电子邮件系统跨网络区域多防火墙分析

2019-11-14张璐

山西电力 2019年5期

张璐

（国家电网有限公司信息通信分公司，北京 100761）

0 引言

Internet的迅速发展在给人们的生产和生活带来前所未有的便捷的同时，也给人们带来了日益严峻的网络安全问题。这种会导致危害的可能性使得用来保护Internet资源的安全措施和设备变得不可或缺[1]，其中不可不提的就是防火墙，它几乎是维护网络安全必不可少的一个组成部分[2]。

防火墙通常部署在一个网络的出入口处，它是不同网络或网络安全域之间信息的唯一出入口，通过执行一定的规则来控制内外网络的数据流，从而控制用户对网络资源的访问。在逻辑上，防火墙是一个分离器、一个限制器，同时也是一个分析器，能有效地监控内部网和Internet之间的任何活动，保证内部网络的安全[3]。

1 信息系统运行情况分析

1.1 状态检测防火墙基本情况

防火墙具有如下特性：所有的通信都经过防火墙，防火墙只放行经过授权的网络流量，防火墙能经受得起对其本身的攻击[4]。

状态检测防火墙（Stateful Inspection Firewall）也叫自适应防火墙或动态包过滤防火墙（Dynamic Packet Filter Firewall），是最新一代的防火墙，称为第三代防火墙。每个网络连接通常包括以下信息：源IP地址、目的IP地址、源端口号和目的端口号、协议类型、连接状态（适用于TCP）、协议相关信息（如TCP/UDP端口号）和超时时间等。防火墙把这些信息叫做状态[5]。

状态检测防火墙使用最典型的是通过TCP连接建立会话，以会话为单位进行检测，将属于同一连接的所有包作为一个整体的数据流来看待，构成状态表，通过安全规则表与状态表的共同配合，对表中的各个连接状态进行快速识别，以此提高数据传输的效率。

图1是状态检测防火墙的工作原理图。由图1可知，数据包到达状态检测防火墙的接口时，会执行以下步骤：检查数据包是否是一个已经建立并且正在使用的数据流的一部分，若是，通过匹配防火墙状态表中的信息，快速传送数据包；若不是，通过三次握手建立TCP连接，防火墙通过安全策略进行判断，并将该连接的源IP地址、目的IP地址、源端口号和目的端口号等信息记入状态表。持续有属于该连接的数据请求时，直接与防火墙状态表中的信息进行匹配，方便数据快速通过。

需要注意的是：状态检测防火墙中的状态表存在失效时间问题，若在一段时间内无会话通过，该状态表的会话便会失效，数据再次请求通过时需要重新建立TCP连接。

图1 状态检测防火墙工作原理

1.2 电子邮件系统运行情况及分析

1.2.1 系统跨网络区域多防火墙的运行隐患

图2为电子邮件系统的网络架构图。图2显示，架构中存在2个不同的网络二级区域，多一道防火墙无形中就为系统增加了一道隐患，在系统业务请求数据量过大的情况下，如果出现防火墙中断，就无法获取到业务数据，会导致业务不可用的情况发生。正是由于电子邮件系统的特殊性和业务量大，此项优化显得尤为重要。

2017年就出现过由于防火墙导致系统业务不可用的情况。应用服务连接存储进行收取信件时，出现无法正常建立会话连接的情况：系统获取存储数据是通过操作系统NFS（network file sysytem）与存储之间通信的，NFS是通过网络让不同的机器之间可以彼此共享文件和目录；在数据传输过程中，NFS不会主动探测防火墙现在是否能够正常允许数据通过，只有请求到来的时候才会触发NFS请求，建立连接。

当出现数据被丢弃的情况，防火墙不会反馈给请求方，因此NFS会不断请求尝试重连，直到数据允许通过。如果NFS持续无法连接到存储，用户获取信件的请求无法响应，长时间无法连接，就会触发系统后端取信模块（MS）发生高可用切换。在实际情况下，MS取信模块服务与存储连接异常，程序主动退出（试图重启）的时候，发生了死锁故障，程序一直退出失败，资源释放不成功，程序处于僵死状态，无法完成高可用切换；在业务高峰期，进一步导致电子邮件系统前端模块瘫痪，进而无法正常收发邮件。因此，为了将防火墙的潜在隐患降到最低，需将网络区合并，尽可能减少多余的防火墙，减少不必要的外部影响。

图2 电子邮件系统网络架构图

1.2.2 电子邮件系统应用程序运行情况及分析

若防火墙存在的隐患被触发，系统后端模块由于无法请求到后端存储导致业务不可用，前面所述问题显示出来系统后端模块应用程序脆弱。因此，仍需从系统应用层面对系统架构进行优化。

电子邮件系统后端模块是通过部署REDHAT CLUSTER集群，实现HA高可用切换的，后端模块出现瓶颈时，高可用无法进行切换而僵死堵塞，对后续业务产生巨大影响。电子邮件系统的服务需求是大批量的用户请求能够无延迟地获取信件，而后端模块（MS）主要负责邮件提取。当出现异常时，业务请求量逐渐增大会导致后端模块堵塞，无法正常获取邮件；防火墙恢复后，后端堵塞现象无法立刻恢复。因此，在合并优化网络区的同时还需要将应用集群形式进行优化，防止外部情况发生时，后端应用堵塞并僵死无法正常收取信件的隐患发生。

2 优化解决方法

2.1 合并网络区

如图3所示，将两个网络二级区合并之后，现在存在2个基本的网络区域，减少了防火墙，很大程度上减少了跨网络区域多防火墙带来的隐患，为其他信息系统运行提供了有效的帮助和指导。

图3 电子邮件系统网络架构图

2.2 后端应用优化解决方法

为了缓解由于后端模块在业务高峰期出现故障时无法进行高可用切换的问题，在进行后端应用优化过程中，将取信模块（MS模块）从高可用切换模式中脱离出来，变为负载均衡模式，即如果MS出现故障，读取邮件的请求也会发送到备节点（备节点存储与主节点存储相同的信件内容），不影响信件正常收发。每个MS节点挂接一定数量的存储卷，一个存储卷只挂接在一个MS节点下面。当前的分区规则是：前端服务模块访问MS节点时，向与MS节点号对应的服务节点发送请求。每1到2个MS节点划分为一组，同一分组的MS节点挂接完全一样的存储卷，同一分组内部的所有MS节点同时提供服务。

前端模块访问MS时，根据MS分组号，通过选举算法得到MS分组内部可用MS节点列表，对照邮件关键字，按照MS节点数量进行哈希，得到对应的MS节点。

图4为后端应用优化示例图。图4中，MS节点组1内部有2个节点1_A和1_B，2个节点同时提供服务。在节点1_B恢复后，请求切换到节点1_B；节点组2内，节点通过分布式选举算法，新增加MS节点后，节点可自行加入分组内可用MS节点列表中，在节点故障后，前端请求会无缝切换到分组内其他MS节点。