李文森

?

關(guān)于提高應(yīng)用層網(wǎng)關(guān)防火墻連接速率的解決方案

李文森

重慶郵電大學通信與信息工程學院，重慶 400065

首先提出了應(yīng)用層網(wǎng)關(guān)防火墻連接速率比較差的問題，然后從Intel X86架構(gòu)、ASIC架構(gòu)及NP架構(gòu)對問題進行了分析，最后提出了解決方案，分別是雙NP架構(gòu)的方案、雙代理模塊的方案及雙NP架構(gòu)雙代理模塊的綜合方案，并以重慶市育才職業(yè)教育中心基于應(yīng)用層網(wǎng)關(guān)的千兆防火墻為例，對解決方案進行了論證。

應(yīng)用層網(wǎng)關(guān)；防火墻；速率；解決方案

1 問題的提出

應(yīng)用層網(wǎng)關(guān)防火墻與其他幾代防火墻相比有著得天獨厚的優(yōu)勢，在客戶機和服務(wù)器之間建立代理服務(wù)器來對數(shù)據(jù)進行加密處理，大大提高了安全性。但是在擁有更高安全性的同時，處理速度卻下降了。防火墻的性能主要有三個指標：吞吐量，最大連接數(shù)，連接速率。其中，應(yīng)用層網(wǎng)關(guān)防火墻就是連接速率比較差，同樣的連接速率，因為是雙向連接，處理速度往往會比較慢，在網(wǎng)絡(luò)流量的高峰期，可能會成為一個高速連接的瓶頸[1]。

2 對問題的分析

我們首先來分析目前基于應(yīng)用層網(wǎng)關(guān)防火墻的三種架構(gòu)。

2.2 Intel X86架構(gòu)

這是早期的第二代防火墻所采用的架構(gòu)。這種防火墻架構(gòu)體積小，具有很高的靈活性和擴展性，可以隨時方便地為用戶增加各種功能，在早期是非常受歡迎的[2]。但隨著互聯(lián)網(wǎng)的發(fā)展，千兆防火墻開始逐漸進入人們的視野之后，這款防火墻基本被淘汰。

2.2 ASIC架構(gòu)

提到速率快，首先想到的就是采用ASIC架構(gòu)，這款防火墻架構(gòu)是自千兆防火墻誕生以來，首先采用的一種架構(gòu)。其特點是內(nèi)置了指令算法，采用專門電路芯片來提高數(shù)據(jù)處理能力[3]。這種架構(gòu)在速度上有大幅的提升，缺點就是需要將指令算法固化到硬件中，所以擴展性較差，缺乏靈活性，成本和維護費用也非常高[4]。

2.3 NP架構(gòu)

經(jīng)過前面兩種架構(gòu)的發(fā)展，出現(xiàn)了NP（網(wǎng)絡(luò)處理器）架構(gòu)。這種架構(gòu)的特點是各方面的性能比較平均，綜合性和穩(wěn)定性非常好，有著比X86的更快的連接速率及比ASIC有更好的靈活性。此外，NP架構(gòu)有個最大的特點，即采用了專門處理網(wǎng)絡(luò)數(shù)據(jù)流量的處理器。對于應(yīng)用層網(wǎng)關(guān)防火墻采用雙向的傳輸來說，NP架構(gòu)無疑是非常合適的，能夠大幅提高I/O的速度[5]。NP架構(gòu)能夠接受完全的可移植性，也可以對其進行任意編程來擴展功能，在具有高處理速度的同時靈活性也非常高。對于構(gòu)建應(yīng)用層網(wǎng)關(guān)防火墻來說，NP架構(gòu)是很好的選擇。

根據(jù)應(yīng)用層網(wǎng)關(guān)防火墻本身雙向代理的特點，以及綜合以上三種架構(gòu)的優(yōu)缺點，決定采用NP架構(gòu)作為改進連接速率的一個重要指標。

3 改進的措施

3.1 雙NP架構(gòu)的方案

防火墻的NP就好比計算機中的CPU，是能夠同時處理多個數(shù)據(jù)的引擎。既然計算機都可以有雙核、四核的CPU，防火墻為什么不能有雙NP出現(xiàn)的情況呢？只不過這種情況功率較大，會增大防火墻來的負載，減少使用壽命。根據(jù)可行性分析得出的結(jié)果，如圖1所示。

圖1 雙NP架構(gòu)模型

通過ACL訪問控制列表進行過濾的數(shù)據(jù)，進入代理模塊，進行高速的運算處理，通過集成雙NP架構(gòu)的模型，提高模塊運算能力。

3.2 雙代理模塊的方案

除了使用雙NP的情況外，還可以采用雙代理模塊來達到同樣的效果。一個防火墻是由各個模塊組成的，它們之間相互協(xié)調(diào)地工作，而通常代理模塊需要處理大量的應(yīng)用程序[6]。這里，需要把單個代理模塊變?yōu)殡p代理模塊來提高運算能力，因為代理模塊是直接與用戶聯(lián)系的模塊，先處理完畢的模塊，就將信息傳送給用戶，不會出現(xiàn)同時發(fā)送而出現(xiàn)擁堵的情況，這樣速度就會有很大的提升，如圖2所示。

圖2 雙代理模塊模型

以上這兩種方法，筆者認為都可以提升應(yīng)用層網(wǎng)關(guān)防火墻單位時間內(nèi)處理數(shù)據(jù)的能力，在保護了安全性的同時，速度也會大大提升。

3.3 雙NP架構(gòu)雙代理模塊的綜合方案

通過可行性分析，應(yīng)用層網(wǎng)關(guān)防火墻的雙NP架構(gòu)和雙代理模塊的實現(xiàn)是可行的，兩種方法都可以提升防火墻的連接速率。若需要進一步提高速率，則采用第三種改進方法，把前面兩者情況結(jié)合起來，這樣防火墻的連接速率將會成倍地提高，如圖3所示。

這種采用雙NP架構(gòu)和雙代理模塊同時存在的情況比較極端。采用這種方法在應(yīng)用層網(wǎng)關(guān)防火墻內(nèi)部構(gòu)建模型，不僅可以彌補性能上的不足，而且可能出現(xiàn)速度成倍地增長。對于那種對速度要求特別高的大型企業(yè)，可以考慮用這種方式來加快連接速度，但是需要注意兩個方面的問題：（1）防火墻成本會大大提高；（2）需要穩(wěn)定性很好的防火墻硬件平臺來支持這種高性能的運行。

圖3 綜合模型

以上三種結(jié)構(gòu)都可以提高應(yīng)用層網(wǎng)關(guān)防火墻的連接速率，在實際應(yīng)用中各企業(yè)應(yīng)根據(jù)自身需求特點進行選擇。對于中小型企業(yè)來說，選擇第一種結(jié)構(gòu)是比較明智的選擇，既能夠有效提高速度，又能夠節(jié)約成本；對于數(shù)據(jù)流量業(yè)務(wù)較多的大型企業(yè)，可以考慮第三種結(jié)構(gòu)，高速的性能能夠滿足高峰期的正常數(shù)據(jù)通信，但是也應(yīng)該注意提出的兩個問題，而且對防火墻硬件的消耗是肯定的，需要使用者綜合考量。

4 應(yīng)用案例

重慶市育才職業(yè)教育中心，有學生6?000多人，學校原來采用基于應(yīng)用層網(wǎng)關(guān)的千兆防火墻來保護內(nèi)部網(wǎng)絡(luò)的安全，上課時段數(shù)據(jù)流量達到高峰期，經(jīng)常出現(xiàn)數(shù)據(jù)不同步、網(wǎng)絡(luò)延遲的情況。經(jīng)分析，從路由器接收的大量數(shù)據(jù)流量通過應(yīng)用層網(wǎng)關(guān)防火墻，而基于雙向連接的服務(wù)器在只有一個代理模塊一個NP的情況下，出口的流量受到限制，因此造成網(wǎng)絡(luò)擁堵，如圖4所示。

圖4 改進前流量分析圖

通過分析原因，將原有的一個代理模塊、一個NP架構(gòu)改為雙NP雙代理模塊之后，連接速率大大提升，即使是在高峰期，也不會感覺到數(shù)據(jù)傳輸?shù)难舆t和擁堵，解決了網(wǎng)絡(luò)延遲和堵塞情況，具體情況如圖5所示。

圖5 改進后流量分析圖

[1]張艷斌. 防火墻技術(shù)在網(wǎng)絡(luò)安全中的作用[J]. 讀寫算：教研版，2012，2（10）：39.

[2]劉楊. 防火墻安全策略管理系統(tǒng)設(shè)計與實現(xiàn)[D]. 長沙：國防科學技術(shù)大學，2009.

[3]陳寧. 基于多層防火墻技術(shù)的跨域訪問控制研究與應(yīng)用[D]. 重慶：重慶大學，2008.

[4]王波，劉久君. 改進的人工免疫入侵檢測模型[J]. 計算機應(yīng)用，2012，32（6）：1627-1631.

[5]李碩. 探析安全策略中心與NP架構(gòu)防火墻的設(shè)計與實現(xiàn)[J]. 計算機光盤軟件與應(yīng)用，2012（15）：245.

[6]曾建瓊，胡勇. 加密代理服務(wù)器通信行為安全性研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（1）：119.

Solution for Increasing the Application Layer Gateway Firewall Connection Rate

Li Wensen

Chongqing University of Posts and Telecommunications, Chongqing 400065

Firstly, the problem of poor connection speed of the application-layer gateway firewall is proposed. Then the problems are analyzed from the Intel X86 architecture, ASIC architecture and NP architecture. Finally, the solutions are proposed, which are the dual NP architecture scheme, dual-agent architecture and the solution of the combination of dual NP architecture and dual agent module. Taking application of a Gigabit firewall based on the application layer gateway of the Yucai Vocational Education Center in Chongqing as an example, the paper demonstrates the solution.

application layer gateway; firewall; rate; solution

TP393

A