论文摘要
随着互联网的飞速发展和网络应用的普及,计算机网络已经成为了人们生活中必不可少的部分。人们在享受信息化带来的众多好处的同时,也面临着日益突出的信息安全问题。防火墙是目前使用的最为广泛的一种网络安全技术,它在内部网络和外部网络之间构建了一道安全保护屏障。根据以上两点,研究人员开发出了基于Linux平台,由多台普通PC构成的分布式并行防火墙系统DPFW。它采用分布式的体系结构,对数据包进行并行处理,成倍地加快了处理速度。另外,DPFW由于采用了故障容错机制,消除了单节点防火墙故障瓶颈问题,在某台或某几台防火墙发生故障时,使得网络连接也能够继续进行。因此分布式并行防火墙系统DPFW具有高性能、高可靠性、低成本和可扩展的特性。但是随着分布式并行防火墙系统的规模的不断扩大,如何在系统内部实现流量的负载均衡,以及单个防火墙节点如何在保持高效的流量控制的能力同时,尽可能地减小系统的开销,已经成为了越来越重要的问题。它们严重的影响了整个系统的性能。本文首先描述了整个分布式并行系统的逻辑结构,然后分析了现阶段的Linux自身的流量控制机制和流量分发技术;接着描述了分布式并行防火墙系统的流量控制和分发机制的整体设计以及相关的关键技术的研究和实现。同时也结合常州市运输管理处现有的网络环境进行了实验论证。在新的流量控制的框架下,分布式并行防火墙系统的单个节点使用了改进了的流量控制机制,并通过哈希算法来均衡系统中的各个节点的流量。又以心跳检测技术为手段实现了系统中的故障节点的准确检测,并通过配置管理接口通知负载均衡算法来重新实现了节点间的负载平衡。通过对分布式并行系统的单个节点进行了流量控制的测试。可以看到新的控制框架对保持了对网络数据流的有效的控制能力,同时减小了CPU的开销。防火墙节点采用了新的流量控制机制后,不会对系统的负载平衡造成不好的影响。在流量负载均衡机制的作用下,整个系统中的各个节点做到了大致的复杂均衡。