（計算機應(yīng)用技術(shù)專業(yè)論文）基于負載均衡機制的防火墻技術(shù)研究與實現(xiàn).pdf

藹安建筑科技大學(xué)碩士學(xué)位論文 基于負載均衡機制的防火墻技術(shù)研究與實現(xiàn) y 5 3 6 9 7 1 專業(yè) 計算機應(yīng)用技術(shù) 碩士生 趙征 指導(dǎo)教師 馬光思教授 摘要 網(wǎng)絡(luò)安全始終是計算機科學(xué)技術(shù)領(lǐng)域引人注目的重大研究課題 防火墻作為互聯(lián)網(wǎng)絡(luò)安全 奎需的基礎(chǔ)設(shè)備 其技術(shù)在過去近十年里經(jīng)歷了不斷的完善和更新 在對防火墻一直追求的安 e 靈活 可用等性能指標中 高可用性始終是防火墻技術(shù)發(fā)展的主要方向 本文作者以國家 十五 科技攻關(guān)項目 銀行信息系統(tǒng)安全保密平臺 的子課題 基于負載均衡機制的防火墻技術(shù)研究 為背景 開展了大量的研發(fā)工作 在理論和實踐方面 g 獲得了很大收益 結(jié)合實際課題 論文概要論述了防火墻的基本概念 特點 分類 關(guān)鍵技術(shù)及其發(fā)展 按 淝負載均衡機制用于防火墻的策略 探討了負載均衡的概念 傳輸鏈路聚合 交換技術(shù) 并 照防火墻系統(tǒng)的體系結(jié)構(gòu) 詳細介紹了l v s 集群策略和各種均衡算法 論文進而從設(shè)計目標出發(fā) 根據(jù)作者在項目研發(fā)中所取得的成果 全面闡述了設(shè)計思路 統(tǒng)平臺的構(gòu)建 采用的核心技術(shù) 并以此為基礎(chǔ)深入討論了服務(wù)負載均衡模塊和雙機熱備份 泱的設(shè)計和實現(xiàn)方法 其中包括d n a t 技術(shù) l c 最少連接 算法 心跳檢測技術(shù) 同步配置 略 盡管加入服務(wù)負載均衡模塊和雙擊熱備份模塊大大提高了防火墻系統(tǒng)的性能 但沒改變防 墻單點接入的現(xiàn)狀 為了更好地改善整個系統(tǒng)性能 在分布式防火墻和防火墻集群的基礎(chǔ)上 文給出了防火墻集群系統(tǒng)的開發(fā)原型 指出了可能存在的問題 實現(xiàn)的難點及未來的研究方向 鍵詞 防火墻 負載均衡 地址轉(zhuǎn)換 雙機熱備份 防火墻集群 西安建筑科技大學(xué)碩士學(xué)位論文 r e s e a r c h i m p l e m e n l a t i o no fl o a d i n gb a l a n c e o nf i r e w a l l s p e c i a l t y c o m p u t e ra p p l i c a t i o nt e c h n o l o g y n a m e z h a oz h e n g i n s t r u c t o r p r o f m ag u a n g s i a b s t r a c t n e t w o r ks e c u r i t yw a sa l li m p o r t a n ti s s u ei nc o m p u t e rs c i e n c e f i r e w a l l a st h eb a s i c s t r u c t u r eo nt h en e t w o r k s e c u r i t y h a v ei m p r o v e da n du p d a t e d i nt h er e c e n tt e ny e a r s i nt h e c h a r a c t e r so ff i r e w a l l s u c ha ss e c u r i t y f l e x i b i l i t ya n da v a i l a b i l i t y h i g ha v a i l a b i l i t yi sa t a r g e ti nt h ef u t u r eo f f i r e w a l l r e s e a r c ho f l o a d i n g b a l a n c eo nf i r e w a l li sa s u b p r o j e c t o f r e s e a r c h i n g a n d i m p l e m e n t i n go nt h es e c u r i t yp l a t f o r mo fb a n k i n gi n f o r m a t i o ns y s t e m ak e ys t a t e l e v e l t e c h n o l o g yd e v e l o p m e n tp r o j e c ti nt h et e n t hf i v ey e a r p l a np e r i o d b a s e do nt h i sp r o j e c t w ed ol o t so f r e s e a r c h t h u sb e n e f i tf r o m b o t ht h e o r ya n d p r a c t i c e i nt h i sp a p e r w eg a v et h ed e f i n i t i o n c h a r a c t e r c l a s s k e yt e c h n o l o g yo ff l r e w a l la n d i t sd e v e l o p m e n t a c c o r d i n gt ol o a d i n gb a l a n c eo nf i r e w a l l w ed e s c r i b e dl o a d i n gb a l a n c e s c o n c e p t i o n t r a n s p o r tl i n kp o l y m e r i z a t i o n e x c h a n g et e c h n o l o g y e s p e c i a l l yl v s c l u s t e ra n d b a l a n c ea l g o r i t h m s f r o mt h ed e s i g no b j e c to ft h i ss u b p r o j e c t w ee x p o u n dt h ed e s i g nt h i n k i n g s y s t e m s t r u c t u r ea n dc o r et e c h n o l o g y a n db a s e do nt h i s w ea d d r e s st h ed e s i g na n dm e t h o do f s e r v e r s l o a d i n g b a l a n c em o d u l ea n dh o t s t a n d b ym o d u l e i n c l u d i n gd n a t l c a l g o r i t h m s h e a r t b e a ti n s p e c t i o n a n ds y n c h r o n i z a t i o np o l i c y a l t h o u g h w eh a v e i m p r o v e dp e r f o r m a n c e o ff i r e w a l l u s i n g m o d u l e so fs e r v e r s l o a d i n gb a l a n c ea n d h o ts t a n d b y w ec a n ts e r l es i n g l ee n t r yp o i n to ff i r e w a l l i no r d e rt o m o r ei m p r o v ef i r e w a l lp e r f o r m a n c e a f t e rr e s e a r c h i n ga n da n a l y z i n gd i s t r i b u t e df i r e w a l l a n df i r e w a l lc l u s t e r w ep r e s e n tt h ed e v e l o p m e n tp r o t o t y p eo ff i r e w a l lc l u s t e rs y s t e m d i f f i c u l t i e s a tl a s t w es u m m a r i z eo fo u rd e s i g na n dp u r p o s et h ed e v e l o p m e n td i r e c t i o no ff u t u r e f i r e w a l j k e y w o r d f i r e w a l l l o a d i n gb a l a n c e n a t h o ts t a n d b y f i r e w a l lc l u s t e r 聲明 本人鄭重聲明我所呈交的論文是我個人在導(dǎo)師指導(dǎo)下 進行的研究工作及取得的研究成果 盡我所知 除了文中特 別加以標注和致謝的地方外 論文中不包含其他人已經(jīng)發(fā)表 或撰寫過的鏟究成果 也不包含本人或其他人在其它單位已 申請學(xué)位或為其它用途使用過的成果 與我一同工作的同志 對本研究所做的所有貢獻均已在論文中作了明確的說明并 表示了致謝 申請學(xué)位論文與資料若有不實之處 本人承擔一切相關(guān) 責任 論文作者簽名 凇彳諺 日期 細弓 弓 關(guān)于論文使用授權(quán)的說明 本人完全了解西安建筑科技大學(xué)有關(guān)保留 使用學(xué)位論 文的規(guī)定 即 學(xué)校有權(quán)保留送交論文的復(fù)印件 允許論文 被查閱和借閱 學(xué)校可以公布論文的全部或部分內(nèi)容 可以 采用影印 縮印或者其它復(fù)制手段保存論文 保密的論文在論文解密后應(yīng)遵守此規(guī)定 論文作者簽名 奐一秒導(dǎo)師簽名 注 請將此頁附在論文首頁 日期 多 肜 西安建筑科技大學(xué)碩士學(xué)位論文 1 緒論 1 1 研究背景 隨著i n t e m e t 在世界范圍內(nèi)的日益普及 網(wǎng)絡(luò)資源的安全問題變得越來越重要 1 9 8 8 年1 1 月發(fā)生的 蠕蟲 事件 使人們更加意識到計算機網(wǎng)絡(luò)的安全問題同網(wǎng)絡(luò)的其他技術(shù)一樣應(yīng)該 作為今后計算機網(wǎng)絡(luò)發(fā)展必須研究的重大課題 1 9 9 6 年美國國防部宣布其計算機網(wǎng)絡(luò)系統(tǒng)在該 年內(nèi)曾遭受到非法用戶的攻擊多達2 5 萬次 而且這些攻擊中有2 3 獲得成功 盡管大多數(shù)攻擊 未造成損失 但畢竟是對計算機網(wǎng)絡(luò)系統(tǒng)的潛在威脅l l 針對各種侵襲 采取什么手段進行防備 人們可以選擇各種各樣的安全模式或手段 范圍 從完全沒有安全 模棱兩可的安全 主機安全 到網(wǎng)絡(luò)安全 相關(guān)安全設(shè)施中 防火墻作為 非常有效的網(wǎng)絡(luò)安全模型 對防止因特網(wǎng)的威脅傳播到內(nèi)部網(wǎng)絡(luò)起到了非常重要的作用 從第一臺防火墻誕生至今 已經(jīng)有十多年了 在這十多年中 防火墻經(jīng)歷了體系 結(jié)構(gòu)和 技術(shù)等多方面的變革 第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn) 采用了包過濾 p a c k e tf i l t e r 技術(shù) 1 9 8 9 年 貝爾實驗室的d a v e p r e s o t t o 和h o w a r dt r i e k e y 推出了第二代防火墻 即電路層 防火墻 同時提出了第三代防火墻一應(yīng)用層防火墻 代理防火墻 的初步結(jié)構(gòu) 1 9 9 2 年 u s c 信息科學(xué)院的b o b b r a d e n 開發(fā)出了基于動態(tài)包過濾 d y n a m i cp a c k e tf i l t e r 技術(shù)的第四代 防火墻 后來演變?yōu)槟壳八f的狀態(tài)檢 1 j s t a t e f u li n s p e c t i o n 技術(shù) 1 9 9 4 年 以色列的c h e c k p o i n t 公司開發(fā)出了第一個基于這種技術(shù)的商業(yè)化的產(chǎn)品 防火墻技術(shù) 作為一種網(wǎng)絡(luò)安全技術(shù)在政府 金融 電信 軍事等領(lǐng)域得到廣泛應(yīng)用 特 別是金融領(lǐng)域 帳戶的安全性不僅關(guān)系著客戶利益 更關(guān)系著國家金融體系的穩(wěn)定 自 八五 以來 我國政府和金融業(yè)自身日漸重視金融信息安全 十五 期間 由中國人民銀行連同國 內(nèi)各商業(yè)銀行共同提出的 銀行信息系統(tǒng)安全保密平臺 被列為國家 十五 科技攻關(guān)項目 該項目由武漢人行承擔并進行應(yīng)用示范 億陽信通作為合作單位參與開發(fā) 本人在億陽信通實 習(xí)期間有幸參與了此項目組的一些工作 武漢人行信息專網(wǎng) 是基于a t m 技術(shù)和i n t e m e t 技術(shù)的寬帶多媒體綜合信息網(wǎng)絡(luò)系統(tǒng) 所 有的應(yīng)用系統(tǒng)都建立在這個統(tǒng)一的公共通信網(wǎng)絡(luò)平臺 信息網(wǎng)除提供信息交換網(wǎng)絡(luò)平臺 同時 也要為網(wǎng)絡(luò)互聯(lián)和信息交換提供相應(yīng)的安全機制和安全平臺 信息網(wǎng)的安全需求是全方位的 整體的 而網(wǎng)絡(luò)安全是分層次的 需要在不同層面解決不同的安全問題 主要包括網(wǎng)絡(luò)層安全 應(yīng)用層安全以及安全檢測和報警 該項目中 網(wǎng)絡(luò)層安全主要解決網(wǎng)絡(luò)互聯(lián)過程和網(wǎng)絡(luò)通訊層安全問題 主要包括 1 網(wǎng) 絡(luò)進出控制 2 網(wǎng)絡(luò)和鏈路層數(shù)據(jù)加密 3 對外通信的管理控制和計費 在所構(gòu)建安全網(wǎng) 西安建筑科技大學(xué)碩士學(xué)位論文 絡(luò)結(jié)構(gòu)中 可將整個網(wǎng)絡(luò)劃分為非安全區(qū) ?；饏^(qū)和安全區(qū) 在非安全區(qū)中放置公開的不需要 任何安全措施的信息 停火區(qū)為內(nèi)部網(wǎng)用戶提供對外訪問的連接和管理 以及整個網(wǎng)絡(luò)管理 安全區(qū)內(nèi)為所有重要的服務(wù)器 由于內(nèi)部和外部用戶都能到達?；饏^(qū) 所以它提供對內(nèi)和對外 的各種服務(wù) 負責傳遞或代理內(nèi)外相互之間的訪問 并在?；饏^(qū)內(nèi)部針對應(yīng)用服務(wù)進行細粒度 訪闖控制 對客戶和服務(wù)器雙方進行身份驗證 同時對安全區(qū)中服務(wù)器的服務(wù)提供代理 實旋 第一層次的安全保護 這里要求在?；饏^(qū)和非安全區(qū)的出入口處設(shè)置防火墻 從而可以看出 網(wǎng)絡(luò)層安全主要是通過防火墻產(chǎn)品解決劃分網(wǎng)絡(luò)結(jié)構(gòu) 管理和控制內(nèi)部與外部通信 通過防火 墻上的n a t 或p r o x y 功能可以實現(xiàn)內(nèi)部用戶對外部的間接訪問 目前流行的防火墻也設(shè)定一定 的流量記錄和計費功能 作為網(wǎng)絡(luò)層安全的關(guān)鍵環(huán)節(jié) 項目對防火墻提出了更高的要求 對于停火區(qū)和安全區(qū)的集 群服務(wù)器 不再采用d n s 實現(xiàn)負載均衡 而是直接利用防火墻 作為集中式調(diào)度器 解決在 多個服務(wù)器結(jié)點問均衡分配用戶請求響應(yīng) 同時 由于傳統(tǒng)防火墻始終采用單點接入網(wǎng)絡(luò) 其 數(shù)據(jù)流量和計算強度之大 使得單一設(shè)備無法承擔 一旦防火墻崩潰 整個網(wǎng)絡(luò)將陷入癱瘓 為保證防火墻始終有效 對防火墻構(gòu)建雙機熱備份模塊 為更好地實現(xiàn)項目要求 項目組提出 基于負載均衡機制的防火墻技術(shù)研究 課題并將它 列為 銀行信息系統(tǒng)安全保密平臺 的予項目 1 2 作者在系統(tǒng)開發(fā)中所承擔的工作 對國家 十五 科技攻關(guān)項目 銀行信息系統(tǒng)安全保密平臺 的子項目 作者主要負 責承擔研究任務(wù)有 1 利用服務(wù)集群 實現(xiàn)防火墻上的服務(wù)負載均衡 2 防火墻實現(xiàn)雙機 熱備份 保證任何時間防火墻都能夠正常工作 3 為進一步提高防火墻的可用性 分析國外 目前研究情況 從理論上給出防火墻集群模型 1 3 本文組織結(jié)構(gòu) 第一章為緒論 給出了課題的研究背景以及作者所承擔的工作 第二章為防火墻的基礎(chǔ)知 識 主要介紹防火墻的概念 特點 技術(shù)發(fā)展現(xiàn)狀和防火墻的關(guān)鍵技術(shù) 第三章為負載均衡機 制 從防火墻中負載均衡機制的提出談起 給出了負載均衡的概念 策略 特別強調(diào)l v s 集群 技術(shù) 第四章為基于負載均衡防火墻的設(shè)計與實現(xiàn) 在總體設(shè)計中給出需求分析 系統(tǒng)體系結(jié) 構(gòu) 關(guān)鍵技術(shù)和性能目標 緊接著分別詳細介紹了服務(wù)負載均衡和雙機熱備份兩個模塊的設(shè)計 和實現(xiàn) 第五章為進一步設(shè)想 為更好地解決防火墻單點失效問題 目前國外提出了兩種方法 分布式防火墻和多臺防火墻集群系統(tǒng) 根據(jù)實際情況 作者給出了 種集群系統(tǒng)的實現(xiàn)模 犁 西安建筑科技大學(xué)碩士學(xué)位論文 2 防火墻及其關(guān)鍵技術(shù) 2 1 防火墻的定義 防火墻是一種網(wǎng)絡(luò)安全技術(shù) 它最初被定義為實施某些安全策略 保護可信網(wǎng)絡(luò) 用以防 止來自不可信網(wǎng)絡(luò)攻擊的設(shè)施 但隨著人們意識到威脅不僅來自外部網(wǎng)絡(luò) 還可能來自內(nèi)部網(wǎng) 絡(luò) 并且技術(shù)上也有可能實施更多的解決方案時 現(xiàn)在的防火墻逐漸發(fā)展為在兩個網(wǎng)絡(luò)之間強 制實施訪問控制策略的一個系統(tǒng)或一組系統(tǒng) 簡單地說 防火墻就是用來保護可信網(wǎng)絡(luò)不受非可信網(wǎng)絡(luò)侵入的一種機制 并且允許在兩 個網(wǎng)絡(luò)之間的通信 它應(yīng)具有的功能大致包括 拒絕未經(jīng)授權(quán)的用戶訪問 阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù) 允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源 2 2 防火墻的體系結(jié)構(gòu) 防火墻可以有不同的結(jié)構(gòu) 如雙重宿主主機體系結(jié)構(gòu) 被屏蔽主機體系結(jié)構(gòu)和被屏蔽子網(wǎng) 體系結(jié)構(gòu) 2 4 1 2 2 1 雙重宿主主機體系結(jié)構(gòu) 雙重宿主主機是一個被取消路由功能的主機 與雙重宿主主機相連的外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò) 之間在網(wǎng)絡(luò)層是斷開的 這樣做的目的是使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的拓撲 雙重宿主主機至少有兩個網(wǎng)絡(luò)接口 這種主機可以充當與這些接口相連的網(wǎng)絡(luò)之間的路由 器 它能從一個網(wǎng)絡(luò)向另一個網(wǎng)絡(luò)發(fā)送口數(shù)據(jù)包 然而雙重宿主主機的防火墻體系結(jié)構(gòu)禁止這 種發(fā)送 因此 i p 數(shù)據(jù)包并不是從一個網(wǎng)絡(luò)直接發(fā)送到另 個網(wǎng)絡(luò) 外部網(wǎng)絡(luò)與雙重宿主主機 通信 內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機通信 但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信 它們之間 的通信必須經(jīng)過雙重宿主主機的過濾和控制 雙重宿主主機防火墻的體系結(jié)構(gòu)相當簡單 它位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間 圖2 1 顯示 了這種體系結(jié)構(gòu) 西安建筑科技大學(xué)碩士學(xué)位論文 一i 匿 宿l 主主機 圖2 1 雙重宿主主機體系結(jié)構(gòu)防火 嗇 雙重宿主主機體系結(jié)構(gòu)防火墻只能以代理的方式提供服務(wù) 可用于維護系統(tǒng)日志 硬件拷 貝日志和遠程日志 這對日后檢查很有幫助 但不能幫助網(wǎng)絡(luò)管理者確認內(nèi)部網(wǎng)中哪些主機可 能已被黑客入侵 采用這種體系結(jié)構(gòu)的致命弱點是 一旦入侵者侵入雙重宿主主機并使其只具有路由功能 則任何網(wǎng)上用戶均可隨便訪問內(nèi)部網(wǎng) 例如 若雙重宿主主機的操作系統(tǒng)是u n i x 系統(tǒng)管理 者可以修改核心變量i p f o r w a r a i n g 來禁止t c p i p 轉(zhuǎn)發(fā) 但熟知該操作系統(tǒng)的黑客設(shè)法取得系統(tǒng) 特權(quán)后 就可以重設(shè)該變量使其具有路由功能 2 2 2 屏蔽主機體系結(jié)構(gòu) 屏蔽主機體系結(jié)構(gòu)防火墻使用單獨一個路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔開 提供服務(wù)的主 機只連接內(nèi)部網(wǎng)絡(luò) 這種體系結(jié)構(gòu)的防火墻是由路由器和堡壘主機組成 主要的安全由數(shù)據(jù)包 過濾保證 圖2 2 給出這種防火墻的體系結(jié)構(gòu) 4 西安建筑科技大學(xué)碩士學(xué)位論文 防火墻0i 由器 一 灃 內(nèi)部網(wǎng)絡(luò) i 一一一一一 辛 銎 l萄旦i 凰凰匡虱匡 l 一一堡壘圭 一 圖2 2 屏蔽主機體系結(jié)構(gòu)防火墻 這種體系結(jié)構(gòu)涉及到堡壘主機 它是i n t e m e t 上的主機能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系 統(tǒng) 任何外部系統(tǒng)要訪闖內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺主機上 因此堡壘主機需要保 持更高等級的主機安全 一旦攻擊者設(shè)法侵入到堡壘主機 而且在堡壘主機和其余的內(nèi)部主機 之間沒有任何網(wǎng)絡(luò)安全措施存在的情況下 路由器會出現(xiàn)一個單點失敗 如果路由器被損害 整個網(wǎng)絡(luò)將對侵襲者就全面開放 2 2 3 被屏蔽子網(wǎng)體系結(jié)構(gòu) 被屏蔽子網(wǎng)體系結(jié)構(gòu)增加額外的安全層到被屏蔽的主機體系結(jié)構(gòu)中 即通過添加虛擬的內(nèi) 部網(wǎng)絡(luò)更迸一步地把內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔開 堡壘主機是用戶網(wǎng)絡(luò)上最容易受到侵襲的主體 通過虛擬的內(nèi)部網(wǎng)絡(luò)隔離堡壘主機 能減 少堡壘主機被侵入的影響 可以說 它只給入侵者一些無關(guān)緊要的訪問機會 但不是全部 在 這種結(jié)構(gòu)中 外部網(wǎng)絡(luò)的侵襲者通過了第一道防火墻 他所看到的是一個虛擬的內(nèi)部網(wǎng)絡(luò)和堡 壘主機 在這個虛擬的環(huán)境中 他看到的是知識假象 被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單形式是 防火墻為兩個屏蔽路由器 每個都連接到虛擬的內(nèi)部網(wǎng)絡(luò)即周邊網(wǎng)絡(luò) 一個位于周邊網(wǎng)與內(nèi)部 網(wǎng)之間 另一個位于周邊網(wǎng)與外部網(wǎng)之間 其結(jié)構(gòu)如圖2 3 所示 西安建筑科技大學(xué)碩士學(xué)位論文 圖2 3 屏蔽子網(wǎng)體系結(jié)構(gòu)防火墻 如果攻擊者試圖完全破壞防火墻 他必須重新配置連接三個網(wǎng)的路由器 既切斷連接 又 不能把自己鎖在外面 同時又不使自己被發(fā)現(xiàn) 這會使黑客的性能變得更困難 2 3 防火墻關(guān)鍵技術(shù)及發(fā)展 防火墻技術(shù)隨著信息技術(shù)的迅猛發(fā)展 也經(jīng)歷了由簡單到復(fù)雜 功能不斷豐富和強大的過 程 本部分將按照防火墻技術(shù)的發(fā)展歷程簡要地介紹防火墻中所涉及的關(guān)鍵技術(shù) 舊 2 3 1 包過濾 包過濾防火墻 又稱篩選路由器 它一般有一個包檢查模塊 作用在網(wǎng)絡(luò)層 i p 層 按 照一定的安全策略 信息過濾規(guī)則 分析進出內(nèi)部網(wǎng)絡(luò)的所有信息 并按照一定授權(quán)通過 信 息過濾規(guī)則是以所收到的數(shù)據(jù)包頭信息為基礎(chǔ) 比如i p 數(shù)據(jù)包源地址 口數(shù)據(jù)包目的地址 封裝協(xié)議類型 t c p u d p i c m p 等 t c p i p 源端口號 t c p i p 目的端口號 i c m p 報文類 型等 當一個數(shù)據(jù)包滿足過濾規(guī)則 則允許該數(shù)據(jù)包通過 否則拒絕通過 它相當于數(shù)據(jù)包所 要到達的網(wǎng)絡(luò)物理上被斷開 起到保護內(nèi)部網(wǎng)絡(luò)的作用 包過濾防火墻具有速度快 邏輯簡單 成本低 易于安裝和使用等優(yōu)點 并且網(wǎng)絡(luò)性能和 透明度都比較好 其中c p u 用來處理包過濾的時間可以忽略不計 合法用戶在進出網(wǎng)絡(luò)時 根本感覺不到包過濾的存在 但包過濾技術(shù)也存在不足之處 1 由于該技術(shù)的安全控制層次 只限于數(shù)據(jù)包頭部 對于惡意的擁塞攻擊 內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段 則無能 為力 2 包過濾技術(shù)只能按照規(guī)則取舍數(shù)據(jù)包而不做日志 缺乏用戶級授權(quán) 3 包過濾配 西安建筑科技大學(xué)碩士學(xué)位論文 置規(guī)則復(fù)雜 很難準確地設(shè)置包過濾器 2 3 2 應(yīng)用代理 代理技術(shù)與包過濾技術(shù)完全不同 包過濾是在網(wǎng)絡(luò)層攔截所有的信息流 而代理技術(shù)是針 對每一個特定應(yīng)用都有一個程序 應(yīng)用代理的原理是在應(yīng)用層實現(xiàn)防火墻功能 即徹底隔斷通 信兩端的直接通信 所有的通信都必須經(jīng)過應(yīng)用代理層轉(zhuǎn)發(fā) 訪問者任何時候都不能與服務(wù)器 直接建立t c p 連接 應(yīng)用層的協(xié)議會話過程必須符合代理的安全策略要求 代理服務(wù)器的優(yōu)點對于用戶而言 似乎是直接與外部網(wǎng)絡(luò)相連的 代理服務(wù)器對用戶透明 由于代理機制完全阻斷了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接聯(lián)系 保證了內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu)等重要信 息被限制在代理網(wǎng)關(guān)內(nèi)側(cè) 不會外泄 從而減少了黑客攻擊時所需的必要信息 另外 應(yīng)用代 理是有狀態(tài)的 它能夠利用擴展信息中由應(yīng)用程序產(chǎn)生的信息和部分由通訊上下文產(chǎn)生的狀 態(tài) 具有部分信息處理的能力 然而 代理服務(wù)器的應(yīng)用也受到諸多限制 1 當一項新的應(yīng) 用加入時 如果代理服務(wù)程序不予支持 則此應(yīng)用不能使用 2 應(yīng)用代理防火墻需要在一定 程度上定制用戶系統(tǒng) 這取決于所使用的應(yīng)用程序 而有些應(yīng)用程序可能根本不支持代理連接 3 實現(xiàn)在應(yīng)用層的應(yīng)用代理 其性能也比較低 2 3 3 狀態(tài)檢測 狀態(tài)檢測技術(shù)普遍被認為是新一代防火墻的核心技術(shù) 狀態(tài)檢測防火墻是由c h e c kp o i n t 公司率先提出 又稱為動態(tài)包過濾防火墻 與傳統(tǒng)的包過濾技術(shù)相比 狀態(tài)檢測對新建的應(yīng)用 連接 檢查預(yù)先設(shè)置的安全規(guī)則 允許符合規(guī)則的連接通過 并在內(nèi)存中記錄下該連接的相關(guān) 信息 生成狀態(tài)檢測表 對于該連接的后續(xù)數(shù)據(jù)包 只要符合狀態(tài)表 就可以通過 這種方式的好處在于 1 由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查 而是一個連接的后續(xù) 數(shù)據(jù)包通過哈希算法 直接進行狀態(tài)檢查 從而使得性能得到了較大提高 2 由于狀態(tài)表是 動態(tài)的 因而可以有選擇地 動態(tài)地開通1 0 2 4 號以上的端口 使得安全性得到進一步地提高 3 部分狀態(tài)檢測型防火墻還支持多種用戶認證方式 提供了應(yīng)用級的安全認證手段 增加 了某些應(yīng)用代理功能 使得安全控制粒度更為細致 它的缺點在于這種狀態(tài)檢測可能造成網(wǎng)絡(luò) 連接的某種遲滯 需要硬件性能的補充 2 3 4 地址轉(zhuǎn)換技術(shù) 網(wǎng)絡(luò)地址轉(zhuǎn)換 n a t 1 5 6 7 1 作為防火墻的一個重要功能 它能將內(nèi)部地址和外部地址進行 轉(zhuǎn)換 以使具備內(nèi)部地址的計算機能訪問外部網(wǎng)絡(luò) 同樣 外部網(wǎng)絡(luò)訪問防火墻擁有的某 b 西安建筑科技大學(xué)碩士學(xué)位論文 部地址時 防火墻能將其轉(zhuǎn)發(fā)到該地址映射的內(nèi)部地址的計算機上 n a t 從功能上講分為源網(wǎng)絡(luò)地址轉(zhuǎn)換和目的網(wǎng)絡(luò)地址轉(zhuǎn)換 從實現(xiàn)方法上講分為靜態(tài)地址 轉(zhuǎn)換和動態(tài)地址轉(zhuǎn)換 n a t 技術(shù)已經(jīng)成熟 但是由網(wǎng)絡(luò)地址轉(zhuǎn)化發(fā)展而來的技術(shù) 負載均衡 地址偽裝以及透明代理 成為大眾所關(guān)注的研究熱點 2 3 5 其它防火墻技術(shù) 除上面介紹的防火墻技術(shù)外 一些新的技術(shù)正在防火墻產(chǎn)品中采用 主要有 1 內(nèi)容檢查技術(shù) 內(nèi)容檢查技術(shù)提供對高層服務(wù)協(xié)議數(shù)據(jù)的監(jiān)控能力 確保用戶的安全 包括計算機病毒 惡意的j a v a a p p l e t 或a c t i v e x 攻擊 惡意電子郵件及不健康網(wǎng)頁內(nèi)容的過濾防護 2 安全審計 絕對的安全是不可能的 因此必須對網(wǎng)絡(luò)上發(fā)生的事件進行記載和分析 對某些保護網(wǎng)絡(luò) 的敏感信息訪問保持不問斷的記錄 并通過各種類型的報表 報警等方式向系統(tǒng)管理人員進行 報告 比如在防火墻的控制臺上實時顯示與安全有關(guān)的信息 對用戶1 3 令非法 非法訪問進行 動態(tài)跟蹤等 3 身份認證 目前 一般防火墻主要提供三種認證方法 用戶認證 防火墻設(shè)定可以訪問內(nèi)部網(wǎng)絡(luò)資源的用戶訪問權(quán)限 客戶認證 防火墻提供特定用戶端授權(quán)用戶特定的服務(wù)權(quán)限 會話認證 防火墻提供通信雙方每次通信時透明的會話授權(quán)機制 2 4 小結(jié) 本節(jié)給出防火墻的定義 主要體系結(jié)構(gòu)和防火墻的關(guān)鍵技術(shù) 從以上對防火墻各階段技術(shù) 的回顧中也可以看出 包過濾防火墻在網(wǎng)絡(luò)層提供訪問控制 這使得它能夠帶來高性能和可擴 展性 但卻是安全性最差的一類防火墻 因為它只檢查地址和端口 使得應(yīng)用層協(xié)議的數(shù)據(jù)很 容易被黑客攻破 應(yīng)用代理防火墻彌補了包過濾的弱點 在應(yīng)用層實現(xiàn) 能夠做復(fù)雜的訪問控 制 并做精細的日志和審核 安全性提高 但應(yīng)用代理防火墻對每一種協(xié)議都需要相應(yīng)的代理 程序 工作量增大 造成性能明顯下降 而在此基礎(chǔ)上的狀態(tài)檢測防火墻 克服前面兩種技術(shù) 的限制 對每 個連接 建立動態(tài)的狀態(tài)表 不再需要對每個包進行規(guī)則檢查 性能得到比較 大地提高 并且能夠從應(yīng)用層提取與狀態(tài)有關(guān)的信息做出安全決策 安全性能進一步提高悼j 西安建筑科技大學(xué)碩士學(xué)位論文 從安全性角度考慮 防火墻安全性不斷提高 但其作為網(wǎng)絡(luò)進出的唯一扼守點 始終沒有 改變 使得防火墻單點故障和網(wǎng)絡(luò)性能瓶頸不能得到根本性改變 這就要求防火墻向高性能發(fā) 展 它對提高防火墻的性能和可伸縮性方面都有很大作用 在基于負載均衡機制的防火墻技術(shù) 研究中 主要應(yīng)用了狀態(tài)檢測技術(shù) 網(wǎng)絡(luò)地址轉(zhuǎn)換和負載均衡技術(shù) 西安建筑科技大學(xué)碩士學(xué)位論文 3 負載均衡機制 3 1 防火墻中負載均衡機制的提出 當今計算機技術(shù)已進入以網(wǎng)絡(luò)為中心的計算時代 從上世紀九十年代中期 萬維網(wǎng) w o r l d w i d e w e b 的出現(xiàn)以其簡單操作方式將圖文并茂的網(wǎng)上信息帶給普通大眾 到今天 經(jīng)濟 文化 生活都強烈地依賴于網(wǎng)絡(luò) 網(wǎng)上業(yè)務(wù)量的發(fā)展遠遠超出了人們的估計 這促進i n t e m e t 用戶劇烈 增長和i n t e m e t 流量爆炸式地增長 特別是網(wǎng)絡(luò)的核心部分 其數(shù)據(jù)流量和計算強度之大 使得 單一設(shè)備根本無法承擔 如何在完成同樣功能的多個設(shè)備之間實現(xiàn)合理的業(yè)務(wù)量分配 改變一些 設(shè)備過忙影響效率 甚或?qū)е洛礄C 而別的設(shè)備卻處于閑置 不能充分發(fā)揮作用的現(xiàn)象 就成了 急需解決的問題 負載均衡機制因此應(yīng)運而生 防火墻 位于內(nèi)部網(wǎng)和外部網(wǎng)的交界點上 所有客戶的連接請求都必須經(jīng)由防火墻才能訪問 內(nèi)部網(wǎng)絡(luò)的服務(wù)器 因而可以通過增加防火墻功能 建立服務(wù)器集群系統(tǒng) 將客戶端的用戶請求 均衡地分配到集群系統(tǒng)的各個設(shè)備上 另外 在網(wǎng)絡(luò)中 單臺防火墻本身也會造成網(wǎng)絡(luò)瓶頸 為 了解決該問題 在并行多臺防火墻方案中 提出了集群防火墻 這也是未來防火墻的發(fā)展方向 3 2 負載均衡機制的基本概念 3 2 1 負載均衡機制的定義 負載均衡是一種策略 它使得多臺服務(wù)器或多條鏈路共同承擔一些繁重的計算或f o 任務(wù) 從而以較低成本消除網(wǎng)絡(luò)瓶頸 提高網(wǎng)絡(luò)的靈活性和可靠性 它處理的主要任務(wù)有 解決網(wǎng)絡(luò)擁 塞問題 就近提供服務(wù) 實現(xiàn)位置無關(guān)性 為用戶提供更好的訪問質(zhì)量 提高服務(wù)器響應(yīng)速度 提高服務(wù)器及其他資源的利用率 避免網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點失效等網(wǎng) 3 2 2 負載均衡機制的分類 負載均衡機制包括兩種 一種是靜態(tài)負載均衡 一種是動態(tài)負載均衡 9 1 靜態(tài)負載均衡采取 一勞永逸的方式把任務(wù)分配給處理器 要求預(yù)先知道程序狀態(tài) 設(shè)備性能 根據(jù)系統(tǒng)的先驗知識 做出決策 但是在運行時負載不能重新分配 相反 動態(tài)負載均衡很少假設(shè)任務(wù)執(zhí)行時問或通信 延遲等運行時的先驗信息 由于系統(tǒng)根據(jù)當前的負載狀況來調(diào)整任務(wù)劃分 重分配進程 所以更 好地動態(tài)使用了全系統(tǒng)的所有資源 提高了系統(tǒng)的性能 然而 負載是有代價的 它主要來自三 1 0 西安建筑科技大學(xué)碩士學(xué)位論文 方面 1 處理器間傳播的負載信息 2 任務(wù)轉(zhuǎn)移前的任務(wù)選擇的決定 3 任務(wù)移植的通信延 遲 因而 在實現(xiàn)動態(tài)負載均衡時要采取有效的策略阿氐負載分配的代價 3 3 負載均衡的策略 對一個網(wǎng)絡(luò)的負載均衡應(yīng)用 可以從網(wǎng)絡(luò)的不同層次入手 具體情況要看對網(wǎng)絡(luò)瓶頸所在之 處的具體分析 大體上不外乎從傳輸鏈路聚合 采用更高層網(wǎng)絡(luò)交換技術(shù)和設(shè)置服務(wù)器集群策略 三個角度實耐1 0 l 3 3 1 傳輸鏈路聚合 鏈路聚合技術(shù) 將多個線路的傳輸容量融合成一個單一的邏輯連接 當原有的線路滿足不了 需求 而單一線路的升級又太昂貴或難以實現(xiàn)時 就要采用多線路的解決方案了 縣前有4 種鏈 路聚合技術(shù)可以將多條線路 捆綁 起來 同步i m u x 系統(tǒng)工作在t l 厄1 的比特層 利用多個同步 的d s i 信道傳輸數(shù)據(jù) 來實現(xiàn)負載均衡 i m a 是另外 種多線路的反向多路復(fù)用技術(shù) 工作在 信元級 能夠運行在使用a t m 路由器的平臺上 用路由器來實現(xiàn)多線路是一種流行的鏈路聚合 技術(shù) 路由器可以根據(jù)已知的目的地址的緩沖 c a c h e 大小 將分組分配給各個平行的鏈路 也 可以采用循環(huán)分配的方法來向線路分發(fā)分組 多重鏈路p p p 又稱m p 或m l p 是應(yīng)用于使用 p p p 封裝數(shù)據(jù)鏈路的路由器負載平衡技術(shù) m p 可以將大的p p p 數(shù)據(jù)包分解成小的數(shù)據(jù)段 再將 其分發(fā)給平行的多個線路 還可以根據(jù)當前的鏈路利用率來動態(tài)地分配撥號線路 這樣盡管速度 很慢 因為數(shù)據(jù)包分段和附加的緩沖都增加時延 但可以在低速線路上運行得很好 鏈路聚合系統(tǒng)增加了網(wǎng)絡(luò)的復(fù)雜性 但也提高了網(wǎng)絡(luò)的可靠性 使人們可以在服務(wù)器等關(guān)鍵 l a n 段的線路上采用冗余路由 對于口系統(tǒng) 可以考慮采用v r r p 虛擬路由冗余協(xié)議 v r r p 可以生成一個虛擬缺省的網(wǎng)關(guān)地址 當主路由器無法接通時 備用路由器就會采用這個地址 使 l a n 通信得以繼續(xù) 總之 當主要線路的性能必需提高而單條線路的升級又不可行時 采用鏈路 聚合技術(shù)l j0 j 不失為一種行之有效的方案 3 3 2 交換技術(shù) 在 層之上的交換一般可分為四層交換和5 7 層交換 現(xiàn)在許多交換機提供第四層交換功 能 其交換依據(jù)包括河目的p 地址和溺目的端口號 可以將 個外部碑地址映射為多個內(nèi)部 瑤地址 對每次t c p 連接請求動態(tài)使用其中一個內(nèi)部地址 達到負載均衡的目的 而五砘層交 i i 西安建筑科技大學(xué)碩士學(xué)位論文 換則為應(yīng)用層交換 其交換依據(jù)包括h t t p 的u r l 頭字段等 通常又稱為內(nèi)容交換技術(shù) 內(nèi)容交換技術(shù)提供了一種對訪問流量的高層控制方式 通常需要由服務(wù)器組 虛擬p 地址 和內(nèi)容規(guī)則構(gòu)成 檢查所有的h t i p 報頭 提取報頭內(nèi)的信息在內(nèi)容規(guī)則庫中匹配 然后根據(jù)負 載均衡算法在服務(wù)器組中選定一個服務(wù)器 待服務(wù)器成功響應(yīng)連接后 內(nèi)容交換機就可獲得客戶 與服務(wù)器的一個t c p 的全部信息 圖3 1 給出內(nèi)容交換設(shè)備的運行過程l l l t c p s y n f v i p js y na c k h t t p 一 t c p 一s y na c k h t t p 一 客戶內(nèi)容交換服務(wù)器 圖3 一l 內(nèi)容交換設(shè)各運行過程 目前 交換技術(shù)主要是以集成硬件的方式設(shè)計 實旌成本高 特別是內(nèi)容交換技術(shù)所能支持 的標準和規(guī)則的數(shù)目有限 其采用的標準和規(guī)則的靈活性也有限 它還受到能夠同時開啟的t c p 連接數(shù)量以及t c p 連接的建立和斷開比率的限制 而且內(nèi)容交換技術(shù)還會占用大量的系統(tǒng)資源 包括內(nèi)存占用和處理器占用 另外 由于靈活性差 內(nèi)容交換很難與其他網(wǎng)絡(luò)設(shè)備集成 比 如防火墻或者應(yīng)用網(wǎng)關(guān) 所以 選用交換機解決網(wǎng)絡(luò)負載均衡問題必須認真考慮投入與回報 1 2 3 3 3 集群策略 所謂集群系統(tǒng)是一種并行或分布式處理系統(tǒng) 它就像把很多連接在一起的獨立計算機集成為 一個單獨的計算資源進行協(xié)同工作1 1 3 1 4 1 集群系統(tǒng)具有高性能 可擴展性 高吞吐量和易用性等 特點 應(yīng)用它可達到共享和高效利用資源的目的 并提供大型運算 均衡分配請求壓力以及故障 恢復(fù)的能力 3 3 3 1l v s 集群的通用體系結(jié)構(gòu) l v s 集群采用i p 負載均衡技術(shù)和基于內(nèi)容請求分發(fā)技術(shù) 調(diào)度器具有很好的吞吐率 將請 求均衡地轉(zhuǎn)移到不同的服務(wù)器上執(zhí)行 且調(diào)度器自動屏蔽掉服務(wù)器的故障 從而將一組服務(wù)器構(gòu) 成一個高性能的 高可用的虛擬服務(wù)器 整個服務(wù)器集群的結(jié)構(gòu)對客戶是透明的 而且無需修改 客戶端和服務(wù)器端的程序 為此 在設(shè)計時需要考慮系統(tǒng)的透明性 可伸縮性 高可用性和易管 1 2 西安建筑科技大學(xué)碩士學(xué)位論文 理性 一般來說 l v s 集群采用三層結(jié)構(gòu) 其體系結(jié)構(gòu)如圖3 2 所示 三層主要組成部分為 1 3 1 4 負載調(diào)度器 1 0 a db a l a n c e r 它是整個集群對外的前端機 負責將客戶請求發(fā)送到一組 服務(wù)器上執(zhí)行 而客戶認為服務(wù)是來自同一個口地址 ?？煞Q之為虛擬p 地址 服務(wù)器池 s e r v e r p 0 0 1 是真正執(zhí)行客戶請求的一組服務(wù)器 執(zhí)行的服務(wù)有w e b m a i l f r p 和d n s 等 共享存儲 s h a r e ds t o r a g e 它為服務(wù)器池提供一個共享的存儲區(qū) 這樣很容易使得服務(wù) 器池擁有相同的內(nèi)容 提供相同的服務(wù) 圖3 2l v s 集群體系結(jié) 調(diào)度器是服務(wù)器集群系統(tǒng)的唯一入口點 s i n g l ee n m y p o i n t 它可以采用口負載均衡技術(shù) 基于內(nèi)容請求分發(fā)技術(shù)或二者相結(jié)合 在m 負載均衡技術(shù)中 需要服務(wù)器池擁有相同的內(nèi)容提 供相同的服務(wù) 當客戶請求到達時 調(diào)度器只根據(jù)服務(wù)器負載情況和設(shè)定的調(diào)度算法從服務(wù)器池 中選出一個服務(wù)器 將該請求轉(zhuǎn)發(fā)到選出的服務(wù)器 并記錄這個調(diào)度 當這個請求的其他報文到 達 也會被轉(zhuǎn)發(fā)到前面選出的服務(wù)器 在基于內(nèi)容請求分發(fā)技術(shù)中 服務(wù)器可以提供不同的服務(wù) 當客戶請求到達時 調(diào)度器可根據(jù)請求的內(nèi)容選擇服務(wù)器執(zhí)行請求 因為所有的操作都是在l i n u x 操作系統(tǒng)核心空間中完成的 其調(diào)度開銷很小 所以它具有很高的吞吐率 服務(wù)器池的結(jié)點數(shù)目是可變的 當整個系統(tǒng)收到的負載超過目自諺所有結(jié)點的處理能力時 可 以在服務(wù)器池中增加服務(wù)器來滿足不斷增長的負載請求 對大多數(shù)網(wǎng)絡(luò)服務(wù)來說 請求間不存在 很強的相關(guān)性 請求可以在不同的結(jié)點上并行執(zhí)行 所以整個系統(tǒng)的性能基本上可以隨著服務(wù)器 池的結(jié)點數(shù)目增加而線性增長 共享存儲通常是數(shù)據(jù)庫 網(wǎng)絡(luò)文件系統(tǒng)或者分布式文件系統(tǒng) 服務(wù)器結(jié)點需要動態(tài)更新的數(shù) 1 3 西安建筑科技大學(xué)碩士學(xué)位論文 據(jù)一般存儲在數(shù)據(jù)庫系統(tǒng)中 同時數(shù)據(jù)庫會保證并發(fā)訪問時數(shù)據(jù)的一致性 靜態(tài)的數(shù)據(jù)可以存儲 在網(wǎng)絡(luò)文件系統(tǒng) 如n f s c i f s 中 但網(wǎng)絡(luò)文件系統(tǒng)的伸縮能力有限 一般來說 n f s c i f s 服 務(wù)器只能支持3 6 個繁忙的服務(wù)器結(jié)點 對于規(guī)模較大的集群系統(tǒng) 可以考慮用分布式文件系統(tǒng) 如a f s i s l g f s l l q l 7 1 c o d a 1 s l 和h l t e 腫e 鋤1 1 9 1 等 分布式文件系統(tǒng)可為各服務(wù)器提供共享的存儲 區(qū) 它們訪問分布式文件系統(tǒng)就像訪問本地文件系統(tǒng)一樣 同時分布式文件系統(tǒng)可提供良好的伸 縮性和可用性 此外 當不同服務(wù)器上的應(yīng)用程序同時讀寫訪問分布式文件系統(tǒng)上同一資源時 應(yīng)用程序的訪問沖突需要消解才能使得資源處于一致狀態(tài) 這需要一個分布式鎖管理器 d i s t r i b u t e dl o c km a n a g e r 它可能是由分布式文件系統(tǒng)內(nèi)部提供的 也可能是外部提供的 開 發(fā)者在寫應(yīng)用程序時 可以使用分布式鎖管理器來保證應(yīng)用程序在不同結(jié)點上并發(fā)訪問的一致 性 負載調(diào)度器 服務(wù)器池和共享存儲系統(tǒng)通過高速網(wǎng)絡(luò)相連接 如1 0 0 m b p s 交換網(wǎng)絡(luò) m y r i n e t 和o i g a b i t 網(wǎng)絡(luò)等 使用高速的網(wǎng)絡(luò) 主要為避免當系統(tǒng)規(guī)模擴大時互聯(lián)網(wǎng)絡(luò)成為整個系統(tǒng)的瓶 頸 一般來說 調(diào)度器的可靠性較高 因為調(diào)度 i 上運行的程序較少而且大部分程序早已遍歷過 但往往不能排除硬件老化 網(wǎng)絡(luò)線路或者人為誤操作等主要故障 為了避免調(diào)度器失效而導(dǎo)致整 個系統(tǒng)癱瘓 需要把一個從調(diào)度器設(shè)立為主調(diào)度器的備份 兩介心跳 h e a r t b e a t 進程l 叫分別在 主 從調(diào)度器上運行 它們通過串口線和u d p 等心跳線來相互定時地匯報各自的健康狀況 當 從調(diào)度器不能聽得主調(diào)度器的心跳時 從調(diào)度器通過a r p 欺騙 g r a t u i t o u sa r p 來接管集群對 外的v m u a l 口a d d r e s s 同時接管主調(diào)度器的工作來提供負載調(diào)度服務(wù) 當主調(diào)度器恢復(fù)時 這 里有兩種方法 一是主調(diào)度器自動變成從調(diào)度器 二是從調(diào)度器釋放v m u a li pa d d r e s s 主調(diào)度 器收回v u t u a li pa d d r e s s 并提供負載調(diào)度服務(wù) 這里 多條心跳線可以使得因 c z j 線故障導(dǎo)致誤 判 即從調(diào)度器認為主調(diào)度器已經(jīng)失效 其實主調(diào)度器還在正常工作 的概率降到最低 通常 當主調(diào)度器失效時 主調(diào)度器上所有已建立連接的狀態(tài)信息將丟失 已有的連接會中 斷 客戶需要向重新連接 從調(diào)度器才會將新連接調(diào)度到各個服務(wù)器上 這對客戶會造成一定的 不便 為此 i p v s 調(diào)度器在l i n u x 內(nèi)核中實現(xiàn)一種高效狀態(tài)同步機制 將主調(diào)度器的狀態(tài)信息 及時地同步到從調(diào)度器 當從調(diào)度器接管時 絕大部分已建立的連接會持續(xù)下去 3 3 3 2i p 負載均衡技術(shù) 在集群服務(wù)器策略里調(diào)度器通常是由i p 負載均衡技術(shù)實現(xiàn)的 從圖3 之中可以看到 個集 群由一個或兩個路由節(jié)點和很多數(shù)量的機器組成 其中真實機器通過內(nèi)部網(wǎng)絡(luò)相連 路由節(jié)點同 時連接著內(nèi)部和外部網(wǎng)絡(luò) 在同一時刻 僅有一個路由是激活的 激活的路由扮演的角色是將虛 擬機器上的請求重定向到真實機器上 激活的路由節(jié)點通過相互交換 我活著的 ia ml i v e 心 1 4 西安建筑科技大學(xué)碩士學(xué)位論文 跳信息 動態(tài)地監(jiān)視真實機器的健康情況和每個機器的工作量 如果有一個真實機器無效 工作 的路由將停止向這臺機器發(fā)送任務(wù)直到它恢復(fù)正常 在路由選擇方式下 常見的實現(xiàn)方法有 網(wǎng) 絡(luò)地址轉(zhuǎn)換 n a t 隧道技術(shù) t u n n e l i n g 直接路由 d i r e c t r o u t i n g f 1 4 捌 1 網(wǎng)絡(luò)地址轉(zhuǎn)換 n a t 通過網(wǎng)絡(luò)地址轉(zhuǎn)換 調(diào)度器重寫請求報文的目標地址 根據(jù)預(yù)設(shè)的調(diào)度算法 將請求分派給 后端的真實機器 真實機器的響應(yīng)報文通過調(diào)度器時 報文的源地址被重寫 再返回給客戶 完 成整個負載調(diào)度過程 這樣做的優(yōu)點是節(jié)約i p 地址 能對內(nèi)部進行偽裝 缺點是效率低 因為 返回給請求方的流量經(jīng)過轉(zhuǎn)換器 2 隧道技術(shù) t u n n e l i n g 調(diào)度器把請求報文通過口隧道轉(zhuǎn)發(fā)至真實機器 而真實機器將響應(yīng)直接返回給客戶 所以 調(diào)度器只處理請求報文 由于 般網(wǎng)絡(luò)服務(wù)應(yīng)答比請求報文大許多 采用這種技術(shù)后 集群系統(tǒng) 的最大吞吐量可以提高1 0 倍 3 直接路由 d r 直接路由通過改寫請求報文的m a c 地址 將請求發(fā)送到真實機器 而真實機器將響應(yīng)直接 返回 同隧道技術(shù)一樣 直接路由技術(shù)可極大地提高集群系統(tǒng)的伸縮性 這種方法沒有p 隧道 的開銷 對集群中的真實機器也沒有必要支持p 隧道協(xié)議的要求 但是要求調(diào)度器與真實機器 都有一塊網(wǎng)卡連在同 物理網(wǎng)段上 從上面集群的實現(xiàn)技術(shù)上可以看出服務(wù)集群系統(tǒng)具有以下優(yōu)點 性能 網(wǎng)絡(luò)服務(wù)的工作負載通常是大量相互獨立的任務(wù) 通過一組服務(wù)器分而治之 可 以獲得很高的整體性能 性能份格比 組成集群系統(tǒng)的p c 服務(wù)器或r i s c 服務(wù)器和標準網(wǎng)絡(luò)設(shè)備因為大規(guī)模生 產(chǎn)降低成本 價格低 具有最高的性能 價格比 若整體性能隨著結(jié)點數(shù)的增長而接近線 形增長 該系統(tǒng)的性能倚r 格比更接近p c 服務(wù)器 所以 這種松偶合結(jié)構(gòu)比緊偶的多處 理器具有更好的性能 價格比 可伸縮性 集群系統(tǒng)中的結(jié)點數(shù)目可以增加 其伸縮性遠超過單臺超級計算機 高可用性 在硬件和軟件上都有冗余 通過檢測軟硬件故障 可將故障屏蔽 由存活結(jié) 點提供服務(wù) 可實現(xiàn)高可用性 3 4 負載均衡算法 從上一節(jié)可知 當某個服務(wù)請求找到一個虛擬服務(wù)器時 會通過某種負載均衡算法規(guī)則將請 西安建筑科技大學(xué)碩士學(xué)位論文 求重定向到真實服務(wù)器上 因此 負載均衡算法的優(yōu)劣很大程度上影響著集群的性能 針對不同 的網(wǎng)絡(luò)服務(wù)需求和服務(wù)器配置 常用的算法有以下幾種口1 捌 1 輪詢 r o u n d r o b i n 輪詢 調(diào)度算法將所有物理服務(wù)器看作一個有向邏輯環(huán) 依次輪流調(diào)度邏輯環(huán)中的各個物 理服務(wù)器 當各個物理服務(wù)器的計算能力不一樣時 輪詢 算法將造成負載不平衡 因為性能 較高的服務(wù)器分配不到較多的任務(wù) 2 加權(quán)輪詢 w e i g h t e dr o u n d r o b i n 加權(quán)輪詢 調(diào)度算法允許為每個物理器s 指定一個整數(shù)權(quán)值彬 缺省值為1 以標記服務(wù) 器性能 性能較高的服務(wù)器具有較高的權(quán)值 假設(shè)有h 個物理服務(wù)器 定義調(diào)度周期為 該算法也是依次調(diào)度邏輯環(huán)上的物理服務(wù)器 但它同時保證在一個調(diào)度周期內(nèi) 服務(wù)器s 被調(diào) 度的次數(shù)為彬 與動態(tài)調(diào)度算法相比 該算法的調(diào)度開銷比較小 因此可支持更多的物理服務(wù)器 它盼缺點是當任務(wù)的大小頻繁交化時 有可能將大多數(shù)長任務(wù)調(diào)度到同一個物理服務(wù)器上 從而 導(dǎo)致負載不平衡 3 最少連接 l e a s t c o n n e e l i o n s 最少連接 調(diào)度算法的特點是 物理服務(wù)器s 上的活動連接數(shù)c 越大 其當前的負載越 大 假設(shè)有 個物理服務(wù)器 l c 算法每次都將調(diào)度滿足條件的物理服務(wù)器s 顯然 該算法是 一個動態(tài)算法 它可保證不將大多數(shù)長任務(wù)調(diào)度到同一個物理服務(wù)器上 如果集群系統(tǒng)的真實服 務(wù)器具有相近的系統(tǒng)性能 采用 最小連接 調(diào)度算法可以較好地均衡負載 其缺點是調(diào)度開銷較 大 特別是當物理服務(wù)器的數(shù)量很多時 4 加權(quán)最少連接 w a g h t e d l e a s tc o n n e c t i o m 加權(quán)最小連接 調(diào)度算法允許為每個物理服務(wù)器s 指定一個整數(shù)權(quán)值彬以標記服務(wù)器的 性能 性能較高的服務(wù)器具有較高的權(quán)值 假設(shè)有n 個物理服務(wù)器 該算法每次都將調(diào)用滿足 條件c w m i n c 彬 1 f n 的物理服務(wù)器s 該算法與l c 算法相比 增加了額外的除 法運算 所以當各個物理服務(wù)器具有