網(wǎng)包分類(lèi)性能:防火墻應(yīng)用中的關(guān)鍵指標(biāo)

在防火墻的各種性能指標(biāo)中，人們一般最關(guān)注防火墻的吞吐率、平均時(shí)延以及最大新建連接速率，但在實(shí)際中，能反映復(fù)雜網(wǎng)絡(luò)環(huán)境下防火墻應(yīng)用的網(wǎng)包分類(lèi)性能，對(duì)用戶(hù)來(lái)說(shuō)更有價(jià)值。 　　 　　網(wǎng)包分類(lèi)性能 　　為什么重要？ 　　 　　網(wǎng)包分類(lèi)性能是防火墻對(duì)每一個(gè)網(wǎng)流的第一個(gè)網(wǎng)包的處理能力。這一性能指標(biāo)，直接反映了防火墻在處理新的網(wǎng)絡(luò)流量時(shí)的速度。這一性能低，就反映了防火墻的性能低。網(wǎng)絡(luò)管理員都知道，網(wǎng)絡(luò)上大量出現(xiàn)的都是新的網(wǎng)絡(luò)流量，而很少有現(xiàn)成的，因此，一些采用固定流量的評(píng)測(cè)方法，很難反映防火墻真實(shí)的性能。具體來(lái)說(shuō)，對(duì)網(wǎng)絡(luò)上的合法流量而言，防火墻的工作原理通常是要為合法流量建立連接，并通過(guò)快速通道的精確匹配進(jìn)行高速轉(zhuǎn)發(fā)，但新建連接都需要對(duì)網(wǎng)流的首包進(jìn)行分類(lèi)，因此網(wǎng)包分類(lèi)性能直接影響新建連接的速率; 其次，對(duì)非法流量而，防火墻的主要工作是拒絕為非法流量建立連接，所以非法流量的網(wǎng)包即使屬于同一網(wǎng)流，也需要進(jìn)行分類(lèi)，網(wǎng)包分類(lèi)性能反映了防火墻處理大量非法流量的能力。 　　因此，在現(xiàn)實(shí)應(yīng)用中，影響網(wǎng)包分類(lèi)性能最大的兩個(gè)因素是: 防火墻的規(guī)則設(shè)定和網(wǎng)絡(luò)上非法流量的數(shù)量。 　　防火墻的主要功能除了對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，還要按照規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。因此，規(guī)則的數(shù)量就會(huì)直接影響防火墻的使用性能，如果過(guò)濾一個(gè)包要查幾千條規(guī)則的話(huà)，防火墻的負(fù)擔(dān)就會(huì)很重。如果防火墻查規(guī)則的性能不高，防火墻的整體性能就會(huì)嚴(yán)重受損，會(huì)影響防火墻的新建連接速度。關(guān)于這一點(diǎn)，我們已經(jīng)研究了2～3年的時(shí)間，我們發(fā)現(xiàn)業(yè)界已有的大量算法并不成熟，很多防火墻聲稱(chēng)可以處理多少條規(guī)則，但都是一些很簡(jiǎn)單的規(guī)則，很容易處理。但在現(xiàn)實(shí)應(yīng)用中，防火墻規(guī)則的設(shè)定是用戶(hù)根據(jù)自己的安全策略來(lái)定的，用戶(hù)安全策略的不同造成了規(guī)則的千差萬(wàn)別，也造成了規(guī)則數(shù)量的龐大，因此，真正實(shí)用的規(guī)則是很不好處理的。以前我們測(cè)過(guò)很多廠家的防火墻產(chǎn)品，不用說(shuō)用了幾千條規(guī)則，就是用幾十條規(guī)則，就使很多防火墻設(shè)備陷于癱瘓狀態(tài)。這也是防火墻設(shè)備研發(fā)領(lǐng)域的關(guān)鍵技術(shù)含量所在，目前的防火墻設(shè)備，在這一點(diǎn)上處理得很好的并不多見(jiàn)，這是體現(xiàn)防火墻技術(shù)實(shí)力的一個(gè)重要指標(biāo)。 　　網(wǎng)絡(luò)上的非法流量同樣很多，這是網(wǎng)絡(luò)管理員很難控制的。在現(xiàn)實(shí)應(yīng)用中，非法流量一多，防火墻必須有效處理這些流量，并同時(shí)讓正常流量通過(guò)，這對(duì)防火墻的性能同樣將產(chǎn)生巨大的影響，這也是在防火墻設(shè)備出廠時(shí)，用戶(hù)很難檢測(cè)到的一個(gè)關(guān)鍵指標(biāo)，必須通過(guò)第三方公開(kāi)的評(píng)測(cè)才能檢測(cè)到。 　　 　　網(wǎng)包分類(lèi)性能比較 　　 　　清華大學(xué)信息技術(shù)研究院網(wǎng)絡(luò)安全實(shí)驗(yàn)室是做網(wǎng)絡(luò)安全研發(fā)的事業(yè)單位，目前正在從事的一個(gè)科研項(xiàng)目是國(guó)家的863項(xiàng)目中的高端防火墻技術(shù)研發(fā)，需要考察目前市場(chǎng)上主流的高端防火墻設(shè)備，以此確定未來(lái)的研發(fā)方向。為此，我們選擇了目前市場(chǎng)上最主流的幾款電信級(jí)防火墻進(jìn)行了性能的評(píng)測(cè)。這幾款設(shè)備分別是: Juniper網(wǎng)絡(luò)公司的NetScreen5200防火墻，軟件版本為NS5000-5.0R8; Hillstone公司的SA-5050防火墻，軟件版本SA5000-1.1R1d4; Fortinet公司的Fortigate3600A防火墻，軟件版本為FortiOS3.0 build559。它們都是電信級(jí)防火墻，擁有4GB～8GB的標(biāo)稱(chēng)性能。測(cè)試除了考察以往人們一般最關(guān)注的防火墻的吞吐率、平均時(shí)延以及最大新建連接速率外，還主要考察了防火墻在大規(guī)模防火墻規(guī)則――即網(wǎng)包分類(lèi)規(guī)則下，對(duì)不同比例的合法、非法流量的總體處理能力。 　　為了測(cè)試網(wǎng)包分類(lèi)性能，測(cè)試中采用了具有相同五元組――源IP、目標(biāo)IP、源端口、目標(biāo)端口、傳輸層協(xié)議的一系列網(wǎng)包作為網(wǎng)流。 　　測(cè)試中，被測(cè)防火墻的所有端口均配置在一個(gè)域中并分別連接到測(cè)試設(shè)備SmartBit6000C上，輸入流量選取1518字節(jié)的網(wǎng)包。 　　為了考察合法、非法流量對(duì)網(wǎng)包分類(lèi)性能的不同影響，測(cè)試流量包括不同比例的合法流量（防火墻允許通過(guò)的流量,GOOD_TRAFIC）和非法流量（防火墻拒絕通過(guò)的流量,BAD_TRAFFIC）。 　　為了考察防火墻規(guī)則變化對(duì)網(wǎng)包分類(lèi)性能的影響，防火墻規(guī)則分別采用兩組復(fù)雜度不同的規(guī)則。兩組規(guī)則分別來(lái)自思科公司和清華大學(xué)，我們針對(duì)這些規(guī)則設(shè)計(jì)了新的結(jié)構(gòu)，數(shù)量為2000條，但比普通的測(cè)試要復(fù)雜得多。第一組規(guī)則（SET1）可以從數(shù)學(xué)上簡(jiǎn)化為8條范圍匹配的規(guī)則或24條最長(zhǎng)前綴匹配的規(guī)則; 而第二組規(guī)則（SET2）則只能簡(jiǎn)化為80條范圍匹配的規(guī)則或400條最長(zhǎng)前綴匹配的規(guī)則。因此，規(guī)則SET2比規(guī)則SET1更復(fù)雜。測(cè)試中，合法流量與第1999條規(guī)則匹配，并允許通過(guò); 非法流量與第2000條匹配，不允許通過(guò)。 　　這三款防火墻在吞吐率、平均時(shí)延以及最大新建連接速率上的表現(xiàn)請(qǐng)參看清華大學(xué)信息技術(shù)研究院網(wǎng)絡(luò)安全實(shí)驗(yàn)室網(wǎng)頁(yè)(l)。需要強(qiáng)調(diào)的一點(diǎn)是，其網(wǎng)包分類(lèi)性能上表現(xiàn)出了較大的不同: SA-5050防火墻表現(xiàn)最好，無(wú)論非法流量所占比例大小，輸入規(guī)則復(fù)雜程度提高，均保持轉(zhuǎn)發(fā)時(shí)處理能力的93%以上; NS5200防火墻性能不受規(guī)則復(fù)雜程度影響，但當(dāng)非法流量達(dá)到80%時(shí)，其整體處理能力下降到30%; FG3600A防火墻的性能隨規(guī)則復(fù)雜程度增加及非法流量所占比例增大而下降明顯。

【網(wǎng)包分類(lèi)性能:防火墻應(yīng)用中的關(guān)鍵指標(biāo)】相關(guān)文章：

儀表板關(guān)鍵部件人機(jī)性能要求及應(yīng)用04-27

低溫多效海水淡化關(guān)鍵能耗指標(biāo)的選取及應(yīng)用04-30

鉆(沖)孔灌注樁泥漿性能指標(biāo)及應(yīng)用04-28

淺談粉煤灰在高性能混凝土中的應(yīng)用05-02

生物技術(shù)在昆蟲(chóng)分類(lèi)中的應(yīng)用04-27

可拓分類(lèi)方法及其在流動(dòng)單元分類(lèi)中的應(yīng)用04-30

GPS在測(cè)量控制網(wǎng)中的應(yīng)用04-28

著色Petri網(wǎng)在UML建模中的應(yīng)用04-29

特立克-利奇方法在指標(biāo)趨勢(shì)預(yù)測(cè)中的應(yīng)用04-28

高性能混凝土在建筑工程中的實(shí)際應(yīng)用04-27