Научная статья на тему 'Имитационное моделирование средств межсетевого экранирования в условиях приоритизации трафика'

Имитационное моделирование средств межсетевого экранирования в условиях приоритизации трафика Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
589
57
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
СЕТЕВАЯ БЕЗОПАСНОСТЬ / МЕЖСЕТЕВОЕ ЭКРАНИРОВАНИЕ / СЕТЕВОЙ QOS / ИМИТАЦИОННОЕ МОДЕЛИРОВАНИЕ / ПОКАЗАТЕЛИ ПРОИЗВОДИТЕЛЬНОСТИ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Мусатов Владислав Константинович, Пшеничников Анатолий Павлович, Щербанская Анна Алексеевна

Межсетевое экранирование является одной из базовых функций обеспечения сетевой безопасности. В качестве средств межсетевого экранирования (СМЭ), выполняющих пакетную фильтрацию, используются как узкоспециализированные средства, так и маршрутизаторы сети с соответствующим программным обеспечением. С целью изучения функционирования СМЭ и получения численных значений показателей производительности разработана математическая модель с использованием аппарата марковских процессов. Для проверки корректности математической модели проведено имитационное моделирование СМЭ, функционирующего в условиях приоритизации трафика. Имитационная модель реализована на языке C# на основе Microsoft.NET 4.0. Результаты имитационного моделирования подтвердили корректность математической модели, позволили снять ряд ограничений, накладываемых выбранным математическим аппаратом, а также получить вероятностно-временные характеристики нахождения пакетов в очереди. В математической модели входящие потоки пакетов (заявок) приняты пуассоновскими, а время обслуживания пакетов принято случайным с экспоненциальным распределением вероятностей. В имитационной модели предусмотрена возможность расчёта показателей производительности при условиях, что время обслуживания пакетов СМЭ является постоянной величиной или случайной величиной с экспоненциальным распределением вероятностей. Кратко описана постановка математическая задачи, задачи на разработку имитационной модели, а так же обобщённый алгоритм имитационной модели СМЭ, функционирующего в условиях приоритизации трафика. Представлены численные значения показателей производительности рассматриваемого СМЭ. Проведено сравнение результатов имитационного и математического моделирования по следующим параметрам: интенсивности обслуженного трафика, проценту потерь и среднему количеству пакетов в очереди. Представлены графические зависимости интенсивность обслуженного потока пакетов, потери пакетов, динамики заполнения пакетной очереди, среднего времени нахождения обслуженных пакетов в очереди от интенсивности суммарного входящего потока пакетов для двух сценариев поведения трафика на входе СМЭ.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Мусатов Владислав Константинович, Пшеничников Анатолий Павлович, Щербанская Анна Алексеевна

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Имитационное моделирование средств межсетевого экранирования в условиях приоритизации трафика»

ИМИТАЦИОННОЕ МОДЕЛИРОВАНИЕ СРЕДСТВ МЕЖСЕТЕВОГО ЭКРАНИРОВАНИЯ В УСЛОВИЯХ ПРИОРИТИЗАЦИИ ТРАФИКА

Мусатов Владислав Константинович,

аспирант, Московский технический университет связи и информатики, Москва, Россия, [email protected]

Пшеничников Анатолий Павлович,

к.т.н., профессор, Московский технический университет связи и информатики, Москва, Россия, [email protected]

Щербанская Анна Алексеевна,

аспирантка, Российский университет дружбы народов, Москва, Россия, [email protected]

Ключевые слова: сетевая безопасность, межсетевое экранирование, сетевой QoS, имитационное моделирование, показатели производительности.

Межсетевое экранирование является одной из базовых функций обеспечения сетевой безопасности. В качестве средств межсетевого экранирования (СМЭ), выполняющих пакетную фильтрацию, используются как узкоспециализированные средства, так и маршрутизаторы сети с соответствующим программным обеспечением. С целью изучения функционирования СМЭ и получения численных значений показателей производительности разработана математическая модель с использованием аппарата марковских процессов. Для проверки корректности математической модели проведено имитационное моделирование СМЭ, функционирующего в условиях приоритизации трафика. Имитационная модель реализована на языке C# на основе Microsoft .NET 4.0. Результаты имитационного моделирования подтвердили корректность математической модели, позволили снять ряд ограничений, накладываемых выбранным математическим аппаратом, а также получить вероятностно-временные характеристики нахождения пакетов в очереди. В математической модели входящие потоки пакетов (заявок) приняты пуассоновскими, а время обслуживания пакетов принято случайным с экспоненциальным распределением вероятностей. В имитационной модели предусмотрена возможность расчёта показателей производительности при условиях, что время обслуживания пакетов СМЭ является постоянной величиной или случайной величиной с экспоненциальным распределением вероятностей.

Кратко описана постановка математическая задачи, задачи на разработку имитационной модели, а так же обобщённый алгоритм имитационной модели СМЭ, функционирующего в условиях приоритизации трафика. Представлены численные значения показателей производительности рассматриваемого СМЭ. Проведено сравнение результатов имитационного и математического моделирования по следующим параметрам: интенсивности обслуженного трафика, проценту потерь и среднему количеству пакетов в очереди. Представлены графические зависимости интенсивность обслуженного потока пакетов, потери пакетов, динамики заполнения пакетной очереди, среднего времени нахождения обслуженных пакетов в очереди от интенсивности суммарного входящего потока пакетов для двух сценариев поведения трафика на входе СМЭ.

Для цитирования:

Мусатов В.К., Пшеничников А.П., Щербанская А.А. Имитационное моделирование средств межсетевого экранирования в условиях приоритизации трафика // T-Comm: Телекоммуникации и транспорт. 2016. Том 10. №12. С. 10-17.

For citation:

Musatov V.K., Pshenichnikov A.P., Sherbanskaya A.A. Simulation modeling of firewall that operates under restrictions of traffic prioritization. T-Comm. 2016. Vol. 10. No.12, pр. 10-17. (in Russian)

Введение

Термины и определения. Под средствами межсетевого экранирования (СМЭ) понимается комплекс программных, аппаратных или программно-аппаратных средств, осуществляющий контроль и фильтрацию трафика в соответствии с заданными правилами фильтрации. Под это определение попадают специализированные межсетевые экраны, а также другие устройства сети, использующие листы контроля доступа (Access lists, ACL) или схожие по функционалу механизмы.

Под приоритизацией обслуживания сетевого графика понимается процесс обслуживания графика, в соответствии с которым часть трафика, критичная к задержкам, уменьшению полосы пропускания и другим показателям качества обслуживания, будет иметь приоритет перед графиком без приоритета обслуживания.

Пакет, поступивший на обслуживание, с точки зрения модели является заявкой на обслуживание. По этой причине в тексте встречаются оба термина, обозначающие одно и то же.

Целями дайной работы являются:

1. Проверка коррелируемости результатов имитационного моделирования СМЭ с результатами математического моделирования, представленными ранее в [1 ];

2. Снятие ряда ограничений, принятых в математической модели;

3. Получение показателей производительности СМЭ, расчёт которых был за труднён с

использованием принятого математического аппарата.

Описание результатов работы выполнено следующим образом. В разделе 1 приведена математическая постановка задачи из [1] и сопутствующая ей постановка задачи на разработку имитационной модели. Раздел 2 содержит описание алгоритма функционирования имитационной модели и принципов её работы. В разделе 3 представлено сравнение показателей производительности СМЭ, полученных с использованием математической и имитационной моделей. Раздел 4 содержит результаты расчётов вероятностно-временных характеристик СМЭ, полученных при условии снятия ряда ограничений, принятых в математической модели. В разделе 5 представлены выводы по результатам имитационного моделирования.

I. Постановка задачи

1.1. Математическая постановка задачи

Рассматривается однолинейная система массового обслуживания (далее - СМО) с ограниченным накопителем длины L. В накопителе может находиться i приоритетных заявок и/ непрпаритетных заявок при условии, что /+ ¡<L-

В систему поступают два независимых пуассоновских потока заявок с интенсивностями } и Л2- Обслуживание па приборе состоит из Мфаз, время обслуживания заявок на которых имеет экспоненциальное распределение с параметрами

-для первой фазы и ^ -для остальных (Д/-1) фаз. Приоритетные заявки имеют относительный приоритет в обслуживании н абсолютный приоритет в постановке в очередь, по сравнению с неприоритетными заявками. При наличии в Очереди заявок обоих потоков на обслуживание поступает приоритетная заявка, а неприоритетная заявка может поступить на обслуживание только тогда, когда в очереди нет

приоритетных заявок. Если накопитель полностью заполнен и поступает приоритетная заявка, то она вытесняет из накопителя последнюю поступившую неприоритетную заявку (при ее наличии) и сама занимает место в накопителе. Заявки одного потока обслуживаются в порядке поступления (дисциплина Н1КО) [I ].

Схематическое изображение математической модели представлено на рис. 1.

Очередь, объём L

Деление iia i; р |' : 111. u:i. |ыс очереди

Очередь Очередь

приоритетных нсприоритетиых

пакетов: пакетов:

2 2

i j

L Фаза

обсодвивання 2

Г \ г

— SI"

!>:.:: ;i |>. > | м 1ДОСТ0В

f ]txniерё/nellh сбрэбо: K.i првБНЛ фвзьтр&цнн

Рис. I, Модель функционирования СМЭ с учётом ариоритизашш трафика

Случайный процесс |аг(/),1>0}< описывающий поведение СМО, принят марковским с непрерывным временем и дискретным множеством состояний:

X = Х() и Ху

где

Хй ={(0.0.0)},^ = {(/,Д),0</<1.0< =

,, - стационарная вероятность того, что система нахо-

днтся в состоянии (/, ;,к), т.е. в накопителе находится / приоритетных заявок.} неприоритетных заявок, и на приборе обслуживается заявка на фазе под номером к.

Стационарное распределение вероятностей существует и удовлетворяет системе уравнений равновесия, представленной в [I],

Допущения, принятые в математической модели

Допущение 1. В модели преиебрегается разницей в методах распознавания приоритетов пакета. Это допущение влияет па статическую задержку, вносимую в процесс обслуживания трафика. К примеру, проверка меток на канальном и сетевом уровнях будут производиться с разной задержкой по причине необходимости распаковки пакета.

Допущение 2. Входящий поток - простейший. Это обусловлено тем, что взаимное наложение большого числа матых независимых ординарных потоков с различным последействием {теорема Хинчина), а также преобразование потока в сети в пределе даёт поток, близкий к простейшему [2].

Допущение 3. Входящих потоков всею два: С приоритетом обслуживания и без приоритета. Допущение было принято для уменьшения количества состояний системы и, как следствие, уменьшения ресурсов, необходимых для машинных расчётов по математической модели.

Допущение 4. Оба входящих потока активируют одно и то же правило на позиции «Ь». Допущение использовано в целях снижения количества состояний системы при расчёте

T-Comm Vol. 10. #12-2016

no математической модели. Его можно обойти способом, предложенным в [3|.

Допущение 5. В большинстве программно-аппаратных реализаций СМЭ, в том числе Cisco ASA, Juniper SRX, пакеты поступают в буфер сетевой карты (NIC Memory), а затем через кольцо прямого доступа к памяти (DMA Ring) их переводят в основную память (Main memory) устройства [4]. Этот процесс в модели не рассматривается.

1.2. Постановка задачи на разработку имитационной модели

Объектом имитационного моделирования является СМЭ, функционирующее в условиях приоритизации сетевого графика. Имитационная модель воспроизводит процесс обслуживания, принятый в математической модели, представленной на рис. I.

На вход имитационной модели поступают два потока пакетов (заявок) с интенсивное)ями Д и я,. Время между

приходом пакетов является случайной величиной, распределённой по экспоненциальному закону.

Пакеты попадают в пакетный буфер (очередь). Обслуживающий прибор обращается к очереди и выбирает из неё пакет в соответствий с принятой моделью обслуживания. Время обслуживания пакета может быть постоянной величиной или случайной величиной, распределённой по экспоненциальному закону.

Особенности имитационной модели

Имитационная модель является проектом с открытым исходным кодом.

В имитационной модели реализованы источники случай-пых чисел, функционирующие по следующим алгоритмам: алгоритму Вихря Мерсенна {Mersenne Twister 19937 generator) [5] и модифицированному алгоритму Donald Е. Knuth's, используемого в основе класса System.Random в языке С# с .Net Framework 1.1 [6,7].

Все величины, зависящие от времени, в имитационной модели имеют размерность на абстрактную единицу времени. Это подразумевает, что пользователь имитационной модели должен вводить значения в одинаковой размерности, например все временные характеристики в наносекундах или в микросекундах и т.п. Выходные величины будут иметь гу же размерность, что и входные величины. Такой подход усложняет работу пользователя, но позволяет не использовать внут реннего приведения величин к единой размерности.

Пакет, поступающий из очереди на обслуживание, продолжает занимать место в очереди до окончания обслуживания. Это имитирует занятие пакетом памяти устройства, выделенной под очереди, хотя могут быть реализации устройств межсетевого экранирования, в которых пакет, попавший на обслуживание, переносится в выделенный участок памяти, не связанный с очередью. По окончании процесса обслуживания пакет покидает очередь и СМО в целом,

2. Алгоритм функционирования имитационной модели

Моделирование процесса обслуживания, принятого в математической модели, выполнено на основе концепции дискретно-событийную моделирования.

Первоначально авторы работы планировали использовать систему имитационного моделирования GPSS World, но в ней затруднительно было реализовать принятый в математической модели процесс обслуживания.

Формат статьи не позволяет представить полную схему алгоритма имитационной модели, поэтому представлены обобщённые схемы. Основные принципы построения алгоритма заимствованы из [8].

Элементы алгоритма, имеющие затемнённый фон, обозначают стартовые точки программы, а также стартовые точки циклов (внутреннего и внешнего).

Базовый цикл алгоритма (рис, 2) предназначен для ввода/вывода данных, выполнения заданного количества реализаций, подсчёта результатов моделирования.

Запуск имитационной модели вызывает появление пользовательского графического интерфейса (graphic user interface, GUI), обеспечивающего в вод/вы вод данных и настройку параметров модели. Запуск процесса моделирования происходит по команде пользователя (нажатию кнопки запуска).

При запуске Процесса моделирования происходит обнуления внутренних переменных: счётчиков, статистики, а также отчистка очереди. В течение процесса моделирования очищаются переменные, используемые внутри одной реализации, результаты по каждой реализации хранятся отдельно и очищаются после вывода результатов работы модели.

Внешний цикл алгоритма (рис. 3) предназначен для генерации пакетов, установки и контроля временных ограничителей (меток времени), а также работы с очередью,

С точки зрения СМО могут быть «попавшие в систему» пакеты, которые пришли на её вход в течение прошедшего модельного времени, или «ожидающие прихода» пакеты, которые прибудут в систему в будущем. Модель всегда знает об одном «ожидающем прихода» пакете, который прибудет в систему в ближайшее время. Это необходимо для обеспечения корректного (поочерёдного) появления событий в системе.

Внутренний цикл алгоритма (рис. 4) предназначен для имитации обработки пакетов.

Сначала проверяется наличие пакета на Обработке, и если его нет, то обработчик обращается к очереди и пытается получить из неё пакет в соответствии с принятой моделью обслуживания. Пакет может остаться на обработке в том случае, если на предыдущей итерации внутреннего цикла было обнаружено, что до окончания его обработки должен прийти пакет «ожидающий прихода». В этом случае будет вызвано прерывание внутреннего цикла алгоритма, после чего произойдёт возврат к внешнему циклу. Модель же будет помнить о том, что на обработке уже находится пакет.

Внутренний цикл будет брать пакеты из очереди на обработку пока не кончатся пакеты в очереди или не будет достигнут временной ограничитель.

При возвращении во внешний цикл алгоритма будут производиться следующие операции: проверка на окончание реализации но модельному времени, попытка помещения пакета «ожидающего прихода» в очередь (пакет станет «попавшим в систему»).

Если модельное время не истекло, то модель попытается поместить пакет в очередь в соответствии с принятой моделью обслуживания, после чего внешний цикл повторится. Если модельное время истекло, то будет вызвано прерывание внешнего цикла и система вернётся в базовый цикл алгоритма. Возврат в базовый цикл алгоритма происходит при истечении модельного времени одной из реализаций, что потребует рассчитать результаты реализации.

T-Comm Уом 10. #1 2-2016

Ввод исходных данных, через GUI, запуск по команде пользователя

i

Увеличивается количество реализаций на 1(по умолчанию значение равно 0)

Обнуляются переменные, действующие внутри реализации

I_._

«внешний цикл* (Генерация пакетов, имитация обработки пакетов во внутреннем цикле)

Рассчитываются результаты реализации

Количество реализаций превысило лимит?

Рассчитываются результаты моделирования по всем реализациям

Вывод результатов в файл resutU.csv и средних значений в GUI

нет Пользователь

закрывает рабочее окно программы?

Вырабатывается пакет на будущее t,t (при старте 1» Of

Устанавливается

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

СЖуТОЧКЫЙ flpÎMÏ

о*раничитель

прибытия мкетя мет

< модельного времени

Ограничитель

»внутренний шик/ (Имитация обработки п

Т

время

/ прибытия!,., пакета

Ï

L.i паке

Î

Добавляем to пакет в очередь

?т ... Текущее ■ количество пакетов в очереди "больше максимальною

±

выбшсынем из очереди пакет в соответствии с принятой модель« обсл уживзнкя очереди

Рис. 2, Базовый цикл алгоритма

Рис. 3, Внешний цикл алгоритма

Есть ли на обработке пакет?

в Очереди? 1 г

Выбирается из очереди пакет на обработку в соответствии с выбранной моделью обслуживания Очередь пуста

-1 .

время

окончания обработки пакета 1

Пакет обработан, удаляем пакет из очереди

Break

Выход из «Внутреннего циклам

Если заданное количество реализаций не достигнуто, го система вернётся в начало базового цикла и начнёт моделирование следующей реализации, если произошло обратное, то будет произведён расчёт статистики по всем реализациям. По окончании расчёта будет произведён вывод результатов в GUI и отчётный файл, интерфейс программы разблокируется и можно будет поменять исходные данные или закрыть программу. Имитационная модель написана на языке С#, в среде Microsoft Visual Studio на основе Microsoft .NET 4.0.

Для пользовательского интерфейса использовалась платформа WPF 4.0. Она входит в Microsoft.NET 4.0, в дополнение при проектировании пользовательского интерфейса использовался паттерн MVVM (mode! - view - view model).

Для построения приложения на основании паттерна De-pendcncy Injection использовалась библиотека Microsoft Unity2.0, а именно её 1оС-контейнер Unity.

Рис. 4. Внутренний никл алгоритма

Для реализации источников случайных чисел использовались штатная библиотека System.Random, входящая в состав Microsoft.NET 4.0 и сторонняя библиотека Math.NET Numeric, распространяемая по лицензии MIT/X11.

3. Сравнение результатов расчётов, полученных с использованием математической и имитационной моделей

В качестве системы компьютерной алгебры и математического моделирования использовалась Wolfram Mathe-matica 10.0.1.0 [9].

За исходные данные приняты следующие значения: количество фаз обслуживания М-30 (1 комплекс проверок + 29 правил фильтрации), количество мест в очереди ¿=30, параметры распределения длительности обслуживания = 2-107,^ = 3.77-10" взято из [3]. Предельный поток трафика, который может обслужить СМО при таких исходных данных, равен = 243919 пакетов в секунду, эту точку будем называть «точкой отказа». Моделыtoe время - 30 секунд. Количество реализаций, принятое в имитационной модели, равно 30.

Результаты имитационного моделирования и доверительный интервал

В имитационной модели автоматически рассчитывается предел погрешности по распределению Стьюдента.

Измерения, полученные с использованием имитационной модели, имеют предел погрешности от 0,01 до 0,5% от исследуемых средних значений показателей производительности. Это объясняется тем, что при заданных условиях в рамках одной реализации в систему поступает от 6,5 до

T-Comm Vol. 10. #12-2016

У

Т-Сотт Том 10. #1 2-2016

T-Comm Vol. 10. #I2-201 б

Дня неприоритетных пакетов до точки отказа, как и следовало ожидать, время нахождения в очереди при постоянном времени обслуживания меньше, чем при экспоненциальном распределении вероятностей времени обслуживания. После точки отказа имеет место обратная зависимость. При дальнейшем роете интенсивности входящего потока (на графике после 280 тыс, вызовов в сек.) время нахождения в очереди неприоритетных пакетов уменьшается из-за вытеснения их из очереди приоритетными пакетами. После вытеснения всех неприоритетных пакетов из очереди поток приоритетных пакетов начнёт вести себя аналогично потоку неприоритетных пакетов в первом сценарии.

Выводы

1. Результаты имитационного моделирования подтвердили соответствие математической модели поставленной задачи моделирования процессов функционирования СМЭ в условиях приори I изации графика.

2. Сравнение времени нахождения в очереди обслуженных пакетов при случайной длительности обслуживания, распределённой по экспоненциальному закону вероятностей, и при постоянной длительности обслуживания показало, что при отсутствии потерь пакетов и при постоянной длительности обслуживания задержка в очереди примерно в два раза меньше, чем при случайной длительности обслуживания, что соответствует результатам, приведенным в [10].

3. При наличии потерь неприоритетных пакетов время нахождения в очереди больше при постоянной длительности обслуживания, чем при случайной длительности с экспоненциальным законом распределения вероятностей. При увеличении интенсивности входящего потока пакетов различие между временами нахождения в очереди уменьшается.

4. При приближении интенсивности приоритетного потока пакетов к точке отказа создаётся опасная ситуация для «бесконечной» циркуляции неприоритетных пакетов в

очереди. Такая ситуация возможна при распределении по очередям по методу priority queuing.

1. Мусатов В.К., Щербанская А.А. Математическое моделирование средств межсетевого экранирования в условиях приоритиза-ции трафика И T-Comm: Телекоммуникации и транспорт. 2015. Том 9. №8. С. 47-57.

2. Назаров A.M., Сычёв К.И. Модели и методы расчёта показателей качества функционирования узлового оборудования структурно-сетевых параметров сетей связи следующего поколения. М,: Изд-во ООО «Пол и ком». 2011. 491 с.

3. Saiah К., Elbadawi Е.. Boutába R. Performance Modeling and Analyses of Network Firewall // IEEE Transactions on network and service management, vol. 9, no. 1, March, pp 12-21.

4. OssipovA. Maximizing Firewall Performance (BRK.SEC-3021) // Cisco Conference, Orlando. - 2013. [Электронный ресурс]. L'RL: lutp://www.alcatron,net/Cisco%20Live%2020l3%20Melbourne/Cisco %20L i ve%20Content/Security/B R KSEC-3021%20%20Maxiitiising% 20FirewalR420Performance.pdf (дата обращения 16.09.2016).

5. Вихрь Мерсенна // Материал Вики меди и (wikipedia.org) littps://ru.wikipedia.org/wiki/%D0%92%D0%B8%Dl%85%Dl%80%D 1 %8C_%D0%9C% D0% В 5%D I %80%D l%81 %DO%B5%DO%BD%D 0%ВD%D0%В0 (дата обращения 07.07.2016).

6. Random - класс // Microsoft MSDN [Электронный ресурс]. URL: https://msdn.m¡Qrosoft.com/ru-ru/l i braiy/system.random( v=vs. 110). aspx (дата обращения 16.09.2016),

7. Kniith D.E. The Art of Computer Programming, Volume 2: Semi-numerical Algorithms. Addison-Wesley, Reading, MA, third edition, 1997, xiv+762pp, ISBN 0-201-89684-2.'

8. Бусленко Н.П. Моделирование сложных систем. М.: Изд-во «НАУКА». 1968.355 с.

9. Обзор продукта Wolfram Maihematica [Электронный pecypej. URL: http://www'.woifram.com/mathcmatica/?source=nav (дата обращения 16.09,2016),

10. Клейнрок J1. Вычислительные системы с очередями. Пер. с англ. под ред. Б.С. Цыбакова. М,: Мир, 1979. 600 с.

Литература

T-Comm Том 10. #1 2-2016

COMMUNICATIONS

SIMULATION MODELING OF FIREWALL THAT OPERATES UNDER RESTRICTIONS

OF TRAFFIC PRIORITIZATION

Vladislav K. Musatov, postgraduate student, Moscow Technical University of Communications and Informatics,

Moscow, Russia, [email protected] Anatoliy P. Pshenichnikov, candidate of technical sciences, Professor, Moscow Technical University of Communications

and Informatics, Moscow, Russia, [email protected] Anna A. Sherbanskaya, postgraduate student, People's Friendship University of Russia, Moscow, Russia,

[email protected]

Abstract

Firewalling - one of the basic functions of network security. As firewalls that perform packet filtering, can be used both highly specialized tools, as well as network routers with appropriate software. For the purpose of firewall performance research and performance metrics numerical values calculation a mathematical model was developed using Markov process. To verify correctness of mathematical model was performed a simulation modeling of firewall that operates under restrictions of traffic prioritization. Simulation model is implemented in C# based on Microsoft .NET 4.0. Simulation results confirmed the correctness of the mathematical model and allowed to remove series of restrictions stipulated by the selected mathematical apparatus, as well as obtain firewall queue and its time metrics. In the mathematical model incoming packets (requests) flows taken as Poisson, and packets processing time taken as random variable with an exponential distribution. The simulation model allows to calculate performance metric with the assumption that packet processing time may be a constant as well as a random variable with an exponential distribution. The paper briefly describes formulation of the mathematical problem, simulation model developing problem, and a generic algorithm of firewall simulation model that operates under restrictions of traffic prioritization. Numerical values of firewall performance metrics are presented. Performed a comparison of the results of simulation and mathematical modeling by the following parameters: handled traffic intensity, packet loss percent and the average queue filling. Shown a graphical representation of served packet stream intensity, packet loss percent, dynamic of queue filling, the average time that served packets spend in queue on the total packet incoming flow intensity for the two traffic behavior scenarios on firewall inbound interface.

Keywords: network security, firewalling, network QoS, simulation modeling, performance metrics. References

1. Musatov V.K., Sherbanskaya A.A. Mathematical modeling of firewalling device in context of traffic prioritization. T-Comm. 2015. Vol 9. No.8, pp. 47-57. (in Russian)

2. Nazarov A.N., Sichov K.I. Modeli i metodi rascheta pokazateley kachestva funkcionirovaniya uzlovogo oborudobanuya strukturno-sete-vih parametrov setey svyazi sleduyushego pokoleniya, Policom [Models and methods for calculating the performance indexes of node equipment functioning and structural-network parameters of next generation networks], 2011, 49lpp, ISBN 978-5-94876-093-3

(in Russian)

3. Salah K., Elbadawi E., Boutaba R. Performance Modeling and Analyses of Network Firewall / IEEE Transactions on network and service management. Vol. 9. No. 1, March. Pp. 12-21.

4. Ossipov A. Maximizing Firewall Performance (BRKSEC-3021). - Cisco Conference, Orlando. - 2013. Available at: http://www.alca-tron.net/Cisco%20Live%202013%20Melbourne/ Cisco%20Live%20Content/Security/BRKSEC3021 %20%20Maximising%20Firewall%20 Performance.pdf (Accessed 16 august 2016).

5. Mersenne twister // Wikipedia material (wikipedia.org) [in Russian]. Available at: https://ru.wikipedia.org/wiki/%D0%92%D0%B8% Dl%85%Dl%80%Dl%8C_%D0%9C%D0%B5%Dl%80%Dl%8l%D0%B5%D0%BD%D0%BD%D0%B0 (Accessed 07 august 2016).

6. Random - class // Microsoft MSDN. Available at: https://msdn.microsoft.com/ru-ru/library/system.random(v=vs.ll0).aspx (Accessed l6 august 20l6).

7. Knuth D.E. The Art of Computer Programming, Volume 2: Seminumerical Algorithms. Addison-Wesley, Reading, MA, third edition, l997, xiv+762 pp. ISBN 0-20l-89684-2

8. Buslenko N.P. Modelirovanie slojnih system [Complex system modelling]. Moscow. NAUKA. l968. 355 p. (in Russian)

9. Product reference // Wolfram Mathematica. Available at: http://www.wolfram.com/mathematica/?source=nav (Accessed l6 august 20l6).

10. Kleinrock L Queueing Systems: Volume II - Computer Applications. Translation edit by Cibacov B.S. Moscow. Mir, l979. 600 p.

(in Russian)

i Надоели баннеры? Вы всегда можете отключить рекламу.