隨著用通信行業(yè)的發(fā)展����,Web交換機(jī)也正在逐步的完善其功能和特點(diǎn),已經(jīng)成為組網(wǎng)中不可缺少的組成部分���,Web交換機(jī)技術(shù)的進(jìn)步不僅僅優(yōu)化了Web服務(wù)器���,同時(shí)它還可以用來解決當(dāng)前防火墻引起的一些問題。
盡管防火墻在防止網(wǎng)絡(luò)入侵方面具有很高的效率�,并已成為提交安全Web站點(diǎn)和服務(wù)的關(guān)鍵因素,但是��,所有這些安全性都是以很高代價(jià)取得的���。簡言之�����,防火墻會限制性能和可伸縮性����。由于防火墻是會造成單故障點(diǎn)的在線設(shè)備,因此它會降低網(wǎng)絡(luò)的可用性�����。將防火墻技術(shù)與新出現(xiàn)的Web交換技術(shù)相結(jié)合可以使防火墻的性能����、可用性和可伸縮性得到極大的改善��。
最常用的防火墻由安裝在一臺服務(wù)器上的軟件構(gòu)成�。這臺服務(wù)器上安裝了兩塊網(wǎng)卡,并被插入到數(shù)據(jù)路徑上���。其中的一塊網(wǎng)卡連接到網(wǎng)絡(luò)的公共端�,公共端通常為與Internet相連的路由器(即所謂防火墻的“不潔”端)����。另一塊網(wǎng)卡與必須保護(hù)的資源相連(即所謂防火墻的“清潔”端)。
防火墻安裝在數(shù)據(jù)路徑上�����,因此限制了網(wǎng)絡(luò)的性能和可伸縮性��,原因是所有通過不潔端和清潔端的數(shù)據(jù)流都必須流過防火墻。防火墻使用過濾技術(shù)和其它由網(wǎng)絡(luò)管理人員預(yù)先設(shè)定的策略��,對每個(gè)數(shù)據(jù)包進(jìn)行檢查�。
問題是最適于防火墻的處理結(jié)構(gòu)并不適于檢查高容量的數(shù)據(jù)包。擴(kuò)展防火墻的性能十分困難���,因?yàn)樗ǔI婕暗匠杀镜母甙荷墸菏褂酶咝阅艿呐渲眉澳壳肮δ茏顝?qiáng)大處理器的服務(wù)器��。
新出現(xiàn)的Web交換技術(shù)被人們普遍認(rèn)為是擴(kuò)展防火墻容量����、提高防火墻設(shè)備總體可用性的解決方案���。在實(shí)現(xiàn)防火墻負(fù)載平衡時(shí)����,需要使用兩臺Web 交換機(jī):一臺安裝在防火墻的清潔端�,另一臺安裝在不潔端。每臺Web交換機(jī)都將輸入的IP流通過防火墻發(fā)向另一端的對應(yīng)Web交換機(jī)����。這樣就實(shí)現(xiàn)了在幾個(gè)防火墻上的負(fù)載平衡,因此�,使防火墻可以并行運(yùn)行�����,擴(kuò)展了防火墻的性能��,并且消除了防火墻成為單故障點(diǎn)的可能�。
與傳統(tǒng)的包交換機(jī)不同�,Web交換機(jī)具有保持以太網(wǎng)和千兆以太網(wǎng)速率傳輸?shù)牟煌琓CP會話的能力。由于防火墻是一種狀態(tài)性(stateful)的設(shè)備�,因此��,所有與建立會話相關(guān)的數(shù)據(jù)包都要流過相同的防火墻�。Web交換機(jī)智能地保持流經(jīng)防火墻的數(shù)據(jù)流的狀態(tài)信息,因而保證了所有在特定IP源/目的地址對之間傳輸?shù)臄?shù)據(jù)流都流過同一個(gè)防火墻����。反過來,這也保證了防火墻建立的會話持續(xù)性��。
防火墻負(fù)載平衡技術(shù)也可以被用來減少防火墻需要完成的數(shù)據(jù)流過濾功能的工作量���,這正是實(shí)施“非軍事區(qū)”(DMZ)技術(shù)的主要優(yōu)點(diǎn)����。在DMZ中保存象Internet這類Web服務(wù)器要求公共訪問的資源。Web交換機(jī)需要具有數(shù)據(jù)流過濾功能來確定哪些數(shù)據(jù)包應(yīng)當(dāng)被傳送到DMZ��,哪些應(yīng)當(dāng)穿過防火墻�����。從防火墻上去除掉過濾功能大大提高了防火墻性能����,加快了用戶數(shù)據(jù)流的速度。
Web交換機(jī)被配置為允許或拒絕對DMZ服務(wù)器訪問的過濾器��,以這種方式實(shí)現(xiàn)了兩級水平的安全性:一級利用配置在Web交換機(jī)上的過濾器對訪問進(jìn)行限制���,另一級通過由防火墻進(jìn)行的狀態(tài)檢查限制訪問�����。
為保持防火墻的高可用性����,Web交換機(jī)利用連續(xù)地向防火墻另一端的對應(yīng)Web交換機(jī)上的每個(gè)端口發(fā)送強(qiáng)制回應(yīng)命令(ping)來監(jiān)控防火墻的“健康”情況�����。如果防火墻或Web交換機(jī)端口出現(xiàn)故障,數(shù)據(jù)流就被分配到其余的“健康”Web交換機(jī)端口和相關(guān)的防火墻上��。
防火墻負(fù)載平衡利用新型Web交換技術(shù)解決了由防火墻引起的許多性能問題和可伸縮性問題��。這項(xiàng)技術(shù)使防火墻可以并行地運(yùn)行�,在不用進(jìn)行重大升級的條件下,大大提高了效率�,擴(kuò)展了性能,并消除了防火墻成為單故障點(diǎn)的可能���。
相關(guān)推薦:
軟考:詳細(xì)介紹網(wǎng)管型交換機(jī)綜合配置小技巧 2009年下半年全國計(jì)算機(jī)軟考成績查詢?nèi)肟?/U> 2010年上半年全國計(jì)算機(jī)軟考報(bào)名時(shí)間匯總
