網(wǎng)包分類性能:防火墻應(yīng)用中的關(guān)鍵指標(biāo)

在防火墻的各種性能指標(biāo)中，人們一般最關(guān)注防火墻的吞吐率、平均時延以及最大新建連接速率，但在實際中，能反映復(fù)雜網(wǎng)絡(luò)環(huán)境下防火墻應(yīng)用的網(wǎng)包分類性能，對用戶來說更有價值。 　　 　　網(wǎng)包分類性能 　　為什么重要？ 　　 　　網(wǎng)包分類性能是防火墻對每一個網(wǎng)流的第一個網(wǎng)包的處理能力。這一性能指標(biāo)，直接反映了防火墻在處理新的網(wǎng)絡(luò)流量時的速度。這一性能低，就反映了防火墻的性能低。網(wǎng)絡(luò)管理員都知道，網(wǎng)絡(luò)上大量出現(xiàn)的都是新的網(wǎng)絡(luò)流量，而很少有現(xiàn)成的，因此，一些采用固定流量的評測方法，很難反映防火墻真實的性能。具體來說，對網(wǎng)絡(luò)上的合法流量而言，防火墻的工作原理通常是要為合法流量建立連接，并通過快速通道的精確匹配進(jìn)行高速轉(zhuǎn)發(fā)，但新建連接都需要對網(wǎng)流的首包進(jìn)行分類，因此網(wǎng)包分類性能直接影響新建連接的速率; 其次，對非法流量而，防火墻的主要工作是拒絕為非法流量建立連接，所以非法流量的網(wǎng)包即使屬于同一網(wǎng)流，也需要進(jìn)行分類，網(wǎng)包分類性能反映了防火墻處理大量非法流量的能力。 　　因此，在現(xiàn)實應(yīng)用中，影響網(wǎng)包分類性能最大的兩個因素是: 防火墻的規(guī)則設(shè)定和網(wǎng)絡(luò)上非法流量的數(shù)量。 　　防火墻的主要功能除了對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，還要按照規(guī)則對數(shù)據(jù)包進(jìn)行過濾。因此，規(guī)則的數(shù)量就會直接影響防火墻的使用性能，如果過濾一個包要查幾千條規(guī)則的話，防火墻的負(fù)擔(dān)就會很重。如果防火墻查規(guī)則的性能不高，防火墻的整體性能就會嚴(yán)重受損，會影響防火墻的新建連接速度。關(guān)于這一點(diǎn)，我們已經(jīng)研究了2～3年的時間，我們發(fā)現(xiàn)業(yè)界已有的大量算法并不成熟，很多防火墻聲稱可以處理多少條規(guī)則，但都是一些很簡單的規(guī)則，很容易處理。但在現(xiàn)實應(yīng)用中，防火墻規(guī)則的設(shè)定是用戶根據(jù)自己的安全策略來定的，用戶安全策略的不同造成了規(guī)則的千差萬別，也造成了規(guī)則數(shù)量的龐大，因此，真正實用的規(guī)則是很不好處理的。以前我們測過很多廠家的防火墻產(chǎn)品，不用說用了幾千條規(guī)則，就是用幾十條規(guī)則，就使很多防火墻設(shè)備陷于癱瘓狀態(tài)。這也是防火墻設(shè)備研發(fā)領(lǐng)域的關(guān)鍵技術(shù)含量所在，目前的防火墻設(shè)備，在這一點(diǎn)上處理得很好的并不多見，這是體現(xiàn)防火墻技術(shù)實力的一個重要指標(biāo)。 　　網(wǎng)絡(luò)上的非法流量同樣很多，這是網(wǎng)絡(luò)管理員很難控制的。在現(xiàn)實應(yīng)用中，非法流量一多，防火墻必須有效處理這些流量，并同時讓正常流量通過，這對防火墻的性能同樣將產(chǎn)生巨大的影響，這也是在防火墻設(shè)備出廠時，用戶很難檢測到的一個關(guān)鍵指標(biāo)，必須通過第三方公開的評測才能檢測到。 　　 　　網(wǎng)包分類性能比較 　　 　　清華大學(xué)信息技術(shù)研究院網(wǎng)絡(luò)安全實驗室是做網(wǎng)絡(luò)安全研發(fā)的事業(yè)單位，目前正在從事的一個科研項目是國家的863項目中的高端防火墻技術(shù)研發(fā)，需要考察目前市場上主流的高端防火墻設(shè)備，以此確定未來的研發(fā)方向。為此，我們選擇了目前市場上最主流的幾款電信級防火墻進(jìn)行了性能的評測。這幾款設(shè)備分別是: Juniper網(wǎng)絡(luò)公司的NetScreen5200防火墻，軟件版本為NS5000-5.0R8; Hillstone公司的SA-5050防火墻，軟件版本SA5000-1.1R1d4; Fortinet公司的Fortigate3600A防火墻，軟件版本為FortiOS3.0 build559。它們都是電信級防火墻，擁有4GB～8GB的標(biāo)稱性能。測試除了考察以往人們一般最關(guān)注的防火墻的吞吐率、平均時延以及最大新建連接速率外，還主要考察了防火墻在大規(guī)模防火墻規(guī)則――即網(wǎng)包分類規(guī)則下，對不同比例的合法、非法流量的總體處理能力。 　　為了測試網(wǎng)包分類性能，測試中采用了具有相同五元組――源IP、目標(biāo)IP、源端口、目標(biāo)端口、傳輸層協(xié)議的一系列網(wǎng)包作為網(wǎng)流。 　　測試中，被測防火墻的所有端口均配置在一個域中并分別連接到測試設(shè)備SmartBit6000C上，輸入流量選取1518字節(jié)的網(wǎng)包。 　　為了考察合法、非法流量對網(wǎng)包分類性能的不同影響，測試流量包括不同比例的合法流量（防火墻允許通過的流量,GOOD_TRAFIC）和非法流量（防火墻拒絕通過的流量,BAD_TRAFFIC）。 　　為了考察防火墻規(guī)則變化對網(wǎng)包分類性能的影響，防火墻規(guī)則分別采用兩組復(fù)雜度不同的規(guī)則。兩組規(guī)則分別來自思科公司和清華大學(xué)，我們針對這些規(guī)則設(shè)計了新的結(jié)構(gòu)，數(shù)量為2000條，但比普通的測試要復(fù)雜得多。第一組規(guī)則（SET1）可以從數(shù)學(xué)上簡化為8條范圍匹配的規(guī)則或24條最長前綴匹配的規(guī)則; 而第二組規(guī)則（SET2）則只能簡化為80條范圍匹配的規(guī)則或400條最長前綴匹配的規(guī)則。因此，規(guī)則SET2比規(guī)則SET1更復(fù)雜。測試中，合法流量與第1999條規(guī)則匹配，并允許通過; 非法流量與第2000條匹配，不允許通過。 　　這三款防火墻在吞吐率、平均時延以及最大新建連接速率上的表現(xiàn)請參看清華大學(xué)信息技術(shù)研究院網(wǎng)絡(luò)安全實驗室網(wǎng)頁(l)。需要強(qiáng)調(diào)的一點(diǎn)是，其網(wǎng)包分類性能上表現(xiàn)出了較大的不同: SA-5050防火墻表現(xiàn)最好，無論非法流量所占比例大小，輸入規(guī)則復(fù)雜程度提高，均保持轉(zhuǎn)發(fā)時處理能力的93%以上; NS5200防火墻性能不受規(guī)則復(fù)雜程度影響，但當(dāng)非法流量達(dá)到80%時，其整體處理能力下降到30%; FG3600A防火墻的性能隨規(guī)則復(fù)雜程度增加及非法流量所占比例增大而下降明顯。

【網(wǎng)包分類性能:防火墻應(yīng)用中的關(guān)鍵指標(biāo)】相關(guān)文章：

儀表板關(guān)鍵部件人機(jī)性能要求及應(yīng)用04-27

低溫多效海水淡化關(guān)鍵能耗指標(biāo)的選取及應(yīng)用04-30

鉆(沖)孔灌注樁泥漿性能指標(biāo)及應(yīng)用04-28

淺談粉煤灰在高性能混凝土中的應(yīng)用05-02

生物技術(shù)在昆蟲分類中的應(yīng)用04-27

可拓分類方法及其在流動單元分類中的應(yīng)用04-30

GPS在測量控制網(wǎng)中的應(yīng)用04-28

著色Petri網(wǎng)在UML建模中的應(yīng)用04-29

特立克-利奇方法在指標(biāo)趨勢預(yù)測中的應(yīng)用04-28

高性能混凝土在建筑工程中的實際應(yīng)用04-27