關于提高應用層網關防火墻連接速率的解決方案

李文森

?

關于提高應用層網關防火墻連接速率的解決方案

李文森

重慶郵電大學通信與信息工程學院，重慶 400065

首先提出了應用層網關防火墻連接速率比較差的問題，然后從Intel X86架構、ASIC架構及NP架構對問題進行了分析，最后提出了解決方案，分別是雙NP架構的方案、雙代理模塊的方案及雙NP架構雙代理模塊的綜合方案，并以重慶市育才職業教育中心基于應用層網關的千兆防火墻為例，對解決方案進行了論證。

應用層網關；防火墻；速率；解決方案

1 問題的提出

應用層網關防火墻與其他幾代防火墻相比有著得天獨厚的優勢，在客戶機和服務器之間建立代理服務器來對數據進行加密處理，大大提高了安全性。但是在擁有更高安全性的同時，處理速度卻下降了。防火墻的性能主要有三個指標：吞吐量，最大連接數，連接速率。其中，應用層網關防火墻就是連接速率比較差，同樣的連接速率，因為是雙向連接，處理速度往往會比較慢，在網絡流量的高峰期，可能會成為一個高速連接的瓶頸[1]。

2 對問題的分析

我們首先來分析目前基于應用層網關防火墻的三種架構。

2.2 Intel X86架構

這是早期的第二代防火墻所采用的架構。這種防火墻架構體積小，具有很高的靈活性和擴展性，可以隨時方便地為用戶增加各種功能，在早期是非常受歡迎的[2]。但隨著互聯網的發展，千兆防火墻開始逐漸進入人們的視野之后，這款防火墻基本被淘汰。

2.2 ASIC架構

提到速率快，首先想到的就是采用ASIC架構，這款防火墻架構是自千兆防火墻誕生以來，首先采用的一種架構。其特點是內置了指令算法，采用專門電路芯片來提高數據處理能力[3]。這種架構在速度上有大幅的提升，缺點就是需要將指令算法固化到硬件中，所以擴展性較差，缺乏靈活性，成本和維護費用也非常高[4]。

2.3 NP架構

經過前面兩種架構的發展，出現了NP（網絡處理器）架構。這種架構的特點是各方面的性能比較平均，綜合性和穩定性非常好，有著比X86的更快的連接速率及比ASIC有更好的靈活性。此外，NP架構有個最大的特點，即采用了專門處理網絡數據流量的處理器。對于應用層網關防火墻采用雙向的傳輸來說，NP架構無疑是非常合適的，能夠大幅提高I/O的速度[5]。NP架構能夠接受完全的可移植性，也可以對其進行任意編程來擴展功能，在具有高處理速度的同時靈活性也非常高。對于構建應用層網關防火墻來說，NP架構是很好的選擇。

根據應用層網關防火墻本身雙向代理的特點，以及綜合以上三種架構的優缺點，決定采用NP架構作為改進連接速率的一個重要指標。

3 改進的措施

3.1 雙NP架構的方案

防火墻的NP就好比計算機中的CPU，是能夠同時處理多個數據的引擎。既然計算機都可以有雙核、四核的CPU，防火墻為什么不能有雙NP出現的情況呢？只不過這種情況功率較大，會增大防火墻來的負載，減少使用壽命。根據可行性分析得出的結果，如圖1所示。

圖1 雙NP架構模型

通過ACL訪問控制列表進行過濾的數據，進入代理模塊，進行高速的運算處理，通過集成雙NP架構的模型，提高模塊運算能力。

3.2 雙代理模塊的方案

除了使用雙NP的情況外，還可以采用雙代理模塊來達到同樣的效果。一個防火墻是由各個模塊組成的，它們之間相互協調地工作，而通常代理模塊需要處理大量的應用程序[6]。這里，需要把單個代理模塊變為雙代理模塊來提高運算能力，因為代理模塊是直接與用戶聯系的模塊，先處理完畢的模塊，就將信息傳送給用戶，不會出現同時發送而出現擁堵的情況，這樣速度就會有很大的提升，如圖2所示。

圖2 雙代理模塊模型

以上這兩種方法，筆者認為都可以提升應用層網關防火墻單位時間內處理數據的能力，在保護了安全性的同時，速度也會大大提升。

3.3 雙NP架構雙代理模塊的綜合方案

通過可行性分析，應用層網關防火墻的雙NP架構和雙代理模塊的實現是可行的，兩種方法都可以提升防火墻的連接速率。若需要進一步提高速率，則采用第三種改進方法，把前面兩者情況結合起來，這樣防火墻的連接速率將會成倍地提高，如圖3所示。

這種采用雙NP架構和雙代理模塊同時存在的情況比較極端。采用這種方法在應用層網關防火墻內部構建模型，不僅可以彌補性能上的不足，而且可能出現速度成倍地增長。對于那種對速度要求特別高的大型企業，可以考慮用這種方式來加快連接速度，但是需要注意兩個方面的問題：（1）防火墻成本會大大提高；（2）需要穩定性很好的防火墻硬件平臺來支持這種高性能的運行。

圖3 綜合模型

以上三種結構都可以提高應用層網關防火墻的連接速率，在實際應用中各企業應根據自身需求特點進行選擇。對于中小型企業來說，選擇第一種結構是比較明智的選擇，既能夠有效提高速度，又能夠節約成本；對于數據流量業務較多的大型企業，可以考慮第三種結構，高速的性能能夠滿足高峰期的正常數據通信，但是也應該注意提出的兩個問題，而且對防火墻硬件的消耗是肯定的，需要使用者綜合考量。

4 應用案例

重慶市育才職業教育中心，有學生6?000多人，學校原來采用基于應用層網關的千兆防火墻來保護內部網絡的安全，上課時段數據流量達到高峰期，經常出現數據不同步、網絡延遲的情況。經分析，從路由器接收的大量數據流量通過應用層網關防火墻，而基于雙向連接的服務器在只有一個代理模塊一個NP的情況下，出口的流量受到限制，因此造成網絡擁堵，如圖4所示。

圖4 改進前流量分析圖

通過分析原因，將原有的一個代理模塊、一個NP架構改為雙NP雙代理模塊之后，連接速率大大提升，即使是在高峰期，也不會感覺到數據傳輸的延遲和擁堵，解決了網絡延遲和堵塞情況，具體情況如圖5所示。

圖5 改進后流量分析圖

[1]張艷斌. 防火墻技術在網絡安全中的作用[J]. 讀寫算：教研版，2012，2（10）：39.

[2]劉楊. 防火墻安全策略管理系統設計與實現[D]. 長沙：國防科學技術大學，2009.

[3]陳寧. 基于多層防火墻技術的跨域訪問控制研究與應用[D]. 重慶：重慶大學，2008.

[4]王波，劉久君. 改進的人工免疫入侵檢測模型[J]. 計算機應用，2012，32（6）：1627-1631.

[5]李碩. 探析安全策略中心與NP架構防火墻的設計與實現[J]. 計算機光盤軟件與應用，2012（15）：245.

[6]曾建瓊，胡勇. 加密代理服務器通信行為安全性研究[J]. 網絡安全技術與應用，2015（1）：119.

Solution for Increasing the Application Layer Gateway Firewall Connection Rate

Li Wensen

Chongqing University of Posts and Telecommunications, Chongqing 400065

Firstly, the problem of poor connection speed of the application-layer gateway firewall is proposed. Then the problems are analyzed from the Intel X86 architecture, ASIC architecture and NP architecture. Finally, the solutions are proposed, which are the dual NP architecture scheme, dual-agent architecture and the solution of the combination of dual NP architecture and dual agent module. Taking application of a Gigabit firewall based on the application layer gateway of the Yucai Vocational Education Center in Chongqing as an example, the paper demonstrates the solution.

application layer gateway; firewall; rate; solution

TP393

A