研究針對雲服務的混合防火牆技術論文

研究針對雲服務的混合防火牆技術論文

  摘要:對於網路服務以及應用, 防火牆是第一道防線.儘管透過現有的方法能夠顯著增強系統的安全性, 但很多研究也證明了傳統防火牆的侷限性.隨著虛擬化和雲計算的出現, 基於網路的服務呈現爆炸式的增長.面向雲服務, 利用無固有邊界的虛擬化的雲來構建虛擬防火牆, 存在安全性與可靠性無法有效控制的問題.這將導致使用者無法正常使用這些雲服務, 本文提出了一種有效的混合架構來權衡雲防火牆的效能與可靠性.該混合架構由物理部分和虛擬部分共同構成, 採用虛擬的方法實現了物理防火牆的基本功能, 同時保障了雲計算節點間的高效能合作, 增強防火牆的計算能力.提出的架構透過模擬實驗部署, 結果表明, 基於雲計算的混合防火牆機制有效的改善了傳統防火牆的計算能力.

  關鍵詞:防火牆; 網路安全; 雲服務; 雲計算; 混合架構;

  防火牆是網路服務以及本地應用安全的主要防線, 但是對於很多企業 (尤其是小型企業) 來說, 設立防火牆無疑增添了他們的成本投資.防火牆對於主流的網路架構來說是一個不可或缺的關鍵要素, 它不僅僅只是部署在網路的邊緣, 已經逐漸升級為一種服務.

  對於一個擁有5Mbps網路接入的美國中型大小的公司而言, 物理防火牆的首次部署投資以及維護成本大約是12萬美元, 而之後每年的成本支出約為10萬美元[1].投資成本之所以這麼高, 主要是防火牆需要有專業的管理員來進行部署、維護、檢測以及除錯.而當防火牆需要新技術更新時, 公司還要花錢對防火牆管理員進行專門的培訓.另外, 如果開發出了新的防火牆技術或者出現了新型的攻擊, 對於防火牆的韌體也需要進一步升級以提升它的儲存容量和計算能力等.

  為了減少防火牆管理以及部署的成本投資, 企業將他們的防火牆作為服務外包給第三方提供商, 作為軟體及服務和效能計算的一部分由雲計算來提供支援[2].更迅速的服務要求, 迫使企業經常部署、維護他們的應用以及解決方案.隨著網際網路連線速度加快以及流量不斷增長, 導致傳統的防火牆需要分析巨大的流量以增強安全策略, 所以目前防火牆處理的瓶頸是網路.

  由於虛擬化以及雲計算的出現[3-5], 物理防火牆沒能設計檢測以及過濾由虛擬機器產生的巨大流量.相反, 研究者們設計開發了基於雲的防火牆, 作為一種服務執行在一個虛擬的環境當中, 並提供常規的防火牆技術 (如包過濾以及服務檢測) .

  一般來說, 基於雲的防火牆遵循以下兩種方法[6]:①虛擬防火牆部署在虛擬監控管理程式上;②虛擬防火牆放置在不同網路分段的橋接處, 使他們自己成為一個虛擬機器.然而, 這些方法同時也給網路的效能以及可靠性之間帶來了新的問題和挑戰.肯定的是, 他們的確改進了網路安全性, 但是卻沒能夠解決效能的問題.由雲計算抽象出來的簡單靈活與控制服務行為以及對基礎資源的可見性和可控性之間存在著一種基本的權衡關係.

  在監控管理層中進行部署, 由於防火牆不會被視為網路中的一部分, 因此可以允許防火牆管理本地流量.另外, 許多研究者都指出了關於效能、延遲以及可靠性方面的挑戰.在文獻[7]中, 研究者們指出, 目前雲計算的主要挑戰為服務的連續性以及可用性.一些組織仍然在擔心效能計算能否提供足夠的可用性, 出於這種考慮, 對應用防火牆服務還需要慎重考慮.

  因此, 本文提出了一種新型的高效的混合架構來管理基於雲的防火牆的效能和可靠性之間的權衡.提出的架構同時改善了吞吐量以及異常檢測能力, 提高了物理防火牆的計算能力.額外的計算能力的提高是由於採用了虛擬防火牆的理念, 透過雲提供大量的資源.目標是在擁有大量計算能力的雲中完成虛擬防火牆的基本功能, 進一步解決巨大流量對防火牆效能的影響.實驗結果顯示, 所提出的架構在延遲、儲存以及CPU效能方面都有很大提升.

  本文首先對背景以及相關的工作進行了介紹, 然後描述了提出的架構, 接下來列出了測試以及相應的結果, 最後, 對全文進行了總結並指出了進一步的研究工作.

  1 研究背景

  防火牆安全策略[8]是一系列的過濾規則, 它定義了滿足特定條件下的對資料包執行的相關動作.防火牆主要有三種類型:包過濾器、狀態檢測器以及應用防火牆.最古老的也就是最基本的就是包過濾器, 路由器對網路層或傳輸層的資料包進行檢查, 從而獲得好的投遞效能.它的優點是適應路由、低開銷、高吞吐量以及低成本.但是, 它的安全等級非常的低.

  狀態檢測器提供了一種執行在傳輸層卻對應用層進行過濾的能力.這種防火牆透過跟蹤連線的狀態以及阻塞偏離特定狀態的包, 改善了包過濾器的.功能.但是, 這也暗示出需要使用更多的資源, 並且使防火牆的管理操作變得更加的複雜.應用防火牆含有一個代理程式, 由代理充當一個通訊雙方的透明的鏈路, 這樣使得通訊雙方能夠通訊但是不能進行直接連線.這樣, 應用程式防火牆並不能防止對低層的攻擊, 而且每個應用都需要一個分離的程式, 資源消耗量大, 並且效能比較差.

  下一代防火牆[9]代表著對傳統防火牆的一種革命, 透過整合多種安全功能, 如將反垃圾過濾、反病毒軟體、檢測系統或入侵防範等, 整合到一個模組內或整合為一個平臺, 進而提高防火牆的效能.下一代防火牆與傳統的防火牆相比, 還提供了更多粒度的檢測和更加透明的流量狀態.

  雖然雲計算能夠增加業務的靈活性、可擴充套件性和效率, 但是也引進了一些新的安全風險和擔憂.傳統的物理安全解決方案已經變得過時, 因為虛擬機器之間的網路可能不需要越過同一個物理伺服器的邊界.直到現在, 虛擬化解決提供商提出了虛擬防火牆作為最好的解決方案[10], 對於孤島以及網路分析的流量有不同形式的減少.對於Cisco, 它的虛擬安全閘道器分佈在雲中的物理節點上, 他為指定的管理程式設立一個虛擬防火牆, 而VMware也在安全方面設計了一系列的測量統稱為v Shield模組.

  之前定義的虛擬化防火牆, 是執行在虛擬環境下的, 並且提供類似物理防火牆實現的常規包過濾器和檢測器功能的防火牆服務.它主要有兩個模式:管理程式模式以及橋接模式.管理程式模式是一個執行在虛擬機器監控上的虛擬防火牆, 因此, 沒有被看作為網路的一部分, 只需要管理本地流量.而橋接模式是不同網路模組之間的, 可以被看作是一個獨立的虛擬機器.這種模式由於可以按需分配資源, 吸引了很多研究者的關注, 但是虛擬機器遷移成為了這型別虛擬防火牆的主要問題, 因為它必須要對不同的安全策略進行管理.

  這一部分, 對當前物理機和虛擬機器上的防火牆部署的現有的各種解決方案進行了概覽.物理防火牆受限於硬體的效能以及部署模型和增加的成本付出.虛擬防火牆是很具有潛力的, 因為它沒有資源上的限制並且支援動態部署.但是, 虛擬防火牆都無力抵抗虛擬機器域外的大規模攻擊, 從而影響其可靠性.因此, 本文提出了一個架構同時包含了物理和虛擬部分.透過使用強大的雲計算來提供服務, 抵抗大量攻擊下增長的流量, 在下一節中給出了本文提出的架構.

  2 混合架構

  本文致力於透過增強現有物理防火牆的計算能力來適應現存的用於下一代寬頻網路的技術來提升其效能.本文創新之處在於使用由雲計算提供的安全及服務模型 (Secaa S) , 提出了一種混合的架構.這種架構是混合的, 原因是它包含了兩大主要部分, 虛擬部分和物理部分.虛擬部分有多個虛擬機器構成, 每個虛擬機器執行一個防火牆程式, 他們的功能包括分析、檢測、報告以及許多其他的動態資源配置.物理部分就是企業的物理防火牆, 這個企業同時購買的有云提供商提供的安全服務, 這部分服務作為現有物理防火牆的額外資源作為補充, 其核心的思想是當物理防火牆過載時, 將流量重定向到雲端的虛擬防火牆上.

  2.1 物理部分

  物理部分是在企業內部開發的模組, 如圖1所示, 其中的物理防火牆管理中心是一個管理工具, 幫助提供更高的效能和效率的架構管理.它主要由三個模組構成:認證、決策以及負載平衡, 下面分別對三個模組進行解釋.

  首先, 所執行的環境必須是基於有效證書籤名的可信執行環境.為了這個目標, 需要兩個步驟:進行認證並在物理和虛擬防火牆間建立一個安全的隧道.對於認證模組提供了使用多種不同認證協議的可能性, 這是由RADIUS伺服器所決定的.可以使用開源的工具freeradius, 它允許使用者透過PAP、CHAP、MS-CHAP、MS-CHAPv2以及所有的常規的EAP方法進行認證.建議採用基於SSL協議的EAP-TLS, 因為SSL握手是在EAP之上執行的.雖然是網路上, 但是SSL握手是透過TCP傳輸的, 更加的安全可靠.

  決策模組是物理防火牆管理中心的核心模組, 它的任務是來判斷是否應該把流量轉交給虛擬防火牆, 以防止物理防火牆負載過多.出於這個目的, 決策模組需要處理系統和網路檢測模組收集到的本地的一些資訊.然後根據檢測到的資訊可以判定目前防火牆是否過載, 如果超載, 就會將一定量的流量轉移到虛擬防火牆進行分析.如果說沒有負載, 這個模組繼續執行檢測.至於重定向到虛擬防火牆的流量的百分比, 由企業或者公司的網路管理員來設定.根據防火牆的負載情況, 如果設計一個程式來進行計算這個百分比將是很有趣的.關於虛擬防火牆過載的一些補充資訊將傳遞到虛擬防火牆管理單元的檢測模組, 從而減速或者改變傳輸引數中的目的地到其他虛擬防火牆或者改變流的型別 (如FTP, HTTP以及SMTP) .

  負載平衡模組接收來自決策模組的命令, 這個模組的第一個功能是建立可共享的流量, 這樣就能夠將決策模組的規則應用到對應的狀態.這個模組是完全動態的執行模式, 指定的埠、協議以及IP地址.在該模組執行的時候, 首先需要從決策模組查詢, 然後從認證模組取到虛擬防火牆的網路資訊.但是, 為了最最佳化, 建議採用最少會話演算法 (LSA) 來共享接入的流量.正如流量分配的百分比是由網路管理員控制分配的.負載平衡模組需要與認證模組互動以獲得可信的資訊 (如IP地址和埠號) 來重定向流量.第二個功能是將虛擬防火牆接收到的沒經過分析處理的流量轉移到企業的本地區域網中.

  2.2 虛擬部分

  虛擬部分包含一系列的虛擬機器, 它們是以Iaa S模式由雲提供商提供的.每一個虛擬機器執行一個防火牆, 它們的工作就是仔細的分析由企業配置的物理防火牆轉移過來的流量資料, 然後將合法的資料流量重定向回企業的本地區域網.所以, 每一個虛擬防火牆都配備一個虛擬防火牆管理單元, 如圖1中所示.虛擬防火牆單元是一個可以與物理防火牆中心進行互動的裝置, 由三大模組組成:認證模組、檢測模組以及重定向模組.

  其中認證模組和物理防火牆管理中心的相對應, 他們具有相同的結構配置.檢測模組正如它名字所暗示, 這個模組主要是對虛擬防火牆的網路引數以及系統引數進行檢測.如果虛擬網路防火牆負荷超載, 它就會發出警告資訊到物理防火牆的決策模組.否則, 這個模組就繼續執行它的檢測職能.重定向模組只接受來自物理防火牆的流量, 拒絕其他所有的流量.同時它還要負責轉發虛擬防火牆過濾後的合法流量到物理防火牆管理中心, 最終到達企業內部區域網.

  3 測試和結果

  為了觀察提出的架構的有效性, 設計開發了一個真實的實驗臺, 並分析了提出的混合架構在兩種部署場景下的情況.詳細討論了用來證明本文的部署情況以及測試場景.

  提出了兩種安全部署場景來為物理防火牆提供更高的計算能力, 第一種部署就是安全轉發架構, 第二種是安全共享架構.在這兩種部署情況下, 都使用了虛擬化來動態配置資源.虛擬和物理防火牆之間的所有通訊都是透過基於EAP-TLS協議的安全隧道進行傳輸的.考慮到基準部署即最基本的單一防火牆架構, 用於和本文提出的兩種架構部署方式進行對比實驗.需要注意的是, 本文選用的基準部署是許多中小型企業中防火牆使用的基本拓撲結構.

  安全轉發架構, 在這種架構下, 主要有兩個參與者:物理防火牆 (PF) 和虛擬防火牆 (VF) 節點.將這個拓撲結構下的PF節點等價於一個簡單的路由器, 它只進行轉發所有收到的資料包.利用虛擬節點來確保過濾功能.它的核心思想就是對進入的流量進行檢查, 然後向企業的防火牆轉發過濾後的資料包.這裡的檢查與基本架構下的安全策略完全相同.

  安全共享架構擁有同樣的組成成分, 但是它的部署方式不同於安全轉發架構.傳統的防火牆提供的有過濾器的功能, 但是它需要委託一個或多個虛擬防火牆來進行專門的檢驗.事實上, 可以實現一個監控器用來檢視網路以及系統的屬性狀態從而觸發負載平衡.因此, 物理防火牆可以將其負載分發給一個或者多個虛擬防火牆.負載平衡器將一部分流量轉發給一個或多個後端的虛擬防火牆, 同時這些後端防火牆需要向負載平衡器進行資訊反饋.

  對於每一個進入的流, 所有的負載平衡器 (物理防火牆) 使用最少會話演算法共享所有的資料包.這種動態平衡的方法, 透過選擇當前列表中連結數目最小的伺服器, 並且在這個環境下工作最好的虛擬機器配置, 用於負載平衡呼叫.連線的分佈是由伺服器的實時效能以及多方面分析決定的, 例如, 每個節點的當前連線數量或者最快節點的回應時間.一旦建立負載平衡, 就要攔截流量到虛擬機器上來進行分析, 然後再轉發到物理防火牆, 正如之前闡述的架構那樣, 只會把可接受的資料包重定向到企業的防火牆.在這一步驟中, 目的就是減小信令訊息以及響應時間從而釋放更多的資源去提高Qo S.

  實驗臺如圖2所示, 由三個要素構成.防火牆閘道器:為了保證過濾功能, 使用了Netfilter工具.伺服器/客戶端:使用這個配置用來檢測和評價本文部署的架構在改善網路效能後的Qo S等級, 這裡使用了Iperf, 它是具有伺服器和客戶端模擬的功能, 並且可以透過它來測量端到端的吞吐量.虛擬防火牆:一個實現了過濾功能的虛擬機器, 這裡使用了Net Filter, 與防火牆閘道器具有相似的規則.

  分別對三種部署架構進行了實驗:即基本架構、安全轉發架構以及安全共享架構.對於每一個架構, 都測試了效能變化率, 在系統和網路效能一定, 不同頻寬飽和度變化下的系統整體效能.圖3、圖4和圖5給出了實驗的結果情況.

  在圖3中, 可以看出, 隨著頻寬飽和度的增長, CPU負荷也隨之增長.這是由於處理資料包的數目也在不斷地增加.注意到, 安全共享架構能夠多提供10%的負荷, 而且可以看出, 負載不斷增加的情況下安全共享架構與基本架構以及安全轉發架構相比更加的穩定.在圖4中的記憶體消耗上可以更加確認這一點, 另外可以看出安全共享架構的記憶體消耗比基本架構的消耗要大, 這主要是因為負載平衡軟體對記憶體消耗較大, 另外可以發現安全轉發架構的記憶體消耗更大, 這是由於路由器需要引導未經處理的資料包, 這時也要耗費大量記憶體.

  圖5給出了網路效能實驗結果.評判網路質量好壞的一個很重要的引數就是延遲, 從圖中的曲線可以觀察到以下幾點:①提出的兩個架構明顯的改善了網路延遲狀況.②安全共享架構對延遲的改善要比安全轉發架構更好.③安全共享架構更加的穩定, 平均能夠提升30%的效能.這就更加的支援安全共享架構作為混合架構下最優的部署模式.

  4 結論

  提出了一種混合防火牆安全架構, 主要是增強物理防火牆的計算能力, 使用雲計算提供的大量資源降低成本投入.該架構能很好地適應現有的下一代寬頻網路技術.透過設計的模擬測試臺, 證明了提出的混合架構的有效性, 實驗結果顯示, 其在系統和網路效能以及計算能力方面都有很大的提升.

  參考文獻

  [1]崔競松, 郭遲, 陳龍, 等.建立軟體定義網路中的程序級縱深防禦體系結構[J].軟體學報, 2014 (10) :2251-2265.

  [2]曹立銘, 趙逢禹.私有云平臺上的虛擬機器程序安全檢測[J].計算機應用研究, 2013, 30 (5) :1495-1499.

  [3]馬永紅, 高潔.基於嵌入式馬爾可夫鏈的網路防火牆效能建模與分析[J].計算機應用研究, 2014, 31 (5) :1491-1498.

  [4]邵國林, 陳興蜀, 尹學淵, 等.基於Open Flow的虛擬機器流量檢測系統的設計與實現[J].計算機應用, 2014, 34 (4) :1034-1041.

  [5]侯整風, 龐有祥.多核防火牆分層內容過濾的時延分析[J].計算機工程與應用, 2011, 47 (12) :93-96.

  [6]王歡, 李戰懷, 張曉, 等.支援連續資料保護的雲備份系統架構設計[J].計算機工程與應用, 2012, 48 (1) :90-93.

  [7]秦拯, 歐露, 張大方, 等.高吞吐量協作防火牆的雙向去冗餘方法[J].湖南大學學報 (自然科學版) , 2013, 40 (1) :93-97.

  [8]孔紅山, 唐俊, 張明清, 等.基於SITL的網路攻防模擬平臺的設計與實現[J].計算機應用研究, 2011, 28 (7) :2715-2718.

  [9]陳冬雨.思科開啟“雲”防火牆時代[J].計算機安全, 2010 (1) :91.

  [10]荀仲愷, 黃皓, 金胤丞, 等.基於SR-IOV的虛擬機器防火牆設計與實現[J].計算機工程, 2014 (5) :154-157.

最近訪問