分散式防火牆

分散式防火牆

分散式防火牆是指駐留在網路主機並對主機系統提供安全防護的軟體產品。

分布架構

隨著網路的升級和擴容,傳統的盒式防火牆已經很難滿足大容量、高性能、可擴展的需求和挑戰。這就引入了機架式防火牆產品的設計與研發。分散式的Crossbar架構能夠很好的滿足高性能和靈活擴展性的挑戰。  分散式Crossbar架構除了交換網板採用了Crossbar架構之外,在每個業務板上也採用了Crossbar+交換晶片的架構。在業務板上加交換晶片可以很好地解決了本地交換的問題,而在業務板交換晶片和交換網板之間的Crossbar晶片解決了把業務板的業務數據信元化從而提高了交換效率,並且使得業務板的數據類型和交換網板的信元成為兩個平面,也就是說可以有非常豐富的業務板,比如可以把防火牆、IPS系統、路由器、內容交換、IPv6等等類型的業務整合到核心交換平台上。同時這個Crossbar有相應的高速接口分別連線到兩個主控板或者交換網板,從而大大提高了雙主控主備切換的速度。

分散式Crossbar設計中,CPU也採用了分散式設計。設備主控板上的主CPU負責整機控制調度、路由表學習和下發;業務板從CPU主要負責本地查表、業務板狀態維護、安全業務功能處理等工作。這就實現了分散式路由計算和分散式路由表查詢,大大緩解主控板的壓力,提高了設備的整體性能,這也是業務板本地轉發能夠提高效率的重要原因。這種分散式Crossbar、分散式業務處理的設計理念是核心網路設備設計的發展方向,保證了防火牆等安全設備能夠部署到網路核心位置,不會成為網路的瓶頸。

上面的分散式Crossbar技術解決了高性能、可擴展的需求,下面的主要部件備份冗餘設計解決了高可靠性的需求。如圖1所示:不僅交換網板和控制模組採用雙冗餘設計,防火牆板、電源和接口板也採用雙冗餘設計。

為了配合分散式硬體架構,軟體也採用分散式設計。主控板上運行主作業系統,負責整台設備的管理配置、路由學習、配置下發等。業務板作業系統負責接收下發的配置,和業務處理等功能。  由於採用了分散式架構設計,防火牆系統不僅在硬體上實現了控制平面和轉發平面的分離,而且在軟體上也實現了控制平面和轉發平面的分離。這樣能有效的提高系統的高性能和高可靠性。

要想利用分散式處理技術來提高網路安全產品的性能,我們首先要解決數據流在內部網路間轉發的問題。在機架式體系架構上,一般用主控板來操作整台設備,對設備進行管理、配置,然後把配置下發到各個子系統上使他們協同工作。接口板用來提供設備的接口供用戶接入網路,並把數據流提交到安全業務板上。由安全業務板完成訪問策略控制、NAT地址轉換、IPS防禦、防病毒、IPSEC VPN等功能。

存在問題

(1)在安全性方面,如何能夠確保策略管理和任務管理在分發的過程中安全。
(2)在今後的發展方面,如何進行功能擴展,如何讓主機防火牆實現機制。
在這兩方面中,主機防火牆對於分散式防火牆來講是一個必要的組成部分,因為在區域網路中的每一台主機上我們都會安裝一個主機防火牆,它要負責執行安全策略,這個安全策略就是由管理中心進行制定和分發的,這時主機防火牆就成為了分散式防火牆的一個策略執行節點。

相關詞條

熱門詞條

聯絡我們