防火墻的數(shù)據(jù)過(guò)濾分析及流量?jī)?yōu)化的研究.pdf

1、隨著互聯(lián)網(wǎng)的飛速發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為了人們生活中必不可少的部分。人們?cè)谙硎苄畔⒒瘞?lái)的眾多好處的同時(shí)，也面臨著日益突出的信息安全問(wèn)題。防火墻是目前使用的最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)，它在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)建了一道安全保護(hù)屏障。根據(jù)以上兩點(diǎn)，研究人員開(kāi)發(fā)出了基于Linux平臺(tái)，由多臺(tái)普通PC構(gòu)成的分布式并行防火墻系統(tǒng)DPFW。它采用分布式的體系結(jié)構(gòu)，對(duì)數(shù)據(jù)包進(jìn)行并行處理，成倍地加快了處理速度。另外，DPFW由于采用

2、了故障容錯(cuò)機(jī)制，消除了單節(jié)點(diǎn)防火墻故障瓶頸問(wèn)題，在某臺(tái)或某幾臺(tái)防火墻發(fā)生故障時(shí)，使得網(wǎng)絡(luò)連接也能夠繼續(xù)進(jìn)行。因此分布式并行防火墻系統(tǒng)DPFW具有高性能、高可靠性、低成本和可擴(kuò)展的特性。但是隨著分布式并行防火墻系統(tǒng)的規(guī)模的不斷擴(kuò)大，如何在系統(tǒng)內(nèi)部實(shí)現(xiàn)流量的負(fù)載均衡，以及單個(gè)防火墻節(jié)點(diǎn)如何在保持高效的流量控制的能力同時(shí)，盡可能地減小系統(tǒng)的開(kāi)銷(xiāo)，已經(jīng)成為了越來(lái)越重要的問(wèn)題。它們嚴(yán)重的影響了整個(gè)系統(tǒng)的性能。 本文首先描述了整個(gè)分布式并行

3、系統(tǒng)的邏輯結(jié)構(gòu)，然后分析了現(xiàn)階段的Linux自身的流量控制機(jī)制和流量分發(fā)技術(shù)；接著描述了分布式并行防火墻系統(tǒng)的流量控制和分發(fā)機(jī)制的整體設(shè)計(jì)以及相關(guān)的關(guān)鍵技術(shù)的研究和實(shí)現(xiàn)。同時(shí)也結(jié)合常州市運(yùn)輸管理處現(xiàn)有的網(wǎng)絡(luò)環(huán)境進(jìn)行了實(shí)驗(yàn)論證。在新的流量控制的框架下，分布式并行防火墻系統(tǒng)的單個(gè)節(jié)點(diǎn)使用了改進(jìn)了的流量控制機(jī)制，并通過(guò)哈希算法來(lái)均衡系統(tǒng)中的各個(gè)節(jié)點(diǎn)的流量。又以心跳檢測(cè)技術(shù)為手段實(shí)現(xiàn)了系統(tǒng)中的故障節(jié)點(diǎn)的準(zhǔn)確檢測(cè)，并通過(guò)配置管理接口通知負(fù)載均衡算