使用Web交換器為網路防火牆排憂解難

來源:互聯網
上載者:User

  Web交換技術的進步不僅僅最佳化了Web伺服器,同時它還可以用來解決當前防火牆引起的一些問題。

  儘管防火牆在防止網路入侵方面具有很高的效率,並已成為提交安全Web網站和服務的關鍵因素,但是,所有這些安全性都是以很高代價取得的。簡言之,防火牆會限制效能和延展性。由於防火牆是會造成單故障點的線上裝置,因此它會降低網路的可用性。

  將防火牆技術與新出現的Web交換技術相結合可以使防火牆的效能、可用性和延展性得到極大的改善。

  最常用的防火牆由安裝在一台伺服器上的軟體構成。這台伺服器上安裝了兩塊網卡,並被插入到資料路徑上。其中的一塊網卡串連到網路的公用端,公用端通常為與Internet相連的路由器(即所謂防火牆的“不潔”端)。另一塊網卡與必須保護的資源相連(即所謂防火牆的“清潔”端)。

  防火牆安裝在資料路徑上,因此限制了網路的效能和延展性,原因是所有通過不潔端和清潔端的資料流都必須流過防火牆。防火牆使用過濾技術和其它由網路管理員預先設定的策略,對每個資料包進行檢查。

  問題是最適於防火牆的處理結構並不適於檢查高容量的資料包。擴充防火牆的效能十分困難,因為它通常涉及到成本的高昂升級:使用更高效能的配置及目前功能最強大處理器的伺服器。

  新出現的Web交換技術被人們普遍認為是擴充防火牆容量、提高防火牆裝置總體可用性的解決方案。在實現防火牆Server Load Balancer時,需要使用兩台Web 交換器:一台安裝在防火牆的清潔端,另一台安裝在不潔端。每台Web交換器都將輸入的IP流通過防火牆發向另一端的對應Web交換器。這樣就實現了在幾個防火牆上的Server Load Balancer,因此,使防火牆可以並行運行,擴充了防火牆的效能,並且消除了防火牆成為單故障點的可能。

  與傳統的包交換器不同,Web交換器具有保持乙太網路和千兆乙太網路速率傳輸的不同TCP會話的能力。由於防火牆是一種狀態性(stateful)的裝置,因此,所有與建立會話相關的資料包都要流過相同的防火牆。Web交換器智能地保持流經防火牆的資料流的狀態資訊,因而保證了所有在特定IP源/目的地址對之間傳輸的資料流都流過同一個防火牆。反過來,這也保證了防火牆建立的會話持久性。

  防火牆Server Load Balancer技術也可以被用來減少防火牆需要完成的資料流過濾功能的工作量,這正是實施“非軍事區”(DMZ)技術的主要優點。在DMZ中儲存象Internet這類Web伺服器要求公用訪問的資源。Web交換器需要具有資料流過濾功能來確定哪些資料包應當被傳送到DMZ,哪些應當穿過防火牆。從防火牆上去除掉過濾功能大大提高了防火牆效能,加快了使用者資料流的速度。

  Web交換器被配置為允許或拒絕對DMZ伺服器訪問的過濾器,以這種方式實現了兩級水平的安全性:一級利用配置在Web交換器上的過濾器對訪問進行限制,另一級通過由防火牆進行的狀態檢查限制訪問。

  為保持防火牆的高可用性,Web交換器利用連續地向防火牆另一端的對應Web交換器上的每個連接埠發送強制回應命令(ping)來監控防火牆的“健康”情況。如果防火牆或Web交換器連接埠出現故障,資料流就被分配到其餘的“健康”Web交換器連接埠和相關的防火牆上。

  防火牆Server Load Balancer利用新型Web交換技術解決了由防火牆引起的許多效能問題和延展性問題。這項技術使防火牆可以並行地運行,在不用進行重大升級的條件下,大大提高了效率,擴充了效能,並消除了防火牆成為單故障點的可能。



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。