在談及負(fù)載均衡應(yīng)用的時(shí)候，說(shuō)的最多的就是流量控制，網(wǎng)站負(fù)載，以及服務(wù)器負(fù)載等等。那么，現(xiàn)在要給大家介紹的是防火墻負(fù)載均衡的應(yīng)用。還是讓我們從基礎(chǔ)了解，防火墻大家都知道，它是安全上網(wǎng)的一道屏障，有了它在很多不安因子都被擋在門外。那么，我們現(xiàn)在來(lái)看看如何進(jìn)行防火墻的負(fù)載均衡。

防火墻負(fù)載均衡技術(shù)  
  
概述

網(wǎng)絡(luò)安全性是許多ICP和ISP長(zhǎng)期擔(dān)心的問(wèn)題,網(wǎng)絡(luò)安全已經(jīng)成為了人們關(guān)注的焦點(diǎn)｡網(wǎng)絡(luò)安全技術(shù)將防火墻作為一種防止對(duì)網(wǎng)絡(luò)資源進(jìn)行非授權(quán)訪問(wèn)的常用方法｡

盡管目前防火墻產(chǎn)品可以有效地防止網(wǎng)絡(luò)入侵｡但是,它本身也給ICP和ISP網(wǎng)絡(luò)帶來(lái)了問(wèn)題｡尤其是,目前防火墻技術(shù)限制了網(wǎng)絡(luò)的性能和可伸縮性,并且由于防火墻經(jīng)常成為單故障點(diǎn),因而它降低了整體網(wǎng)絡(luò)的可用性｡

由于防火墻處于數(shù)據(jù)路徑上,因此,它們可能會(huì)限制網(wǎng)絡(luò)的性能和可伸縮性｡在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)流量都必須經(jīng)過(guò)防火墻｡可惜的是,最適于防火墻的處理結(jié)構(gòu)不適于檢查高容量的數(shù)據(jù)包｡由于防火墻必須處理每一個(gè)數(shù)據(jù)包,因而造成了通信速度的下降｡擴(kuò)展防火墻的性能十分困難,因?yàn)樗话阋苯由?jí)到功能更強(qiáng)大的硬件平臺(tái)｡

也是由于防火墻安放在數(shù)據(jù)路徑上,因此,它們形成了降低網(wǎng)絡(luò)資源可用性的單故障點(diǎn)｡盡管多數(shù)防火墻可以使用市面上已有的高可用性軟件以熱備份的配置部署,但是,迄今為止,沒(méi)有一種解決方案可以安全､可靠､高效支持多臺(tái)防火墻同時(shí)工作｡

新型Web交換機(jī)的防火墻負(fù)載均衡技術(shù)解決了上述問(wèn)題｡先進(jìn)的Web交換機(jī)允許防火墻并行運(yùn)行,使用戶無(wú)需將防火墻升級(jí)就可以最大限度地發(fā)揮防火墻的工作效力,擴(kuò)展防火的性能,同時(shí)使防火墻不再成為一種單故障點(diǎn)｡

實(shí)現(xiàn)原理

與傳統(tǒng)包交換機(jī)不同,Web交換機(jī)支持第四層以上的交換功能并具有維護(hù)不同TCP會(huì)話狀態(tài)的能力｡這類設(shè)備為實(shí)現(xiàn)防火墻的負(fù)載均衡提供了完美的平臺(tái)｡在實(shí)施防火墻負(fù)載均衡技術(shù)時(shí),至少需要兩臺(tái)Web交換機(jī):一臺(tái)安裝在防火墻的外部,另一臺(tái)安裝在內(nèi)部｡

改變所有輸入數(shù)據(jù)流流向的過(guò)濾器被配置在連接外部網(wǎng)和內(nèi)部網(wǎng)的Web交換機(jī)端口上｡

為保持高可用性,Web交換機(jī)對(duì)防火墻的健康進(jìn)行監(jiān)控,只將數(shù)據(jù)包發(fā)向健康的防火墻｡Web交換機(jī)通過(guò)正常地向每個(gè)防火墻另一端對(duì)應(yīng)的交換機(jī)發(fā)送ping數(shù)據(jù)包來(lái)監(jiān)控防火墻的健康情況｡如果某個(gè)Web交換機(jī)接口不能回應(yīng)ping命令,累計(jì)達(dá)到用戶定義的次數(shù),這個(gè)Web交換機(jī)端口(以及暗指的相關(guān)防火墻)就被置成"服務(wù)器故障"狀態(tài)｡同時(shí),對(duì)應(yīng)Web交換機(jī)停止向這個(gè)接口發(fā)送數(shù)據(jù)流,而將數(shù)據(jù)流分配到其余的健康的Web交換機(jī)接口和防火墻上｡

當(dāng)一個(gè)Web交換機(jī)接口處于"服務(wù)器故障"狀態(tài)時(shí),其對(duì)應(yīng)的Web交換機(jī)繼續(xù)以用戶配置的速率向它發(fā)送ping命令｡在發(fā)回第一個(gè)成功的ping回應(yīng)后,該接口(以及防火墻)恢復(fù)到服務(wù)狀態(tài)｡

前幾節(jié)描述的防火墻健康監(jiān)控技術(shù)是Web交換機(jī)保證應(yīng)用程序高可用性的一種方式｡在采用防火墻負(fù)載均衡技術(shù)的同時(shí)使用熱備份Web交換機(jī),可以使應(yīng)用獲得更高水平的可用性｡在使用防火墻負(fù)載均衡技術(shù)的情況下,可以采用Web交換機(jī)對(duì)(一臺(tái)處于工作狀態(tài),另一臺(tái)處于熱備份狀態(tài)｡)來(lái)構(gòu)造整個(gè)系統(tǒng)無(wú)單故障點(diǎn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)｡這意味著Web交換機(jī)不是單故障點(diǎn),使用它不會(huì)造成網(wǎng)絡(luò)另一些點(diǎn)上的單故障點(diǎn)｡

防火墻負(fù)載均衡功能實(shí)現(xiàn)

在案例中,使用了四臺(tái)交換機(jī),兩臺(tái)位于防火墻的外部,兩臺(tái)位于防火墻的內(nèi)部｡

在實(shí)施熱備份配置時(shí),每對(duì)Web交換機(jī)中的一臺(tái)被指定為激活交換機(jī),另一臺(tái)被指定為備份交換機(jī)｡在激活Web交換機(jī)與備份Web交換機(jī)之間配置一條直通鏈路,即所謂的故障轉(zhuǎn)移鏈路｡通常故障轉(zhuǎn)移鏈路在激活的和備份Web交換機(jī)之間只傳遞Web交換機(jī)狀態(tài)信息,數(shù)據(jù)流只有在激活Web交換機(jī)端口現(xiàn)出故障的情況下才經(jīng)過(guò)故障轉(zhuǎn)移鏈路傳輸｡

如果激活Web交換機(jī)檢測(cè)到鏈路故障的話,它就將此信息通過(guò)故障轉(zhuǎn)移鏈路通知備份Web交換機(jī)｡如果備份Web交換機(jī)上的相應(yīng)端口是健康的話,該端口就被激活｡