分布式防火墻防火墻架構(gòu)

隨著網(wǎng)絡(luò)的升級(jí)和擴(kuò)容，傳統(tǒng)的盒式防火墻已經(jīng)很難滿足大容量、高性能、可擴(kuò)展的需求和挑戰(zhàn)。這就引入了機(jī)架式防火墻產(chǎn)品的設(shè)計(jì)與研發(fā)。分布式的Crossbar架構(gòu)能夠很好的滿足高性能和靈活擴(kuò)展性的挑戰(zhàn)。 分布式Crossbar架構(gòu)除了交換網(wǎng)板采用了Crossbar架構(gòu)之外，在每個(gè)業(yè)務(wù)板上也采用了Crossbar+交換芯片的架構(gòu)。在業(yè)務(wù)板上加交換芯片可以很好地解決了本地交換的問(wèn)題，而在業(yè)務(wù)板交換芯片和交換網(wǎng)板之間的Crossbar芯片解決了把業(yè)務(wù)板的業(yè)務(wù)數(shù)據(jù)信元化從而提高了交換效率，并且使得業(yè)務(wù)板的數(shù)據(jù)類型和交換網(wǎng)板的信元成為兩個(gè)平面，也就是說(shuō)可以有非常豐富的業(yè)務(wù)板，比如可以把防火墻、IPS系統(tǒng)、路由器、內(nèi)容交換、IPv6等等類型的業(yè)務(wù)整合到核心交換平臺(tái)上。同時(shí)這個(gè)Crossbar有相應(yīng)的高速接口分別連接到兩個(gè)主控板或者交換網(wǎng)板，從而大大提高了雙主控主備切換的速度。

分布式Crossbar設(shè)計(jì)中，CPU也采用了分布式設(shè)計(jì)。設(shè)備主控板上的主CPU負(fù)責(zé)整機(jī)控制調(diào)度、路由表學(xué)習(xí)和下發(fā);業(yè)務(wù)板從CPU主要負(fù)責(zé)本地查表、業(yè)務(wù)板狀態(tài)維護(hù)、安全業(yè)務(wù)功能處理等工作。這就實(shí)現(xiàn)了分布式路由計(jì)算和分布式路由表查詢，大大緩解主控板的壓力，提高了設(shè)備的整體性能，這也是業(yè)務(wù)板本地轉(zhuǎn)發(fā)能夠提高效率的重要原因。這種分布式Crossbar、分布式業(yè)務(wù)處理的設(shè)計(jì)理念是核心網(wǎng)絡(luò)設(shè)備設(shè)計(jì)的發(fā)展方向，保證了防火墻等安全設(shè)備能夠部署到網(wǎng)絡(luò)核心位置，不會(huì)成為網(wǎng)絡(luò)的瓶頸。

上面的分布式Crossbar技術(shù)解決了高性能、可擴(kuò)展的需求，下面的主要部件備份冗余設(shè)計(jì)解決了高可靠性的需求。如圖1所示:不僅交換網(wǎng)板和控制模塊采用雙冗余設(shè)計(jì)，防火墻板、電源和接口板也采用雙冗余設(shè)計(jì)。

為了配合分布式硬件架構(gòu)，軟件也采用分布式設(shè)計(jì)。主控板上運(yùn)行主操作系統(tǒng)，負(fù)責(zé)整臺(tái)設(shè)備的管理配置、路由學(xué)習(xí)、配置下發(fā)等。業(yè)務(wù)板操作系統(tǒng)負(fù)責(zé)接收下發(fā)的配置，和業(yè)務(wù)處理等功能。 由于采用了分布式架構(gòu)設(shè)計(jì)，防火墻系統(tǒng)不僅在硬件上實(shí)現(xiàn)了控制平面和轉(zhuǎn)發(fā)平面的分離，而且在軟件上也實(shí)現(xiàn)了控制平面和轉(zhuǎn)發(fā)平面的分離。這樣能有效的提高系統(tǒng)的高性能和高可靠性。

要想利用分布式處理技術(shù)來(lái)提高網(wǎng)絡(luò)安全產(chǎn)品的性能，我們首先要解決數(shù)據(jù)流在內(nèi)部網(wǎng)絡(luò)間轉(zhuǎn)發(fā)的問(wèn)題。在機(jī)架式體系架構(gòu)上，一般用主控板來(lái)操作整臺(tái)設(shè)備，對(duì)設(shè)備進(jìn)行管理、配置，然后把配置下發(fā)到各個(gè)子系統(tǒng)上使他們協(xié)同工作。接口板用來(lái)提供設(shè)備的接口供用戶接入網(wǎng)絡(luò)，并把數(shù)據(jù)流提交到安全業(yè)務(wù)板上。由安全業(yè)務(wù)板完成訪問(wèn)策略控制、NAT地址轉(zhuǎn)換、IPS防御、防病毒、IPSEC VPN等功能。

分布式防火墻由安全策略管理服務(wù)器[Server]以及客戶端防火墻[Client]組成.客戶端防火墻工作在各個(gè)從服務(wù)器、工作站、個(gè)人計(jì)算機(jī)上，根據(jù)安全策略文件的內(nèi)容，依靠包過(guò)濾、特洛伊木馬過(guò)濾和腳本過(guò)濾的三層過(guò)濾檢查，保護(hù)計(jì)算機(jī)在正常使用網(wǎng)絡(luò)時(shí)不會(huì)受到惡意的攻擊，提高了網(wǎng)絡(luò)安全性。而安全策略管理服務(wù)器則負(fù)責(zé)安全策略、用戶、日志、審計(jì)等的管理。該服務(wù)器是集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，負(fù)責(zé)管理系統(tǒng)日志、多主機(jī)的統(tǒng)一管理，使終端用戶"零"負(fù)擔(dān)。 圖1展示了分布式防火墻在政府/企業(yè)中的應(yīng)用解決方案。該方案是純軟件防火墻，無(wú)須改變?nèi)魏斡布O(shè)備和網(wǎng)絡(luò)架構(gòu)，就可以幫助政府/企業(yè)阻擋來(lái)自外部網(wǎng)絡(luò)的攻擊。

(1)在安全性方面，如何能夠確保策略管理和任務(wù)管理在分發(fā)的過(guò)程中安全。

(2)在今后的發(fā)展方面，如何進(jìn)行功能擴(kuò)展，如何讓主機(jī)防火墻實(shí)現(xiàn)機(jī)制。

在這兩方面中，主機(jī)防火墻對(duì)于分布式防火墻來(lái)講是一個(gè)必要的組成部分，因?yàn)樵诰钟蚓W(wǎng)中的每一臺(tái)主機(jī)上我們都會(huì)安裝一個(gè)主機(jī)防火墻，它要負(fù)責(zé)執(zhí)行安全策略，這個(gè)安全策略就是由管理中心進(jìn)行制定和分發(fā)的，這時(shí)主機(jī)防火墻就成為了分布式防火墻的一個(gè)策略執(zhí)行節(jié)點(diǎn)。

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

在具體應(yīng)用防火墻技術(shù)時(shí)，還要考慮到兩個(gè)方面:

一是防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個(gè)功能。 二是防火墻技術(shù)的另外一個(gè)弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個(gè)難題，如果延遲太大將無(wú)法支持實(shí)時(shí)服務(wù)請(qǐng)求。并且，防火墻采用濾波技術(shù)，濾波通常使網(wǎng)絡(luò)的性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購(gòu)置高速路由器，又會(huì)大大提高經(jīng)濟(jì)預(yù)算。

總之，防火墻是企業(yè)網(wǎng)安全問(wèn)題的流行方案，即把公共數(shù)據(jù)和服務(wù)置于防火墻外，使其對(duì)防火墻內(nèi)部資源的訪問(wèn)受到限制。作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡(jiǎn)單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。

(1)設(shè)置網(wǎng)卡IP地址為192.168.1.234，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為192.168.1.1。

(2)設(shè)置DNS為61.177.7.1。

(3)Linux防火墻設(shè)置，禁用SELinux，啟用防火墻，信任WWW、FTP、SSH、SMTP端口。

(4)設(shè)置防火墻，使能信任TCP協(xié)議的POP3端口。