的负载分布 2 加权轮询 调度算法 该算法为每个服务器节点设置一个整数权值 缺省值为 1 此权值用来标记服务器性能 性能较高的服务器权值较高 与动态调度算法相比 该算法 的调度开销比较小 因此可支持更多的物理服务器 它的缺点是当任务的大小频繁交化时 有可能将大多数长任务调度到同一个物理服务器上 从而导致负载不平衡 3 随机均衡调度算法 Random Scheduling 把来自网络的请求随机分配给各个服务 器 该算法非常简单 但是不能很好的解决问题 4 最小连接调度算法 Least Connection Scheduling 通过 最少连接 调度算法动 态地将网络请求调度到已建立的连接数最少的服务器上 然而在各个服务器的处理能力不 一样时 该算法解决问题的能力并不理想 5 加权最小连接调度算法 Weighted Least Connection Scheduling 为每个服务器节 点设置一个整数权值 缺省值为 1 此权值用来标记服务器性能 按权值分配连接负载比例 权值较高的服务器将承受更大比例的活动连接负载 调度器可以自动问询服务器的负载情 况 并动态地调整其权值 6 目标地址散列调度算法 Destination Hashing Scheduling 将活动连接请求的 DIP 目的 IP 地址 作为散列键 Hash Key 通过一个散列 Hash 函数将这个 DIP 映射到一 台可用且未超载的服务器 将请求发送到该服务器 7 源地址散列调度算法 Source Hashing Scheduling 将活动连接请求的 SIP 源 IP 地址 作为散列键 Hash Key 通过散列函数将请求的 SIP 映射到一台可用且未超的服务 器 将请求发送到该服务器节点 8 基于局部性的最少链接调度算法 Locality Based Least Connections Scheduling 找出请求的 DIP 最近使用的服务器节点 在该节点可用且没有超载情况下 将请求发送到 该服务器 否则用 最少链接 的原则选出一个可用的服务器 9 带复制的基于局部性最少链接调度算法 Locality Based Least Connections with Replication Scheduling 找出请求的 DIP 对应的服务器组 按 最小连接 原则从服务器 组中选出一台服务器 在服务器可用且没有超载的情况下 将请求发送到该服务器 否则 按 最小连接 原则从这个集群中选出一台服务器 将该服务器加入到服务器组中 再将 请求发送到该服务器 10 响应速度均衡调度算法 Response Time Scheduling 负载均衡设备对内部各服 务器发出一个探测请求 然后由对探测请求响应最快的一台服务器来响应客户端的服务请 求 这种方法能利用当前能最快响应请求的服务器 第 12 页 共 20 页 2 6 负载均衡方案的选择与评估 在实现任何一种技术方案中 都要考虑一些问题 实现负载均衡也不例外 在我们设 计的方案中 无论是使用硬件实现或者是软件实现 以下问题是必须考略的 1 在实施负载均衡方案后 服务器接收和转发数据报的速度及负载均衡的整体检测 能力是我们必须首先考略的问题 这是实现负载均衡技术的根本 2 随着计算机网络的高速发展 负载均衡方案要有一定的可扩展性和可移植性 它 必须能满足网络流量快速增长的需求 能均衡不同操作系统 硬件平台之间以及不同网络 的负载 3 负载均衡设备自身出现故障时应该有良好的冗余解决方案 保证可用性 避免由 于单节点故障而使整个网络瘫痪从而使系统遭受重大损失 4 方案要有灵活 直观和安全的管理方式 便于方案的实施 包括安装 配置 维 护和监控等工作 在避免出现错误的同时提高了工作效率 2 7 本章结论 本章论述了负载均衡技术的概念 均衡指标 技术分类 调度算法 方案的选择和评 估 从技术和方案上为防火墙的负载均衡技术垫下基础 随着网络的高速发展 网络瓶颈 问题的凸显迫切需要解决 负载均衡技术的应用为解决网络瓶颈起到了非常重要的作用 3 防火墙中负载均衡机制的应用 防火墙作为内部网络的防御点 只有经过防火墙才能进入内网 因此它的性能在一定 程度上决定了网络的性能 提高防火墙的性能 在一定程度上将会提高网络的性能 所以 现在防火墙的性能成为人们关注研究的焦点 3 1 防火墙中负载均衡机制的提出 现在是以网络为中心的计算机技术时代 从上个世纪九十年代中期开始 万维网 World Wide Web 是通过相当简单的操作方式带给普通大众图文并茂的网上信息 而如今 人类社会活动的方方面面 包括经济 文化 生活都离不开网络 网络业务量呈现爆炸式 增长 这些成为 Internet 用户剧烈增长和 Internet 流量爆炸式地增长的原因 尤其是网络的 核心部分的数据流量和计算强度相当大 因此单一设备根本无法解决 在需要完成同样功 能的多个设备之间 我们要怎么样合理分配业务量 减少一些设备过忙影响效率 甚至导 致死机 而其它设备却处于空闲状态的现象 成为了当务之急 在这个背景下 产生了负 载均衡机制 防火墙部署在内网和外网的交界点上 它就像一道门 要进入屋里都要通过这道门 所有外网连接请求都必须经由防火墙才能访问内网服务器 为了实时分析安全状况 防火 墙不停监视网络数据流并对数据进行过滤 同时产生主机审计数据 大量的数据分析是不 可避免的 当通过防火墙的数据流的速度超过其处理能力时 必然导致数据来不及分析就 被丢弃或通过过滤 这些数据很可能包含具有攻击迹象的恶意数据 于是防火墙遗漏了该 攻击事件 由此 引出防火墙的负载问题 成为制约防火墙性能的瓶颈 由此 负载性能 第 13 页 共 20 页 问题常常被入侵者所利用 发送大量无用的数据 使防火墙的系统资源消耗殆尽 便会遗 漏接下来的任意数据包 所以 入侵者仅利用网络的高速传输就能避开防火墙的监视 因此我们可以通过增加防火墙功能 组建服务器集群系统 均衡地分配外网的客户请 求到集群系统的各个设备上 此外 在网络中 单台防火墙本自身可能成为网络瓶颈 并 行多台防火墙这一方案就是为了解决该问题 这就是所谓的集群防火墙 集群防火墙势必 成为未来防火墙的发展方向 防火墙中服务负载均衡方法对大数据流 高业务量的网络处理中 提供了一个比较好 的解决方案 3 2 防火墙集群 集群是一种将多个硬件设备使用特定的连接方式结合起来 提供高于单机性能的任务 处理能力的技术 它的应用十分广泛 目前常见的方式是用高速网络传输设备将几台服务 器相连 实现并行处理和故障接管以提高系统整体可用性 目前对集群技术需求最迫切 发展也最快的领域主要有 Web 应用 科学计算 数据库应用和网络安全 防火墙集群是网络里面由 2 个或者 2 个以上的防火墙组成的集群 集群中单个防火墙 称为节点 Node 集群中每个节点都是平行的相互独立的 没有主次之分 因此这种设计 方法可以实现更高的可用性 可管理性和更优异的可伸缩性 集群防火墙的一些优势主要 有 稳定性 负载均衡和可扩展性 3 3 负载均衡在防火墙集群系统的应用 防火墙负载均衡机制是决定数据包如何传递到集群系统里的哪一个节点 单一防火墙 系统中 系统中所有节点接口只需用单点传送的 IP 地址 但是防火墙集群体系却不一样 它有多个节点 因此它不能采用单一的 IP 地址 接下来我们着重分析集群防火墙的负载均 衡机制的使用 3 3 1 硬件式的解决方案 以硬件 即负载均衡器 为基础的负载均衡机制 防火墙外的负载均衡器决定网络数 据包该发往哪个防火墙集群系统节点 因为外部存在一个负载均衡器 所以只需要使用单 IP 然而为了防止负载均衡器的损坏而形成了网络的单一故障点 从而的导致网络的瘫痪 在网络中配备另一台负载均衡器作为备用是必须的 以硬件为基础的防火墙负载均衡机制 的体系结构如图 3 1 所示 第 14 页 共 20 页 Node 1 均衡器一 均衡器二 均衡器三 均衡器四 Node 3 IntranetInternet Node 2 图 3 1 硬件式防火墙负载均衡 当四个均衡器均能正常工作时 若内网的主机需要请求连接外网时 首先连接到负载 均衡器一 如果该连接是均衡器一上已存在的连接 直接使用原来存在的路径 否则均衡 器一根据自己硬件内部使用的算法确定防火墙集群系统的哪个节点 如 Node 1 负载少 将内网的主机连接请求通过 Node 1 通过均衡器三连接到外网 同时 均衡器一将这个连接 路径数据备份到均衡器二 也将均衡器三的连接路径数据备份到均衡器四 当均衡器一 三发生故障时 均衡器二 四起作用 这样避免了均衡器因为故障而引起的单节点故障 导致整个网络瘫痪 使用硬件负载平衡器的优点 1 具有高度稳定性 同时防火墙集群的处理能力在不断提高 2 具有可扩展性 防火墙集群系统可以线性扩展 灵活性好 3 提高防火墙集群系统各个节点的使用效率 使得节点发挥出自己的最大效能 3 3 2 软件式的解决方案 在 Cluster IP 的解决方案中 多个节点组成一组防火墙集群 连接了对内及对外这两个 网段 在这种架构里 无论是节点本身的 IP 或 Cluster IP 都是属于单点传送 不需要额外 对直接连接的作任何设定 即可获得应有的效能 Cluster IP 解决方案的好处在于其较为线 性的扩充性 当防火墙集群内节点数目增加时 防火墙集群的处理能力会以接近等比例的 形态增加 因此 Cluster IP 1 Cluster IP 2 Cluster IP 3 会随着负载的状况在 Node l Node 2 和 Node 3 之间移动 互相冗余 以达到高可用度以及流量的负载平衡 实现负载均衡的软件 程序是动态的 不断在调整的 多重式 Cluster IP 负载平衡结构如图 3 2 所示 第 15 页 共 20 页 Cluster IP 2 Intranet Internet Cluster IP 1Cluster IP 4 Cluster IP 3Cluster IP 6 集线转换器 Node 3 集线转换器 Cluster IP 5 Node 2 心跳线 心跳线 Node 1 1 图 3 2 多重式 Cluster IP 负载平衡结构 防火墙节点通过心跳线连接实现了集群系统的监管 并实现了负载均衡 在集群系统 中 分别为每个防火墙的每个接口设置一个 IP 地址 同时也要为集群接口设置 IP 地址 防火墙心跳连接接口也单独设置 IP 地址段 多重集群 IP 的解决方案具有较为线性的扩充性 当防火墙集群内节点数目增加时 防 火墙集群的处理能力会以接近等比例的形态增加 因此多重 Cluster IP 的解决方案一般都有 非常好的扩充性 在实际应用中应注意下面几个问题 1 重视单节点的性能 这影响着单节点的最大处理能力 如果流量超过处理能力的 最佳值 各节点的性能将受到影响 甚至有可能影响集群系统的正常运行 2 要预防三台防火墙同时发生故障的可能性 以避免网络中断的发生 3 心跳机制的信息采集周期要适当 过短会加重节点的运行负担 但也不能太长 过长则会影响节点信息采集的可靠性 4 心跳连接必须可靠 否则将会严重影响到节点的正常运行和负载均衡 从而影响 到整体集群系统的性能 5 每个节点的接口都必须分配 IP 地址 当节点越多 则需要 IP 地址也越多 3 4 本章小结本章小结 在网络应用中 不仅要求防火墙为保护网络提供持续不间断的服务 还要求防火墙能 提供高质量的服务 本章首先分析防火墙在高速网络下面临的问题 然后从