支招：防火墻加Web交換機實施完美組網(wǎng)方案

　　隨著用通信行業(yè)的發(fā)展，Web交換機也正在逐步的完善其功能和特點，已經(jīng)成為組網(wǎng)中不可缺少的組成部分，Web交換機技術的進步不僅僅優(yōu)化了Web服務器，同時它還可以用來解決當前防火墻引起的一些問題。

　　盡管防火墻在防止網(wǎng)絡入侵方面具有很高的效率，并已成為提交安全Web站點和服務的關鍵因素，但是，所有這些安全性都是以很高代價取得的。簡言之，防火墻會限制性能和可伸縮性。由于防火墻是會造成單故障點的在線設備，因此它會降低網(wǎng)絡的可用性。將防火墻技術與新出現(xiàn)的Web交換技術相結合可以使防火墻的性能、可用性和可伸縮性得到極大的改善。

　　最常用的防火墻由安裝在一臺服務器上的軟件構成。這臺服務器上安裝了兩塊網(wǎng)卡，并被插入到數(shù)據(jù)路徑上。其中的一塊網(wǎng)卡連接到網(wǎng)絡的公共端，公共端通常為與Internet相連的路由器(即所謂防火墻的“不潔”端)。另一塊網(wǎng)卡與必須保護的資源相連(即所謂防火墻的“清潔”端)。

　　防火墻安裝在數(shù)據(jù)路徑上，因此限制了網(wǎng)絡的性能和可伸縮性，原因是所有通過不潔端和清潔端的數(shù)據(jù)流都必須流過防火墻。防火墻使用過濾技術和其它由網(wǎng)絡管理人員預先設定的策略，對每個數(shù)據(jù)包進行檢查。

　　問題是最適于防火墻的處理結構并不適于檢查高容量的數(shù)據(jù)包。擴展防火墻的性能十分困難，因為它通常涉及到成本的高昂升級：使用更高性能的配置及目前功能最強大處理器的服務器。

　　新出現(xiàn)的Web交換技術被人們普遍認為是擴展防火墻容量、提高防火墻設備總體可用性的解決方案。在實現(xiàn)防火墻負載平衡時，需要使用兩臺Web 交換機：一臺安裝在防火墻的清潔端，另一臺安裝在不潔端。每臺Web交換機都將輸入的IP流通過防火墻發(fā)向另一端的對應Web交換機。這樣就實現(xiàn)了在幾個防火墻上的負載平衡，因此，使防火墻可以并行運行，擴展了防火墻的性能，并且消除了防火墻成為單故障點的可能。

　　與傳統(tǒng)的包交換機不同，Web交換機具有保持以太網(wǎng)和千兆以太網(wǎng)速率傳輸?shù)牟煌琓CP會話的能力。由于防火墻是一種狀態(tài)性(stateful)的設備，因此，所有與建立會話相關的數(shù)據(jù)包都要流過相同的防火墻。Web交換機智能地保持流經(jīng)防火墻的數(shù)據(jù)流的狀態(tài)信息，因而保證了所有在特定IP源/目的地址對之間傳輸?shù)臄?shù)據(jù)流都流過同一個防火墻。反過來，這也保證了防火墻建立的會話持續(xù)性。

　　防火墻負載平衡技術也可以被用來減少防火墻需要完成的數(shù)據(jù)流過濾功能的工作量，這正是實施“非軍事區(qū)”(DMZ)技術的主要優(yōu)點。在DMZ中保存象Internet這類Web服務器要求公共訪問的資源。Web交換機需要具有數(shù)據(jù)流過濾功能來確定哪些數(shù)據(jù)包應當被傳送到DMZ，哪些應當穿過防火墻。從防火墻上去除掉過濾功能大大提高了防火墻性能，加快了用戶數(shù)據(jù)流的速度。

　　Web交換機被配置為允許或拒絕對DMZ服務器訪問的過濾器，以這種方式實現(xiàn)了兩級水平的安全性：一級利用配置在Web交換機上的過濾器對訪問進行限制，另一級通過由防火墻進行的狀態(tài)檢查限制訪問。

　　為保持防火墻的高可用性，Web交換機利用連續(xù)地向防火墻另一端的對應Web交換機上的每個端口發(fā)送強制回應命令(ping)來監(jiān)控防火墻的“健康”情況。如果防火墻或Web交換機端口出現(xiàn)故障，數(shù)據(jù)流就被分配到其余的“健康”Web交換機端口和相關的防火墻上。

　　防火墻負載平衡利用新型Web交換技術解決了由防火墻引起的許多性能問題和可伸縮性問題。這項技術使防火墻可以并行地運行，在不用進行重大升級的條件下，大大提高了效率，擴展了性能，并消除了防火墻成為單故障點的可能。