超级会员免费看
网络安全技术:防火墙性能与协议逆向工程挑战
1. 防火墙性能分析
防火墙在软件定义网络(SDN)中起着至关重要的作用。与学习型交换机相比,防火墙处理数据包的时间要长 2.5 倍,这是因为它需要执行更多操作,如将策略解释为 OpenFlow 规则、更新和访问状态表、验证数据包的合法性等。
不过,随着负载的增加,防火墙能够保持稳定的性能,并且不会降低网络性能。通过实验观察,防火墙的连接处理平均时间从 10 个并发连接时的 1.84 毫秒缓慢增加到 1000 个并发连接时的 2.59 毫秒;在控制器测试中,这个时间从 1.37 毫秒增加到 2.42 毫秒。
防火墙的连接处理时间有两个增长阶段:从 50 到 250 个并发连接时,平均连接时间增加 0.45 毫秒;从 250 到 500 个并发连接时,时间几乎稳定;之后又增加 0.47 毫秒。而在控制器测试中,直到 250 个并发连接时时间几乎稳定,之后增加 1 毫秒。
这些趋势主要由以下三个因素导致:
- Open vSwitch(OVS)中流表的大小 :在控制器测试中,流表大小线性增加;而在防火墙测试中,由于 OpenFlow 规则的安装和卸载,流表大小会线性增加和减少。流表大小增加时会降低性能。
- RYU 的多线程行为 :多线程机制优化了控制器的执行,加快了处理速度。
- 防火墙的多线程机制 :为了优化防火墙的性能,引入了多线程机制,使得在负载增加时不会增加额外的处理时间。
总体而言,随着并发连接数量的增加,防火墙能够保持良好的性能,因为它不会给连接
订阅专栏 解锁全文
扫一扫
67
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
