集群防火墻系統(tǒng)的研究.pdf

1、隨著網(wǎng)絡技術的進步，分布式網(wǎng)絡的應用日益廣泛，其面對的安全問題也更為突出。網(wǎng)絡的邊界安全主要由防火墻技術實現(xiàn)，但無論是傳統(tǒng)的、混合型的還是分布式的防火墻系統(tǒng)都不能很好地適應分布式的網(wǎng)絡環(huán)境。 本文所做的主要工作是研究如何將傳統(tǒng)的防火墻技術融合進分布式網(wǎng)絡的一個重要應用——多接入點網(wǎng)絡中去，使得這種成熟的安全技術在新的環(huán)境下能夠發(fā)揮作用。目的是充分利用現(xiàn)有資源，以較少的代價解決多接入點網(wǎng)絡的安全防護問題。同時，對防火墻系統(tǒng)的可用性

2、問題進行研究，達到提升其性能、增強其可管理性的目的。 首先，通過分析指出，在此種網(wǎng)絡中安全檢測應在每個接入點上進行，防火墻模塊間形成對等網(wǎng)絡關系，并據(jù)此提出了集群防火墻系統(tǒng)設計方案。每個防火墻模塊包含若干功能模塊，其核心是實現(xiàn)傳統(tǒng)狀態(tài)檢測技術的策略執(zhí)行模塊，此外信息收集模塊在由接入點構成的對等網(wǎng)絡中收集狀態(tài)檢測所需的數(shù)據(jù)，實現(xiàn)了分布式狀態(tài)檢測的基礎策略；信息查詢模塊在各接入點間交換信息，提高防火墻系統(tǒng)的可用性、可控性；負載平衡模

3、塊實現(xiàn)接入點間任務負載的平衡，提高系統(tǒng)的魯棒性。 其次，提出了分布式狀態(tài)檢測的基礎實現(xiàn)算法。利用分布式哈希算法，對相關信息進行計算，每個接入點負責一個計算所得的哈希值域片斷。系統(tǒng)將所有源和目的地相同的IP包定向到同一接入點來實現(xiàn)傳輸層會話的裝配。其后即可進行傳統(tǒng)的安全過濾工作。利用現(xiàn)有的安全技術，實現(xiàn)了分布式狀態(tài)檢測。此外，利用這種思想實現(xiàn)了分布式環(huán)境下IP分片的處理，并利用折疊異或法提高了哈希算法的計算速度，利用前插鏈表法提高

4、了哈希算法解決沖突問題的效能，增強了算法的可用性。 再次，對各個防火墻節(jié)點之間的信息交換問題進行了研究。根據(jù)對等網(wǎng)絡小世界和冪定律特性，提出了基于度的快速搜索算法。將鄰居節(jié)點按照節(jié)點連接度進行排序，利用直接相鄰優(yōu)先和聚集度大優(yōu)先的思想，將搜索信息向度數(shù)最大的鄰居節(jié)點轉發(fā)，加快了搜索信息的擴散速度，提高了搜索的命中率。通過兩級節(jié)點信息的獲取，避免了三角形和四邊形回路的出現(xiàn)，減少了無效搜索信息包的生成數(shù)量和系統(tǒng)開銷。該算法為多點間過

5、濾信息的查詢，安全審計和管理數(shù)據(jù)的獲取等等應用提供了基礎實現(xiàn)策略。 第四，將節(jié)點擁有的可管理信息和負載任務信息等定義為資源，從節(jié)點擁有的資源規(guī)模的角度看待防火墻節(jié)點對等網(wǎng)絡的搜索問題。依據(jù)最大資源規(guī)模優(yōu)先的思想，提出了基于資源規(guī)模的搜索算法。搜索通過遍歷一條由多個擁有較多資源的節(jié)點構成的搜索路徑實現(xiàn)，同時將資源索引信息復制到擁有較多資源的鄰居節(jié)點上，局部實現(xiàn)了索引信息的聚集。與傳統(tǒng)的自由搜索算法相比，該算法以較短的查詢路徑覆蓋較

6、多的資源，增加了查詢的命中率；同時減少了搜索信息生成數(shù)量和系統(tǒng)開銷，算法效能較好。 最后，引入“伙伴節(jié)點”的概念，提出了一種負載平衡算法。將本地過剩的負載任務遷移到鄰居節(jié)點中負載處理能力剩余最多的節(jié)點上進行處理。該節(jié)點即為本地節(jié)點的伙伴節(jié)點。當本地節(jié)點改出重載狀態(tài)后，終止平衡過程，將所有外遷的任務遷回。算法通過這種策略保證了系統(tǒng)的穩(wěn)定性，在有效處理負載的同時系統(tǒng)不會出現(xiàn)大的波動，從而提高了系統(tǒng)的性能。此外，通過資源消耗因子的定義