安全云服务的资源池化和虚拟化(3)

安全云服务的资源池化和虚拟化(3)

在防火墙访问控制业务中，除非在采用包过滤的非状态检测防火墙的情况下可以采用以上类似DDoS攻击防护业务所采用的负载均衡的池化方案，一般情况下以上方案并不适用。当防火墙访问控制业务采用状态检测防火墙时，为了保证同一会话的连接分配到同一台防火墙来处理，一般情况下可以采用四层交换机的负载均衡方案，实现方案如图7-5所示。

这种方案的优点是实施简单，但存在以下两个方面的问题。

应用交换机容易成为性能的瓶颈。

每台防火墙设备均需维护所有的安全策略表，效率较低。

为了解决上述问题，可以采用调度中心与防火墙的状态感知，以及与路由器和防火墙的实时交互，通过策略路由的方式将某一客户在较长时间内的网络流量均交由某台防火墙来完成。实现方案如图7-6所示。

但这种方案也带来了以下一些新的问题。

需要防火墙开放相应的状态接口，提供给调度服务器进行任务的分配。

调度算法复杂，并且需要实现调度中心对路由器的实时配置。

在调度中心必须保存所有的安全策略视图。

（3）对于防火墙访问控制业务，只需实现调度分中心的系统即可；而对于DDoS攻击防护业务，则需要建立全网的资源调度中心。建立全网的资源调度中心需解决以下问题。

DDoS攻击检测，通过Netflow等技术快速检测客户网络受到的DDoS攻击。

DDoS攻击溯源分析，定位流量的入口。

全局调度中心实现与分中心的联动和任务分配。

分中心启动流量牵引、过滤等工作实现对攻击流量的清洗。

（4）在防火墙访问控制和DDoS攻击防护这两种业务云化的过程中，由于业务复用的主要是设备的带宽和处理能力，其业务复用由调度系统来完成。为了实现完善的业务复用，对于安全设备状态智能感知也是重要的基础。为了达到智能感知的要求，要求网络安全设备（包括本案例中所分析的防火墙和DDoS攻击防护两种设备）均需提供调度中心所需的相关信息，如CPU的状态信息等。