李文森
关于提高应用层网关防火墙连接速率的解决方案
李文森
重庆邮电大学通信与信息工程学院,重庆 400065
首先提出了应用层网关防火墙连接速率比较差的问题,然后从Intel X86架构、ASIC架构及NP架构对问题进行了分析,最后提出了解决方案,分别是双NP架构的方案、双代理模块的方案及双NP架构双代理模块的综合方案,并以重庆市育才职业教育中心基于应用层网关的千兆防火墙为例,对解决方案进行了论证。
应用层网关;防火墙;速率;解决方案
应用层网关防火墙与其他几代防火墙相比有着得天独厚的优势,在客户机和服务器之间建立代理服务器来对数据进行加密处理,大大提高了安全性。但是在拥有更高安全性的同时,处理速度却下降了。防火墙的性能主要有三个指标:吞吐量,最大连接数,连接速率。其中,应用层网关防火墙就是连接速率比较差,同样的连接速率,因为是双向连接,处理速度往往会比较慢,在网络流量的高峰期,可能会成为一个高速连接的瓶颈[1]。
我们首先来分析目前基于应用层网关防火墙的三种架构。
这是早期的第二代防火墙所采用的架构。这种防火墙架构体积小,具有很高的灵活性和扩展性,可以随时方便地为用户增加各种功能,在早期是非常受欢迎的[2]。但随着互联网的发展,千兆防火墙开始逐渐进入人们的视野之后,这款防火墙基本被淘汰。
提到速率快,首先想到的就是采用ASIC架构,这款防火墙架构是自千兆防火墙诞生以来,首先采用的一种架构。其特点是内置了指令算法,采用专门电路芯片来提高数据处理能力[3]。这种架构在速度上有大幅的提升,缺点就是需要将指令算法固化到硬件中,所以扩展性较差,缺乏灵活性,成本和维护费用也非常高[4]。
经过前面两种架构的发展,出现了NP(网络处理器)架构。这种架构的特点是各方面的性能比较平均,综合性和稳定性非常好,有着比X86的更快的连接速率及比ASIC有更好的灵活性。此外,NP架构有个最大的特点,即采用了专门处理网络数据流量的处理器。对于应用层网关防火墙采用双向的传输来说,NP架构无疑是非常合适的,能够大幅提高I/O的速度[5]。NP架构能够接受完全的可移植性,也可以对其进行任意编程来扩展功能,在具有高处理速度的同时灵活性也非常高。对于构建应用层网关防火墙来说,NP架构是很好的选择。
根据应用层网关防火墙本身双向代理的特点,以及综合以上三种架构的优缺点,决定采用NP架构作为改进连接速率的一个重要指标。
防火墙的NP就好比计算机中的CPU,是能够同时处理多个数据的引擎。既然计算机都可以有双核、四核的CPU,防火墙为什么不能有双NP出现的情况呢?只不过这种情况功率较大,会增大防火墙来的负载,减少使用寿命。根据可行性分析得出的结果,如图1所示。
图1 双NP架构模型
通过ACL访问控制列表进行过滤的数据,进入代理模块,进行高速的运算处理,通过集成双NP架构的模型,提高模块运算能力。
除了使用双NP的情况外,还可以采用双代理模块来达到同样的效果。一个防火墙是由各个模块组成的,它们之间相互协调地工作,而通常代理模块需要处理大量的应用程序[6]。这里,需要把单个代理模块变为双代理模块来提高运算能力,因为代理模块是直接与用户联系的模块,先处理完毕的模块,就将信息传送给用户,不会出现同时发送而出现拥堵的情况,这样速度就会有很大的提升,如图2所示。
图2 双代理模块模型
以上这两种方法,笔者认为都可以提升应用层网关防火墙单位时间内处理数据的能力,在保护了安全性的同时,速度也会大大提升。
通过可行性分析,应用层网关防火墙的双NP架构和双代理模块的实现是可行的,两种方法都可以提升防火墙的连接速率。若需要进一步提高速率,则采用第三种改进方法,把前面两者情况结合起来,这样防火墙的连接速率将会成倍地提高,如图3所示。
这种采用双NP架构和双代理模块同时存在的情况比较极端。采用这种方法在应用层网关防火墙内部构建模型,不仅可以弥补性能上的不足,而且可能出现速度成倍地增长。对于那种对速度要求特别高的大型企业,可以考虑用这种方式来加快连接速度,但是需要注意两个方面的问题:(1)防火墙成本会大大提高;(2)需要稳定性很好的防火墙硬件平台来支持这种高性能的运行。
图3 综合模型
以上三种结构都可以提高应用层网关防火墙的连接速率,在实际应用中各企业应根据自身需求特点进行选择。对于中小型企业来说,选择第一种结构是比较明智的选择,既能够有效提高速度,又能够节约成本;对于数据流量业务较多的大型企业,可以考虑第三种结构,高速的性能能够满足高峰期的正常数据通信,但是也应该注意提出的两个问题,而且对防火墙硬件的消耗是肯定的,需要使用者综合考量。
重庆市育才职业教育中心,有学生6 000多人,学校原来采用基于应用层网关的千兆防火墙来保护内部网络的安全,上课时段数据流量达到高峰期,经常出现数据不同步、网络延迟的情况。经分析,从路由器接收的大量数据流量通过应用层网关防火墙,而基于双向连接的服务器在只有一个代理模块一个NP的情况下,出口的流量受到限制,因此造成网络拥堵,如图4所示。
图4 改进前流量分析图
通过分析原因,将原有的一个代理模块、一个NP架构改为双NP双代理模块之后,连接速率大大提升,即使是在高峰期,也不会感觉到数据传输的延迟和拥堵,解决了网络延迟和堵塞情况,具体情况如图5所示。
图5 改进后流量分析图
[1]张艳斌. 防火墙技术在网络安全中的作用[J]. 读写算:教研版,2012,2(10):39.
[2]刘杨. 防火墙安全策略管理系统设计与实现[D]. 长沙:国防科学技术大学,2009.
[3]陈宁. 基于多层防火墙技术的跨域访问控制研究与应用[D]. 重庆:重庆大学,2008.
[4]王波,刘久君. 改进的人工免疫入侵检测模型[J]. 计算机应用,2012,32(6):1627-1631.
[5]李硕. 探析安全策略中心与NP架构防火墙的设计与实现[J]. 计算机光盘软件与应用,2012(15):245.
[6]曾建琼,胡勇. 加密代理服务器通信行为安全性研究[J]. 网络安全技术与应用,2015(1):119.
Solution for Increasing the Application Layer Gateway Firewall Connection Rate
Li Wensen
Chongqing University of Posts and Telecommunications, Chongqing 400065
Firstly, the problem of poor connection speed of the application-layer gateway firewall is proposed. Then the problems are analyzed from the Intel X86 architecture, ASIC architecture and NP architecture. Finally, the solutions are proposed, which are the dual NP architecture scheme, dual-agent architecture and the solution of the combination of dual NP architecture and dual agent module. Taking application of a Gigabit firewall based on the application layer gateway of the Yucai Vocational Education Center in Chongqing as an example, the paper demonstrates the solution.
application layer gateway; firewall; rate; solution
TP393
A