亚洲一区亚洲二区亚洲三区,国产成人高清在线,久久久精品成人免费看,999久久久免费精品国产牛牛,青草视频在线观看完整版,狠狠夜色午夜久久综合热91,日韩精品视频在线免费观看

網(wǎng)包分類性能:防火墻應(yīng)用中的關(guān)鍵指標(biāo)

時間:2023-05-01 07:16:35 資料 我要投稿
  • 相關(guān)推薦

網(wǎng)包分類性能:防火墻應(yīng)用中的關(guān)鍵指標(biāo)

在防火墻的各種性能指標(biāo)中,人們一般最關(guān)注防火墻的吞吐率、平均時延以及最大新建連接速率,但在實際中,能反映復(fù)雜網(wǎng)絡(luò)環(huán)境下防火墻應(yīng)用的網(wǎng)包分類性能,對用戶來說更有價值。      網(wǎng)包分類性能   為什么重要?      網(wǎng)包分類性能是防火墻對每一個網(wǎng)流的第一個網(wǎng)包的處理能力。這一性能指標(biāo),直接反映了防火墻在處理新的網(wǎng)絡(luò)流量時的速度。這一性能低,就反映了防火墻的性能低。網(wǎng)絡(luò)管理員都知道,網(wǎng)絡(luò)上大量出現(xiàn)的都是新的網(wǎng)絡(luò)流量,而很少有現(xiàn)成的,因此,一些采用固定流量的評測方法,很難反映防火墻真實的性能。具體來說,對網(wǎng)絡(luò)上的合法流量而言,防火墻的工作原理通常是要為合法流量建立連接,并通過快速通道的精確匹配進(jìn)行高速轉(zhuǎn)發(fā),但新建連接都需要對網(wǎng)流的首包進(jìn)行分類,因此網(wǎng)包分類性能直接影響新建連接的速率; 其次,對非法流量而,防火墻的主要工作是拒絕為非法流量建立連接,所以非法流量的網(wǎng)包即使屬于同一網(wǎng)流,也需要進(jìn)行分類,網(wǎng)包分類性能反映了防火墻處理大量非法流量的能力。   因此,在現(xiàn)實應(yīng)用中,影響網(wǎng)包分類性能最大的兩個因素是: 防火墻的規(guī)則設(shè)定和網(wǎng)絡(luò)上非法流量的數(shù)量。   防火墻的主要功能除了對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā),還要按照規(guī)則對數(shù)據(jù)包進(jìn)行過濾。因此,規(guī)則的數(shù)量就會直接影響防火墻的使用性能,如果過濾一個包要查幾千條規(guī)則的話,防火墻的負(fù)擔(dān)就會很重。如果防火墻查規(guī)則的性能不高,防火墻的整體性能就會嚴(yán)重受損,會影響防火墻的新建連接速度。關(guān)于這一點,我們已經(jīng)研究了2~3年的時間,我們發(fā)現(xiàn)業(yè)界已有的大量算法并不成熟,很多防火墻聲稱可以處理多少條規(guī)則,但都是一些很簡單的規(guī)則,很容易處理。但在現(xiàn)實應(yīng)用中,防火墻規(guī)則的設(shè)定是用戶根據(jù)自己的安全策略來定的,用戶安全策略的不同造成了規(guī)則的千差萬別,也造成了規(guī)則數(shù)量的龐大,因此,真正實用的規(guī)則是很不好處理的。以前我們測過很多廠家的防火墻產(chǎn)品,不用說用了幾千條規(guī)則,就是用幾十條規(guī)則,就使很多防火墻設(shè)備陷于癱瘓狀態(tài)。這也是防火墻設(shè)備研發(fā)領(lǐng)域的關(guān)鍵技術(shù)含量所在,目前的防火墻設(shè)備,在這一點上處理得很好的并不多見,這是體現(xiàn)防火墻技術(shù)實力的一個重要指標(biāo)。   網(wǎng)絡(luò)上的非法流量同樣很多,這是網(wǎng)絡(luò)管理員很難控制的。在現(xiàn)實應(yīng)用中,非法流量一多,防火墻必須有效處理這些流量,并同時讓正常流量通過,這對防火墻的性能同樣將產(chǎn)生巨大的影響,這也是在防火墻設(shè)備出廠時,用戶很難檢測到的一個關(guān)鍵指標(biāo),必須通過第三方公開的評測才能檢測到。      網(wǎng)包分類性能比較      清華大學(xué)信息技術(shù)研究院網(wǎng)絡(luò)安全實驗室是做網(wǎng)絡(luò)安全研發(fā)的事業(yè)單位,目前正在從事的一個科研項目是國家的863項目中的高端防火墻技術(shù)研發(fā),需要考察目前市場上主流的高端防火墻設(shè)備,以此確定未來的研發(fā)方向。為此,我們選擇了目前市場上最主流的幾款電信級防火墻進(jìn)行了性能的評測。這幾款設(shè)備分別是: Juniper網(wǎng)絡(luò)公司的NetScreen5200防火墻,軟件版本為NS5000-5.0R8; Hillstone公司的SA-5050防火墻,軟件版本SA5000-1.1R1d4; Fortinet公司的Fortigate3600A防火墻,軟件版本為FortiOS3.0 build559。它們都是電信級防火墻,擁有4GB~8GB的標(biāo)稱性能。測試除了考察以往人們一般最關(guān)注的防火墻的吞吐率、平均時延以及最大新建連接速率外,還主要考察了防火墻在大規(guī)模防火墻規(guī)則――即網(wǎng)包分類規(guī)則下,對不同比例的合法、非法流量的總體處理能力。   為了測試網(wǎng)包分類性能,測試中采用了具有相同五元組――源IP、目標(biāo)IP、源端口、目標(biāo)端口、傳輸層協(xié)議的一系列網(wǎng)包作為網(wǎng)流。   測試中,被測防火墻的所有端口均配置在一個域中并分別連接到測試設(shè)備SmartBit6000C上,輸入流量選取1518字節(jié)的網(wǎng)包。   為了考察合法、非法流量對網(wǎng)包分類性能的不同影響,測試流量包括不同比例的合法流量(防火墻允許通過的流量,GOOD_TRAFIC)和非法流量(防火墻拒絕通過的流量,BAD_TRAFFIC)。   為了考察防火墻規(guī)則變化對網(wǎng)包分類性能的影響,防火墻規(guī)則分別采用兩組復(fù)雜度不同的規(guī)則。兩組規(guī)則分別來自思科公司和清華大學(xué),我們針對這些規(guī)則設(shè)計了新的結(jié)構(gòu),數(shù)量為2000條,但比普通的測試要復(fù)雜得多。第一組規(guī)則(SET1)可以從數(shù)學(xué)上簡化為8條范圍匹配的規(guī)則或24條最長前綴匹配的規(guī)則; 而第二組規(guī)則(SET2)則只能簡化為80條范圍匹配的規(guī)則或400條最長前綴匹配的規(guī)則。因此,規(guī)則SET2比規(guī)則SET1更復(fù)雜。測試中,合法流量與第1999條規(guī)則匹配,并允許通過; 非法流量與第2000條匹配,不允許通過。   這三款防火墻在吞吐率、平均時延以及最大新建連接速率上的表現(xiàn)請參看清華大學(xué)信息技術(shù)研究院網(wǎng)絡(luò)安全實驗室網(wǎng)頁(l)。需要強(qiáng)調(diào)的一點是,其網(wǎng)包分類性能上表現(xiàn)出了較大的不同: SA-5050防火墻表現(xiàn)最好,無論非法流量所占比例大小,輸入規(guī)則復(fù)雜程度提高,均保持轉(zhuǎn)發(fā)時處理能力的93%以上; NS5200防火墻性能不受規(guī)則復(fù)雜程度影響,但當(dāng)非法流量達(dá)到80%時,其整體處理能力下降到30%; FG3600A防火墻的性能隨規(guī)則復(fù)雜程度增加及非法流量所占比例增大而下降明顯。

【網(wǎng)包分類性能:防火墻應(yīng)用中的關(guān)鍵指標(biāo)】相關(guān)文章:

儀表板關(guān)鍵部件人機(jī)性能要求及應(yīng)用04-27

低溫多效海水淡化關(guān)鍵能耗指標(biāo)的選取及應(yīng)用04-30

鉆(沖)孔灌注樁泥漿性能指標(biāo)及應(yīng)用04-28

淺談粉煤灰在高性能混凝土中的應(yīng)用05-02

生物技術(shù)在昆蟲分類中的應(yīng)用04-27

可拓分類方法及其在流動單元分類中的應(yīng)用04-30

GPS在測量控制網(wǎng)中的應(yīng)用04-28

著色Petri網(wǎng)在UML建模中的應(yīng)用04-29

特立克-利奇方法在指標(biāo)趨勢預(yù)測中的應(yīng)用04-28

高性能混凝土在建筑工程中的實際應(yīng)用04-27