防火墙系统需求和改进分析.docVIP

防火墙系统需求和改进分析 　　[摘 要] 防火墙在网络中占有重要的地位。用户安全意识的提高和网络攻击手段的发展使得传统的功能简单的个人防火墙已经无法满足现在的需求。首先,用户对个人防火墙的功能需求增强,个人防火墙需要提供不同层次的安全保护。其次,用户对个人防火墙效率的需求增强。在防火墙功能扩展的情况下,效率问题显得非常突出。因此,在实际应用中个人防火墙在实现安全的基础上,不仅要保持高效和低耗,还要实现不同层次的保护功能。在对防火墙的性能和效率进行分析和改进的基础上,设计并实现了一个基于 Windows平台的个人防火墙。个人防火墙在实现过程中应用了效率和性能改进的策略,取得了非常好的效果。 　　[关键词] 网络安全; 个人防火墙; 驱动程序; 网络驱动接口规范; 系统服务 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 17 . 028 　　[中图分类号]TP393.08 [文献标识码]A [文章编号]1673 - 0194(2010)17- 0068- 02 　　 　　1防火墙系统的需求分析 　　 　　随着网络的发展和普及,上网的人群越来越多,同时网络入侵的方式种类也是越来越多,层出不穷。因此,个人用户对本机安全的需求是非常突出和必要的,而个人防火墙作为网络安全最基本、最经济、最有效的手段,其地位也是非常重要的。防火墙的实现方式有硬件和软件两种,作为个人用户而言,硬件防火墙固然很好,但其昂贵的价格限制了其在个人防火墙领域的应用。因此,目前而言,个人防火墙的主要实现方式还是采用软件实现的方式。无论个人防火墙功能多么完善,性能效率多么高效,这些都不能带给用户直接的感受。用户能直接感受到的就是个人防火墙的使用过程,如防火墙的安装部署,防火墙的界面部分,或者说个人防火墙表示层能和用户直接交互的部分。因此,个人防火墙的部署和操作的方便也是需求重点之一。 　　 　　2系统性能分析 　　 　　很多时候防火墙系统的执行效率并不高,导致CPU使用率高,整个计算机变慢。下面就通过分析防火墙系统来总结影响防火墙效率的一些重要因素。 　　防火墙的基本功能就是包过滤功能,当防火墙拿到数据包后,就会把数据包同规则表进行比较,以决定通过或者丢弃。当用户指定了很多过滤规则的时候,防火墙通常是把数据包按一定的顺序一条一条地同规则表进行比较。当规则表条目很少的时候,可能效率影响不大,但当规则表条目很多时,这样的顺序比较就会占用较多的时间。当网络带宽很大的情况下,如果是TCP传输,就会导致效率下降,如果是UDP传输,就会导致丢包的情况发生。 　　当防火墙的驱动层执行各项功能时,会不断有数据传递给中间服务层,如包过滤处理结果等等;同时中间服务层也会主动通信驱动层,如修改规则表等。通常这种上层同驱动层的通信主要方式是通过IOCTOL实现的,这种方式实现起来简单,但每次通信的时候都需要占用一定的内存资源和CPU资源。当网络带宽大,数据流量大的情况下,IOCTOL通信是非常繁忙的,因此如何改善驱动层同上层的通信,将直接影响防火墙的性能。 　　 　　3系统性能改进方法 　　 　　针对系统的性能瓶颈,本文主要采用以下方法来改进系统的性能: 　　3.1 优化规则表 　　防火墙系统对数据包实现过滤功能的核心部分就是规则表。规则表构建的好坏直接影响数据包过滤功能的性能以及效率的好坏。防火墙系统一般允许用户自己添加防火墙规则,当用户添加的规则很少的情况下,可能带来的影响并不大,而在用户添加了很多规则之后,可能在这些规则中会出现很多前后矛盾的规则,很多多余的规则,如果规则表构建得不好,还会出现规则表不完整的情况,也就是会出现数据包无法找到规则表中的规则相匹配的情况。所以创建正确的规则表是防火墙系统中一个非常重要的部分。 　　很多情况下防火墙的设计者只是特别重视规则表匹配的效率问题。在效率的问题上,设计有们一般分成两个方向:一个方向是采用某种数据结构以便更快地进行规则表匹配,另一个方向是采用某种自定义的语言来实现快速匹配。但这些高效率的实现只有建立在一个完整、紧凑、和谐的规则表基础之上才能得以实现的。 　　3.2 通信方式 　　防火墙系统主要的通信集中在驱动层和中间服务层之间,以及用户态的进程之间的数据交互。这些通信非常繁忙。 　　驱动层与中间服务层的主要的通信方式有IO,事件以及共享内存。上层通过Create File打开驱动后,通过Device IO Control方式对驱动层进行读写操作,这是一种比较基本的简便的通信方式。但是这种方式会占用较多的CPU资源。每次进行IO ct1通信分配缓存,都会相当消耗资源。另外一种方式是通过设置共享内存,用事件(Event)通知对方,然后另一