在談及負(fù)載均衡應(yīng)用的時候，說的最多的就是流量控制，網(wǎng)站負(fù)載，以及服務(wù)器負(fù)載等等。那么，現(xiàn)在要給大家介紹的是防火墻負(fù)載均衡的應(yīng)用。還是讓我們從基礎(chǔ)了解，防火墻大家都知道，它是安全上網(wǎng)的一道屏障，有了它在很多不安因子都被擋在門外。那么，我們現(xiàn)在來看看如何進(jìn)行防火墻的負(fù)載均衡。

防火墻負(fù)載均衡技術(shù)  
  
概述

網(wǎng)絡(luò)安全性是許多ICP和ISP長期擔(dān)心的問題,網(wǎng)絡(luò)安全已經(jīng)成為了人們關(guān)注的焦點(diǎn)｡網(wǎng)絡(luò)安全技術(shù)將防火墻作為一種防止對網(wǎng)絡(luò)資源進(jìn)行非授權(quán)訪問的常用方法｡

盡管目前防火墻產(chǎn)品可以有效地防止網(wǎng)絡(luò)入侵｡但是,它本身也給ICP和ISP網(wǎng)絡(luò)帶來了問題｡尤其是,目前防火墻技術(shù)限制了網(wǎng)絡(luò)的性能和可伸縮性,并且由于防火墻經(jīng)常成為單故障點(diǎn),因而它降低了整體網(wǎng)絡(luò)的可用性｡

由于防火墻處于數(shù)據(jù)路徑上,因此,它們可能會限制網(wǎng)絡(luò)的性能和可伸縮性｡在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)流量都必須經(jīng)過防火墻｡可惜的是,最適于防火墻的處理結(jié)構(gòu)不適于檢查高容量的數(shù)據(jù)包｡由于防火墻必須處理每一個數(shù)據(jù)包,因而造成了通信速度的下降｡擴(kuò)展防火墻的性能十分困難,因?yàn)樗话阋苯由壍焦δ芨鼜?qiáng)大的硬件平臺｡

也是由于防火墻安放在數(shù)據(jù)路徑上,因此,它們形成了降低網(wǎng)絡(luò)資源可用性的單故障點(diǎn)｡盡管多數(shù)防火墻可以使用市面上已有的高可用性軟件以熱備份的配置部署,但是,迄今為止,沒有一種解決方案可以安全､可靠､高效支持多臺防火墻同時工作｡

新型Web交換機(jī)的防火墻負(fù)載均衡技術(shù)解決了上述問題｡先進(jìn)的Web交換機(jī)允許防火墻并行運(yùn)行,使用戶無需將防火墻升級就可以最大限度地發(fā)揮防火墻的工作效力,擴(kuò)展防火的性能,同時使防火墻不再成為一種單故障點(diǎn)｡

實(shí)現(xiàn)原理

與傳統(tǒng)包交換機(jī)不同,Web交換機(jī)支持第四層以上的交換功能并具有維護(hù)不同TCP會話狀態(tài)的能力｡這類設(shè)備為實(shí)現(xiàn)防火墻的負(fù)載均衡提供了完美的平臺｡在實(shí)施防火墻負(fù)載均衡技術(shù)時,至少需要兩臺Web交換機(jī):一臺安裝在防火墻的外部,另一臺安裝在內(nèi)部｡

改變所有輸入數(shù)據(jù)流流向的過濾器被配置在連接外部網(wǎng)和內(nèi)部網(wǎng)的Web交換機(jī)端口上｡

為保持高可用性,Web交換機(jī)對防火墻的健康進(jìn)行監(jiān)控,只將數(shù)據(jù)包發(fā)向健康的防火墻｡Web交換機(jī)通過正常地向每個防火墻另一端對應(yīng)的交換機(jī)發(fā)送ping數(shù)據(jù)包來監(jiān)控防火墻的健康情況｡如果某個Web交換機(jī)接口不能回應(yīng)ping命令,累計達(dá)到用戶定義的次數(shù),這個Web交換機(jī)端口(以及暗指的相關(guān)防火墻)就被置成"服務(wù)器故障"狀態(tài)｡同時,對應(yīng)Web交換機(jī)停止向這個接口發(fā)送數(shù)據(jù)流,而將數(shù)據(jù)流分配到其余的健康的Web交換機(jī)接口和防火墻上｡

當(dāng)一個Web交換機(jī)接口處于"服務(wù)器故障"狀態(tài)時,其對應(yīng)的Web交換機(jī)繼續(xù)以用戶配置的速率向它發(fā)送ping命令｡在發(fā)回第一個成功的ping回應(yīng)后,該接口(以及防火墻)恢復(fù)到服務(wù)狀態(tài)｡

前幾節(jié)描述的防火墻健康監(jiān)控技術(shù)是Web交換機(jī)保證應(yīng)用程序高可用性的一種方式｡在采用防火墻負(fù)載均衡技術(shù)的同時使用熱備份Web交換機(jī),可以使應(yīng)用獲得更高水平的可用性｡在使用防火墻負(fù)載均衡技術(shù)的情況下,可以采用Web交換機(jī)對(一臺處于工作狀態(tài),另一臺處于熱備份狀態(tài)｡)來構(gòu)造整個系統(tǒng)無單故障點(diǎn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)｡這意味著Web交換機(jī)不是單故障點(diǎn),使用它不會造成網(wǎng)絡(luò)另一些點(diǎn)上的單故障點(diǎn)｡

防火墻負(fù)載均衡功能實(shí)現(xiàn)

在案例中,使用了四臺交換機(jī),兩臺位于防火墻的外部,兩臺位于防火墻的內(nèi)部｡

在實(shí)施熱備份配置時,每對Web交換機(jī)中的一臺被指定為激活交換機(jī),另一臺被指定為備份交換機(jī)｡在激活Web交換機(jī)與備份Web交換機(jī)之間配置一條直通鏈路,即所謂的故障轉(zhuǎn)移鏈路｡通常故障轉(zhuǎn)移鏈路在激活的和備份Web交換機(jī)之間只傳遞Web交換機(jī)狀態(tài)信息,數(shù)據(jù)流只有在激活Web交換機(jī)端口現(xiàn)出故障的情況下才經(jīng)過故障轉(zhuǎn)移鏈路傳輸｡

如果激活Web交換機(jī)檢測到鏈路故障的話,它就將此信息通過故障轉(zhuǎn)移鏈路通知備份Web交換機(jī)｡如果備份Web交換機(jī)上的相應(yīng)端口是健康的話,該端口就被激活｡