分布式網絡防火墻及基于流的轉發系統

楊信錕

摘要：快速的網絡發展對防火墻性能提出了更高要求.本文提出了一種分布式網絡防火墻硬件架構，基于一致性哈希算法的分布式存儲會話信息，基于流的轉發及流量負載均衡，能有效提升防火墻性能.

關鍵詞：分布式;防火墻;吞吐量;會話;一致性哈希算法

中圖分類號：TP393? 文獻標識碼：A? 文章編號：1673-260X（2019）01-0057-03

1 引言

快速的網絡發展對防火墻的性能要求提出了超高吞吐量、并發連接數和每秒新建連接數的全面性能要求;并且安全性能可以按需進行線性擴展，應用安全處理能力也需具備高性能與可擴展性.

2 現有方案與問題剖析

1.1 堆疊式架構

堆疊式架構是將多個系統子模塊疊加成一個大的系統.但這種架構中系統子模塊之間的容量與性能不能相互支援，跨模塊間的性能較低，無法實現冗余，不便于整個系統的會話管理，資源無法有效利用.

1.2 共享型分布式架構

共享型分布式架構采用集中會話管理，通過集中式數據庫存儲會話信息，通過遠程調用查找會話信息.若CPU數量不斷增加，受限于單一的數據庫，將會限制此架構性能提升，集中式數據庫的問題將影響整個系統.

1.3 復制型分布式架構

復制型分布式架構采用復制會話信息的方式，通過本地的會話數據庫查找會話信息.若CPU數量增加，同步復雜度會隨之提升，內耗系統資源.

3 分布式網絡防火墻原理

本文提出一種分布式網絡防火墻的硬件架構，由多張接口卡和業務卡組成，管理……