计算机防火墙论文 第14页
仿真实验的目的是要测试采用下面两种方案的防火墙在性能上的对比:方案1 不采用优化策略,方案2 则采用本文所讨论的优化策略,两方案采用相同的规则匹配算法,并且为了方便讨论,不考虑规则之间的相关性(这并不影响两个方案对比的结果)。在仿真实验中,假定该防火墙的最大包处理速率是2 000 个/s,每一次测试时间为10s,优化算法中的定时器初始时长设为2s。仿真实验所用的网络拓朴如图4.1所示,操作系统平台是windowsxp+Cygwin所用的模拟器是NS-2(Network Simulator v2.27)。若图片无法显示请联系QQ752018766
图4.1测试环境所用网络拓扑
在测试中,源结点0、1、2、3、4 以某速率向结点6发送大小为300 字节的UDP 数据包,不同结点的发送速率如表1所示。规则列表里有10条规则,每个源节点有两条对应的规则,并且在初始情况下,规则次序为:r1,r2,r3,r4,r5,r6,r7,r8,r9,r10。
表4.1不同时间段各节点数据包发送速率 个/S
图4.2跟图4.3是利用NS-2仿真并用nam显示出来的图:
图4.2
图4.2为具有7个节点仿真初始阶段
图4.3
图4.3节点0、1、2、3、4分别同经过5向节点6传输数据包,再通过所仿真的结果数据绘画得出图4.4的X,Y坐标图若图片无法显示请联系QQ752018766
图4.4防火墙每秒处理500个数据包的仿真结果
其中坐标横轴表示仿真时间,纵轴表示的是防火墙每秒处理500个数据包所需要的时间,水平线表示两个方案的平均时间。从图中可以看到,经过优化后的规则匹配使防火墙的平均性能在一定程度上有了提高。从图中也可以看到,只要统计分析优化有足够的反应时间(数据流持续的时间超过两个定时器时长),就可以动态调整规则次序,使规则次序和当前数据流特性相一致,从而获得相对较小的数据处理时间。方案2 的曲线在第5s~6s 时急剧上升的原因是:虽然各个数据流在整个仿真时间内都没有中断,但在这一时间段内数据流大小的变化趋势和规则次序之间并不相一致,使流量较大的数据流对应的规则位于规则列表的后端,导致性能的下降。
<< 上一页 [11] [12] [13] [14] [15] [16] [17] 下一页