- 相關(guān)推薦
網(wǎng)包分類性能:防火墻應(yīng)用中的關(guān)鍵指標(biāo)
在防火墻的各種性能指標(biāo)中,人們一般最關(guān)注防火墻的吞吐率、平均時(shí)延以及最大新建連接速率,但在實(shí)際中,能反映復(fù)雜網(wǎng)絡(luò)環(huán)境下防火墻應(yīng)用的網(wǎng)包分類性能,對(duì)用戶來(lái)說(shuō)更有價(jià)值。 網(wǎng)包分類性能 為什么重要? 網(wǎng)包分類性能是防火墻對(duì)每一個(gè)網(wǎng)流的第一個(gè)網(wǎng)包的處理能力。這一性能指標(biāo),直接反映了防火墻在處理新的網(wǎng)絡(luò)流量時(shí)的速度。這一性能低,就反映了防火墻的性能低。網(wǎng)絡(luò)管理員都知道,網(wǎng)絡(luò)上大量出現(xiàn)的都是新的網(wǎng)絡(luò)流量,而很少有現(xiàn)成的,因此,一些采用固定流量的評(píng)測(cè)方法,很難反映防火墻真實(shí)的性能。具體來(lái)說(shuō),對(duì)網(wǎng)絡(luò)上的合法流量而言,防火墻的工作原理通常是要為合法流量建立連接,并通過快速通道的精確匹配進(jìn)行高速轉(zhuǎn)發(fā),但新建連接都需要對(duì)網(wǎng)流的首包進(jìn)行分類,因此網(wǎng)包分類性能直接影響新建連接的速率; 其次,對(duì)非法流量而,防火墻的主要工作是拒絕為非法流量建立連接,所以非法流量的網(wǎng)包即使屬于同一網(wǎng)流,也需要進(jìn)行分類,網(wǎng)包分類性能反映了防火墻處理大量非法流量的能力。 因此,在現(xiàn)實(shí)應(yīng)用中,影響網(wǎng)包分類性能最大的兩個(gè)因素是: 防火墻的規(guī)則設(shè)定和網(wǎng)絡(luò)上非法流量的數(shù)量。 防火墻的主要功能除了對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā),還要按照規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過濾。因此,規(guī)則的數(shù)量就會(huì)直接影響防火墻的使用性能,如果過濾一個(gè)包要查幾千條規(guī)則的話,防火墻的負(fù)擔(dān)就會(huì)很重。如果防火墻查規(guī)則的性能不高,防火墻的整體性能就會(huì)嚴(yán)重受損,會(huì)影響防火墻的新建連接速度。關(guān)于這一點(diǎn),我們已經(jīng)研究了2~3年的時(shí)間,我們發(fā)現(xiàn)業(yè)界已有的大量算法并不成熟,很多防火墻聲稱可以處理多少條規(guī)則,但都是一些很簡(jiǎn)單的規(guī)則,很容易處理。但在現(xiàn)實(shí)應(yīng)用中,防火墻規(guī)則的設(shè)定是用戶根據(jù)自己的安全策略來(lái)定的,用戶安全策略的不同造成了規(guī)則的千差萬(wàn)別,也造成了規(guī)則數(shù)量的龐大,因此,真正實(shí)用的規(guī)則是很不好處理的。以前我們測(cè)過很多廠家的防火墻產(chǎn)品,不用說(shuō)用了幾千條規(guī)則,就是用幾十條規(guī)則,就使很多防火墻設(shè)備陷于癱瘓狀態(tài)。這也是防火墻設(shè)備研發(fā)領(lǐng)域的關(guān)鍵技術(shù)含量所在,目前的防火墻設(shè)備,在這一點(diǎn)上處理得很好的并不多見,這是體現(xiàn)防火墻技術(shù)實(shí)力的一個(gè)重要指標(biāo)。 網(wǎng)絡(luò)上的非法流量同樣很多,這是網(wǎng)絡(luò)管理員很難控制的。在現(xiàn)實(shí)應(yīng)用中,非法流量一多,防火墻必須有效處理這些流量,并同時(shí)讓正常流量通過,這對(duì)防火墻的性能同樣將產(chǎn)生巨大的影響,這也是在防火墻設(shè)備出廠時(shí),用戶很難檢測(cè)到的一個(gè)關(guān)鍵指標(biāo),必須通過第三方公開的評(píng)測(cè)才能檢測(cè)到。 網(wǎng)包分類性能比較 清華大學(xué)信息技術(shù)研究院網(wǎng)絡(luò)安全實(shí)驗(yàn)室是做網(wǎng)絡(luò)安全研發(fā)的事業(yè)單位,目前正在從事的一個(gè)科研項(xiàng)目是國(guó)家的863項(xiàng)目中的高端防火墻技術(shù)研發(fā),需要考察目前市場(chǎng)上主流的高端防火墻設(shè)備,以此確定未來(lái)的研發(fā)方向。為此,我們選擇了目前市場(chǎng)上最主流的幾款電信級(jí)防火墻進(jìn)行了性能的評(píng)測(cè)。這幾款設(shè)備分別是: Juniper網(wǎng)絡(luò)公司的NetScreen5200防火墻,軟件版本為NS5000-5.0R8; Hillstone公司的SA-5050防火墻,軟件版本SA5000-1.1R1d4; Fortinet公司的Fortigate3600A防火墻,軟件版本為FortiOS3.0 build559。它們都是電信級(jí)防火墻,擁有4GB~8GB的標(biāo)稱性能。測(cè)試除了考察以往人們一般最關(guān)注的防火墻的吞吐率、平均時(shí)延以及最大新建連接速率外,還主要考察了防火墻在大規(guī)模防火墻規(guī)則――即網(wǎng)包分類規(guī)則下,對(duì)不同比例的合法、非法流量的總體處理能力。 為了測(cè)試網(wǎng)包分類性能,測(cè)試中采用了具有相同五元組――源IP、目標(biāo)IP、源端口、目標(biāo)端口、傳輸層協(xié)議的一系列網(wǎng)包作為網(wǎng)流。 測(cè)試中,被測(cè)防火墻的所有端口均配置在一個(gè)域中并分別連接到測(cè)試設(shè)備SmartBit6000C上,輸入流量選取1518字節(jié)的網(wǎng)包。 為了考察合法、非法流量對(duì)網(wǎng)包分類性能的不同影響,測(cè)試流量包括不同比例的合法流量(防火墻允許通過的流量,GOOD_TRAFIC)和非法流量(防火墻拒絕通過的流量,BAD_TRAFFIC)。 為了考察防火墻規(guī)則變化對(duì)網(wǎng)包分類性能的影響,防火墻規(guī)則分別采用兩組復(fù)雜度不同的規(guī)則。兩組規(guī)則分別來(lái)自思科公司和清華大學(xué),我們針對(duì)這些規(guī)則設(shè)計(jì)了新的結(jié)構(gòu),數(shù)量為2000條,但比普通的測(cè)試要復(fù)雜得多。第一組規(guī)則(SET1)可以從數(shù)學(xué)上簡(jiǎn)化為8條范圍匹配的規(guī)則或24條最長(zhǎng)前綴匹配的規(guī)則; 而第二組規(guī)則(SET2)則只能簡(jiǎn)化為80條范圍匹配的規(guī)則或400條最長(zhǎng)前綴匹配的規(guī)則。因此,規(guī)則SET2比規(guī)則SET1更復(fù)雜。測(cè)試中,合法流量與第1999條規(guī)則匹配,并允許通過; 非法流量與第2000條匹配,不允許通過。 這三款防火墻在吞吐率、平均時(shí)延以及最大新建連接速率上的表現(xiàn)請(qǐng)參看清華大學(xué)信息技術(shù)研究院網(wǎng)絡(luò)安全實(shí)驗(yàn)室網(wǎng)頁(yè)(l)。需要強(qiáng)調(diào)的一點(diǎn)是,其網(wǎng)包分類性能上表現(xiàn)出了較大的不同: SA-5050防火墻表現(xiàn)最好,無(wú)論非法流量所占比例大小,輸入規(guī)則復(fù)雜程度提高,均保持轉(zhuǎn)發(fā)時(shí)處理能力的93%以上; NS5200防火墻性能不受規(guī)則復(fù)雜程度影響,但當(dāng)非法流量達(dá)到80%時(shí),其整體處理能力下降到30%; FG3600A防火墻的性能隨規(guī)則復(fù)雜程度增加及非法流量所占比例增大而下降明顯。
【網(wǎng)包分類性能:防火墻應(yīng)用中的關(guān)鍵指標(biāo)】相關(guān)文章:
儀表板關(guān)鍵部件人機(jī)性能要求及應(yīng)用04-27
低溫多效海水淡化關(guān)鍵能耗指標(biāo)的選取及應(yīng)用04-30
鉆(沖)孔灌注樁泥漿性能指標(biāo)及應(yīng)用04-28
可拓分類方法及其在流動(dòng)單元分類中的應(yīng)用04-30
GPS在測(cè)量控制網(wǎng)中的應(yīng)用04-28
著色Petri網(wǎng)在UML建模中的應(yīng)用04-29