基于Linux的高可用狀態(tài)防火墻的實(shí)現(xiàn)(簡(jiǎn)介)_第1頁(yè)
基于Linux的高可用狀態(tài)防火墻的實(shí)現(xiàn)(簡(jiǎn)介)_第2頁(yè)
基于Linux的高可用狀態(tài)防火墻的實(shí)現(xiàn)(簡(jiǎn)介)_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、基于Linux的高可用狀態(tài)防火墻的實(shí)現(xiàn)謝作貴 【摘要】:緒論 隨著越來(lái)越多的主機(jī)連入網(wǎng)絡(luò),網(wǎng)絡(luò)安全變得越來(lái)越重要。增強(qiáng)網(wǎng)絡(luò)安全的一種機(jī)制就是過(guò)濾掉那些潛在的不懷好意的網(wǎng)絡(luò)數(shù)據(jù)包。防火墻就是提供基于策略的網(wǎng)絡(luò)過(guò)濾,用于阻擋網(wǎng)絡(luò)策略所禁止的數(shù)據(jù)流通過(guò)。 防火墻由幾部分組成,但最關(guān)鍵的部分通常是包過(guò)濾。包過(guò)濾分兩類(lèi):無(wú)狀態(tài)過(guò)濾(傳統(tǒng)的)、有狀態(tài)過(guò)濾。狀態(tài)過(guò)濾能夠跟蹤已建立的連接,并能夠?qū)⒌竭_(dá)的數(shù)據(jù)包與它們關(guān)聯(lián)起來(lái),而無(wú)狀態(tài)過(guò)濾則僅僅依賴(lài)于單個(gè)數(shù)據(jù)包來(lái)做出決策。狀態(tài)過(guò)濾意味著防火墻不僅僅檢測(cè)單個(gè)數(shù)據(jù)包,而且檢測(cè)該包所屬的連接。如果該數(shù)據(jù)包通過(guò)了防火墻的過(guò)濾規(guī)則,那么它將在狀態(tài)表中建立起一個(gè)入口。當(dāng)數(shù)據(jù)

2、包到達(dá)時(shí),在應(yīng)用防火墻的規(guī)則之前,首先搜索狀態(tài)表看是否有匹配的入口,如果該數(shù)據(jù)包屬于狀態(tài)表中所跟蹤的連接中的一部分,那么數(shù)據(jù)包將無(wú)條件通過(guò),而不需要遍歷過(guò)濾規(guī)則。 無(wú)狀態(tài)過(guò)濾防火墻相對(duì)于狀態(tài)過(guò)濾來(lái)說(shuō)實(shí)現(xiàn)起來(lái)簡(jiǎn)單,但是配置復(fù)雜,而且不太安全。對(duì)于無(wú)狀態(tài)過(guò)濾來(lái)說(shuō),每個(gè)到達(dá)的數(shù)據(jù)包都是新的數(shù)據(jù)包(于在此之前或之后到達(dá)的數(shù)據(jù)包沒(méi)有任何關(guān)聯(lián))。因?yàn)槊總€(gè)會(huì)話都有兩端,因此,無(wú)狀態(tài)過(guò)濾對(duì)于每個(gè)會(huì)話來(lái)說(shuō)需要兩條規(guī)則,一條用于請(qǐng)求,一條用于應(yīng)答。因?yàn)闋顟B(tài)防火墻要使用狀態(tài)表來(lái)進(jìn)行決策,因此狀態(tài)表對(duì)于狀態(tài)防火墻來(lái)說(shuō)至關(guān)重要,特別是在那些要求 7X24 小時(shí)不間斷的為用戶提供訪問(wèn)服務(wù)的網(wǎng)絡(luò)系統(tǒng)中,但目前防火墻存在一個(gè)

3、單點(diǎn)失效的問(wèn)題,一旦防火墻倒塌,內(nèi)部用戶就與外網(wǎng)隔離開(kāi)了。我們可以使用兩個(gè)(或多個(gè))防火墻來(lái)解決這個(gè)問(wèn)題。所有數(shù)據(jù)都通過(guò)主防火墻,當(dāng)它失效時(shí),備份防火墻從失效處開(kāi)始接管它的工作。這樣,現(xiàn)有連接得到了保存,網(wǎng)絡(luò)繼續(xù)通信,就像什么事情都沒(méi)發(fā)生一樣。 WP=85 二、本文的主要研究?jī)?nèi)容 本文的主要研究工作分為兩個(gè)部分。第一部分是分析狀態(tài)防火墻的原理以及目前l(fā)inux內(nèi)核中防火墻的實(shí)現(xiàn),并對(duì)其狀態(tài)過(guò)濾機(jī)制作了改進(jìn),在此基礎(chǔ)之上,分兩種情況實(shí)現(xiàn)了狀態(tài)防火墻中狀態(tài)表的同步,從而使得從備份防火墻在接管主防火墻工作時(shí)狀態(tài)表的一致,能夠持續(xù)的提供服務(wù)。第二部分是網(wǎng)絡(luò)接管部分, 網(wǎng)絡(luò)接管主要根據(jù)vrrp協(xié)議來(lái)實(shí)現(xiàn)

4、,目前Linux上的實(shí)現(xiàn)vrrpd只能監(jiān)控一個(gè)網(wǎng)絡(luò)接口的狀態(tài),不能同時(shí)監(jiān)控多個(gè)網(wǎng)絡(luò)接口,本文在此基礎(chǔ)之上實(shí)現(xiàn)了多網(wǎng)絡(luò)接口的接管。歸納起來(lái),本文的創(chuàng)造性工作和所得到的結(jié)論如下: 深入分析了當(dāng)前l(fā)inux內(nèi)核狀態(tài)防火墻的實(shí)現(xiàn),在linux中,狀態(tài)的檢測(cè) 由連接跟蹤機(jī)制來(lái)完成,連接的狀態(tài)并不用來(lái)進(jìn)行過(guò)濾,只是用于作為過(guò)濾規(guī)則中的一匹配選項(xiàng),這樣過(guò)濾的速度會(huì)有所下降,本文在連接跟蹤的基礎(chǔ)之上,允許根據(jù)連接的狀態(tài)來(lái)進(jìn)行過(guò)濾,一旦發(fā)現(xiàn)該連接已經(jīng)建立起來(lái)(表示允許該連接通過(guò)),那么該連接上所有的數(shù)據(jù)包將不再遍歷過(guò)濾規(guī)則,這樣提高了防火墻的處理速度和性能。 分兩種情形實(shí)現(xiàn)了狀態(tài)表同步 1、防火墻之間通過(guò)共享媒

5、質(zhì)連接,這種情況下,兩個(gè)節(jié)點(diǎn)同時(shí)接收數(shù)據(jù)包,維護(hù)著相同的狀態(tài)信息,但是處于Standby狀態(tài)的防火墻不對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā),只有處于Active狀態(tài)的防火墻對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。因此當(dāng)處于Active狀態(tài)的防火墻出現(xiàn)故障時(shí)(包括掉電、連接的網(wǎng)絡(luò)線路有至少一根出現(xiàn)故障),備份防火墻將在很短的時(shí)間內(nèi)變?yōu)锳ctive狀態(tài),并接替原Active狀態(tài)防火墻的IP和MAC地址,對(duì)防火墻兩端的設(shè)備完全透明。并且由于Standby狀態(tài)的防火墻與Active狀態(tài)的防火墻維持的狀態(tài)連接信息完全相同,因此,對(duì)原有的連接也完全透明,不需要重新進(jìn)行連接。 2、當(dāng)防火墻之間不是通過(guò)共享媒質(zhì)連接時(shí),如采用交換機(jī),此時(shí)情況發(fā)生了變化

6、,交換機(jī)不會(huì)將數(shù)據(jù)包轉(zhuǎn)發(fā)到原Standby狀態(tài)的防火墻所連接的接口,我們 WP=86 需要將主防火墻中的狀態(tài)更新信息傳給備份防火墻,節(jié)點(diǎn)之間通信本文采用組播通信,由于組播通信依賴(lài)udp進(jìn)行傳輸:不可靠。為保證數(shù)據(jù)到達(dá)的完整性,本文實(shí)現(xiàn)了可重傳機(jī)制。在備份節(jié)點(diǎn)進(jìn)行初始化時(shí),主節(jié)點(diǎn)會(huì)首先將目前狀態(tài)表所有信息復(fù)制一份給備份節(jié)點(diǎn),備份節(jié)點(diǎn)初始化之后,一方面根據(jù)主節(jié)點(diǎn)傳過(guò)來(lái)的狀態(tài)更新信息更新自己的狀態(tài)表,另外一方面監(jiān)控主節(jié)點(diǎn)的狀態(tài),一旦發(fā)現(xiàn)主節(jié)點(diǎn)失效,就進(jìn)行接管。 實(shí)現(xiàn)了多網(wǎng)絡(luò)接口的接管 由于防火墻一般用于局域網(wǎng)和外網(wǎng)之間,存在多個(gè)網(wǎng)絡(luò)接口,當(dāng)發(fā)現(xiàn)主節(jié)點(diǎn)失效時(shí),其上的各網(wǎng)絡(luò)接口所對(duì)應(yīng)的網(wǎng)絡(luò)應(yīng)該進(jìn)行同步接

7、管。目前l(fā)inux下的vrrpd能夠進(jìn)行單網(wǎng)絡(luò)接口的監(jiān)控,它是依據(jù)vrrp(virtual router redundancy protocol)協(xié)議,當(dāng)隔一定的時(shí)限未收到主節(jié)點(diǎn)的通告報(bào)文時(shí),就接管主節(jié)點(diǎn)上的網(wǎng)絡(luò),但是它運(yùn)行在單網(wǎng)絡(luò)接口上,不能同時(shí)監(jiān)控多接口,本文基于當(dāng)前vrrpd的實(shí)現(xiàn),實(shí)現(xiàn)了多網(wǎng)絡(luò)接口的監(jiān)控,由于網(wǎng)絡(luò)接管時(shí)間可以調(diào)整,默認(rèn)情況下是 3秒,能夠滿足用戶的要求,而且對(duì)用戶來(lái)說(shuō)網(wǎng)絡(luò)的接管是透明的。 結(jié)論 本文所實(shí)現(xiàn)的高可用狀態(tài)防火墻具有廣泛的適用性、性能好、先進(jìn)性、可靠性好等優(yōu)點(diǎn),而且基于linux這個(gè)開(kāi)放源代碼的系統(tǒng)來(lái)進(jìn)行研究和實(shí)現(xiàn),具有較高的性?xún)r(jià)比。隨著linux在服務(wù)器端日

8、益表現(xiàn)出的良好的穩(wěn)定性和其低廉的價(jià)格優(yōu)勢(shì)(自然而然的高性?xún)r(jià)比),同時(shí)linux下的防火墻的運(yùn)行表現(xiàn)也得到了也越來(lái)越多的用戶的一致好評(píng)【關(guān)鍵詞】:防火墻 狀態(tài)過(guò)濾 狀態(tài)表 網(wǎng)絡(luò)接管 【學(xué)位授予單位】:吉林大學(xué)【學(xué)位級(jí)別】:碩士【學(xué)位授予年份】:2004【分類(lèi)號(hào)】:TP393.08【DOI】:【目錄】: 提 要3-5 第一章 緒論5-11 1.1 研究背景5 1.2 防火墻的發(fā)展階段5-9 1.3 研究意義及本文所做的工作9-11 研究意義9 本文所做工作9-11 第二章 高可用技術(shù)11-32 2.1 集群的介紹11-13 2.2 網(wǎng)絡(luò)接管13-14 2.3 VRRP協(xié)議介紹14-27 2.4 目前VRRP協(xié)議的實(shí)現(xiàn)及存在問(wèn)題27-29 2.5 vrrpd的改進(jìn)29-32 第三章 linux防火墻32-52 3.1 linux下防火墻的發(fā)展32-33 3.2 linux2.4 防火墻的架構(gòu)33-36 3.3 linux防火墻的功能36-39 3.4 狀態(tài)檢測(cè)39-52 內(nèi)核實(shí)現(xiàn)39-42 第四章 高可用防火墻的實(shí)現(xiàn)52-75 4.1 共享媒

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論