Web交换机为网络防火墙排忧解难(2)

　　新出现的Web交换技术被人们普遍认为是扩展防火墙容量、提高防火墙设备总体可用性的解决方案。在实现防火墙负载平衡时，需要使用两台Web 交换机：一台安装在防火墙的清洁端，另一台安装在不洁端。每台Web交换机都将输入的IP流通过防火墙发向另一端的对应Web交换机。这样就实现了在几个防火墙上的负载平衡，因此，使防火墙可以并行运行，扩展了防火墙的性能，并且消除了防火墙成为单故障点的可能。

　　与传统的包交换机不同，Web交换机具有保持以太网和千兆以太网速率传输的不同TCP会话的能力。由于防火墙是一种状态性（stateful）的设备，因此，所有与建立会话相关的数据包都要流过相同的防火墙。Web交换机智能地保持流经防火墙的数据流的状态信息，因而保证了所有在特定IP源／目的地址对之间传输的数据流都流过同一个防火墙。反过来，这也保证了防火墙建立的会话持续性。

　　防火墙负载平衡技术也可以被用来减少防火墙需要完成的数据流过滤功能的工作量，这正是实施“非军事区”（DMZ）技术的主要优点。在DMZ中保存象Internet这类Web服务器要求公共访问的资源。Web交换机需要具有数据流过滤功能来确定哪些数据包应当被传送到DMZ，哪些应当穿过防火墙。从防火墙上去除掉过滤功能大大提高了防火墙性能，加快了用户数据流的速度。

　　Web交换机被配置为允许或拒绝对DMZ服务器访问的过滤器，以这种方式实现了两级水平的安全性：一级利用配置在Web交换机上的过滤器对访问进行限制，另一级通过由防火墙进行的状态检查限制访问。

　　为保持防火墙的高可用性，Web交换机利用连续地向防火墙另一端的对应Web交换机上的每个端口发送强制回应命令（ping）来监控防火墙的“健康”情况。如果防火墙或Web交换机端口出现故障，数据流就被分配到其余的“健康”Web交换机端口和相关的防火墙上。

　　防火墙负载平衡利用新型Web交换技术解决了由防火墙引起的许多性能问题和可伸缩性问题。这项技术使防火墙可以并行地运行，在不用进行重大升级的条件下，大大提高了效率，扩展了性能，并消除了防火墙成为单故障点的可能。