吳志軍，陳 煥，雷 縉

（中國民航大學(xué)電子信息與自動化學(xué)院，天津 300300）

廣域信息管理系統(tǒng)（SWIM，system wide information management）是民航領(lǐng)域航班協(xié)同決策的基礎(chǔ)，為中國航班的協(xié)同管理與調(diào)度提供了面向民航全系統(tǒng)的信息平臺[1]。面對快速增長的民航運(yùn)輸周轉(zhuǎn)量和日益密集的航班飛行流量，SWIM增強(qiáng)了航班協(xié)同運(yùn)行控制能力，徹底改變了航空公司、機(jī)場部門和空管局之間傳統(tǒng)點(diǎn)到點(diǎn)的通信方式，實(shí)現(xiàn)了信息實(shí)時共享[2]；SWIM是通過SOA（service oriented architecture）架構(gòu)實(shí)現(xiàn)的，其重點(diǎn)是面向服務(wù)，即完成服務(wù)的封裝和調(diào)用，服務(wù)之間可通過標(biāo)準(zhǔn)化接口相互調(diào)用。近年互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，Web技術(shù)憑借其標(biāo)準(zhǔn)化和通用性的優(yōu)勢被廣泛應(yīng)用于各行各業(yè)。SWIM各參與方之間的通信就是依靠Web服務(wù)技術(shù)，采用XML描述的軟件程序，可編程，通過Web服務(wù)描述語言（WSDL,Web services description language）描述服務(wù)，促進(jìn)了不同平臺、不同操作系統(tǒng)計算機(jī)之間的互操作性[3]。然而，由于HTTP協(xié)議安全機(jī)制的缺乏和Web應(yīng)用中存在的漏洞[4]，Web技術(shù)的安全形勢并不樂觀。Web的攻擊方式習(xí)慣上被分為SQL注入、XSS跨站攻擊、溢出攻擊、文件包含、信息泄露、拒絕服務(wù)、惡意上傳等[5]，SWIM信息交換過程中也存在這樣的風(fēng)險，由此可見，保障SWIM的通信安全十分重要，因此針對SWIM設(shè)計Web防火墻實(shí)現(xiàn)各客戶端之間的可靠信息交換具有重要意義。

為研究SWIM服務(wù)的具體實(shí)現(xiàn)，文獻(xiàn)[1]結(jié)合中國現(xiàn)有民航系統(tǒng)，分析并設(shè)計了SWIM信息交換系統(tǒng)，各客戶端可利用這種方式實(shí)現(xiàn)數(shù)據(jù)交換，促進(jìn)下一步SWIM基礎(chǔ)設(shè)施的部署和安全策略的制定；為保障SWIM的通信安全，文獻(xiàn)[2]提出在SWIM網(wǎng)絡(luò)模型中添加QoS服務(wù)，保證交換信息的可靠性和實(shí)時性；為結(jié)合現(xiàn)有技術(shù)手段研究SWIM，文獻(xiàn)[6]利用云計算技術(shù)搭建的云服務(wù)平臺給SWIM的服務(wù)管理平臺的設(shè)計提供了借鑒，通過研究得出，分布式節(jié)點(diǎn)的部署方式適合SWIM服務(wù)管理平臺；為將Web防火墻技術(shù)應(yīng)用于SWIM各客戶端之間的安全通信，采用文獻(xiàn)[7]中提出的防火墻功能模塊的實(shí)現(xiàn)形式，通過不同功能模塊之間的合作，最終保障通信安全。

整個項目的主要工作是SWIM Web防火墻在實(shí)現(xiàn)流量控制功能和負(fù)載均衡功能的基礎(chǔ)上完成了內(nèi)容過濾，在分析測試總體環(huán)境后，詳細(xì)討論了SWIM Web防火墻的流程設(shè)計，編碼實(shí)現(xiàn)了測試腳本的基本內(nèi)容，在此基礎(chǔ)上結(jié)合相關(guān)測試技術(shù)，組織實(shí)施了SWIM Web軟件防火墻的功能測試和性能測試，并分析了最終的測試結(jié)果。將SWIM Web訂閱/發(fā)布服務(wù)作為研究對象，針對服務(wù)請求的高并發(fā)特征，利用流量控制算法、負(fù)載均衡算法和關(guān)鍵字匹配算法，完成了SWIM Web防火墻主要功能模塊的設(shè)計，對中國保障SWIM安全通信建設(shè)具有一定的參考意義。

1 SWIM服務(wù)管理中心的場景設(shè)計

SWIM服務(wù)管理中心的定位是應(yīng)用服務(wù)器的管理平臺，形式上更加類似于中間件，設(shè)計目標(biāo)是將管理與服務(wù)解耦合[8]。SWIM服務(wù)管理中心是基于組件化的分布式服務(wù)平臺，由SWIM服務(wù)管理節(jié)點(diǎn)和服務(wù)器池構(gòu)成，服務(wù)節(jié)點(diǎn)通過實(shí)現(xiàn)一些基本的模塊而形成管理框架，管理服務(wù)器池為用戶提供開放接口進(jìn)行平臺的擴(kuò)展[3]。面對大量的資源服務(wù)請求，SWIM服務(wù)管理中心可以采用云計算技術(shù)實(shí)現(xiàn)，作為獨(dú)立的第三方平臺實(shí)現(xiàn)服務(wù)的發(fā)布客戶端和訂閱客戶端之間的數(shù)據(jù)交換。其中，SWIM服務(wù)管理節(jié)點(diǎn)包含內(nèi)核層和功能模塊兩部分，功能模塊可以實(shí)現(xiàn)資源管理、通信和路由的功能[9]。

1）資源管理模塊

SWIM資源管理模塊基于樹層次結(jié)構(gòu)類型，對節(jié)點(diǎn)和服務(wù)器兩種資源進(jìn)行管理，服務(wù)器池按照SWIM Web服務(wù)處理方式的不同分為兩類：請求/響應(yīng)服務(wù)器域和訂閱/發(fā)布服務(wù)器域。資源管理模塊中定義了4個管理實(shí)體用于組織和管理資源：全局資源管理、動態(tài)資源管理、用戶資源管理、服務(wù)器域資源管理。此外，存在1個資源目錄用于存儲SWIM服務(wù)管理中心所有的資源信息。全局資源管理負(fù)責(zé)管理平臺中的所有資源，包括動態(tài)資源和非動態(tài)資源，動態(tài)資源是SWIM參與成員在服務(wù)節(jié)點(diǎn)進(jìn)行實(shí)時交換的氣象服務(wù)請求、航班服務(wù)請求、航線服務(wù)請求，而非動態(tài)資源是空閑的備份服務(wù)節(jié)點(diǎn)。資源管理模塊結(jié)構(gòu)層次如圖1所示。

圖1 資源管理模塊結(jié)構(gòu)層次Fig.1 Structure level of resource management module

2）通信和路由模塊

通信模塊是SWIM服務(wù)管理中心實(shí)現(xiàn)的關(guān)鍵技術(shù)，SWIM Web訂閱/發(fā)布服務(wù)的實(shí)現(xiàn)涉及到大量的消息通信。路由模塊與服務(wù)器的通信用于獲取服務(wù)器的實(shí)時狀態(tài)，每個SWIM服務(wù)管理節(jié)點(diǎn)都有1個路由模塊，負(fù)責(zé)轉(zhuǎn)發(fā)應(yīng)用請求到目的服務(wù)器。路由模塊可以代理應(yīng)用請求和同步更新所有節(jié)點(diǎn)的路由信息，對于每個到達(dá)SWIM服務(wù)管理中心的訂閱/發(fā)布請求，將會被隨機(jī)送達(dá)1個服務(wù)節(jié)點(diǎn)，任何1個服務(wù)節(jié)點(diǎn)都可將該請求轉(zhuǎn)發(fā)到響應(yīng)該請求的服務(wù)器。

SWIM服務(wù)管理中心作為分布式平臺，服務(wù)發(fā)布者將開發(fā)的服務(wù)發(fā)布至SWIM服務(wù)管理中心，服務(wù)訂閱者通過平臺提供的公共訪問地址發(fā)送訂閱請求以獲取服務(wù)[6]。每個服務(wù)管理節(jié)點(diǎn)的運(yùn)行都需要資源管理模塊、通信模塊和路由模塊。SWIM Web訂閱/發(fā)布服務(wù)涉及3個角色：SWIM服務(wù)管理中心、服務(wù)發(fā)布者（發(fā)布客戶端）、服務(wù)訂閱者（訂閱客戶端）。SWIM服務(wù)管理中心場景設(shè)計圖，如圖2所示。其中，AS代表具有特定功能的專用服務(wù)器。

2 SWIM Web防火墻的總體架構(gòu)

SWIM Web防火墻的設(shè)計目標(biāo)是在實(shí)施流量控制和負(fù)載均衡的基礎(chǔ)上，對進(jìn)入SWIM服務(wù)管理中心的訂閱/發(fā)布服務(wù)實(shí)現(xiàn)內(nèi)容過濾[7]。然后，服務(wù)發(fā)布客戶端在Web訂閱/發(fā)布服務(wù)器中將有狀態(tài)的資源發(fā)布為主題，利用Web服務(wù)技術(shù)實(shí)現(xiàn)狀態(tài)資源共享。Web防火墻針對HTTP/HTTPS協(xié)議設(shè)置并執(zhí)行一系列的安全策略，防御應(yīng)用層的攻擊，使得惡意數(shù)據(jù)上傳的風(fēng)險大大降低，可有效提高Web服務(wù)的可用性，保護(hù)SWIM Web 客戶端[10]。

SWIM Web防火墻系統(tǒng)架構(gòu)由核心引擎和管理模塊構(gòu)成。核心引擎是Web防火墻的關(guān)鍵部分，用于處理所有輸入、輸出的數(shù)據(jù)流，所有發(fā)送給應(yīng)用服務(wù)器的消息、數(shù)據(jù)都會被截取并進(jìn)行有效過濾。防火墻總體架構(gòu)如圖3所示。

圖2 SWIM服務(wù)管理中心分布式平臺Fig.2 Distributed platform of SWIM service management center

圖3 SWIM Web防火墻總體架構(gòu)Fig.3 Overall architecture of SWIM Web firewall

2.1 流量控制

當(dāng)有請求訪問SWIM服務(wù)管理中心，利用網(wǎng)絡(luò)設(shè)備將請求轉(zhuǎn)發(fā)到SWIM服務(wù)管理節(jié)點(diǎn)。選擇節(jié)點(diǎn)后，進(jìn)入SWIM Web防火墻。SWIM Web防火墻的流量控制模塊首先實(shí)現(xiàn)服務(wù)分類，統(tǒng)計該類服務(wù)請求的流量資源消耗總和，根據(jù)設(shè)置上限做出判斷，從而限制各類服務(wù)的訪問流量，解決某些惡意請求持續(xù)發(fā)送占用服務(wù)器資源的問題。流量控制模塊的控制策略基于以下假設(shè)：當(dāng)超過限定的資源消耗量時，采取限制或者丟棄服務(wù)請求的措施。

任何對SWIM服務(wù)管理中心服務(wù)器的訪問都會經(jīng)過SWIM Web防火墻，不同節(jié)點(diǎn)的SWIM Web防火墻的流量控制模塊相互協(xié)調(diào)，呈現(xiàn)出集中式流量控制功能，使用分布式的隊列機(jī)制來限制不同服務(wù)的請求流量。針對訂閱/發(fā)布服務(wù)，在進(jìn)行流量控制時，是對服務(wù)中的氣象、航線、航班資源各維持一個隊列，同時限制每個訂閱客戶端的訂閱請求速率和每個發(fā)布客戶端的發(fā)布請求速率。流量控制模塊中，對于隊列中的每類請求，保存著1個統(tǒng)計表，統(tǒng)計每個服務(wù)管理節(jié)點(diǎn)流經(jīng)SWIM Web防火墻的各種服務(wù)的局部流量。表格形式非常簡單，采用哈希映射實(shí)現(xiàn)，哈希映射的關(guān)鍵是每種資源服務(wù)的ID，哈希值是在一定時間間隔內(nèi)的該類請求的數(shù)量。每個訂閱/發(fā)布請求的命運(yùn)不僅由節(jié)點(diǎn)本地的SWIM Web防火墻的流量控制模塊來決定，還必須通過該類訂閱/發(fā)布請求流經(jīng)所有節(jié)點(diǎn)SWIM Web防火墻的流量控制模塊的總統(tǒng)計值來決定。流量控制模塊功能實(shí)現(xiàn)流程如圖4所示。

圖4 流量控制模塊工作流程圖Fig.4 Working procedure of flow control module

每個流量控制模塊決定轉(zhuǎn)發(fā)或丟棄訂閱/發(fā)布請求需經(jīng)過以下處理過程：

1）流量控制模塊計算一段時間間隔內(nèi)各類請求的本地局部流量，然后在每一時間段末，向監(jiān)視節(jié)點(diǎn)發(fā)送各類服資源請求進(jìn)入該節(jié)點(diǎn)Web防火墻的局部流量；

2）監(jiān)視節(jié)點(diǎn)中的統(tǒng)計功能實(shí)現(xiàn)各類請求全局流量的計算；

3）監(jiān)視節(jié)點(diǎn)發(fā)送全局流量到各個服務(wù)管理節(jié)點(diǎn)的SWIM Web防火墻；

4）SWIM Web防火墻的流量控制模塊收到全局流量統(tǒng)計值，并以此進(jìn)行流量控制，決定該請求的轉(zhuǎn)發(fā)或丟棄。

2.2 負(fù)載均衡

針對大量訂閱/發(fā)布的并發(fā)訪問請求，考慮到大量不同服務(wù)共享后臺服務(wù)器的資源性能問題，以及集中式轉(zhuǎn)發(fā)器可能會產(chǎn)生單點(diǎn)故障的問題，根據(jù)SWIM服務(wù)管理中心平臺的特點(diǎn)，提出在SWIM Web防火墻中實(shí)現(xiàn)負(fù)載均衡功能，即將訂閱客戶端的訂閱請求和發(fā)布客戶端的發(fā)布請求的流量盡可能合理分配到SWIM服務(wù)管理中心的服務(wù)器池中的Web訂閱/發(fā)布服務(wù)器上，防止部分服務(wù)器過載[11]。SWIM服務(wù)管理中心的分布式Web防火墻的實(shí)現(xiàn)形式為構(gòu)建分布式轉(zhuǎn)發(fā)架構(gòu)，為實(shí)施負(fù)載均衡策略提供了基礎(chǔ)環(huán)境。在實(shí)現(xiàn)上，利用引入的監(jiān)視節(jié)點(diǎn)獲取后端服務(wù)器的負(fù)載狀態(tài)，負(fù)載均衡模塊和監(jiān)視節(jié)點(diǎn)相互配合，共同實(shí)現(xiàn)負(fù)載均衡[12]。值得強(qiáng)調(diào)的是，SWIM服務(wù)管理節(jié)點(diǎn)和客戶端之間的交互是基于HTTP協(xié)議的，各節(jié)點(diǎn)Web防火墻之間以及與監(jiān)視節(jié)點(diǎn)的交互過程則是基于TCP協(xié)議的。

SWIMWeb防火墻負(fù)載均衡功能的實(shí)現(xiàn)流程如下：

1）請求經(jīng)Web防火墻的流量控制模塊判斷、允許后進(jìn)入負(fù)載均衡模塊；

2）監(jiān)視節(jié)點(diǎn)周期性的監(jiān)聽服務(wù)器的狀態(tài)，并將一定時間間隔內(nèi)的負(fù)載狀態(tài)信息統(tǒng)一反饋給各節(jié)點(diǎn)Web防火墻的負(fù)載均衡模塊；

3）負(fù)載均衡模塊做出選擇，并將反饋信息發(fā)送給路由模塊；

4）路由模塊修改涉及的服務(wù)器路由表項，轉(zhuǎn)發(fā)請求。

SWIM Web防火墻的負(fù)載均衡實(shí)現(xiàn)流程如圖5所示。

圖5 SWIM Web防火墻的負(fù)載均衡機(jī)制Fig.5 Load balancing mechanism of SWIM Web firewall

2.3 內(nèi)容過濾

內(nèi)容檢測功能的實(shí)現(xiàn)基于數(shù)據(jù)包的過濾技術(shù)，首先監(jiān)控進(jìn)入SWIM Web防火墻的數(shù)據(jù)報文，然后內(nèi)容過濾模塊會對通過的數(shù)據(jù)包進(jìn)行深層次檢查過濾，通過控制添加要過濾的關(guān)鍵字，控制進(jìn)入的報文內(nèi)容，能夠減少網(wǎng)絡(luò)中不良信息的傳播機(jī)率，使網(wǎng)絡(luò)環(huán)境得到凈化[13]。為屏蔽不和諧詞匯，用戶在防火墻管理模塊設(shè)置要過濾的關(guān)鍵字，保存在關(guān)鍵字庫內(nèi)。對于經(jīng)過防火墻的數(shù)據(jù)報文，進(jìn)行內(nèi)容合法化判斷，完成報文過濾。

內(nèi)容過濾模塊采用關(guān)鍵字匹配算法，要點(diǎn)是串的模式匹配，將要過濾的主串和給定的模式串進(jìn)行比較，查找主串中是否存在模式串[14]。若存在，則匹配成功，函數(shù)返回值設(shè)定為模式串在主串中出現(xiàn)的位置。若不存在，則匹配失敗，函數(shù)返回值設(shè)定為-1。內(nèi)容過濾的處理流程如圖6所示。

綜上，SWIM Web防火墻中流量控制模塊考慮不同的服務(wù)區(qū)分以及在分析服務(wù)請求的訪問速率的基礎(chǔ)上限制流量，負(fù)載均衡模塊在請求分發(fā)時考慮后臺服務(wù)器負(fù)載狀態(tài)找到最優(yōu)的目的服務(wù)器，內(nèi)容過濾模塊完成過濾功能。內(nèi)容過濾模塊功能的實(shí)現(xiàn)是建立在流量控制模塊和負(fù)載均衡模塊的基礎(chǔ)上的，部署該模塊后，對進(jìn)入的數(shù)據(jù)包采用過濾策略進(jìn)行分析，對不滿足過濾策略的數(shù)據(jù)包直接丟棄。部署Web防火墻的SWIM服務(wù)管理中心如圖7所示。

圖6 內(nèi)容過濾模塊工作流程圖Fig.6 Working procedure of content filtering module

圖7 部署Web防火墻的SWIM服務(wù)管理中心Fig.7 SWIM service management center of Web firewall deployment

3 實(shí)驗(yàn)及結(jié)果分析

由于條件所限，實(shí)驗(yàn)采用4臺普通計算機(jī)，1臺計算機(jī)作為終端模擬SWIM客戶端，將一部分正常和非法的氣象信息數(shù)據(jù)包存入到該計算機(jī)，1臺部署Web防火墻模擬SWIM服務(wù)管理中心節(jié)點(diǎn)，該防火墻在LNMP（Linux Nginx MySQL PHP）平臺中實(shí)現(xiàn)，Linux系統(tǒng)采用centos 6.4版本，Nginx服務(wù)器選取1.12.0版本進(jìn)行編譯安裝，同時安裝數(shù)據(jù)庫MySQL，將SWIM Web防火墻的算法在Nginx模塊中進(jìn)行了算法實(shí)驗(yàn)驗(yàn)證，另外2臺計算機(jī)用來模擬SWIM系統(tǒng)中的訂閱/發(fā)布服務(wù)器，4臺計算機(jī)之間采用交換機(jī)相連。

實(shí)驗(yàn)中所使用的數(shù)據(jù)包是國內(nèi)某機(jī)場的運(yùn)行航班信息和天氣信息，這些信息對航班的正常飛行至關(guān)重要，一旦被不法分子截獲并加入非法信息，將會影響航班的正常飛行。

防火墻的測試中包括了功能測試和性能測試兩部分，驗(yàn)證SWIM Web防火墻具備為SWIM服務(wù)管理中心提供網(wǎng)絡(luò)服務(wù)的能力，得到SWIM Web防火墻的網(wǎng)絡(luò)服務(wù)的承載能力[15]。測試中，利用Nginx的HTTP框架，使用事件模塊監(jiān)聽Web端口處理新連接事件，根據(jù)接收到的HTTP請求中的URL和HTTP頭部，以nginx.conf中的server_name功能模塊和locationa功能模塊的配置項為依據(jù)，將請求按照其所在階段依次分發(fā)到流量控制模塊、負(fù)載均衡模塊以及內(nèi)容過濾模塊，利用upstream機(jī)制實(shí)現(xiàn)和上游服務(wù)器的交互。實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)淙鐖D8所示。

圖8 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱DFig.8 Experimental network topology

3.1 內(nèi)容過濾及其結(jié)果分析

將關(guān)鍵字匹配算法編譯進(jìn)Nginx服務(wù)器的處理請求的NGX_HTTP_CONTENT_PHASE功能模塊中，模擬SWIM場景，準(zhǔn)備1個包含非法信息的航空氣象情報，文件名為AWOS201409120537，文件中包含準(zhǔn)備過濾的關(guān)鍵字，如圖9所示。在SWIM Web防火墻管理模塊中，將關(guān)鍵字設(shè)定為“機(jī)場恐怖襲擊”，觀察日志上報情況，該非法文件已經(jīng)被成功過濾如圖10所示。

圖9 含有非法信息的SWIM氣象情報Fig.9 SWIM weather intelligence with illegal information

圖10 內(nèi)容過濾測試Fig.10 Content filtering test

3.2 系統(tǒng)時延性能測試及其結(jié)果分析

按照實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D，搭建實(shí)驗(yàn)平臺，完成SWIM Web防火墻的時延測試，登錄SWIM Web防火墻管理模塊，配置好各類資源，同時也利用IXIA400T網(wǎng)絡(luò)性能測試儀，先不開啟SWIM Web防火墻中設(shè)計添加的3個功能模塊，從Nginx的日志模塊中讀取不同數(shù)據(jù)傳輸量下的系統(tǒng)時延數(shù)據(jù)，然后運(yùn)行防火墻，開啟所有的功能模塊，同樣從日志模塊中獲得系統(tǒng)的時延數(shù)據(jù)，將收集到的數(shù)據(jù)，利用Matlab繪制曲線圖，時延的測試結(jié)果對比圖如圖11所示。

圖11 系統(tǒng)時延測試對比曲線圖Fig.11 Comparison curves of system delay test

從圖11中可看出兩幅圖的總體趨勢：在數(shù)據(jù)包不斷變大的過程中，同時時延也在不斷變大，不過當(dāng)數(shù)據(jù)包達(dá)到一定范圍后，防火墻系統(tǒng)時延趨于穩(wěn)定。當(dāng)防火墻的功能模塊關(guān)閉時，數(shù)據(jù)包經(jīng)過Nginx服務(wù)器的功能模塊時，當(dāng)通過防火墻數(shù)據(jù)包數(shù)量逐漸增加時，系統(tǒng)最大時延為285 μs；當(dāng)開啟防火墻時，隨著數(shù)據(jù)包數(shù)量的增多，系統(tǒng)最大時延為305 μs。綜合分析，以軟件化的方式實(shí)現(xiàn)帶有流量控制、負(fù)載均衡和內(nèi)容過濾功能的防火墻時，數(shù)據(jù)包通過防火墻系統(tǒng)的時延有一定增大，但幅度較小，對防火墻設(shè)備的單點(diǎn)故障影響不大。

3.3 系統(tǒng)吞吐量性能測試及其結(jié)果分析

SWIM Web防火墻的設(shè)計借助了Nginx服務(wù)器的功能模塊，通過編寫相應(yīng)的腳本代碼在相應(yīng)的功能模塊中編譯實(shí)現(xiàn)特定功能，能夠完成處理SWIM客戶端的高并發(fā)請求。吞吐量是防火墻的一個重要性能指標(biāo)，用來衡量防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包的能力，指的是單位時間內(nèi)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)量，以“B/s”為單位。

測試吞吐量首先要根據(jù)標(biāo)稱性能確定被測試設(shè)備的可能吞吐量，吞吐量的大小主要由防火墻的硬件和程序算法效率決定，尤其是程序算法。本測試選取的數(shù)據(jù)包長的范圍是64～512 B，當(dāng)防火墻的所有功能模塊都開啟時，128 B報文的吞吐量應(yīng)大于20 Mbps，利用網(wǎng)絡(luò)性能分析儀IXIA400T收集數(shù)據(jù)，繪制曲線圖如圖12所示。

圖12 系統(tǒng)吞吐量測試對比曲線圖Fig.12 Comparison curves of system throughput test

從圖12中可看出總體趨勢：數(shù)據(jù)包不斷增加的過程中，防火墻系統(tǒng)的吞吐量是不斷上升的，最終趨于一個固定值。通過對比可以得到，當(dāng)運(yùn)行了SWIM Web防火墻功能模塊的對應(yīng)算法后，系統(tǒng)吞吐量明顯下降，最大吞吐量為80Mbps，這和編譯的程序算法有很大關(guān)系，防火墻的算法效率有待進(jìn)一步提高。但是當(dāng)數(shù)據(jù)包為128 B，其吞吐量大于20 Mbps，滿足預(yù)估的吞吐量要求，可滿足SWIM服務(wù)管理中心接收并發(fā)請求。

4 結(jié)語

越來越多的民航業(yè)務(wù)系統(tǒng)參與到SWIM共享服務(wù)，SWIM服務(wù)管理中心的服務(wù)器池通過專用的Web訂閱/發(fā)布服務(wù)器為訂閱客戶端和發(fā)布客戶端提供服務(wù)，許多不同的訂閱客戶端需要共享SWIM發(fā)布服務(wù)客戶端的資源。SWIM客戶端之間的安全通信是該系統(tǒng)能夠有效發(fā)揮作用的前提，SWIM服務(wù)管理中心的安全必須由Web防火墻來保證。

主要創(chuàng)新性的工作體現(xiàn)在SWIM Web防火墻實(shí)現(xiàn)了流量控制和負(fù)載均衡功能，解決了Web應(yīng)用層防御經(jīng)常面臨的超負(fù)載問題，并在此基礎(chǔ)上完成內(nèi)容過濾，實(shí)現(xiàn)了功能集成。

SWIM Web防火墻的分布式部署以及功能模塊的實(shí)現(xiàn)形式，使其具有極大的擴(kuò)展性。今后的研究工作中，基于Nginx的Web應(yīng)用防護(hù)系統(tǒng)的構(gòu)建可以將更有效的內(nèi)容過濾算法融合到SWIM Web防火墻，應(yīng)對未知的攻擊，也可在Nginx作為Web應(yīng)用防護(hù)系統(tǒng)的同時，開發(fā)其靜態(tài)文件緩存服務(wù)[16]，實(shí)現(xiàn)可用性和安全性的統(tǒng)一。