研究針對云服務的混合防火墻技術論文

摘要：對于網絡服務以及應用, 防火墻是第一道防線.盡管通過現有的方法能夠顯著增強系統的安全性, 但很多研究也證明了傳統防火墻的局限性.隨著虛擬化和云計算的出現, 基于網絡的服務呈現爆炸式的增長.面向云服務, 利用無固有邊界的虛擬化的云來構建虛擬防火墻, 存在安全性與可靠性無法有效控制的問題.這將導致用戶無法正常使用這些云服務, 本文提出了一種有效的混合架構來權衡云防火墻的性能與可靠性.該混合架構由物理部分和虛擬部分共同構成, 采用虛擬的方法實現了物理防火墻的基本功能, 同時保障了云計算節點間的高性能合作, 增強防火墻的計算能力.提出的架構通過仿真實驗部署, 結果表明, 基于云計算的混合防火墻機制有效的改善了傳統防火墻的計算能力.

關鍵詞：防火墻; 網絡安全; 云服務; 云計算; 混合架構;

　　防火墻是網絡服務以及本地應用安全的主要防線, 但是對于很多企業 (尤其是小型企業) 來說, 設立防火墻無疑增添了他們的成本投資.防火墻對于主流的網絡架構來說是一個不可或缺的關鍵要素, 它不僅僅只是部署在網絡的邊緣, 已經逐漸升級為一種服務.

　　對于一個擁有5Mbps網絡接入的美國中型大小的公司而言, 物理防火墻的首次部署投資以及維護成本大約是12萬美元, 而之后每年的成本支出約為10萬美元[1].投資成本之所以這么高, 主要是防火墻需要有專業的管理員來進行部署、維護、檢測以及調試.而當防火墻需要新技術更新時, 公司還要花錢對防火墻管理員進行專門的培訓.另外, 如果開發出了新的防火墻技術或者出現了新型的攻擊, 對于防火墻的固件也需要進一步升級以提升它的存儲容量和計算能力等.

　　為了減少防火墻管理以及部署的成本投資, 企業將他們的防火墻作為服務外包給第三方提供商, 作為軟件及服務和效能計算的一部分由云計算來提供支持[2].更迅速的服務要求, 迫使企業經常部署、維護他們的應用以及解決方案.隨著互聯網連接速度加快以及流量不斷增長, 導致傳統的防火墻需要分析巨大的流量以增強安全策略, 所以目前防火墻處理的瓶頸是網絡.

　　由于虛擬化以及云計算的出現[3-5], 物理防火墻沒能設計檢測以及過濾由虛擬機產生的巨大流量.相反, 研究者們設計開發了基于云的防火墻, 作為一種服務運行在一個虛擬的環境當中, 并提供常規的防火墻技術 (如包過濾以及服務檢測) .

　　一般來說, 基于云的防火墻遵循以下兩種方法[6]:①虛擬防火墻部署在虛擬監控管理程序上;②虛擬防火墻放置在不同網絡分段的橋接處, 使他們自己成為一個虛擬機.然而, 這些方法同時也給網絡的性能以及可靠性之間帶來了新的問題和挑戰.肯定的是, 他們的確改進了網絡安全性, 但是卻沒能夠解決性能的問題.由云計算抽象出來的簡單靈活與控制服務行為以及對基礎資源的可見性和可控性之間存在著一種基本的權衡關系.

　　在監控管理層中進行部署, 由于防火墻不會被視為網絡中的一部分, 因此可以允許防火墻管理本地流量.另外, 許多研究者都指出了關于性能、延遲以及可靠性方面的挑戰.在文獻[7]中, 研究者們指出, 目前云計算的主要挑戰為服務的連續性以及可用性.一些組織仍然在擔心效能計算能否提供足夠的可用性, 出于這種考慮, 對應用防火墻服務還需要慎重考慮.

　　因此, 本文提出了一種新型的高效的混合架構來管理基于云的防火墻的性能和可靠性之間的權衡.提出的架構同時改善了吞吐量以及異常檢測能力, 提高了物理防火墻的計算能力.額外的計算能力的提高是由于采用了虛擬防火墻的理念, 通過云提供大量的資源.目標是在擁有大量計算能力的云中完成虛擬防火墻的基本功能, 進一步解決巨大流量對防火墻性能的影響.實驗結果顯示, 所提出的架構在延遲、存儲以及CPU性能方面都有很大提升.

　　本文首先對背景以及相關的工作進行了介紹, 然后描述了提出的架構, 接下來列出了測試以及相應的結果, 最后, 對全文進行了總結并指出了進一步的研究工作.

1 研究背景

　　防火墻安全策略[8]是一系列的過濾規則, 它定義了滿足特定條件下的對數據包執行的相關動作.防火墻主要有三種類型:包過濾器、狀態檢測器以及應用防火墻.最古老的也就是最基本的就是包過濾器, 路由器對網絡層或傳輸層的數據包進行檢查, 從而獲得好的投遞性能.它的優點是適應路由、低開銷、高吞吐量以及低成本.但是, 它的安全等級非常的低.

　　狀態檢測器提供了一種執行在傳輸層卻對應用層進行過濾的能力.這種防火墻通過跟蹤連接的狀態以及阻塞偏離特定狀態的包, 改善了包過濾器的功能.但是, 這也暗示出需要使用更多的資源, 并且使防火墻的管理操作變得更加的復雜.應用防火墻含有一個代理程序, 由代理充當一個通信雙方的透明的鏈路, 這樣使得通信雙方能夠通信但是不能進行直接連接.這樣, 應用程序防火墻并不能防止對低層的攻擊, 而且每個應用都需要一個分離的程序, 資源消耗量大, 并且性能比較差.

　　下一代防火墻[9]代表著對傳統防火墻的一種革命, 通過集成多種安全功能, 如將反垃圾過濾、反病毒軟件、檢測系統或入侵防范等, 整合到一個模塊內或集成為一個平臺, 進而提高防火墻的性能.下一代防火墻與傳統的防火墻相比, 還提供了更多粒度的檢測和更加透明的流量狀態.

　　雖然云計算能夠增加業務的靈活性、可擴展性和效率, 但是也引進了一些新的安全風險和擔憂.傳統的物理安全解決方案已經變得過時, 因為虛擬機之間的網絡可能不需要越過同一個物理服務器的邊界.直到現在, 虛擬化解決提供商提出了虛擬防火墻作為最好的解決方案[10], 對于孤島以及網絡分析的流量有不同形式的減少.對于Cisco, 它的虛擬安全網關分布在云中的物理節點上, 他為指定的管理程序設立一個虛擬防火墻, 而VMware也在安全方面設計了一系列的測量統稱為v Shield模塊.

　　之前定義的虛擬化防火墻, 是運行在虛擬環境下的, 并且提供類似物理防火墻實現的常規包過濾器和檢測器功能的防火墻服務.它主要有兩個模式:管理程序模式以及橋接模式.管理程序模式是一個運行在虛擬機監控上的虛擬防火墻, 因此, 沒有被看作為網絡的一部分, 只需要管理本地流量.而橋接模式是不同網絡模塊之間的, 可以被看作是一個獨立的虛擬機.這種模式由于可以按需分配資源, 吸引了很多研究者的關注, 但是虛擬機遷移成為了這類型虛擬防火墻的主要問題, 因為它必須要對不同的安全策略進行管理.

　　這一部分, 對當前物理機和虛擬機上的防火墻部署的現有的各種解決方案進行了概覽.物理防火墻受限于硬件的性能以及部署模型和增加的成本付出.虛擬防火墻是很具有潛力的, 因為它沒有資源上的限制并且支持動態部署.但是, 虛擬防火墻都無力抵抗虛擬機域外的大規模攻擊, 從而影響其可靠性.因此, 本文提出了一個架構同時包含了物理和虛擬部分.通過使用強大的云計算來提供服務, 抵抗大量攻擊下增長的流量, 在下一節中給出了本文提出的架構.