基于多接入点网络的集群防火墙系统设计丁宁（江苏自动化研究所江苏连云港222061）摘要：为解决分布式网络的安全策略问题，对多节点网络防火墙系统特性进行分析，将安全检测在每个接入点上进行，防火墙模块间形成对等网络关系。在此基础上，提出一种基于多节点网络模型的集群防火墙系统设计方案，系统采用模块化的设计思想，每个防火墙模块包括若干功能模块，充分利用现有的安全技术资源，能够实现分布式环境下的安全数据的聚合，在实现传统状态检测技术的同时，又实现了分布式状态检测的基础策略，全面提高了防火墙系统的可用性、可控性、鲁棒性。关键词：多接入点网络；集群防火墙；安全防护；对等网络中图分类号：TP393.1文献标识码：ADesignofclustersFirewallsystemBasedonAccesspointnetworkDINGNing（JiangsuAutomationResearch,JiangsuLianyungang,222061）Abstract:Tosolvethedistributednetworksecuritypolicyissues,toanalyzethecharacteristicsofmulti-nodenetworkfirewallsystems,thesafetytestingoneachaccesspoint,andtheformationofapeer-to-peernetworkrelationshipbetweenthefirewallmodule.Onthisbasis,amodelbasedonmulti-nodenetworktheclusterfirewallsystemdesign,thesystemusesamodulardesignconcept,theeachfirewallmoduleincludinganumberoffunctionalmodules,andtakefulladvantageoftheexistingsecurityresourcestoaccomplishdistributedenvironmentsafetydataaggregation,whiletraditionalstatedetectiontechnology,butalsotoachievethedistributedstatedetectionstrategy,improvedoverallthefirewallsystemavailability,controllability,robustness.Keywords:Accesspointnetwork；Clusterfirewall；Security；Peer-to-peernetwork1引言网络的边界安全防护特性依赖于网络的拓扑结构[1]，不同的拓扑结构对于网络安全技术的选择，以及网络安全手段应用的效果是不同的。分布式网络的拓扑结构直接约束了防火墙技术在其中的应用，而现有的各种网络从实现上体现出了分层的思想，因此将防火墙模块置于各个接入节点之上后形成的集群防火墙系统是拥有超级节点的非结构化对等网络系统，其特性与基于超级节点的GNUtelal对等网络类似[2]。在通过对多接入点网络模型结构进行分析后，提出一种适合该模型的集群防火墙系统设计方案，详细说明了该系统的结构、特点、功能划分及优势。2多接入点网络模型结构多接入点网络是随着网络技术的不断进步而出现的新的网络结构模型，是网络规模扩展的直接体现。其具体形式既可能是原有的多个拥有外网出口的小型网络通过网络互连设备连接到一起，共同形成一个较大的网络；又可能仅仅是引入了新的接入方式和网络出口，并通过内部路由器等设备与现有的网络相连接。无论是以上哪种实现形式，都在图1所示的多接入点网络结构示意图范围内。图1多接入点网络结构示意每个接入点的两端所连接的并不是普通的网络主机，而是负责网络接入服务的网络连接设备。一般情况下，主机与外部网络进行独立连接的情况在一个有严格制度规范的组织内部是很少见的。在此只考虑内部网络中与接入点直接相连的接入点设备。由于这些接入点设备只是为用户提供网络连接服务，彼此之间并没有从属关系的存在，因此它们之间的地位是平等的，不存在某些中心节点。同时，这些接入点设备之间经常会有数据交换的行为存在，例如：接入点设备经常要提供路由的服务，使得经过的数据包能够正确地向目的地投送，因此各接入点设备之间会存在路由连接。就单个接入点的行为来说，它既可以做为客户端发出自己的请求—例如路由信息查询；也可以做为服务器端接收与之相连的其它设备的请求—例如转发，每个接入点既是客户机又是服务器。因此，多接入点网络符合对等网络的特征，是分布式网络模型的一