实现Linux防火墙系统双机热备的方法第34卷(2006)第3期计算机与数字工程77实现Linux防火墙系统双机热备的方法李胜广张其善(北京航空航天大学电子信息工程学院北京100083)摘要:防火墙是位于网络边界防范网络攻击的屏障,是与不可信网络进行联络的唯一纽带.防火墙系统的可靠性直接关系着整个受保护网络的可用性,所以必须利用相关技术为它提供数据通道的冗余.利用开源的高可用集群软件Heart—beat或者UCARP软件可以实现防火墙系统的双机热备,提供多节点冗余.关键词:双机热备心跳防火墙高可用性中图分类号:I1】393.o8 UsingHeartbeattoImplementtheHotStandbyTechniqueonFirewallSystem LiShmggum~zlmgOslm (SchoolofElectronicandInformationEngineering,BeihangUniversity,Beijing100083) A;bt:Firewallisft.barrieratthenetworkbordertop~ventnetworkattacks,andistheonlylinkt Ounauthenticnetwork.Because thereliabilityofFirewallsysteminfluencestileabilityofthewh0leprotectednetwork,sonlete dmologiesshouldbegiventoprovidethere—dundancyofdatachannels.Onemethodisusinghighavailabilitytool—Heartbeattosetupahotstandbysystem.Keywords:HotStandby,Heartbeat,Firewall,HighAvailabilityaa鹤number:I93.O81引言越来越多的局域网通过各种方式接人国际互联网.安全.1生问题越来越受到重视.防火墙技术是实现网络安全的一个重要组成部分,它根据用户的安全策略监控网络信息的存取和传递,对网络数据包进行过滤,保护内部网的安全.但是防火墙也正是整个网络最薄弱环节,如果防火墙被黑客攻击当机,会给用户带来极大的不便或者损失,所以必须使得防火墙具有双机及多机热备份能力,降低单节点防火墙的当机危险性.Linux—HA高可用项目开始于1998年,主要开发开放源码的集群软件,该项目提供的软件包称为Heartbeat.利用iptables和Heartbeat打造一个安全,高可用,廉价的双机热备防火墙系统是非常方便高效的.通常使用VRRP(VirtualRouterRedundancyPro, tocol虚拟路由器冗余协议)来实现路由器的双机冗余,但是它是有版权的,所以OpenBSD开发了开放协议CARP(CommonAddressRedundancyProtocol 收到本文时间:2005年6月6日通用地址冗余协议),而UCARP(UserlandCARP)协图1防火墙系统结构图议则是CARP的Linux版本.WwfirW.11.网站提供开放源码同名软件.本文分别给出了利用Heartbeat软件和Ucarp软件实现两种双机热备的方法,并且给出了具体的实现.这两种方法稍加修改即可用于其他需要提供节点冗余的服务器应用,比如web服务器,邮件服务器等,提高系统的可用性.2双机热备原理双机热备实现的关键是两台工作机之间能够发送某种类型的信号,以表明自己的工作状态,这78实现LintLx防火墙系统双机热备的方法第34卷种信号通常称为"心跳信号".心跳信号可以通过串行线或以太网监控节点的运行状况.每个节点运行一个守护程序进程.作为Linux2.4内核下的新一代防火墙,Netfilter比以前任何一版Linux内核的防火墙子系统都要完善强大,iptables是Netfiher框架下的用户层工具,主要进行防火墙规则的制定和状态的查看.下面分别利用Hearbeat和Ucarp实现两台防火墙机的双机热备,其中里面的防火墙服务就是利用ipta—bles配置规则的服务.3利用Heartbeat实现双机热备Heartbeat软件原理:主守护进程派生出读和写每个心跳介质的子进程,以及状态进程.当检测到某个节点发生故障时,Heartbeat运行shell脚本来启动或停止辅助节点上的服务.并接管地址,继续维持整个网络连接的连续性.利用Heartbeat处理防火墙服务,从而提高防火墙系统的可用性.3.1Heartbeat安装和配置首先,因为本文防火墙系统使用的操作系统是RedHat9.0,所以直接用相应版本的rpm包来安装.从网站h~:/download/heartbeat/1.0.4/rodhat一9/下载heartbeat一1.0.4版本的rpm安装包和支持包,主要安装软件包有以下4个:heartbeat一1.0.4—2.rh.9.i386.rpmheart.at—ldirectord一1.0.4—2.rh.9.i386.rlml heartbeat—Pds一1.0.4—2.rh.9.i386.rpm heartbeat—stonith一1.0.4—2.rh.9.i386.rpm主要软件包还需依赖下面的支持包:ipvsadm-1.21—1.rh.9.um.1.i386.rpmlibnet一1.1.0-1.rh.9.Bm.1.i386.rpmped—Authen—SASL-2.03—1.rh.9.u/n.1.noareh.rpm ped—Convert—ASN1—0.16—2.rh.9.uin.1.noareh.rpm ped—10一Socket—SSL一0.92—1.rh.9.u/n.1.noarch.rpm ped—ldap一0.2701—1.rh.9.u/n.1.noarch.rpmpea—Mall—IⅣLPClient一2.2.7—1.rh.9.uln.1.noarch.rpm ped—Net—SSLeay一1.23—1.rh.9.uln.1.i386.rpm ped—XML—NamespaeeSupport一1.08—1.rl1.9.BIB.1.noarch. rpm'perl—XML—SAX一0.12—1.rh.9.u/n.1.noa.reh.rpm顺序安装完毕后,在/etc/init.d目录中,将有一个名为heartbeat的服务脚本.该脚本应该用于启动,停止,重新启动或检查heartbeat的状态.该脚本的语法如下:heartbeat}startIstopIstatusIrestartt在启动heartbeat之前,必须创建三个配置文件并将它们放在/etc/ha.d目录中.这三个配置文件是:ha.d主要配置文件haresources资源配置文件authkeys认证信息文件下面是对ha.cf的相关解释:nodefirewall—Mnodefirewall—S该参数告诉heartheat使用哪些主机.节点名的正确性是非常重要的.节点名应与命令uname—n所显示的名称一致.keePalivel该参数指定两次heartbeat之问的秒数.deadtime5该参数指定等待声明主机死机的时问.heartbeat将在节点停止响应5秒之后启动故障转移.initdead60该参数指定heartbeat首次启动时deadtime应该为多久.因为当heartbeat在引导时启动时,还需要给网络启动留出时间,所以这个时间要设得长一些.udpport694该参数指定heartbeat发送UDP包时所使用的端口. napeth2该参数指定在哪个接口上发送heartbeat.serial/dev/ttySO该参数指定在心跳线接在哪一个串口上.baud19200该参数串口通讯的波特率.hRresol1.~文件解释:fimw~l172.16.1.254192.168.1.254BH一一Shell}?aesou瞅文件中该行的语法是: node—nBllleresotmeelresotmee2…resoureeN.在本方案中,节点名是fimw~一M,这指定fire—wall—M节点是主节点.只要右rewau—M是活动的,它就将控制在该配置文件中指定的任一资源.参数172.16.1.254,192.168.1.254表示防火墙对内网和外网的地址,脚本BH一一Shell启动或者停止防火墙.当IP地址被指定为群集资源时.heartbeat提供节点之间的IP地址接管.不能在haresources中指定的任何II)地址配置为任一节点上任何适配器的IP地址.当启动Heartbeat应用程序时,它将故障转移IP地址分配给适当的节点.对外部网和对内部网,防火墙始终有相同的II)地址.最后一个Heartbeat配置文件是authkeys.该配置文件用于确定将在节点之间使用什么类型的认证和认证密钥.Heartbeat认证算法有三种:cre,md5和shal,加密强度依次增高.authkeys文件的格式是:auth<number><nt~nber><authenticationmethod>[<authkey>] 然后将其权限没为600,以提高安全性.第34卷(2o06)第3期计算机与数字工程79chmod60oauthkeys3.2创建防火墙服务和测试haresources文件中指定BH一一Shell为¨n.ux防火墙服务,在/etc/init.d中创建防火墙服务脚本BH一一Shell,然后将其链接~lJ/etc/ha.d/re—source.dEt录中.利用iptables编写防火墙脚本可以参考iptables的man手册或者iptables—Howto.本文的BH一硎一Shell脚本代码如下:#!/bin/sh##scriptofBH一}w—SHELL#TostartFirewallService#Author:LiSheng—guang#Date:2004~7—20群./etc/init.d/functlonsease"当1"instart)启动防火墙脚本/mot/firewallstart echo—n"firewallstartdone"Stleeess#不换行显示echo;;stop)#停止防火墙脚本/mot/firewall—endecho—n''tirewallenddone"SUCCeSSecho;;restartIreload)#重新执行防火墙脚本$Ostop#先停止服务$Ostart#重新启动echo—n''firewallrestartdone''言UCCeSSecho;;status)#显示状态iptables—n—LJgmp'C}minFORWARD'>/tmp/fw—ImpreadISDROP</Imp/fw—unp1"111一f/tmp/fw—Imp#利用策略是否DROP判断防火墙状态case"$ISDRoP"in"ChainFORWARD(policyDROP)") echo"FirewaUisnmnlng.'';;*)#防火墙没有运行echo"Firewallisnotnmnlng.''exit0esac;;*)#参数错误时显示echo"Usage:$O{stm-tlstoplstatus}}".exit1esac#{}#end#替替启动heartbeat服务后,进行系统切换测试.用一台客户机ping外网服务器,当主机故意关机,或者停掉主机的heartbeat服务时,备用机切换到工作状态,客户端与外网的ping操作中断5秒,然后网络恢复通畅.并且在备用机上查看进程和iptables规则都正常.这说明heartbeat服务已经起到双机热备的作用.4利用UCARP软件实现双机热备4.1基于策略的路由原理目前在计算机网络中使用的传统路由算法都是根据IP包目的地址进行路由选择.然而在现实应用中经常有这样的需求:进行路由选择时不仅仅根据数据报的目的地址,而且根据数据报的其他一些特性如:源地址,IP协议,传输层端口,甚至是数据包的负载部分内容,这种类型的路由选择被称作基于策略的路由.在Linux中,从2.1版本的内核开始就实现了对基于策略的路由的支持,它是通过使用路由策略数据库(RPDB,mutingpolicydatabase)替代传统的,基于目的地址的路由表来实现的.RPDB通过包含的一些规则来选定合适的路由.这些规则可能会包含很多各种不同类型的健值(key),因此这些规则没有默认的特定次序,规则查找次序或规则优先级都是由网络或系统管理员设定的.Linux的RPDB是一个由数字优先级值进行排序的线性规则列表.RPDB能匹配数据报源地址,目的地址,TOS,进入接和fwmark值等.每个路由策略规则由一个选择器和一个动作指示组成.RPDB按照优先级递增的顺序被扫描,RPDB包含的每条规则的选择器被应用于数据报的源地址,目的地址,进入接口,TOS和fwmark值.若数据报匹配该规则对应于该规则的动作被执行.若动作成功返回,则规则输出将是一个有效的路由或是路由查找失败指示; 否则查找RPDB的下一条规则.Linux提供ip工具来实现所有的功能,该工具在/sbin中.例如:/sbin/ ipaddradd192.168.0.2.54/~devethO该命令将添加II)地址192.168.0.254/~到eth0网卡上.更详细的使用说明可以参见ip的man手册.Ucarp软件就利用Linux的ip工具来完成虚拟路由的启动和管理.4.2Ucarp安装与配置安装和配置Ucarp可以分成以下八步:(1)在hnp://E下载Ucarp的软件压缩包Ucarp—1.1.far.gz(2)将其解压~/usr/local/下,具体命令:80实现Linux防火墙系统双机热备的方法第34卷gzip—ducarp一1.1.tar.gztar—vxfucarp一1.1.tar或者tarzxvfucarp一1.1.tar.gz(3)进入/usr/local/目录,执行./configure(4)makeinstall—strip,这样软件已经被安装~1]/usr/local/sbin,可以利用ucarp—h查看帮助(5)确定网络结构和虚拟IP地址(6)在/etc目录下编辑启动虚拟IP地址的脚本文件vip—up.sh和关闭虚拟IP地址的脚本文件rip—down.sh一一一一一一一一一一一vip—up.sh一一一一一一一一一撑!/rsh/sbin/ipaddradd192.168.0.254,/24deveth0/sbin/ipaddradd172.16.0.254,/24devethl/sbin/ipmuteadddefaultvia192.168.0.2一一一一一一一一一vip—down.sh一~一一一一一一一撑!/birsh/sbin/ipaddrdel192.168.0.254/24deveth0/sbin/ipaddrdel172.16.0.254/24devethl/sbin/ipmutedeldefadtvia192.168.O.2并且将这两个脚本文件属性设置成可执行程序. chnlod+x/ere/,rip—up.sh/etc/vlp—down.sh(7)编写ucarp脚本命令/root/myucarp#!/bin/sh/usr/local/sbin/ucarp—iethl—s172.16.1.254一v1一P lisg—a172.16.0.254一u/etc/vip一叩.sl1一d/ete/vip—down.sh& echo"UCSl'ptanningOK"(8)改写/etc/rc.1ocal脚本文件,添~H/root/myamarp执行语句,使ucarp一开机就运行.touch/var/lock/subsys/localecho1'>/prec/sys/net/ipv4/ip—forward/sbin/modprobeipt—MASQUERADE/sbin/iptables—tnat—APOSTROUTING—s172.16.0.0/24 一jMASQUERADE/root/myuearp当主机网络服务停止或者死机时,从机的u.CARP接收不到主机的心跳广播信号,此时从机启动虚拟IP地址服务,将工作状态转换成主机,使防火墙机工作持续进行.4.3Ucarp使用测试在使用Ucarp的过程中,作者碰到这样的故障并且给出了解决方法,以飨读者解决同样类似的问题.(1)故障:FW1和2切换不正常,都显示为Master机.原因:FW2的vip—ip脚本有错误,eth0的realip没有配置正确(2)故障:按默认规则运行UCARP,FW1和FW2切换正常,则主机可以ping通私有网络的机子,但是私网中客户无法ping通主机的外网卡.原因:主机缺少内网卡对外网卡的路由:ip routeadddefauhvia192.168.0.2(3)故障:当主机切换时,私网内客户机开始ping不通主机,但是如果主机ping一次客户机,则客户机就能ping通主机的任何网卡.原因:因为客户机原来是通过Hub和一台主机连接,当主机出现故障时切换到从机时,客户依然连接的是原来的主机.而当新主机主动ping客户机后,客户机才能和新主机建立新的线路连接. 解决方法:将外网卡绑定改成内网卡绑定,问题解决.5结束语日益严重的网络安全促使防火墙技术不断发展.提供安全性的防火墙技术再辅以高可用性的双机热备功能,使得整个系统的可靠性很大提高, 更加适用于关键业务.本文的方法不仅适用于防火墙,同样也适用于其他需要提供多节点冗余的Linux服务器应用.双机热备技术均已应用于实际工程中,运行良好.参考文献[1]gh—AvailabilityLinuxProject.hnp://www.1inux—ha.org/[EB/OL]2(}04.10.[2jSericolaB.Dependabilityanalysisofrepairablecomputersys- ternsandstationarydetection[J].IEEETransactionsonCorn. puters,1999,48(11):1166—1172[3]KeithE.Strassberg等着,李昂等译.防火墙技术大全[M],北京:机械工业出版社,2003.3[4]谢斌,高扬.Linux高可用集群心跳机制研究[J].计算机工程与应用,21)04,1:6567[5]Networkfailoverstrategies,http://www.1inux—ha.ors/ failover/[EB/OL].2004.10[6]UCARP—CommonAddressRedundancyProtocol,hnp:// www.ucarp.ors/2004.10。
