使用Web交換機(jī)為網(wǎng)絡(luò)防火墻解憂

Web交換技術(shù)的進(jìn)步不僅僅優(yōu)化了Web服務(wù)器，同時(shí)它還可以用來(lái)解決當(dāng)前防火墻引起的一些問(wèn)題。

　　盡管防火墻在防止網(wǎng)絡(luò)入侵方面具有很高的效率，并已成為提交安全Web站點(diǎn)和服務(wù)的關(guān)鍵因素，但是，所有這些安全性都是以很高代價(jià)取得的。簡(jiǎn)言之，防火墻會(huì)限制性能和可伸縮性。由于防火墻是會(huì)造成單故障點(diǎn)的在線設(shè)備，因此它會(huì)降低網(wǎng)絡(luò)的可用性。

　　將防火墻技術(shù)與新出現(xiàn)的Web交換技術(shù)相結(jié)合可以使防火墻的性能、可用性和可伸縮性得到極大的改善。

　　最常用的防火墻由安裝在一臺(tái)服務(wù)器上的軟件構(gòu)成。這臺(tái)服務(wù)器上安裝了兩塊網(wǎng)卡，并被插入到數(shù)據(jù)路徑上。其中的一塊網(wǎng)卡連接到網(wǎng)絡(luò)的公共端，公共端通常為與Internet相連的路由器（即所謂防火墻的“不潔”端）。另一塊網(wǎng)卡與必須保護(hù)的資源相連（即所謂防火墻的“清潔”端）。

　　防火墻安裝在數(shù)據(jù)路徑上，因此限制了網(wǎng)絡(luò)的性能和可伸縮性，原因是所有通過(guò)不潔端和清潔端的數(shù)據(jù)流都必須流過(guò)防火墻。防火墻使用過(guò)濾技術(shù)和其它由網(wǎng)絡(luò)管理人員預(yù)先設(shè)定的策略，對(duì)每個(gè)數(shù)據(jù)包進(jìn)行檢查。

　　問(wèn)題是最適于防火墻的處理結(jié)構(gòu)并不適于檢查高容量的數(shù)據(jù)包。擴(kuò)展防火墻的性能十分困難，因?yàn)樗ǔＩ婕暗匠杀镜母甙荷?jí)：使用更高性能的配置及目前功能最強(qiáng)大處理器的服務(wù)器。

　　新出現(xiàn)的Web交換技術(shù)被人們普遍認(rèn)為是擴(kuò)展防火墻容量、提高防火墻設(shè)備總體可用性的解決方案。在實(shí)現(xiàn)防火墻負(fù)載平衡時(shí)，需要使用兩臺(tái)Web 交換機(jī)：一臺(tái)安裝在防火墻的清潔端，另一臺(tái)安裝在不潔端。每臺(tái)Web交換機(jī)都將輸入的IP流通過(guò)防火墻發(fā)向另一端的對(duì)應(yīng)Web交換機(jī)。這樣就實(shí)現(xiàn)了在幾個(gè)防火墻上的負(fù)載平衡，因此，使防火墻可以并行運(yùn)行，擴(kuò)展了防火墻的性能，并且消除了防火墻成為單故障點(diǎn)的可能。

與傳統(tǒng)的包交換機(jī)不同，Web交換機(jī)具有保持以太網(wǎng)和千兆以太網(wǎng)速率傳輸?shù)牟煌琓CP會(huì)話的能力。由于防火墻是一種狀態(tài)性（stateful）的設(shè)備，因此，所有與建立會(huì)話相關(guān)的數(shù)據(jù)包都要流過(guò)相同的防火墻。Web交換機(jī)智能地保持流經(jīng)防火墻的數(shù)據(jù)流的狀態(tài)信息，因而保證了所有在特定IP源／目的地址對(duì)之間傳輸?shù)臄?shù)據(jù)流都流過(guò)同一個(gè)防火墻。反過(guò)來(lái)，這也保證了防火墻建立的會(huì)話持續(xù)性。

　　防火墻負(fù)載平衡技術(shù)也可以被用來(lái)減少防火墻需要完成的數(shù)據(jù)流過(guò)濾功能的工作量，這正是實(shí)施“非軍事區(qū)”（DMZ）技術(shù)的主要優(yōu)點(diǎn)。在DMZ中保存象Internet這類Web服務(wù)器要求公共訪問(wèn)的資源。Web交換機(jī)需要具有數(shù)據(jù)流過(guò)濾功能來(lái)確定哪些數(shù)據(jù)包應(yīng)當(dāng)被傳送到DMZ，哪些應(yīng)當(dāng)穿過(guò)防火墻。從防火墻上去除掉過(guò)濾功能大大提高了防火墻性能，加快了用戶數(shù)據(jù)流的速度。

　　Web交換機(jī)被配置為允許或拒絕對(duì)DMZ服務(wù)器訪問(wèn)的過(guò)濾器，以這種方式實(shí)現(xiàn)了兩級(jí)水平的安全性：一級(jí)利用配置在Web交換機(jī)上的過(guò)濾器對(duì)訪問(wèn)進(jìn)行限制，另一級(jí)通過(guò)由防火墻進(jìn)行的狀態(tài)檢查限制訪問(wèn)。

　　為保持防火墻的高可用性，Web交換機(jī)利用連續(xù)地向防火墻另一端的對(duì)應(yīng)Web交換機(jī)上的每個(gè)端口發(fā)送強(qiáng)制回應(yīng)命令（ping）來(lái)監(jiān)控防火墻的“健康”情況。如果防火墻或Web交換機(jī)端口出現(xiàn)故障，數(shù)據(jù)流就被分配到其余的“健康”Web交換機(jī)端口和相關(guān)的防火墻上。

　　防火墻負(fù)載平衡利用新型Web交換技術(shù)解決了由防火墻引起的許多性能問(wèn)題和可伸縮性問(wèn)題。這項(xiàng)技術(shù)使防火墻可以并行地運(yùn)行，在不用進(jìn)行重大升級(jí)的條件下，大大提高了效率，擴(kuò)展了性能，并消除了防火墻成為單故障點(diǎn)的可能。