在谈及负载均衡应用的时候,说的最多的就是流量控制,网站负载,以及服务器负载等等。那么,现在要给大家介绍的是防火墙负载均衡的应用。还是让我们从基础了解,防火墙大家都知道,它是安全上网的一道屏障,有了它在很多不安因子都被挡在门外。那么,我们现在来看看如何进行防火墙的负载均衡。
防火墙负载均衡技术
概述
网络安全性是许多ICP和ISP长期担心的问题,网络安全已经成为了人们关注的焦点。网络安全技术将防火墙作为一种防止对网络资源进行非授权访问的常用方法。
尽管目前防火墙产品可以有效地防止网络入侵。但是,它本身也给ICP和ISP网络带来了问题。尤其是,目前防火墙技术限制了网络的性能和可伸缩性,并且由于防火墙经常成为单故障点,因而它降低了整体网络的可用性。
由于防火墙处于数据路径上,因此,它们可能会限制网络的性能和可伸缩性。在内部网络和外部网络之间的所有网络流量都必须经过防火墙。可惜的是,最适于防火墙的处理结构不适于检查高容量的数据包。由于防火墙必须处理每一个数据包,因而造成了通信速度的下降。扩展防火墙的性能十分困难,因为它一般要直接升级到功能更强大的硬件平台。
也是由于防火墙安放在数据路径上,因此,它们形成了降低网络资源可用性的单故障点。尽管多数防火墙可以使用市面上已有的高可用性软件以热备份的配置部署,但是,迄今为止,没有一种解决方案可以安全、可靠、高效支持多台防火墙同时工作。
新型Web交换机的防火墙负载均衡技术解决了上述问题。先进的Web交换机允许防火墙并行运行,使用户无需将防火墙升级就可以最大限度地发挥防火墙的工作效力,扩展防火的性能,同时使防火墙不再成为一种单故障点。
实现原理
与传统包交换机不同,Web交换机支持第四层以上的交换功能并具有维护不同TCP会话状态的能力。这类设备为实现防火墙的负载均衡提供了完美的平台。在实施防火墙负载均衡技术时,至少需要两台Web交换机:一台安装在防火墙的外部,另一台安装在内部。
改变所有输入数据流流向的过滤器被配置在连接外部网和内部网的Web交换机端口上。
为保持高可用性,Web交换机对防火墙的健康进行监控,只将数据包发向健康的防火墙。Web交换机通过正常地向每个防火墙另一端对应的交换机发送ping数据包来监控防火墙的健康情况。如果某个Web交换机接口不能回应ping命令,累计达到用户定义的次数,这个Web交换机端口(以及暗指的相关防火墙)就被置成"服务器故障"状态。同时,对应Web交换机停止向这个接口发送数据流,而将数据流分配到其余的健康的Web交换机接口和防火墙上。
当一个Web交换机接口处于"服务器故障"状态时,其对应的Web交换机继续以用户配置的速率向它发送ping命令。在发回第一个成功的ping回应后,该接口(以及防火墙)恢复到服务状态。
前几节描述的防火墙健康监控技术是Web交换机保证应用程序高可用性的一种方式。在采用防火墙负载均衡技术的同时使用热备份Web交换机,可以使应用获得更高水平的可用性。在使用防火墙负载均衡技术的情况下,可以采用Web交换机对(一台处于工作状态,另一台处于热备份状态。)来构造整个系统无单故障点的网络拓扑结构。这意味着Web交换机不是单故障点,使用它不会造成网络另一些点上的单故障点。
防火墙负载均衡功能实现
在案例中,使用了四台交换机,两台位于防火墙的外部,两台位于防火墙的内部。
在实施热备份配置时,每对Web交换机中的一台被指定为激活交换机,另一台被指定为备份交换机。在激活Web交换机与备份Web交换机之间配置一条直通链路,即所谓的故障转移链路。通常故障转移链路在激活的和备份Web交换机之间只传递Web交换机状态信息,数据流只有在激活Web交换机端口现出故障的情况下才经过故障转移链路传输。
如果激活Web交换机检测到链路故障的话,它就将此信息通过故障转移链路通知备份Web交换机。如果备份Web交换机上的相应端口是健康的话,该端口就被激活。