研究针对云服务的混合防火墙技术论文

时间:2021-08-31

研究针对云服务的混合防火墙技术论文

摘要:对于网络服务以及应用, 防火墙是第一道防线.尽管通过现有的方法能够显著增强系统的安全性, 但很多研究也证明了传统防火墙的局限性.随着虚拟化和云计算的出现, 基于网络的服务呈现爆炸式的增长.面向云服务, 利用无固有边界的虚拟化的云来构建虚拟防火墙, 存在安全性与可靠性无法有效控制的问题.这将导致用户无法正常使用这些云服务, 本文提出了一种有效的混合架构来权衡云防火墙的性能与可靠性.该混合架构由物理部分和虚拟部分共同构成, 采用虚拟的方法实现了物理防火墙的基本功能, 同时保障了云计算节点间的高性能合作, 增强防火墙的计算能力.提出的架构通过仿真实验部署, 结果表明, 基于云计算的混合防火墙机制有效的改善了传统防火墙的计算能力.

关键词:防火墙; 网络安全; 云服务; 云计算; 混合架构;

  防火墙是网络服务以及本地应用安全的主要防线, 但是对于很多企业 (尤其是小型企业) 来说, 设立防火墙无疑增添了他们的成本投资.防火墙对于主流的网络架构来说是一个不可或缺的关键要素, 它不仅仅只是部署在网络的边缘, 已经逐渐升级为一种服务.

  对于一个拥有5Mbps网络接入的美国中型大小的公司而言, 物理防火墙的首次部署投资以及维护成本大约是12万美元, 而之后每年的成本支出约为10万美元[1].投资成本之所以这么高, 主要是防火墙需要有专业的管理员来进行部署、维护、检测以及调试.而当防火墙需要新技术更新时, 公司还要花钱对防火墙管理员进行专门的培训.另外, 如果开发出了新的防火墙技术或者出现了新型的攻击, 对于防火墙的固件也需要进一步升级以提升它的存储容量和计算能力等.

  为了减少防火墙管理以及部署的成本投资, 企业将他们的防火墙作为服务外包给第三方提供商, 作为软件及服务和效能计算的一部分由云计算来提供支持[2].更迅速的服务要求, 迫使企业经常部署、维护他们的应用以及解决方案.随着互联网连接速度加快以及流量不断增长, 导致传统的防火墙需要分析巨大的流量以增强安全策略, 所以目前防火墙处理的瓶颈是网络.

  由于虚拟化以及云计算的出现[3-5], 物理防火墙没能设计检测以及过滤由虚拟机产生的巨大流量.相反, 研究者们设计开发了基于云的防火墙, 作为一种服务运行在一个虚拟的环境当中, 并提供常规的防火墙技术 (如包过滤以及服务检测) .

  一般来说, 基于云的防火墙遵循以下两种方法[6]:①虚拟防火墙部署在虚拟监控管理程序上;②虚拟防火墙放置在不同网络分段的桥接处, 使他们自己成为一个虚拟机.然而, 这些方法同时也给网络的性能以及可靠性之间带来了新的问题和挑战.肯定的是, 他们的确改进了网络安全性, 但是却没能够解决性能的问题.由云计算抽象出来的简单灵活与控制服务行为以及对基础资源的可见性和可控性之间存在着一种基本的权衡关系.

  在监控管理层中进行部署, 由于防火墙不会被视为网络中的一部分, 因此可以允许防火墙管理本地流量.另外, 许多研究者都指出了关于性能、延迟以及可靠性方面的挑战.在文献[7]中, 研究者们指出, 目前云计算的主要挑战为服务的连续性以及可用性.一些组织仍然在担心效能计算能否提供足够的可用性, 出于这种考虑, 对应用防火墙服务还需要慎重考虑.

  因此, 本文提出了一种新型的高效的混合架构来管理基于云的防火墙的性能和可靠性之间的权衡.提出的架构同时改善了吞吐量以及异常检测能力, 提高了物理防火墙的计算能力.额外的计算能力的提高是由于采用了虚拟防火墙的理念, 通过云提供大量的资源.目标是在拥有大量计算能力的云中完成虚拟防火墙的基本功能, 进一步解决巨大流量对防火墙性能的影响.实验结果显示, 所提出的架构在延迟、存储以及CPU性能方面都有很大提升.

  本文首先对背景以及相关的工作进行了介绍, 然后描述了提出的架构, 接下来列出了测试以及相应的结果, 最后, 对全文进行了总结并指出了进一步的研究工作.

1 研究背景

  防火墙安全策略[8]是一系列的过滤规则, 它定义了满足特定条件下的对数据包执行的相关动作.防火墙主要有三种类型:包过滤器、状态检测器以及应用防火墙.最古老的也就是最基本的就是包过滤器, 路由器对网络层或传输层的数据包进行检查, 从而获得好的投递性能.它的优点是适应路由、低开销、高吞吐量以及低成本.但是, 它的安全等级非常的低.

  状态检测器提供了一种执行在传输层却对应用层进行过滤的能力.这种防火墙通过跟踪连接的状态以及阻塞偏离特定状态的包, 改善了包过滤器的功能.但是, 这也暗示出需要使用更多的资源, 并且使防火墙的管理操作变得更加的复杂.应用防火墙含有一个代理程序, 由代理充当一个通信双方的透明的链路, 这样使得通信双方能够通信但是不能进行直接连接.这样, 应用程序防火墙并不能防止对低层的攻击, 而且每个应用都需要一个分离的程序, 资源消耗量大, 并且性能比较差.

  下一代防火墙[9]代表着对传统防火墙的一种革命, 通过集成多种安全功能, 如将反垃圾过滤、反病毒软件、检测系统或入侵防范等, 整合到一个模块内或集成为一个平台, 进而提高防火墙的性能.下一代防火墙与传统的防火墙相比, 还提供了更多粒度的检测和更加透明的流量状态.

  虽然云计算能够增加业务的灵活性、可扩展性和效率, 但是也引进了一些新的安全风险和担忧.传统的物理安全解决方案已经变得过时, 因为虚拟机之间的网络可能不需要越过同一个物理服务器的边界.直到现在, 虚拟化解决提供商提出了虚拟防火墙作为最好的解决方案[10], 对于孤岛以及网络分析的流量有不同形式的减少.对于Cisco, 它的虚拟安全网关分布在云中的物理节点上, 他为指定的管理程序设立一个虚拟防火墙, 而VMware也在安全方面设计了一系列的测量统称为v Shield模块.

  之前定义的虚拟化防火墙, 是运行在虚拟环境下的, 并且提供类似物理防火墙实现的常规包过滤器和检测器功能的防火墙服务.它主要有两个模式:管理程序模式以及桥接模式.管理程序模式是一个运行在虚拟机监控上的虚拟防火墙, 因此, 没有被看作为网络的一部分, 只需要管理本地流量.而桥接模式是不同网络模块之间的, 可以被看作是一个独立的虚拟机.这种模式由于可以按需分配资源, 吸引了很多研究者的关注, 但是虚拟机迁移成为了这类型虚拟防火墙的主要问题, 因为它必须要对不同的安全策略进行管理.

  这一部分, 对当前物理机和虚拟机上的防火墙部署的现有的各种解决方案进行了概览.物理防火墙受限于硬件的性能以及部署模型和增加的成本付出.虚拟防火墙是很具有潜力的, 因为它没有资源上的限制并且支持动态部署.但是, 虚拟防火墙都无力抵抗虚拟机域外的大规模攻击, 从而影响其可靠性.因此, 本文提出了一个架构同时包含了物理和虚拟部分.通过使用强大的云计算来提供服务, 抵抗大量攻击下增长的流量, 在下一节中给出了本文提出的架构.