Web交流技能的前进不仅仅优化了Web服务器,一起它还能够用来处理当时防火墙引起的一些问题。
虽然防火墙在避免网络侵略方面具有很高的功率,并已成为提交安全Web站点和服务的关键因素,可是,一切这些安全性都是以很高价值获得的。简言之,防火墙会约束功用和可弹性性。因为防火墙是会造成单毛病点的在线设备,因此它会下降网络的可用性。
将防火墙技能与新呈现的Web交流技能相结合能够使防火墙的功用、可用性和可弹性性得到极大的改进。
最常用的防火墙由装置在一台服务器上的软件构成。这台服务器上装置了两块网卡,并被刺进到数据途径上。其间的一块网卡连接到网络的公共端,公共端一般为与Internet相连的路由器(即所谓防火墙的“不干净”端)。另一块网卡与有必要维护的资源相连(即所谓防火墙的“清洁”端)。
防火墙装置在数据途径上,因此约束了网络的功用和可弹性性,原因是一切经过不干净端和清洁端的数据流都有必要流过防火墙。防火墙运用过滤技能和其它由网络管理人员预先设定的战略,对每个数据包进行查看。
问题是最适于防火墙的处理结构并不适于查看高容量的数据包。扩展防火墙的功用好不容易,因为它一般涉及到本钱的昂扬晋级:运用更高功用的装备及现在功用最强大处理器的服务器。
新呈现的Web交流技能被人们遍及认为是扩展防火墙容量、进步防火墙设备整体可用性的处理方案。在完结防火墙负载平衡时,需求运用两台Web 交流机:一台装置在防火墙的清洁端,另一台装置在不干净端。每台Web交流机都将输入的IP流经过防火墙发向另一端的对应Web交流机。这样就完结了在几个防火墙上的负载平衡,因此,使防火墙能够并行运转,扩展了防火墙的功用,而且消除了防火墙成为单毛病点的或许。
与传统的包交流机不同,Web交流机具有坚持以太网和千兆以太网速率传输的不同TCP会话的才能。因为防火墙是一种状况性(stateful)的设备,因此,一切与树立会话相关的数据包都要流过相同的防火墙。Web交流机智能地坚持流经防火墙的数据流的状况信息,因此确保了一切在特定IP源/意图地址对之间传输的数据流都流过同一个防火墙。反过来,这也确保了防火墙树立的会话持续性。
防火墙负载平衡技能也能够被用来削减防火墙需求完结的数据流过滤功用的工作量,这正是施行“非军事区”(DMZ)技能的首要长处。在DMZ中保存象Internet这类Web服务器要求公共拜访的资源。Web交流机需求具有数据流过滤功用来确认哪些数据包应当被传送到DMZ,哪些应当穿过防火墙。从防火墙上去除去过滤功用大大进步了防火墙功用,加快了用户数据流的速度。
Web交流机被装备为答应或拒肯定DMZ服务器拜访的过滤器,以这种方法完结了两级水平的安全性:一级使用装备在Web交流机上的过滤器对拜访进行约束,另一级经过由防火墙进行的状况查看约束拜访。
为坚持防火墙的高可用性,Web交流机使用接连地向防火墙另一端的对应Web交流机上的每个端口发送强制回应指令(ping)来监控防火墙的“健康”状况。假如防火墙或Web交流机端口呈现毛病,数据流就被分配到其他的“健康”Web交流机端口和相关的防火墙上。
防火墙负载平衡使用新式Web交流技能处理了由防火墙引起的许多功用问题和可弹性性问题。这项技能使防火墙能够并行地运转,在不必进行严重晋级的条件下,大大进步了功率,扩展了功用,并消除了防火墙成为单毛病点的或许。
