高效数据包过滤器部署算法

摘要

整合在路由器上的数据包过滤功能是网络安全的第一道防线,对保护网络的安全有着至关重要的作用。当前的研究主要侧重于对数据包的检测和过滤,忽略了数据包过滤器的部署问题,如果对其部署得当,能极大改善网络的性能和效率。在大规模的网络中,数据包过滤器被部署在管理网络的边界上,即信任网络和非信任网络之间。一般情况下,数据包过滤器被部署在网络边界的每一个路由器上,由于需要遍历路径上的过滤器,大量的时间和空间被消耗,容易造成时延、拥塞、丢包等问题,降低网络的效率。本文依据最短路径优先的思想,提出了一种新的部署算法,通过对比边界上各种风险,移除有操作风险的边界,产生一条最短虚拟路径,更加有效地部署过滤器的位置,给内部节点之间的信任网络提供保护,并使用基于风险的方法对虚拟边界进行离线计算。实验结果表明,使用该算法后,过滤器的数量减少20%～50%,网络的延迟时间变小,网络的连通性也得到改善。