研究針對(duì)云服務(wù)的混合防火墻技術(shù)論文

　　摘要：對(duì)于網(wǎng)絡(luò)服務(wù)以及應(yīng)用, 防火墻是第一道防線.盡管通過(guò)現(xiàn)有的方法能夠顯著增強(qiáng)系統(tǒng)的安全性, 但很多研究也證明了傳統(tǒng)防火墻的局限性.隨著虛擬化和云計(jì)算的出現(xiàn), 基于網(wǎng)絡(luò)的服務(wù)呈現(xiàn)爆炸式的增長(zhǎng).面向云服務(wù), 利用無(wú)固有邊界的虛擬化的云來(lái)構(gòu)建虛擬防火墻, 存在安全性與可靠性無(wú)法有效控制的問(wèn)題.這將導(dǎo)致用戶無(wú)法正常使用這些云服務(wù), 本文提出了一種有效的混合架構(gòu)來(lái)權(quán)衡云防火墻的性能與可靠性.該混合架構(gòu)由物理部分和虛擬部分共同構(gòu)成, 采用虛擬的方法實(shí)現(xiàn)了物理防火墻的基本功能, 同時(shí)保障了云計(jì)算節(jié)點(diǎn)間的高性能合作, 增強(qiáng)防火墻的計(jì)算能力.提出的架構(gòu)通過(guò)仿真實(shí)驗(yàn)部署, 結(jié)果表明, 基于云計(jì)算的混合防火墻機(jī)制有效的改善了傳統(tǒng)防火墻的計(jì)算能力.

　　關(guān)鍵詞：防火墻; 網(wǎng)絡(luò)安全; 云服務(wù); 云計(jì)算; 混合架構(gòu);

　　防火墻是網(wǎng)絡(luò)服務(wù)以及本地應(yīng)用安全的主要防線, 但是對(duì)于很多企業(yè) (尤其是小型企業(yè)) 來(lái)說(shuō), 設(shè)立防火墻無(wú)疑增添了他們的成本投資.防火墻對(duì)于主流的網(wǎng)絡(luò)架構(gòu)來(lái)說(shuō)是一個(gè)不可或缺的關(guān)鍵要素, 它不僅僅只是部署在網(wǎng)絡(luò)的邊緣, 已經(jīng)逐漸升級(jí)為一種服務(wù).

　　對(duì)于一個(gè)擁有5Mbps網(wǎng)絡(luò)接入的美國(guó)中型大小的公司而言, 物理防火墻的首次部署投資以及維護(hù)成本大約是12萬(wàn)美元, 而之后每年的成本支出約為10萬(wàn)美元[1].投資成本之所以這么高, 主要是防火墻需要有專業(yè)的管理員來(lái)進(jìn)行部署、維護(hù)、檢測(cè)以及調(diào)試.而當(dāng)防火墻需要新技術(shù)更新時(shí), 公司還要花錢對(duì)防火墻管理員進(jìn)行專門的培訓(xùn).另外, 如果開(kāi)發(fā)出了新的防火墻技術(shù)或者出現(xiàn)了新型的攻擊, 對(duì)于防火墻的固件也需要進(jìn)一步升級(jí)以提升它的存儲(chǔ)容量和計(jì)算能力等.

　　為了減少防火墻管理以及部署的成本投資, 企業(yè)將他們的防火墻作為服務(wù)外包給第三方提供商, 作為軟件及服務(wù)和效能計(jì)算的一部分由云計(jì)算來(lái)提供支持[2].更迅速的服務(wù)要求, 迫使企業(yè)經(jīng)常部署、維護(hù)他們的應(yīng)用以及解決方案.隨著互聯(lián)網(wǎng)連接速度加快以及流量不斷增長(zhǎng), 導(dǎo)致傳統(tǒng)的防火墻需要分析巨大的流量以增強(qiáng)安全策略, 所以目前防火墻處理的瓶頸是網(wǎng)絡(luò).

　　由于虛擬化以及云計(jì)算的出現(xiàn)[3-5], 物理防火墻沒(méi)能設(shè)計(jì)檢測(cè)以及過(guò)濾由虛擬機(jī)產(chǎn)生的巨大流量.相反, 研究者們?cè)O(shè)計(jì)開(kāi)發(fā)了基于云的防火墻, 作為一種服務(wù)運(yùn)行在一個(gè)虛擬的環(huán)境當(dāng)中, 并提供常規(guī)的防火墻技術(shù) (如包過(guò)濾以及服務(wù)檢測(cè)) .

　　一般來(lái)說(shuō), 基于云的防火墻遵循以下兩種方法[6]:①虛擬防火墻部署在虛擬監(jiān)控管理程序上;②虛擬防火墻放置在不同網(wǎng)絡(luò)分段的橋接處, 使他們自己成為一個(gè)虛擬機(jī).然而, 這些方法同時(shí)也給網(wǎng)絡(luò)的性能以及可靠性之間帶來(lái)了新的問(wèn)題和挑戰(zhàn).肯定的是, 他們的確改進(jìn)了網(wǎng)絡(luò)安全性, 但是卻沒(méi)能夠解決性能的問(wèn)題.由云計(jì)算抽象出來(lái)的簡(jiǎn)單靈活與控制服務(wù)行為以及對(duì)基礎(chǔ)資源的可見(jiàn)性和可控性之間存在著一種基本的權(quán)衡關(guān)系.

　　在監(jiān)控管理層中進(jìn)行部署, 由于防火墻不會(huì)被視為網(wǎng)絡(luò)中的一部分, 因此可以允許防火墻管理本地流量.另外, 許多研究者都指出了關(guān)于性能、延遲以及可靠性方面的挑戰(zhàn).在文獻(xiàn)[7]中, 研究者們指出, 目前云計(jì)算的主要挑戰(zhàn)為服務(wù)的連續(xù)性以及可用性.一些組織仍然在擔(dān)心效能計(jì)算能否提供足夠的可用性, 出于這種考慮, 對(duì)應(yīng)用防火墻服務(wù)還需要慎重考慮.

　　因此, 本文提出了一種新型的高效的混合架構(gòu)來(lái)管理基于云的防火墻的性能和可靠性之間的權(quán)衡.提出的架構(gòu)同時(shí)改善了吞吐量以及異常檢測(cè)能力, 提高了物理防火墻的計(jì)算能力.額外的計(jì)算能力的提高是由于采用了虛擬防火墻的理念, 通過(guò)云提供大量的資源.目標(biāo)是在擁有大量計(jì)算能力的云中完成虛擬防火墻的基本功能, 進(jìn)一步解決巨大流量對(duì)防火墻性能的影響.實(shí)驗(yàn)結(jié)果顯示, 所提出的架構(gòu)在延遲、存儲(chǔ)以及CPU性能方面都有很大提升.

　　本文首先對(duì)背景以及相關(guān)的工作進(jìn)行了介紹, 然后描述了提出的架構(gòu), 接下來(lái)列出了測(cè)試以及相應(yīng)的結(jié)果, 最后, 對(duì)全文進(jìn)行了總結(jié)并指出了進(jìn)一步的研究工作.

　　1 研究背景

　　防火墻安全策略[8]是一系列的過(guò)濾規(guī)則, 它定義了滿足特定條件下的對(duì)數(shù)據(jù)包執(zhí)行的相關(guān)動(dòng)作.防火墻主要有三種類型:包過(guò)濾器、狀態(tài)檢測(cè)器以及應(yīng)用防火墻.最古老的也就是最基本的就是包過(guò)濾器, 路由器對(duì)網(wǎng)絡(luò)層或傳輸層的數(shù)據(jù)包進(jìn)行檢查, 從而獲得好的投遞性能.它的優(yōu)點(diǎn)是適應(yīng)路由、低開(kāi)銷、高吞吐量以及低成本.但是, 它的安全等級(jí)非常的低.

　　狀態(tài)檢測(cè)器提供了一種執(zhí)行在傳輸層卻對(duì)應(yīng)用層進(jìn)行過(guò)濾的能力.這種防火墻通過(guò)跟蹤連接的狀態(tài)以及阻塞偏離特定狀態(tài)的包, 改善了包過(guò)濾器的.功能.但是, 這也暗示出需要使用更多的資源, 并且使防火墻的管理操作變得更加的復(fù)雜.應(yīng)用防火墻含有一個(gè)代理程序, 由代理充當(dāng)一個(gè)通信雙方的透明的鏈路, 這樣使得通信雙方能夠通信但是不能進(jìn)行直接連接.這樣, 應(yīng)用程序防火墻并不能防止對(duì)低層的攻擊, 而且每個(gè)應(yīng)用都需要一個(gè)分離的程序, 資源消耗量大, 并且性能比較差.

　　下一代防火墻[9]代表著對(duì)傳統(tǒng)防火墻的一種革命, 通過(guò)集成多種安全功能, 如將反垃圾過(guò)濾、反病毒軟件、檢測(cè)系統(tǒng)或入侵防范等, 整合到一個(gè)模塊內(nèi)或集成為一個(gè)平臺(tái), 進(jìn)而提高防火墻的性能.下一代防火墻與傳統(tǒng)的防火墻相比, 還提供了更多粒度的檢測(cè)和更加透明的流量狀態(tài).

　　雖然云計(jì)算能夠增加業(yè)務(wù)的靈活性、可擴(kuò)展性和效率, 但是也引進(jìn)了一些新的安全風(fēng)險(xiǎn)和擔(dān)憂.傳統(tǒng)的物理安全解決方案已經(jīng)變得過(guò)時(shí), 因?yàn)樘摂M機(jī)之間的網(wǎng)絡(luò)可能不需要越過(guò)同一個(gè)物理服務(wù)器的邊界.直到現(xiàn)在, 虛擬化解決提供商提出了虛擬防火墻作為最好的解決方案[10], 對(duì)于孤島以及網(wǎng)絡(luò)分析的流量有不同形式的減少.對(duì)于Cisco, 它的虛擬安全網(wǎng)關(guān)分布在云中的物理節(jié)點(diǎn)上, 他為指定的管理程序設(shè)立一個(gè)虛擬防火墻, 而VMware也在安全方面設(shè)計(jì)了一系列的測(cè)量統(tǒng)稱為v Shield模塊.

　　之前定義的虛擬化防火墻, 是運(yùn)行在虛擬環(huán)境下的, 并且提供類似物理防火墻實(shí)現(xiàn)的常規(guī)包過(guò)濾器和檢測(cè)器功能的防火墻服務(wù).它主要有兩個(gè)模式:管理程序模式以及橋接模式.管理程序模式是一個(gè)運(yùn)行在虛擬機(jī)監(jiān)控上的虛擬防火墻, 因此, 沒(méi)有被看作為網(wǎng)絡(luò)的一部分, 只需要管理本地流量.而橋接模式是不同網(wǎng)絡(luò)模塊之間的, 可以被看作是一個(gè)獨(dú)立的虛擬機(jī).這種模式由于可以按需分配資源, 吸引了很多研究者的關(guān)注, 但是虛擬機(jī)遷移成為了這類型虛擬防火墻的主要問(wèn)題, 因?yàn)樗�必須要�?duì)不同的安全策略進(jìn)行管理.

　　這一部分, 對(duì)當(dāng)前物理機(jī)和虛擬機(jī)上的防火墻部署的現(xiàn)有的各種解決方案進(jìn)行了概覽.物理防火墻受限于硬件的性能以及部署模型和增加的成本付出.虛擬防火墻是很具有潛力的, 因?yàn)樗鼪](méi)有資源上的限制并且支持動(dòng)態(tài)部署.但是, 虛擬防火墻都無(wú)力抵抗虛擬機(jī)域外的大規(guī)模攻擊, 從而影響其可靠性.因此, 本文提出了一個(gè)架構(gòu)同時(shí)包含了物理和虛擬部分.通過(guò)使用強(qiáng)大的云計(jì)算來(lái)提供服務(wù), 抵抗大量攻擊下增長(zhǎng)的流量, 在下一節(jié)中給出了本文提出的架構(gòu).

　　2 混合架構(gòu)

　　本文致力于通過(guò)增強(qiáng)現(xiàn)有物理防火墻的計(jì)算能力來(lái)適應(yīng)現(xiàn)存的用于下一代寬帶網(wǎng)絡(luò)的技術(shù)來(lái)提升其性能.本文創(chuàng)新之處在于使用由云計(jì)算提供的安全及服務(wù)模型 (Secaa S) , 提出了一種混合的架構(gòu).這種架構(gòu)是混合的, 原因是它包含了兩大主要部分, 虛擬部分和物理部分.虛擬部分有多個(gè)虛擬機(jī)構(gòu)成, 每個(gè)虛擬機(jī)執(zhí)行一個(gè)防火墻程序, 他們的功能包括分析、檢測(cè)、報(bào)告以及許多其他的動(dòng)態(tài)資源配置.物理部分就是企業(yè)的物理防火墻, 這個(gè)企業(yè)同時(shí)購(gòu)買的有云提供商提供的安全服務(wù), 這部分服務(wù)作為現(xiàn)有物理防火墻的額外資源作為補(bǔ)充, 其核心的思想是當(dāng)物理防火墻過(guò)載時(shí), 將流量重定向到云端的虛擬防火墻上.

　　2.1 物理部分

　　物理部分是在企業(yè)內(nèi)部開(kāi)發(fā)的模塊, 如圖1所示, 其中的物理防火墻管理中心是一個(gè)管理工具, 幫助提供更高的性能和效率的架構(gòu)管理.它主要由三個(gè)模塊構(gòu)成:認(rèn)證、決策以及負(fù)載平衡, 下面分別對(duì)三個(gè)模塊進(jìn)行解釋.

　　首先, 所運(yùn)行的環(huán)境必須是基于有效證書簽名的可信執(zhí)行環(huán)境.為了這個(gè)目標(biāo), 需要兩個(gè)步驟:進(jìn)行認(rèn)證并在物理和虛擬防火墻間建立一個(gè)安全的隧道.對(duì)于認(rèn)證模塊提供了使用多種不同認(rèn)證協(xié)議的可能性, 這是由RADIUS服務(wù)器所決定的.可以使用開(kāi)源的工具freeradius, 它允許用戶通過(guò)PAP、CHAP、MS-CHAP、MS-CHAPv2以及所有的常規(guī)的EAP方法進(jìn)行認(rèn)證.建議采用基于SSL協(xié)議的EAP-TLS, 因?yàn)镾SL握手是在EAP之上執(zhí)行的.雖然是網(wǎng)絡(luò)上, 但是SSL握手是通過(guò)TCP傳輸?shù)? 更加的安全可靠.

　　決策模塊是物理防火墻管理中心的核心模塊, 它的任務(wù)是來(lái)判斷是否應(yīng)該把流量轉(zhuǎn)交給虛擬防火墻, 以防止物理防火墻負(fù)載過(guò)多.出于這個(gè)目的, 決策模塊需要處理系統(tǒng)和網(wǎng)絡(luò)檢測(cè)模塊收集到的本地的一些信息.然后根據(jù)檢測(cè)到的信息可以判定目前防火墻是否過(guò)載, 如果超載, 就會(huì)將一定量的流量轉(zhuǎn)移到虛擬防火墻進(jìn)行分析.如果說(shuō)沒(méi)有負(fù)載, 這個(gè)模塊繼續(xù)執(zhí)行檢測(cè).至于重定向到虛擬防火墻的流量的百分比, 由企業(yè)或者公司的網(wǎng)絡(luò)管理員來(lái)設(shè)定.根據(jù)防火墻的負(fù)載情況, 如果設(shè)計(jì)一個(gè)程序來(lái)進(jìn)行計(jì)算這個(gè)百分比將是很有趣的.關(guān)于虛擬防火墻過(guò)載的一些補(bǔ)充信息將傳遞到虛擬防火墻管理單元的檢測(cè)模塊, 從而減速或者改變傳輸參數(shù)中的目的地到其他虛擬防火墻或者改變流的類型 (如FTP, HTTP以及SMTP) .

　　負(fù)載平衡模塊接收來(lái)自決策模塊的命令, 這個(gè)模塊的第一個(gè)功能是建立可共享的流量, 這樣就能夠?qū)�決策模塊的規(guī)則應(yīng)用到對(duì)應(yīng)的狀態(tài).這個(gè)模塊是完全動(dòng)態(tài)的運(yùn)行模式, 指定的端口、協(xié)議以及IP地址.在該模塊運(yùn)行的時(shí)候, 首先需要從決策模塊查詢, 然后從認(rèn)證模塊取到虛擬防火墻的網(wǎng)絡(luò)信息.但是, 為了最優(yōu)化, 建議采用最少會(huì)話算法 (LSA) 來(lái)共享接入的流量.正如流量分配的百分比是由網(wǎng)絡(luò)管理員控制分配的.負(fù)載平衡模塊需要與認(rèn)證模塊交互以獲得可信的信息 (如IP地址和端口號(hào)) 來(lái)重定向流量.第二個(gè)功能是將虛擬防火墻接收到的沒(méi)經(jīng)過(guò)分析處理的流量轉(zhuǎn)移到企業(yè)的本地局域網(wǎng)中.

　　2.2 虛擬部分

　　虛擬部分包含一系列的虛擬機(jī), 它們是以Iaa S模式由云提供商提供的.每一個(gè)虛擬機(jī)運(yùn)行一個(gè)防火墻, 它們的工作就是仔細(xì)的分析由企業(yè)配置的物理防火墻轉(zhuǎn)移過(guò)來(lái)的流量數(shù)據(jù), 然后將合法的數(shù)據(jù)流量重定向回企業(yè)的本地局域網(wǎng).所以, 每一個(gè)虛擬防火墻都配備一個(gè)虛擬防火墻管理單元, 如圖1中所示.虛擬防火墻單元是一個(gè)可以與物理防火墻中心進(jìn)行交互的設(shè)備, 由三大模塊組成:認(rèn)證模塊、檢測(cè)模塊以及重定向模塊.

　　其中認(rèn)證模塊和物理防火墻管理中心的相對(duì)應(yīng), 他們具有相同的結(jié)構(gòu)配置.檢測(cè)模塊正如它名字所暗示, 這個(gè)模塊主要是對(duì)虛擬防火墻的網(wǎng)絡(luò)參數(shù)以及系統(tǒng)參數(shù)進(jìn)行檢測(cè).如果虛擬網(wǎng)絡(luò)防火墻負(fù)荷超載, 它就會(huì)發(fā)出警告信息到物理防火墻的決策模塊.否則, 這個(gè)模塊就繼續(xù)執(zhí)行它的檢測(cè)職能.重定向模塊只接受來(lái)自物理防火墻的流量, 拒絕其他所有的流量.同時(shí)它還要負(fù)責(zé)轉(zhuǎn)發(fā)虛擬防火墻過(guò)濾后的合法流量到物理防火墻管理中心, 最終到達(dá)企業(yè)內(nèi)部局域網(wǎng).

　　3 測(cè)試和結(jié)果

　　為了觀察提出的架構(gòu)的有效性, 設(shè)計(jì)開(kāi)發(fā)了一個(gè)真實(shí)的實(shí)驗(yàn)臺(tái), 并分析了提出的混合架構(gòu)在兩種部署場(chǎng)景下的情況.詳細(xì)討論了用來(lái)證明本文的部署情況以及測(cè)試場(chǎng)景.

　　提出了兩種安全部署場(chǎng)景來(lái)為物理防火墻提供更高的計(jì)算能力, 第一種部署就是安全轉(zhuǎn)發(fā)架構(gòu), 第二種是安全共享架構(gòu).在這兩種部署情況下, 都使用了虛擬化來(lái)動(dòng)態(tài)配置資源.虛擬和物理防火墻之間的所有通信都是通過(guò)基于EAP-TLS協(xié)議的安全隧道進(jìn)行傳輸?shù)?考慮到基準(zhǔn)部署即最基本的單一防火墻架構(gòu), 用于和本文提出的兩種架構(gòu)部署方式進(jìn)行對(duì)比實(shí)驗(yàn).需要注意的是, 本文選用的基準(zhǔn)部署是許多中小型企業(yè)中防火墻使用的基本拓?fù)浣Y(jié)構(gòu).

　　安全轉(zhuǎn)發(fā)架構(gòu), 在這種架構(gòu)下, 主要有兩個(gè)參與者:物理防火墻 (PF) 和虛擬防火墻 (VF) 節(jié)點(diǎn).將這個(gè)拓?fù)浣Y(jié)構(gòu)下的PF節(jié)點(diǎn)等價(jià)于一個(gè)簡(jiǎn)單的路由器, 它只進(jìn)行轉(zhuǎn)發(fā)所有收到的數(shù)據(jù)包.利用虛擬節(jié)點(diǎn)來(lái)確保過(guò)濾功能.它的核心思想就是對(duì)進(jìn)入的流量進(jìn)行檢查, 然后向企業(yè)的防火墻轉(zhuǎn)發(fā)過(guò)濾后的數(shù)據(jù)包.這里的檢查與基本架構(gòu)下的安全策略完全相同.

　　安全共享架構(gòu)擁有同樣的組成成分, 但是它的部署方式不同于安全轉(zhuǎn)發(fā)架構(gòu).傳統(tǒng)的防火墻提供的有過(guò)濾器的功能, 但是它需要委托一個(gè)或多個(gè)虛擬防火墻來(lái)進(jìn)行專門的檢驗(yàn).事實(shí)上, 可以實(shí)現(xiàn)一個(gè)監(jiān)控器用來(lái)查看網(wǎng)絡(luò)以及系統(tǒng)的屬性狀態(tài)從而觸發(fā)負(fù)載平衡.因此, 物理防火墻可以將其負(fù)載分發(fā)給一個(gè)或者多個(gè)虛擬防火墻.負(fù)載平衡器將一部分流量轉(zhuǎn)發(fā)給一個(gè)或多個(gè)后端的虛擬防火墻, 同時(shí)這些后端防火墻需要向負(fù)載平衡器進(jìn)行信息反饋.

　　對(duì)于每一個(gè)進(jìn)入的流, 所有的負(fù)載平衡器 (物理防火墻) 使用最少會(huì)話算法共享所有的數(shù)據(jù)包.這種動(dòng)態(tài)平衡的方法, 通過(guò)選擇當(dāng)前列表中鏈接數(shù)目最小的服務(wù)器, 并且在這個(gè)環(huán)境下工作最好的虛擬機(jī)配置, 用于負(fù)載平衡調(diào)用.連接的分布是由服務(wù)器的實(shí)時(shí)性能以及多方面分析決定的, 例如, 每個(gè)節(jié)點(diǎn)的當(dāng)前連接數(shù)量或者最快節(jié)點(diǎn)的回應(yīng)時(shí)間.一旦建立負(fù)載平衡, 就要攔截流量到虛擬機(jī)上來(lái)進(jìn)行分析, 然后再轉(zhuǎn)發(fā)到物理防火墻, 正如之前闡述的架構(gòu)那樣, 只會(huì)把可接受的數(shù)據(jù)包重定向到企業(yè)的防火墻.在這一步驟中, 目的就是減小信令消息以及響應(yīng)時(shí)間從而釋放更多的資源去提高Qo S.

　　實(shí)驗(yàn)臺(tái)如圖2所示, 由三個(gè)要素構(gòu)成.防火墻網(wǎng)關(guān):為了保證過(guò)濾功能, 使用了Netfilter工具.服務(wù)器/客戶端:使用這個(gè)配置用來(lái)檢測(cè)和評(píng)價(jià)本文部署的架構(gòu)在改善網(wǎng)絡(luò)性能后的Qo S等級(jí), 這里使用了Iperf, 它是具有服務(wù)器和客戶端模擬的功能, 并且可以通過(guò)它來(lái)測(cè)量端到端的吞吐量.虛擬防火墻:一個(gè)實(shí)現(xiàn)了過(guò)濾功能的虛擬機(jī), 這里使用了Net Filter, 與防火墻網(wǎng)關(guān)具有相似的規(guī)則.

　　分別對(duì)三種部署架構(gòu)進(jìn)行了實(shí)驗(yàn):即基本架構(gòu)、安全轉(zhuǎn)發(fā)架構(gòu)以及安全共享架構(gòu).對(duì)于每一個(gè)架構(gòu), 都測(cè)試了性能變化率, 在系統(tǒng)和網(wǎng)絡(luò)性能一定, 不同帶寬飽和度變化下的系統(tǒng)整體性能.圖3、圖4和圖5給出了實(shí)驗(yàn)的結(jié)果情況.

　　在圖3中, 可以看出, 隨著帶寬飽和度的增長(zhǎng), CPU負(fù)荷也隨之增長(zhǎng).這是由于處理數(shù)據(jù)包的數(shù)目也在不斷地增加.注意到, 安全共享架構(gòu)能夠多提供10%的負(fù)荷, 而且可以看出, 負(fù)載不斷增加的情況下安全共享架構(gòu)與基本架構(gòu)以及安全轉(zhuǎn)發(fā)架構(gòu)相比更加的穩(wěn)定.在圖4中的內(nèi)存消耗上可以更加確認(rèn)這一點(diǎn), 另外可以看出安全共享架構(gòu)的內(nèi)存消耗比基本架構(gòu)的消耗要大, 這主要是因?yàn)樨?fù)載平衡軟件對(duì)內(nèi)存消耗較大, 另外可以發(fā)現(xiàn)安全轉(zhuǎn)發(fā)架構(gòu)的內(nèi)存消耗更大, 這是由于路由器需要引導(dǎo)未經(jīng)處理的數(shù)據(jù)包, 這時(shí)也要耗費(fèi)大量?jī)?nèi)存.

　　圖5給出了網(wǎng)絡(luò)性能實(shí)驗(yàn)結(jié)果.評(píng)判網(wǎng)絡(luò)質(zhì)量好壞的一個(gè)很重要的參數(shù)就是延遲, 從圖中的曲線可以觀察到以下幾點(diǎn):①提出的兩個(gè)架構(gòu)明顯的改善了網(wǎng)絡(luò)延遲狀況.②安全共享架構(gòu)對(duì)延遲的改善要比安全轉(zhuǎn)發(fā)架構(gòu)更好.③安全共享架構(gòu)更加的穩(wěn)定, 平均能夠提升30%的性能.這就更加的支持安全共享架構(gòu)作為混合架構(gòu)下最優(yōu)的部署模式.

　　4 結(jié)論

　　提出了一種混合防火墻安全架構(gòu), 主要是增強(qiáng)物理防火墻的計(jì)算能力, 使用云計(jì)算提供的大量資源降低成本投入.該架構(gòu)能很好地適應(yīng)現(xiàn)有的下一代寬帶網(wǎng)絡(luò)技術(shù).通過(guò)設(shè)計(jì)的仿真測(cè)試臺(tái), 證明了提出的混合架構(gòu)的有效性, 實(shí)驗(yàn)結(jié)果顯示, 其在系統(tǒng)和網(wǎng)絡(luò)性能以及計(jì)算能力方面都有很大的提升.

　　參考文獻(xiàn)

　　[1]崔競(jìng)松, 郭遲, 陳龍, 等.創(chuàng)建軟件定義網(wǎng)絡(luò)中的進(jìn)程級(jí)縱深防御體系結(jié)構(gòu)[J].軟件學(xué)報(bào), 2014 (10) :2251-2265.

　　[2]曹立銘, 趙逢禹.私有云平臺(tái)上的虛擬機(jī)進(jìn)程安全檢測(cè)[J].計(jì)算機(jī)應(yīng)用研究, 2013, 30 (5) :1495-1499.

　　[3]馬永紅, 高潔.基于嵌入式馬爾可夫鏈的網(wǎng)絡(luò)防火墻性能建模與分析[J].計(jì)算機(jī)應(yīng)用研究, 2014, 31 (5) :1491-1498.

　　[4]邵國(guó)林, 陳興蜀, 尹學(xué)淵, 等.基于Open Flow的虛擬機(jī)流量檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用, 2014, 34 (4) :1034-1041.

　　[5]侯整風(fēng), 龐有祥.多核防火墻分層內(nèi)容過(guò)濾的時(shí)延分析[J].計(jì)算機(jī)工程與應(yīng)用, 2011, 47 (12) :93-96.

　　[6]王歡, 李戰(zhàn)懷, 張曉, 等.支持連續(xù)數(shù)據(jù)保護(hù)的云備份系統(tǒng)架構(gòu)設(shè)計(jì)[J].計(jì)算機(jī)工程與應(yīng)用, 2012, 48 (1) :90-93.

　　[7]秦拯, 歐露, 張大方, 等.高吞吐量協(xié)作防火墻的雙向去冗余方法[J].湖南大學(xué)學(xué)報(bào) (自然科學(xué)版) , 2013, 40 (1) :93-97.

　　[8]孔紅山, 唐俊, 張明清, 等.基于SITL的網(wǎng)絡(luò)攻防仿真平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究, 2011, 28 (7) :2715-2718.

　　[9]陳冬雨.思科開(kāi)啟“云”防火墻時(shí)代[J].計(jì)算機(jī)安全, 2010 (1) :91.

　　[10]荀仲愷, 黃皓, 金胤丞, 等.基于SR-IOV的虛擬機(jī)防火墻設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程, 2014 (5) :154-157.

【研究針對(duì)云服務(wù)的混合防火墻技術(shù)論文】相關(guān)文章：

網(wǎng)絡(luò)防火墻技術(shù)論文04-05

質(zhì)量技術(shù)監(jiān)督部門行政服務(wù)研究論文10-23

基于科技信息共享云服務(wù)機(jī)制研究論文11-02

基于智能體服務(wù)的云計(jì)算架構(gòu)研究與分析的論文11-02

基于智能體服務(wù)的云計(jì)算架構(gòu)研究分析論文11-03

云計(jì)算環(huán)境下網(wǎng)絡(luò)技術(shù)研究論文11-07

云計(jì)算環(huán)境下的分布存儲(chǔ)技術(shù)研究論文11-06

瀝青混合料控制管理研究論文10-18

混合式教學(xué)模式研究論文10-25