论文摘要
网络安全始终是计算机科学技术领域引人注目的重大研究课题。防火墙作为互联网络必需的基础设备,其技术在过去近十年里经历了不断的完善和更新。在对防火墙一直追求的安全、灵活、可用等性能指标中,高可用性始终是防火墙技术发展的主要方向。随着用户网络规模的扩大,网络构建越来越复杂,对网络的可靠性要求也越来越高,而防火墙作为网络的关键结点,能否保证服务的可靠性和稳定性是一个极为重要的问题。同时,Internet的快速增长使多媒体网络服务器面对的访问数量快速增加,服务器需要具备提供大量并发访问服务的能力,因此对于大负载的服务器来讲,CPU、I/O处理能力很快会成为瓶颈,必须采用多服务器和负载均衡技术才能满足大量并发访问的需要。因此对于这类情况,防火墙还必须为适应快速增长的网络访问需求提供一个负载能力易于扩展,而价格低廉的解决方案。此外,防火墙的报警机制在防火墙的体系中也是很重要的,只有有了报警功能,当系统发生重要事件时比如热备切换,才能及时通知管理员,以便能采取相应的措施,所以需要在防火墙上提供有效的报警机制。本文针对上述问题,从分析现实网络存在的问题着手,结合实际项目对防火墙现有功能进行了扩展:防火墙的主主热备功能模块,支持内网服务器集群系统的负载均衡功能模块,防火墙的报警功能模块。防火墙的主主热备功能模块,是防火墙高可用性功能扩展的核心。在分析VRRP单网口热备技术的基础上,通过增加等待状态并调整热备切换策略,设计并实现了防火墙的主主热备,最多可以实现255台防火墙的主主热备,并对线路故障和网口物理故障造成的热备切换异常问题给出了具体的解决方案。对于内网服务器集群系统的负载均衡问题,本文结合LVS集群技术和防火墙包过滤技术,给出了防火墙作为均衡服务器实现内网服务器负载均衡的解决方案,并着重介绍了服务器工作状态的检测方法,并设计实现了防火墙NAT工作模式下内网服务器负载均衡功能模块。防火墙的报警模块,在防火墙健康检查基础上提出了防火墙的主动式检测报警机制,并进一步扩展,提出了被动监听异常事件报警的机制,最后设计实现了蜂鸣器报警和邮件报警。综上所述,本文从分析现在网络存在的问题入手,主要对防火墙的主主热备功能模块、支持内网服务器集群系统的负载均衡功能模块和防火墙的报警功能模块进行了设计和实现,通过提高防火墙的高可用性,增加了网络的可靠性和健壮性。