Abstract：Firewalls are the first defense line for the networking services and applications. With the advent of virtualization and Cloud Computing, the explosive growth of network-based services, investigations have emphasized the limitations of conventional firewalls. However, despite being impressively significant to improve security, cloud-based firewalling approaches still experience severe performance and reliability issues that can lead to non-use of these services by companies.Hence, our work presents an efficient architecture to manage performance and reliability on a hybrid cloud-based firewalling service. Being composed of a physical and a virtual part, the architecture follows an approach that supports and complements basic physical firewall functionalities with virtual ones.The architecture was deployed and the experimental results show that the proposed approach improves the computational power of traditional firewall with the support of cloud-based firewalling service.   　　Keyword：firewalls; network security; cloud service; cloud computing; hybrid architecture;   　　防火墙是网络服务以及本地应用安全的主要防线, 但是对于很多企业 (尤其是小型企业) 来说, 设立防火墙无疑增添了他们的成本投资.防火墙对于主流的网络架构来说是一个不可或缺的关键要素, 它不仅仅只是部署在网络的边缘, 已经逐渐升级为一种服务.

　　对于一个拥有5Mbps网络接入的美国中型大小的公司而言, 物理防火墙的首次部署投资以及维护成本大约是12万美元, 而之后每年的成本支出约为10万美元[1].投资成本之所以这么高, 主要是防火墙需要有专业的管理员来进行部署、维护、检测以及调试.而当防火墙需要新技术更新时, 公司还要花钱对防火墙管理员进行专门的培训.另外, 如果开发出了新的防火墙技术或者出现了新型的攻击, 对于防火墙的固件也需要进一步升级以提升它的存储容量和计算能力等.   　　为了减少防火墙管理以及部署的成本投资, 企业将他们的防火墙作为服务外包给第三方提供商, 作为软件及服务和效能计算的一部分由云计算来提供支持[2].更迅速的服务要求, 迫使企业经常部署、维护他们的应用以及解决方案.随着互联网连接速度加快以及流量不断增长, 导致传统的防火墙需要分析巨大的流量以增强安全策略, 所以目前防火墙处理的瓶颈是网络.   　　由于虚拟化以及云计算的出现[3-5], 物理防火墙没能设计检测以及过滤由虚拟机产生的巨大流量.相反, 研究者们设计开发了基于云的防火墙, 作为一种服务运行在一个虚拟的环境当中, 并提供常规的防火墙技术 (如包过滤以及服务检测) .   　　一般来说, 基于云的防火墙遵循以下两种方法[6]:①虚拟防火墙部署在虚拟监控管理程序上;②虚拟防火墙放置在不同网络分段的桥接处, 使他们自己成为一个虚拟机.然而, 这些方法同时也给网络的性能以及可靠性之间带来了新的问题和挑战.肯定的是, 他们的确改进了网络安全性, 但是却没能够解决性能的问题.由云计算抽象出来的简单灵活与控制服务行为以及对基础资源的可见性和可控性之间存在着一种基本的权衡关系.   　　在监控管理层中进行部署, 由于防火墙不会被视为网络中的一部分, 因此可以允许防火墙管理本地流量.另外, 许多研究者都指出了关于性能、延迟以及可靠性方面的挑战.在文献[7]中, 研究者们指出, 目前云计算的主要挑战为服务的连续性以及可用性.一些组织仍然在担心效能计算能否提供足够的可用性, 出于这种考虑, 对应用防火墙服务还需要慎重考虑.   　　因此, 本文提出了一种新型的高效的混合架构来管理基于云的防火墙的性能和可靠性之间的权衡.提出的架构同时改善了吞吐量以及异常检测能力, 提高了物理防火墙的计算能力.额外的计算能力的提高是由于采用了虚拟防火墙的理念, 通过云提供大量的资源.目标是在拥有大量计算能力的云中完成虚拟防火墙的基本功能, 进一步解决巨大流量对防火墙性能的影响.实验结果显示, 所提出的架构在延迟、存储以及CPU性能方面都有很大提升.   　　本文首先对背景以及相关的工作进行了介绍, 然后描述了提出的架构, 接下来列出了测试以及相应的结果, 最后, 对全文进行了总结并指出了进一步的研究工作.   　　1、研究背景   　　防火墙安全策略[8]是一系列的过滤规则, 它定义了满足特定条件下的对数据包执行的相关动作.防火墙主要有三种类型:包过滤器、状态检测器以及应用防火墙.最古老的也就是最基本的就是包过滤器, 路由器对网络层或传输层的数据包进行检查, 从而获得好的投递性能.它的优点是适应路由、低开销、高吞吐量以及低成本.但是, 它的安全等级非常的低.   　　状态检测器提供了一种执行在传输层却对应用层进行过滤的能力.这种防火墙通过跟踪连接的状态以及阻塞偏离特定状态的包, 改善了包过滤器的功能.但是, 这也暗示出需要使用更多的资源, 并且使防火墙的管理操作变得更加的复杂.应用防火墙含有一个代理程序, 由代理充当一个通信双方的透明的链路, 这样使得通信双方能够通信但是不能进行直接连接.这样, 应用程序防火墙并不能防止对低层的攻击, 而且每个应用都需要一个分离的程序, 资源消耗量大, 并且性能比较差.   　　下一代防火墙[9]代表着对传统防火墙的一种革命, 通过集成多种安全功能, 如将反垃圾过滤、反病毒软件、检测系统或入侵防范等, 整合到一个模块内或集成为一个平台, 进而提高防火墙的性能.下一代防火墙与传统的防火墙相比, 还提供了更多粒度的检测和更加透明的流量状态.   　　虽然云计算能够增加业务的灵活性、可扩展性和效率, 但是也引进了一些新的安全风险和担忧.传统的物理安全解决方案已经变得过时, 因为虚拟机之间的网络可能不需要越过同一个物理服务器的边界.直到现在, 虚拟化解决提供商提出了虚拟防火墙作为最好的解决方案[10], 对于孤岛以及网络分析的流量有不同形式的减少.对于Cisco, 它的虚拟安全网关分布在云中的物理节点上, 他为指定的管理程序设立一个虚拟防火墙, 而VMware也在安全方面设计了一系列的测量统称为v Shield模块.   　　之前定义的虚拟化防火墙, 是运行在虚拟环境下的, 并且提供类似物理防火墙实现的常规包过滤器和检测器功能的防火墙服务.它主要有两个模式:管理程序模式以及桥接模式.管理程序模式是一个运行在虚拟机监控上的虚拟防火墙, 因此, 没有被看作为网络的一部分, 只需要管理本地流量.而桥接模式是不同网络模块之间的, 可以被看作是一个独立的虚拟机.这种模式由于可以按需分配资源, 吸引了很多研究者的关注, 但是虚拟机迁移成为了这类型虚拟防火墙的主要问题, 因为它必须要对不同的安全策略进行管理.   　　这一部分, 对当前物理机和虚拟机上的防火墙部署的现有的各种解决方案进行了概览.物理防火墙受限于硬件的性能以及部署模型和增加的成本付出.虚拟防火墙是很具有潜力的, 因为它没有资源上的限制并且支持动态部署.但是, 虚拟防火墙都无力抵抗虚拟机域外的大规模攻击, 从而影响其可靠性.因此, 本文提出了一个架构同时包含了物理和虚拟部分.通过使用强大的云计算来提供服务, 抵抗大量攻击下增长的流量, 在下一节中给出了本文提出的架构.   　　2、混合架构   　　本文致力于通过增强现有物理防火墙的计算能力来适应现存的用于下一代宽带网络的技术来提升其性能.本文创新之处在于使用由云计算提供的安全及服务模型 (Secaa S) , 提出了一种混合的架构.这种架构是混合的, 原因是它包含了两大主要部分, 虚拟部分和物理部分.虚拟部分有多个虚拟机构成, 每个虚拟机执行一个防火墙程序, 他们的功能包括分析、检测、报告以及许多其他的动态资源配置.物理部分就是企业的物理防火墙, 这个企业同时购买的有云提供商提供的安全服务, 这部分服务作为现有物理防火墙的额外资源作为补充, 其核心的思想是当物理防火墙过载时, 将流量重定向到云端的虚拟防火墙上.   　　2.1、物理部分   　　物理部分是在企业内部开发的模块, 如图1所示, 其中的物理防火墙管理中心是一个管理工具, 帮助提供更高的性能和效率的架构管理.它主要由三个模块构成:认证、决策以及负载平衡, 下面分别对三个模块进行解释.图1 提出的架构框架
    　　首先, 所运行的环境必须是基于有效证书签名的可信执行环境.为了这个目标, 需要两个步骤:进行认证并在物理和虚拟防火墙间建立一个安全的隧道.对于认证模块提供了使用多种不同认证协议的可能性, 这是由RADIUS服务器所决定的.可以使用开源的工具freeradius, 它允许用户通过PAP、CHAP、MS-CHAP、MS-CHAPv2以及所有的常规的EAP方法进行认证.建议采用基于SSL协议的EAP-TLS, 因为SSL握手是在EAP之上执行的.虽然是网络上, 但是SSL握手是通过TCP传输的, 更加的安全可靠.   　　决策模块是物理防火墙管理中心的核心模块, 它的任务是来判断是否应该把流量转交给虚拟防火墙, 以防止物理防火墙负载过多.出于这个目的, 决策模块需要处理系统和网络检测模块收集到的本地的一些信息.然后根据检测到的信息可以判定目前防火墙是否过载, 如果超载, 就会将一定量的流量转移到虚拟防火墙进行分析.如果说没有负载, 这个模块继续执行检测.至于重定向到虚拟防火墙的流量的百分比, 由企业或者公司的网络管理员来设定.根据防火墙的负载情况, 如果设计一个程序来进行计算这个百分比将是很有趣的.关于虚拟防火墙过载的一些补充信息将传递到虚拟防火墙管理单元的检测模块, 从而减速或者改变传输参数中的目的地到其他虚拟防火墙或者改变流的类型 (如FTP, HTTP以及SMTP) .   　　负载平衡模块接收来自决策模块的命令, 这个模块的第一个功能是建立可共享的流量, 这样就能够将决策模块的规则应用到对应的状态.这个模块是完全动态的运行模式, 指定的端口、协议以及IP地址.在该模块运行的时候, 首先需要从决策模块查询, 然后从认证模块取到虚拟防火墙的网络信息.但是, 为了最优化, 建议采用最少会话算法 (LSA) 来共享接入的流量.正如流量分配的百分比是由网络管理员控制分配的.负载平衡模块需要与认证模块交互以获得可信的信息 (如IP地址和端口号) 来重定向流量.第二个功能是将虚拟防火墙接收到的没经过分析处理的流量转移到企业的本地局域网中.   　　2.2、虚拟部分   　　虚拟部分包含一系列的虚拟机, 它们是以Iaa S模式由云提供商提供的.每一个虚拟机运行一个防火墙, 它们的工作就是仔细的分析由企业配置的物理防火墙转移过来的流量数据, 然后将合法的数据流量重定向回企业的本地局域网.所以, 每一个虚拟防火墙都配备一个虚拟防火墙管理单元, 如图1中所示.虚拟防火墙单元是一个可以与物理防火墙中心进行交互的设备, 由三大模块组成:认证模块、检测模块以及重定向模块.   　　其中认证模块和物理防火墙管理中心的相对应, 他们具有相同的结构配置.检测模块正如它名字所暗示, 这个模块主要是对虚拟防火墙的网络参数以及系统参数进行检测.如果虚拟网络防火墙负荷超载, 它就会发出警告信息到物理防火墙的决策模块.否则, 这个模块就继续执行它的检测职能.重定向模块只接受来自物理防火墙的流量, 拒绝其他所有的流量.同时它还要负责转发虚拟防火墙过滤后的合法流量到物理防火墙管理中心, 最终到达企业内部局域网.   　　3、测试和结果   　　为了观察提出的架构的有效性, 设计开发了一个真实的实验台, 并分析了提出的混合架构在两种部署场景下的情况.详细讨论了用来证明本文的部署情况以及测试场景.   　　提出了两种安全部署场景来为物理防火墙提供更高的计算能力, 第一种部署就是安全转发架构, 第二种是安全共享架构.在这两种部署情况下, 都使用了虚拟化来动态配置资源.虚拟和物理防火墙之间的所有通信都是通过基于EAP-TLS协议的安全隧道进行传输的.考虑到基准部署即最基本的单一防火墙架构, 用于和本文提出的两种架构部署方式进行对比实验.需要注意的是, 本文选用的基准部署是许多中小型企业中防火墙使用的基本拓扑结构.   　　安全转发架构, 在这种架构下, 主要有两个参与者:物理防火墙 (PF) 和虚拟防火墙 (VF) 节点.将这个拓扑结构下的PF节点等价于一个简单的路由器, 它只进行转发所有收到的数据包.利用虚拟节点来确保过滤功能.它的核心思想就是对进入的流量进行检查, 然后向企业的防火墙转发过滤后的数据包.这里的检查与基本架构下的安全策略完全相同.   　　安全共享架构拥有同样的组成成分, 但是它的部署方式不同于安全转发架构.传统的防火墙提供的有过滤器的功能, 但是它需要委托一个或多个虚拟防火墙来进行专门的检验.事实上, 可以实现一个监控器用来查看网络以及系统的属性状态从而触发负载平衡.因此, 物理防火墙可以将其负载分发给一个或者多个虚拟防火墙.负载平衡器将一部分流量转发给一个或多个后端的虚拟防火墙, 同时这些后端防火墙需要向负载平衡器进行信息反馈.   　　对于每一个进入的流, 所有的负载平衡器 (物理防火墙) 使用最少会话算法共享所有的数据包.这种动态平衡的方法, 通过选择当前列表中链接数目最小的服务器, 并且在这个环境下工作最好的虚拟机配置, 用于负载平衡调用.连接的分布是由服务器的实时性能以及多方面分析决定的, 例如, 每个节点的当前连接数量或者最快节点的回应时间.一旦建立负载平衡, 就要拦截流量到虚拟机上来进行分析, 然后再转发到物理防火墙, 正如之前阐述的架构那样, 只会把可接受的数据包重定向到企业的防火墙.在这一步骤中, 目的就是减小信令消息以及响应时间从而释放更多的资源去提高Qo S.
 
图2 虚拟防火墙测试台   　　实验台如图2所示, 由三个要素构成.防火墙网关:为了保证过滤功能, 使用了Netfilter工具.服务器/客户端:使用这个配置用来检测和评价本文部署的架构在改善网络性能后的Qo S等级, 这里使用了Iperf, 它是具有服务器和客户端模拟的功能, 并且可以通过它来测量端到端的吞吐量.虚拟防火墙:一个实现了过滤功能的虚拟机, 这里使用了Net Filter, 与防火墙网关具有相似的规则.   　　分别对三种部署架构进行了实验:即基本架构、安全转发架构以及安全共享架构.对于每一个架构, 都测试了性能变化率, 在系统和网络性能一定, 不同带宽饱和度变化下的系统整体性能.图3、图4和图5给出了实验的结果情况.   　　在图3中, 可以看出, 随着带宽饱和度的增长, CPU负荷也随之增长.这是由于处理数据包的数目也在不断地增加.注意到, 安全共享架构能够多提供10%的负荷, 而且可以看出, 负载不断增加的情况下安全共享架构与基本架构以及安全转发架构相比更加的稳定.在图4中的内存消耗上可以更加确认这一点, 另外可以看出安全共享架构的内存消耗比基本架构的消耗要大, 这主要是因为负载平衡软件对内存消耗较大, 另外可以发现安全转发架构的内存消耗更大, 这是由于路由器需要引导未经处理的数据包, 这时也要耗费大量内存.  
图3 随着带宽饱和度变化物理防火墙的CPU负荷变化   　　图5给出了网络性能实验结果.评判网络质量好坏的一个很重要的参数就是延迟, 从图中的曲线可以观察到以下几点:①提出的两个架构明显的改善了网络延迟状况.②安全共享架构对延迟的改善要比安全转发架构更好.③安全共享架构更加的稳定, 平均能够提升30%的性能.这就更加的支持安全共享架构作为混合架构下最优的部署模式.  
图4 随着带宽饱和度变化物理防火墙的内存负荷变化  
图5 随着带宽饱和度变化的网络延迟 　　4、结论   　　提出了一种混合防火墙安全架构, 主要是增强物理防火墙的计算能力, 使用云计算提供的大量资源降低成本投入.该架构能很好地适应现有的下一代宽带网络技术.通过设计的仿真测试台, 证明了提出的混合架构的有效性, 实验结果显示, 其在系统和网络性能以及计算能力方面都有很大的提升.   　　参考文献 　　[1]崔竞松, 郭迟, 陈龙, 等.创建软件定义网络中的进程级纵深防御体系结构[J].软件学报, 2014 (10) :2251-2265. 　　[2]曹立铭, 赵逢禹.私有云平台上的虚拟机进程安全检测[J].计算机应用研究, 2013, 30 (5) :1495-1499. 　　[3]马永红, 高洁.基于嵌入式马尔可夫链的网络防火墙性能建模与分析[J].计算机应用研究, 2014, 31 (5) :1491-1498. 　　[4]邵国林, 陈兴蜀, 尹学渊, 等.基于Open Flow的虚拟机流量检测系统的设计与实现[J].计算机应用, 2014, 34 (4) :1034-1041. 　　[5]侯整风, 庞有祥.多核防火墙分层内容过滤的时延分析[J].计算机工程与应用, 2011, 47 (12) :93-96. 　　[6]王欢, 李战怀, 张晓, 等.支持连续数据保护的云备份系统架构设计[J].计算机工程与应用, 2012, 48 (1) :90-93. 　　[7]秦拯, 欧露, 张大方, 等.高吞吐量协作防火墙的双向去冗余方法[J].湖南大学学报 (自然科学版) , 2013, 40 (1) :93-97. 　　[8]孔红山, 唐俊, 张明清, 等.基于SITL的网络攻防仿真平台的设计与实现[J].计算机应用研究, 2011, 28 (7) :2715-2718. 　　[9]陈冬雨.思科开启“云”防火墙时代[J].计算机安全, 2010 (1) :91. 　　[10]荀仲恺, 黄皓, 金胤丞, 等.基于SR-IOV的虚拟机防火墙设计与实现[J].计算机工程, 2014 (5) :154-157.

计算机网络混合防火墙安全架构探析

http://m.rjdtv.com/jisuanjilunwen/4718.html