網包分類性能:防火墻應用中的關鍵指標

網包分類性能:防火墻應用中的關鍵指標

在防火墻的各種性能指標中，人們一般最關注防火墻的吞吐率、平均時延以及最大新建連接速率，但在實際中，能反映復雜網絡環(huán)境下防火墻應用的網包分類性能，對用戶來說更有價值。 　　 　　網包分類性能 　　為什么重要？ 　　 　　網包分類性能是防火墻對每一個網流的第一個網包的處理能力。這一性能指標，直接反映了防火墻在處理新的網絡流量時的速度。這一性能低，就反映了防火墻的性能低。網絡管理員都知道，網絡上大量出現的都是新的網絡流量，而很少有現成的，因此，一些采用固定流量的評測方法，很難反映防火墻真實的性能。具體來說，對網絡上的合法流量而言，防火墻的工作原理通常是要為合法流量建立連接，并通過快速通道的精確匹配進行高速轉發(fā)，但新建連接都需要對網流的首包進行分類，因此網包分類性能直接影響新建連接的速率; 其次，對非法流量而，防火墻的主要工作是拒絕為非法流量建立連接，所以非法流量的網包即使屬于同一網流，也需要進行分類，網包分類性能反映了防火墻處理大量非法流量的能力。 　　因此，在現實應用中，影響網包分類性能最大的兩個因素是: 防火墻的規(guī)則設定和網絡上非法流量的數量。 　　防火墻的主要功能除了對數據包進行轉發(fā)，還要按照規(guī)則對數據包進行過濾。因此，規(guī)則的數量就會直接影響防火墻的使用性能，如果過濾一個包要查幾千條規(guī)則的話，防火墻的負擔就會很重。如果防火墻查規(guī)則的性能不高，防火墻的整體性能就會嚴重受損，會影響防火墻的新建連接速度。關于這一點，我們已經研究了2～3年的時間，我們發(fā)現業(yè)界已有的大量算法并不成熟，很多防火墻聲稱可以處理多少條規(guī)則，但都是一些很簡單的規(guī)則，很容易處理。但在現實應用中，防火墻規(guī)則的設定是用戶根據自己的安全策略來定的，用戶安全策略的不同造成了規(guī)則的千差萬別，也造成了規(guī)則數量的龐大，因此，真正實用的規(guī)則是很不好處理的。以前我們測過很多廠家的防火墻產品，不用說用了幾千條規(guī)則，就是用幾十條規(guī)則，就使很多防火墻設備陷于癱瘓狀態(tài)。這也是防火墻設備研發(fā)領域的關鍵技術含量所在，目前的防火墻設備，在這一點上處理得很好的并不多見，這是體現防火墻技術實力的一個重要指標。 　　網絡上的非法流量同樣很多，這是網絡管理員很難控制的。在現實應用中，非法流量一多，防火墻必須有效處理這些流量，并同時讓正常流量通過，這對防火墻的性能同樣將產生巨大的影響，這也是在防火墻設備出廠時，用戶很難檢測到的一個關鍵指標，必須通過第三方公開的評測才能檢測到。 　　 　　網包分類性能比較 　　 　　清華大學信息技術研究院網絡安全實驗室是做網絡安全研發(fā)的事業(yè)單位，目前正在從事的一個科研項目是國家的863項目中的高端防火墻技術研發(fā)，需要考察目前市場上主流的高端防火墻設備，以此確定未來的研發(fā)方向。為此，我們選擇了目前市場上最主流的幾款電信級防火墻進行了性能的評測。這幾款設備分別是: Juniper網絡公司的NetScreen5200防火墻，軟件版本為NS5000-5.0R8; Hillstone公司的SA-5050防火墻，軟件版本SA5000-1.1R1d4; Fortinet公司的Fortigate3600A防火墻，軟件版本為FortiOS3.0 build559。它們都是電信級防火墻，擁有4GB～8GB的標稱性能。測試除了考察以往人們一般最關注的防火墻的吞吐率、平均時延以及最大新建連接速率外，還主要考察了防火墻在大規(guī)模防火墻規(guī)則――即網包分類規(guī)則下，對不同比例的合法、非法流量的總體處理能力。 　　為了測試網包分類性能，測試中采用了具有相同五元組――源IP、目標IP、源端口、目標端口、傳輸層協(xié)議的一系列網包作為網流。 　　測試中，被測防火墻的所有端口均配置在一個域中并分別連接到測試設備SmartBit6000C上，輸入流量選取1518字節(jié)的網包。 　　為了考察合法、非法流量對網包分類性能的不同影響，測試流量包括不同比例的合法流量（防火墻允許通過的流量,GOOD_TRAFIC）和非法流量（防火墻拒絕通過的流量,BAD_TRAFFIC）。 　　為了考察防火墻規(guī)則變化對網包分類性能的影響，防火墻規(guī)則分別采用兩組復雜度不同的規(guī)則。兩組規(guī)則分別來自思科公司和清華大學，我們針對這些規(guī)則設計了新的結構，數量為2000條，但比普通的測試要復雜得多。第一組規(guī)則（SET1）可以從數學上簡化為8條范圍匹配的規(guī)則或24條最長前綴匹配的規(guī)則; 而第二組規(guī)則（SET2）則只能簡化為80條范圍匹配的規(guī)則或400條最長前綴匹配的規(guī)則。因此，規(guī)則SET2比規(guī)則SET1更復雜。測試中，合法流量與第1999條規(guī)則匹配，并允許通過; 非法流量與第2000條匹配，不允許通過。 　　這三款防火墻在吞吐率、平均時延以及最大新建連接速率上的表現請參看清華大學信息技術研究院網絡安全實驗室網頁(l)。需要強調的一點是，其網包分類性能上表現出了較大的不同: SA-5050防火墻表現最好，無論非法流量所占比例大小，輸入規(guī)則復雜程度提高，均保持轉發(fā)時處理能力的93%以上; NS5200防火墻性能不受規(guī)則復雜程度影響，但當非法流量達到80%時，其整體處理能力下降到30%; FG3600A防火墻的性能隨規(guī)則復雜程度增加及非法流量所占比例增大而下降明顯。

【網包分類性能:防火墻應用中的關鍵指標】相關文章：

儀表板關鍵部件人機性能要求及應用04-27

低溫多效海水淡化關鍵能耗指標的選取及應用04-30

鉆(沖)孔灌注樁泥漿性能指標及應用04-28

淺談粉煤灰在高性能混凝土中的應用05-02

生物技術在昆蟲分類中的應用04-27

可拓分類方法及其在流動單元分類中的應用04-30

GPS在測量控制網中的應用04-28

著色Petri網在UML建模中的應用04-29

特立克-利奇方法在指標趨勢預測中的應用04-28

高性能混凝土在建筑工程中的實際應用04-27