(商丘職業(yè)技術(shù)學(xué)院，河南 商丘 476100)

0 引言

隨著國家對(duì)“互聯(lián)網(wǎng)+”思想的大力推廣以及互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，在極大地促進(jìn)高技術(shù)公司和科研院所在數(shù)字化、信息化領(lǐng)域的研究熱潮的同時(shí)，也對(duì)高校實(shí)驗(yàn)室教學(xué)工作提出了新的要求[1-2]。在互聯(lián)網(wǎng)技術(shù)中，網(wǎng)絡(luò)安全[3-4]作為維護(hù)互聯(lián)網(wǎng)系統(tǒng)安全穩(wěn)定運(yùn)行的重要保證，已經(jīng)成為了國內(nèi)外的研究熱點(diǎn)。為了緊跟時(shí)代步伐，保證互聯(lián)網(wǎng)教學(xué)質(zhì)量，全面提升學(xué)生的互聯(lián)網(wǎng)能力，迫切需要建立完善的互聯(lián)網(wǎng)網(wǎng)絡(luò)安全教學(xué)實(shí)驗(yàn)室。

在網(wǎng)絡(luò)安全技術(shù)體系中，防火墻[5]系統(tǒng)用于構(gòu)造內(nèi)部網(wǎng)和外部網(wǎng)之間的保護(hù)屏障，在硬件和軟件相結(jié)合的基礎(chǔ)上，保護(hù)內(nèi)部網(wǎng)免受非法用戶的入侵和網(wǎng)絡(luò)攻擊的破壞。作為網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)，防火墻系統(tǒng)的教學(xué)與實(shí)驗(yàn)平臺(tái)需要為學(xué)生提供完備的學(xué)習(xí)與操作功能，從而讓學(xué)生形成完整的網(wǎng)絡(luò)安全知識(shí)體系，實(shí)現(xiàn)“教”與“學(xué)”的緊密連接，提高學(xué)生解決實(shí)際問題的能力。

以防火墻系統(tǒng)為核心的網(wǎng)絡(luò)安全實(shí)驗(yàn)室與以往的教學(xué)平臺(tái)建設(shè)相比，由于涉及到安全性這一敏感與重要的問題，因此具有更大的建設(shè)難度，需要借助先進(jìn)的硬件設(shè)備、軟件平臺(tái)、安全算法等，針對(duì)網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)連接的實(shí)驗(yàn)問題，從而為學(xué)生提供完善的實(shí)驗(yàn)環(huán)境。防火墻在實(shí)際系統(tǒng)中的大量應(yīng)用使得其平臺(tái)的建設(shè)可以充分利用社會(huì)上高科技公司的先進(jìn)技術(shù)，同時(shí)在高校教師團(tuán)隊(duì)的主導(dǎo)下，建立適應(yīng)高校教學(xué)、實(shí)驗(yàn)與科研的綜合平臺(tái)。

為了達(dá)到上述目標(biāo)，提出一種基于軟件定義網(wǎng)絡(luò)(software defined networking，SDN)的防火墻系統(tǒng)設(shè)計(jì)方案，從而建立可以在控制器端實(shí)現(xiàn)的防火墻邏輯。網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)表明，下一代防火墻在策略執(zhí)行方面更有活力，并有能力保護(hù)內(nèi)部網(wǎng)絡(luò)。SDN技術(shù)通過集中式防火墻邏輯和分布式防火墻操作，可以實(shí)現(xiàn)可疑信息的準(zhǔn)確隔離。實(shí)驗(yàn)結(jié)果表明所提的防火墻建設(shè)方案可以大幅度提升網(wǎng)絡(luò)安全性能，從而證明構(gòu)建的教學(xué)平臺(tái)具備高網(wǎng)絡(luò)安全性。

1 防火墻系統(tǒng)架構(gòu)

在整合學(xué)校實(shí)驗(yàn)室現(xiàn)有資源的前提下，提出圖1所示的高校網(wǎng)絡(luò)實(shí)驗(yàn)室防火墻系統(tǒng)。自下而上，數(shù)據(jù)服務(wù)器群主要用于為實(shí)驗(yàn)過程及防火墻工作過程中產(chǎn)生的大量數(shù)據(jù)集進(jìn)行存儲(chǔ)；實(shí)時(shí)通信服務(wù)器群不僅保證防火墻內(nèi)外網(wǎng)的實(shí)時(shí)通信，還能夠?qū)νㄐ胖械漠惓Ｇ闆r進(jìn)行記錄和分析；認(rèn)證系統(tǒng)與網(wǎng)絡(luò)服務(wù)器保證了信息通信功能的高可靠性，并為不同用戶的訪問提供了安全路徑；控制器通過與底層交換機(jī)之間的信息交互實(shí)現(xiàn)網(wǎng)絡(luò)狀態(tài)的實(shí)時(shí)監(jiān)控；防火墻監(jiān)控服務(wù)器中的先進(jìn)算法可以大幅度提高整個(gè)校內(nèi)網(wǎng)絡(luò)系統(tǒng)的安全性能；貫穿于整個(gè)系統(tǒng)的高速寬帶通信網(wǎng)絡(luò)環(huán)境實(shí)現(xiàn)了數(shù)據(jù)在系統(tǒng)內(nèi)的快速流動(dòng)。

圖1 防火墻系統(tǒng)架構(gòu)

2 提出的基于SDN的防火墻建設(shè)方案

2.1 連接跟蹤系統(tǒng)

軟件定義網(wǎng)絡(luò)(software defined network，SDN)是一種基于Open Flow技術(shù)的新型網(wǎng)絡(luò)架構(gòu)[6-7]，其通過將網(wǎng)絡(luò)設(shè)備的控制與數(shù)據(jù)分開，既可以實(shí)現(xiàn)網(wǎng)絡(luò)流量靈活控制，又為應(yīng)用創(chuàng)新提供了良好的平臺(tái)。連接跟蹤系統(tǒng)柜作為控制器和交換機(jī)之間信息交互的核心監(jiān)控設(shè)備，需要借助SDN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)連接狀態(tài)的高效防護(hù)。圖2為連接跟蹤系統(tǒng)的結(jié)構(gòu)圖。

圖2 連接跟蹤系統(tǒng)軟硬件結(jié)構(gòu)

圖2說明了跟蹤連接系統(tǒng)的三層結(jié)構(gòu)。每一層被定義為具有類似屬性和狀態(tài)的流組條目。第一層由控制器及相應(yīng)的流程規(guī)則組成，并以最高優(yōu)先級(jí)處理數(shù)據(jù)狀態(tài)交互；中間層用于檢測(cè)新的狀態(tài)連接；最下層用于廣義交換機(jī)的流量轉(zhuǎn)發(fā)規(guī)則。進(jìn)入跟蹤連接系統(tǒng)的數(shù)據(jù)將按照從第一到第三流的順序進(jìn)行比較和分析。

連接跟蹤系統(tǒng)主要用于跟蹤啟動(dòng)和停止兩個(gè)通信連接狀態(tài)[8]。對(duì)于連接啟動(dòng)跟蹤，數(shù)據(jù)包只有在與任何現(xiàn)有的監(jiān)控連接不匹配時(shí)才被轉(zhuǎn)發(fā)給控制器，連接跟蹤系統(tǒng)只需確保首個(gè)發(fā)起連接的數(shù)據(jù)包被報(bào)告即可。對(duì)于連接終止跟蹤，使用不同的方法來處理TCP和UDP連接：在UDP連接中，使用超時(shí)參數(shù)來檢測(cè)流量，因此不存在UDP的連接跟蹤開銷；在TCP連接中，交換機(jī)必須連續(xù)發(fā)送數(shù)據(jù)包到控制器以檢查TCP FIN標(biāo)記，此時(shí)存在通信開銷。

連接跟蹤系統(tǒng)由專業(yè)技術(shù)公司設(shè)計(jì)并提供，將其輸出的數(shù)據(jù)包頭進(jìn)行比較，如果不匹配，數(shù)據(jù)包被分類為新的連接發(fā)起數(shù)據(jù)包。對(duì)于TCP協(xié)議，連接跟蹤系統(tǒng)通過檢測(cè)FIN標(biāo)志來判斷連接是否終止，同時(shí)將數(shù)據(jù)包發(fā)送到目的地；對(duì)于UDP協(xié)議，沒有明確的標(biāo)志來檢測(cè)連接拆除，因此需要在流條目中會(huì)設(shè)置好截至?xí)r間，在特定的時(shí)間之后，如果沒有UDP分組被發(fā)送，則數(shù)據(jù)流將被移除并且結(jié)束連接。

為了提高SDN解決方案的效率，設(shè)計(jì)了基于拓?fù)鋽?shù)據(jù)的交換機(jī)流量表簡(jiǎn)化方法：通過在每臺(tái)交換機(jī)上選擇性地安裝控制流入口，可以達(dá)到簡(jiǎn)化防火墻的設(shè)置，實(shí)現(xiàn)連接交換機(jī)的快速檢查[9]。

為了實(shí)現(xiàn)連接跟蹤系統(tǒng)三層架構(gòu)的可靠信息交互，提出了一種新型的入站流量高效分類方法：通過將反應(yīng)流和主動(dòng)流進(jìn)行混合使用，可以預(yù)先將重要的防火墻控制流部署到相應(yīng)的交換機(jī)中，從而保證在連接檢測(cè)之后，跟蹤連接得到穩(wěn)定保持且不會(huì)有任何額外的延遲。

2.2 防火墻構(gòu)建的軟件實(shí)現(xiàn)

防火墻構(gòu)建過程包括通過編程實(shí)現(xiàn)一些特定的防火墻配置功能。運(yùn)行于防火墻監(jiān)控服務(wù)器上,如圖3所示。

圖3 防火墻構(gòu)建的軟件實(shí)現(xiàn)流程

1)通過REST API接口接收防火墻WEB應(yīng)用模塊上系統(tǒng)管理員下發(fā)的RULE規(guī)則。

2)將流匹配規(guī)則以底層OPENFLOW軟交換機(jī)能夠理解的流表形式按OPENFLOW協(xié)議進(jìn)行封裝。

3)通過安全通道將上述包含新流表信息的控制信息下發(fā)至相關(guān)底層交換機(jī)節(jié)點(diǎn)。

采用在GITHUB上獲取最新的RYU的源碼，在UBUNTU 4.15.1-13環(huán)境下進(jìn)行二次開發(fā)和實(shí)驗(yàn)。

源碼結(jié)構(gòu)如圖4所示。

圖4 源碼結(jié)構(gòu)圖

其中CMD目錄下的代碼是RYU框架的入口程序，它會(huì)調(diào)用RYU核心組件的初始化程序，而組件的初始化是在BASE目錄下進(jìn)行的，TOPOLOGY目錄是有關(guān)拓?fù)涞慕M件，控制也作為一個(gè)組件存在于CONTROLLER目錄中。

2.3 DoS攻擊的檢測(cè)

拒絕服務(wù)(denial of service，DoS)攻擊通過癱瘓計(jì)算機(jī)或網(wǎng)絡(luò)提供的正常服務(wù)來達(dá)到入侵損害系統(tǒng)的目的，是防火墻系統(tǒng)中需要重點(diǎn)防護(hù)的攻擊形式[10-11]。為了減輕控制器DoS的損害，提出一種優(yōu)先級(jí)分類與維護(hù)的多消息隊(duì)列檢測(cè)方法：實(shí)時(shí)監(jiān)視每個(gè)特定主機(jī)正在進(jìn)行的連接的峰值數(shù)目，同時(shí)借助以前時(shí)間段的累計(jì)峰值歷史記錄，估算每個(gè)主機(jī)的峰值連接；如果來自主機(jī)的連接請(qǐng)求的數(shù)量超過了某個(gè)預(yù)定義值，那么它將被識(shí)別為攻擊者，其請(qǐng)求將被放入優(yōu)先級(jí)較低的“警告隊(duì)列”中，并在處理完“正常隊(duì)列”中的所有請(qǐng)求后在對(duì)其進(jìn)行處理[12]。

DoS攻擊的消息隊(duì)列處理過程如圖5所示。通信網(wǎng)絡(luò)中由MAC地址標(biāo)識(shí)的主機(jī)可以根據(jù)其行為分配一個(gè)隊(duì)列線程。MAC地址散列使防火墻能夠?qū)碜圆煌鳈C(jī)的入站數(shù)據(jù)進(jìn)行分類，這樣可令控制器在不需要逐個(gè)檢查數(shù)據(jù)包的情況下立即丟棄惡意數(shù)據(jù)包。具有不同優(yōu)先級(jí)的消息隊(duì)列確保優(yōu)先處理來自沒有攻擊歷史的主機(jī)的合法請(qǐng)求，來自可疑主機(jī)的具有被攻擊歷史或當(dāng)前正在增加連接數(shù)量的可疑主機(jī)的請(qǐng)求僅在普通隊(duì)列完全為空之后才被處理。如果沒有優(yōu)先級(jí)隊(duì)列機(jī)制，等待上線的合法數(shù)據(jù)包就會(huì)因?yàn)橛性S多惡意數(shù)據(jù)包填滿了隊(duì)列而被丟棄。

圖5 DoS攻擊的防火墻處理方法

2.4 防火墻狀態(tài)線程

設(shè)計(jì)的防火墻狀態(tài)線程包括：狀態(tài)防火墻系統(tǒng)，REST API 服務(wù)系統(tǒng)，包過濾系統(tǒng)，二次轉(zhuǎn)發(fā)系統(tǒng)，DoS緩解系統(tǒng)。

1)狀態(tài)防火墻系統(tǒng)：通過控制層來獲取網(wǎng)絡(luò)的狀態(tài)信息，可用于狀態(tài)的跟蹤和監(jiān)測(cè)。例如，當(dāng)?shù)讓咏粨Q機(jī)收到的數(shù)據(jù)包中含有惡意數(shù)據(jù)，或者網(wǎng)絡(luò)中的鏈路失效時(shí)，該系統(tǒng)能及時(shí)檢測(cè)網(wǎng)絡(luò)的狀態(tài)，通過調(diào)整對(duì)當(dāng)前網(wǎng)絡(luò)檢測(cè)查詢頻率，利用控制器發(fā)出一系列包過濾規(guī)則以確保網(wǎng)絡(luò)安全。

2)REST API 服務(wù)系統(tǒng)：該系統(tǒng)處在控制層中，其功能是實(shí)現(xiàn)控制層與應(yīng)用層的連接，實(shí)現(xiàn)與狀態(tài)防火墻模塊的通信交互。REST API 服務(wù)系統(tǒng)包含許多可編程接口，它們遵循HTTP系列的協(xié)議規(guī)定。

3)包過濾系統(tǒng)：規(guī)定了關(guān)于數(shù)據(jù)包的一系列過濾操作規(guī)則，對(duì)接收到的數(shù)據(jù)包執(zhí)行通過或者舍棄決策。包頭中有源和目標(biāo)的IP地址、源和目標(biāo)的MAC地址以及通信協(xié)議號(hào)等信息，設(shè)置過濾規(guī)則的主要目的是為了匹配包頭中的參數(shù)信息。

4)二次轉(zhuǎn)發(fā)系統(tǒng)：該與數(shù)據(jù)轉(zhuǎn)發(fā)層中的信息交互，將有關(guān)數(shù)據(jù)包的信息轉(zhuǎn)發(fā)到數(shù)據(jù)轉(zhuǎn)發(fā)層中。它可以統(tǒng)計(jì)數(shù)據(jù)轉(zhuǎn)發(fā)層中的流表項(xiàng)等信息，并將該信息發(fā)送至控制器。

5)DoS緩解系統(tǒng)：用于識(shí)別網(wǎng)絡(luò)攻擊，并激活DoS檢測(cè)與損害緩解功能。

3 平臺(tái)建設(shè)與實(shí)驗(yàn)測(cè)試

3.1 防火墻系統(tǒng)平臺(tái)建設(shè)

同各國充分整合學(xué)校實(shí)驗(yàn)室現(xiàn)有的硬件資源，建立基于校內(nèi)云存儲(chǔ)、控制器陣列和高速通信網(wǎng)絡(luò)的防火墻系統(tǒng)。

云存儲(chǔ)系統(tǒng)如圖6所示。云存儲(chǔ)服務(wù)器選用10臺(tái)WD/西部數(shù)據(jù)My Cloud Pro PR4100 32TB，如圖7所示。并與校內(nèi)現(xiàn)有的分散計(jì)算與存儲(chǔ)服務(wù)器進(jìn)行整合，其功能包括：支持硬盤寄送，海量數(shù)據(jù)快速上傳；基于CIFS協(xié)議配合存儲(chǔ)網(wǎng)關(guān)，像讀寫本地?cái)?shù)據(jù)存儲(chǔ)磁盤；支持Bucket鏡像，第三方數(shù)據(jù)無縫遷移；支持多用戶訪問控制、STS臨時(shí)授權(quán)；支持HTTPS加密傳輸和加密存儲(chǔ)。

圖7 WD/西部數(shù)據(jù)My Cloud Pro PR4100 32TB

控制器陣列(連接跟蹤系統(tǒng))由專業(yè)公司設(shè)計(jì)研發(fā)，主要由Intel/英特爾8核CPU處理器及其外部電路組成，用于控制防火墻系統(tǒng)運(yùn)行過程中的數(shù)據(jù)交換過程，并對(duì)工程中產(chǎn)生的網(wǎng)絡(luò)攻擊、異常數(shù)據(jù)注入等問題進(jìn)行實(shí)時(shí)監(jiān)控，從而實(shí)現(xiàn)基于軟件定義網(wǎng)絡(luò)的防火墻核心安全防護(hù)。

高速通信網(wǎng)絡(luò)由實(shí)驗(yàn)室網(wǎng)絡(luò)升級(jí)改造而來。實(shí)驗(yàn)室現(xiàn)原有網(wǎng)絡(luò)為典型的環(huán)形網(wǎng)，采用以太網(wǎng)接口設(shè)備及通信線纜，傳輸速度僅為1 Gbit/s，不僅不利于數(shù)據(jù)的快速傳遞，也會(huì)產(chǎn)生通信延時(shí)并降低防火墻安全防護(hù)處理的功能。通過將實(shí)驗(yàn)室現(xiàn)有網(wǎng)絡(luò)改造為星形網(wǎng)，并采用光纖通信技術(shù)，使得數(shù)據(jù)通信速度提升至10 Gbit/s，不僅保障了數(shù)據(jù)的高速傳輸，而且降低了功耗，加大了通信距離。此外，借助交換機(jī)將實(shí)驗(yàn)室通信網(wǎng)絡(luò)與校園高速寬帶網(wǎng)絡(luò)進(jìn)行連接，可以實(shí)現(xiàn)數(shù)據(jù)在實(shí)驗(yàn)室和校園內(nèi)的快速共享。

3.2 DoS攻擊緩解實(shí)驗(yàn)

DoS攻擊是一種非常常見的網(wǎng)絡(luò)攻擊，為了驗(yàn)證實(shí)驗(yàn)室建設(shè)的防火墻系統(tǒng)對(duì)于網(wǎng)絡(luò)攻擊的堅(jiān)強(qiáng)性，并為學(xué)生進(jìn)行相關(guān)實(shí)驗(yàn)做好準(zhǔn)備，本文給出了實(shí)驗(yàn)室防火墻系統(tǒng)的實(shí)驗(yàn)結(jié)果與分析。

第一步：模擬DoS攻擊。在正常情況下，主機(jī)每個(gè)時(shí)隙的請(qǐng)求數(shù)量在所有時(shí)隙都是靜態(tài)的，通過突然增加和減少攻擊者的時(shí)隙請(qǐng)求數(shù)量，用來以模擬TCP SYN洪泛攻擊。攻擊是以脈沖模式進(jìn)行的，重復(fù)10個(gè)正常時(shí)隙，然后是10個(gè)攻擊時(shí)隙，Singe攻擊波時(shí)長為5個(gè)時(shí)隙，數(shù)據(jù)包到達(dá)率為10000packets/s，這種攻擊模式如圖8所示，這個(gè)實(shí)驗(yàn)的參數(shù)在表3中列出。

圖8 攻擊模式

第二部：實(shí)驗(yàn)與分析。連接跟蹤的DoS緩解功能利用多個(gè)具有不同優(yōu)先級(jí)的哈希隊(duì)列來快速丟棄惡意包，并減少合法用戶的處理延遲。為了測(cè)試這個(gè)功能，本文將運(yùn)行多個(gè)散列消息隊(duì)列的連接跟蹤與單個(gè)消息隊(duì)列進(jìn)行比較。緩解時(shí)間被定義為從檢測(cè)到DoS到控制器隊(duì)列中所有惡意數(shù)據(jù)包被丟棄的時(shí)間。記錄所有攻擊波的緩解時(shí)間。

對(duì)于多個(gè)哈希隊(duì)列，連接跟蹤只需在正常和警告列表中檢查攻擊者的MAC地址對(duì)應(yīng)的隊(duì)列，并將其全部刪除即可。當(dāng)使用單個(gè)隊(duì)列時(shí)，連接跟蹤必須檢查每個(gè)單獨(dú)的數(shù)據(jù)包以匹配攻擊者信息。這些不需要的請(qǐng)求在隊(duì)列中出現(xiàn)的時(shí)間越長，控制器占用的內(nèi)存資源越多。此外，這些惡意數(shù)據(jù)包的數(shù)量過多會(huì)對(duì)合法數(shù)據(jù)包產(chǎn)生負(fù)面影響，如額外的延遲以及由于溢出隊(duì)列而導(dǎo)致丟棄的機(jī)會(huì)增加。如圖8所示，使用多個(gè)哈希隊(duì)列的緩解時(shí)間范圍僅為0.3～0.85 毫秒。對(duì)于單個(gè)隊(duì)列來說，緩解時(shí)間是使用多個(gè)哈希隊(duì)列緩解時(shí)間的10～25倍，使用多個(gè)哈希隊(duì)列比使用單個(gè)消息隊(duì)列更能有效緩解DoS攻擊。

圖9 緩解時(shí)間對(duì)比

圖9為在發(fā)生DoS攻擊的情況下，不同優(yōu)先級(jí)隊(duì)列對(duì)處理合法請(qǐng)求的影響。整個(gè)處理時(shí)間為來自正常主機(jī)請(qǐng)求的總處理時(shí)間，總處理時(shí)間標(biāo)志著連接跟蹤在每個(gè)時(shí)隙處理來自普通主機(jī)的所有請(qǐng)求的持續(xù)時(shí)間。從圖10中可以看出，使用單個(gè)隊(duì)列的普通用戶的處理時(shí)間大部分是穩(wěn)定的，只是隨著請(qǐng)求總數(shù)的增加而略微增加?？梢宰⒁獾剑瑐魅氲臄?shù)據(jù)包以塊形式到達(dá)，并且來自一個(gè)主機(jī)的所有請(qǐng)求數(shù)據(jù)包同時(shí)來到，隨后是其他主機(jī)的數(shù)據(jù)包。這與本文推測(cè)兩個(gè)主機(jī)之間數(shù)據(jù)包的混合到達(dá)不同，這是因?yàn)閿?shù)據(jù)包在產(chǎn)生以及鏈路傳輸方面有延遲，單個(gè)隊(duì)列的連接跟蹤本身將處理從一個(gè)主機(jī)到另一個(gè)主機(jī)的所有請(qǐng)求。

相反，使用循環(huán)隊(duì)列查找的多個(gè)哈希隊(duì)列允許連接跟蹤依次處理來自兩個(gè)主機(jī)的請(qǐng)求。因此，在沒有攻擊的時(shí)隙內(nèi)正常用戶的處理時(shí)間是單個(gè)隊(duì)列的兩倍。另外，從攻擊期的第二時(shí)隙到冷卻期的第一時(shí)隙為重復(fù)模式。普通用戶的處理持續(xù)時(shí)間大大減少，與單個(gè)隊(duì)列的持續(xù)時(shí)間相匹配。在第二個(gè)攻擊時(shí)隙(6,16,26,36,46)期間，攻擊者在第一個(gè)攻擊時(shí)隙被識(shí)別并標(biāo)記為可疑主機(jī)，并且所有來自攻擊者的請(qǐng)求包被放入警告隊(duì)列。因此，正常隊(duì)列中的普通主機(jī)的請(qǐng)求首先被處理，這導(dǎo)致處理持續(xù)時(shí)間減半。另一方面，在正常時(shí)間的第一個(gè)時(shí)隙(11,21,31,41)，由于攻擊者主機(jī)仍然有可疑的信譽(yù)，請(qǐng)求的數(shù)據(jù)包仍然具有較低的優(yōu)先級(jí)，所以正常請(qǐng)求的處理持續(xù)時(shí)間不會(huì)被接收。在下一個(gè)時(shí)隙中，攻擊者信譽(yù)由于沒有違規(guī)而在下一個(gè)時(shí)隙正常重置，因此處理持續(xù)時(shí)間隨著分組查找而加倍。由以上分析可以得出結(jié)論，連接跟蹤能夠降低違反主機(jī)的處理優(yōu)先級(jí)，以減少合法請(qǐng)求的延遲和丟棄概率。

圖10 正常主機(jī)的處理時(shí)間

4 結(jié)語

在網(wǎng)絡(luò)信息安全知識(shí)體系中，防火墻實(shí)驗(yàn)室系統(tǒng)的建設(shè)有利于培養(yǎng)學(xué)生系統(tǒng)的網(wǎng)絡(luò)安全知識(shí)，激發(fā)學(xué)習(xí)熱情和動(dòng)手能力，提升軟硬件使用能力。通過整合校內(nèi)已有的計(jì)算資源，同時(shí)充分利用校企聯(lián)合研發(fā)模式，建立了基于分散式云存儲(chǔ)、控制器陣列和高速通信網(wǎng)絡(luò)的集成化防火墻系統(tǒng)，解決了現(xiàn)有系統(tǒng)計(jì)算資源不足，通信控制性能較弱，數(shù)據(jù)傳輸速度較慢的問題。此外，提出了極有軟件定義網(wǎng)絡(luò)的新型防火墻安全防防護(hù)技術(shù)，通過實(shí)驗(yàn)分析了所提技術(shù)的優(yōu)越性，該技術(shù)可以大幅度提高校內(nèi)網(wǎng)絡(luò)安全實(shí)驗(yàn)室的科研水平，在保障學(xué)生完成高質(zhì)量實(shí)驗(yàn)的同時(shí)，也可以微笑內(nèi)的教師和科研團(tuán)隊(duì)的進(jìn)一步創(chuàng)新提供保證。