математическая модель работы межсетевого
«к*
экрана для мультимедийного трафика
Ботвинко Анатолий Юрьевич,
институт криптографии, связи и информатики, аспирант, Россия, Москва, botviay@sci.pfu.edu.ru
Самуйлов Константин Евгеньевич,
д.т.н., профессор, Российский университет дружбы народов, зав. кафедрой прикладной информатики и теории вероятностей, Россия, Москва, ksam@sci.pfu.edu.ru
Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 14-07-00090.
Ключевые слова: межсетевой экран, система массового обслуживания, вероятностно-временные характеристики, обслуживание трафика, производительность, имитационная модель.
Наиболее распространенным средством защиты сети и серверных ресурсов от неавторизованного доступа и вредоносных атак являются межсетевые экраны, представляющие собой программные или аппаратно-программные средства контроля сетевого трафика на основе механизма фильтрации пакетов в соответствии с заданными правилами. Необходимо отметить наличие дополнительных средств защиты в современных межсетевых экранах, устанавливаемых на границе нескольких автоматизированных систем, тем самым расширяется функционал межсетевых экранов. В доступной литературе зачастую встречается описание технологии межсетевого экранирования без математической и инженерно-технической проработки, а также практические рекомендации по применению межсетевого экранирования. Авторами предлагается разработка и исследование модели межсетевого экрана для последующего анализа его производительности в виде системы массового обслуживания (СМО) с двумя входящими потоками заявок. Характеристики моделируемого межсетевого экрана соответствуют модели Cisco ASA 5500-X. Целью исследования является построение модели процесса обслуживания трафика в межсетевом экране, вычисление и анализ вероятностно-временных характеристик, связанных с межсетевым экраном. Производительность межсетевого экрана зависит от типа обрабатываемого трафика. Для разработанной модели процесса обслуживания трафика в межсетевом экране проведен анализ характеристик в виде системы массового обслуживания с заявками разных типов. Полученные аналитические соотношения позволяют произвести оценку задержки, создаваемой межсетевым экраном при прохождении трафика и оценку показателей эффективности обработки трафика. При проведении исследования использовались методы теории вероятностей, теории случайных процессов, теории массового обслуживания. Область применения модели - анализ межсетевых экранов, таких как пакетный фильтр, инспектор состояний. Целью анализа является оценка параметров качества передачи мультимедийного и сигнального трафика. Построена математическая модель межсетевого экрана, описан процесс обслуживания трафика в межсетевом экране, разработана имитационная модель процесса обслуживания трафика с разнотипными заявками, с помощью имитационной модели проведен численный анализ показателей эффективности функционирования межсетевого экрана.
Для цитирования:
Ботвинко А.Ю., Самуйлов К.Е. Математическая модель работы межсетевого экрана для мультимедийного трафика // T-Comm: Телекоммуникации и транспорт. - 2015. - Том 9. - №12. - С. 56-60.
For citation:
Botvinko A.Yu., Samouylov K.E. Mathematical model of the firewall for multimedia traffic. T-Comm. 2015. Vol 9. No.12, рр. 56-60.
(in Russian).
m
T-Comm Том 9. #12-2015
Таблица 1
Производительность межсетевого экрана С модулями SSP
Введение
Межсетевой экран инспектирует входящие пакеты поочерёдно от правила к правилу до нахождения совпадения. При такой проверке МЭ вносит задержку в передачу трафика по сети. Недостатком использования МЭ является то, что мультимедийные приложения использующие протоколы IP-телефонии (Н.323, MGCP, Н.248, SIP) чувствительны к длительности задержки передачи пакетов и предъявляют повышенные по сравнению с обычными приложениями требования к производительности МЭ. При этом время передачи пакетов сигнального трафика оказывает влияние на время установления соединения (session setup delay). Если необходимое время установления сессии достаточно велико, то качество связи для пользователя мультимедийного приложения является неприемлемым [1, 8], поэтому одной из актуальных задач является обеспечение необходимого качества обслуживания (QoS, Quality of Service) при использовании МЭ,
Строится модель межсетевого экрана Cisco ASA 5500-Х с обслуживающим модулем (Security Service Processor -SSP) SSP-10 для оценки основных вероятностно-временных характеристик МЭ с заданной пропускной способностью МЭ и нагрузкой входящего трафика, зависящей от скорости поступления и размера пакетов, В статье описана архитектура модуля SSP и процесс обработки пакетов МЭ, приведены формальная математическая модель МЭ Cisco и формулы для расчета емкостных и вероятностно-временных характеристик (ВВХ) системы, представлены результаты имитационного моделирования МЭ. Заключение статьи содержит основные выводы исследования и задачи дальнейших исследований.
Общие сведения об архитектуре модуля SSP10
и обработки поступающих пакетов
Cisco ASA 5500-Х является высокопроизводительным межсетевым экраном нового поколения, обеспечивающим контроль содержания проходящих сетевых пакетов с целью выявления попыток несанкционированного доступа или злоупотребления сетевыми ресурсами.
В зависимости от используемого обслуживающего модуля SSP (Security Service Processor) межсетевой экран имеет различные показатели производительности: максимальную и реальную пропускную способность для различных типов трафика, количество одновременных подключений, максимальное количество подключений, среднее время задержки и т.д. Наиболее затратными с точки зрения производительности являются пакеты наименьшего размера 64 Байта. В таблице 1 в соответствии с данными компании Cisco приведена пропускная способность межсетевого экрана Cisco ASA 5500-Х [2,3].
T-Comm Vol.9. #12-2015
Тип трафика Пропускная способность модуля SSP
SSP-10 SSP-20 SSP-30 SSP-40
Большие 4 Гбит/с 10 Гбит/с 20 Гбит/с 35 Гбит/с
пакеты
(1500 Байт)
Пакеты 106 2 ■ 10й 2 ■10" 107
наименьшего пак./с пак./с пак./с лак./с
размера {64 Байта)
1гл1х-трафик 2 Гбит/с 5 Гбит/с 10 Гбит/с 20 Гбит/с
Можно выделить следующие основные компоненты модуля SSP: сетевая карта (Network Interface Card -NIC) с двумя интерфейсами пропускной способностью 10 Гбит/с, оперативное запоминающее устройство емкостью от 2 до 6 ГБ, комплекс центральных процессорных устройств (ЦПУ), для модуля SSP-10 - одно четы-рехядерное ЦПУ [4,5] (см. рис. 2).
Входящие пакеты в межсетевом экране обслуживаются в несколько этапов. На первом этапе входящие пакеты принимаются сетевой картой. Каждый интерфейс сетевой карты имеет буфер для приема пакетов. При заполненном буфере приема пакеты теряются. На втором этапе, используя механизм прямого доступа к памяти (ПДП - Direct Memory Access - DMA), пакеты копируются в кольцо ПДП (Receive descriptor ring - RX), затем передаются в оперативное запоминающее устройство (ОЗУ). Механизм прямого доступа к памяти позволяет произвести максимально быстрый обмен данными между сетевой картой и ОЗУ без участия комплекса ЦПУ [6]. RX и ТХ (Transmit descriptor ring) являются разделяемыми структурами, связывающими физический уровень сетевой карты с комплексом ЦПУ. На третьем этапе происходит обработка комплексом ЦПУ пакетов на канальном и сетевом уровне сетевой модели OSI (open systems interconnection basic reference model), затем осуществляется проверка правил межсетевым экраном этих пакетов. Комплекс ЦПУ периодически сканирует кольца для продвижения пакетов и выделения свободных блоков ОЗУ. Первые три этапа (см. рис. 1) в соответствии с терминологией производителей Cisco называется «ingress frame processing». На последнем, четвертом этапе, происходит процесс передачи пакетов на выходной интерфейс («egress frame processing»). Процесс выполняется в обратном порядке: комплекс ЦПУ, используя механизм прямого доступа к памяти, копирует обработанный пакет из блока ОЗУ в слот кольца ТХ, далее пакет отправляется в выходной буфер интерфейса сетевой карты [2].
7Т\
Комплекс ЦПУ
Ethernet NIC
ingress frame processing
FtX descriptor slot
10Gb interface 1 -j—►
10Gb Interface 2
egress frame processing
TX descriptor slot
ingress FIFO queues ^ TX descriptor slot
/V----,/\ egress FIFO queues
ingress FIFO queues
■■■иПНраи
Ethernet Nie
10Gb Interface 1
locb interface г
Рис. 1. Основные компоненты обслуживающего модуля SSP
Слоты RX\
Буфер 1 (очередь Qt) емкость >\ пакетов
Буфер 2 (очередь )
емкость г, пакетов ■4---
К
П-, пакетов
Л—=---►
©
у ОЗУ (очередь Qu )
емкость /;. пакетов •*--►
кол и чес вто ядер ЦПУ N=4
О
п„ пакетов
0
Рис. 2. Схема обслуживания заявок в модели межсетевого экрана
Модель межсетевого экрана в виде системы массового обслуживания
Математическая модель МЭ представляет собой двухфазную систему массового обслуживания с ожиданием и дисциплиной обслуживания FIFO (First in, First Out - «первым пришёл - первым ушёл»), которая в соответствии с классификацией Башарина - Кендалла СМО имеет следующий вид: M|M|r3|ri
t G | М | N | г о M|M|r4|r2"^ 'if"
где rt, - емкости буферов приема сетевой карты МЭ, гъ, г4, - количество слотов колец прямого доступа к памяти (ПДП), г0 - свободные блоки ОЗУ, N - количество ядер процессорного комплекса. СМО схематично представлена на рис. 2, Множество состояний СМО имеет вид
5 = {(П\,П2,ПУ). О < «[ < г, + г3, 0 < «, < г2 +г4, 0 £ п} < г„ +
где к\ - суммарное количество пакетов в буфере приема первого интерфейса (очередь ) и пакетов обрабатывающихся в первом кольце ПДП, к2 - суммарное количество пакетов в буфере приема второго интерфейса (очередь Ог) и пакетов обрабатывающихся во втором кольце ПДП, къ - суммарное количество пакетов в ОЗУ (очередь 0,) и обрабатывающихся в комплексе ЦПУ. СМО имеет очереди, которые соответствуют буферам приема сетевой карты - Й иЙ, с соответствующими длинами очередей - /¡,г,. При «1 > г, + гг или п2 > г2 + г4 входящие пакеты отбрасываются (см. рис. 2).
В качестве оцениваемых показателей качества двухфазной СМО исследовано среднее время пребывания пакета и вероятность потери пакетов. На основа-
Заключение
нии полученных показателей рассчитывался индекс качества модели межсетевого экрана:
,Xe{TsJD,L}>
где Ts - время установления соединения, TD - временная задержка и L - потери. Для анализа показателей СМО разработана имитационная модель в среде GPSS World.
Имитационная модель межсетевого экрана
Имитационное моделирование межсетевого экрана проводилось в следующих условиях: входящие пакеты поступают с двух интерфейсов NIC согласно экспоненциальному закону со скоростью 10 Гбит/с для каждого интерфейса. Размер пакетов наименьший - 64 Байта. Буферы для приема пакетов - 48 КБ, Кольца ПДП для каждого интерфейса имеют 255 слотов. В процессорном комплексе 4-е программных ядра. На рис. 3 изображены графики зависимости числа обработанных и потерянных пакетов от времени работы МЭ.
Заметим, что при данных нагрузочных параметрах и емкостных характеристик МЭ время пребывания пакета в буферах приема на несколько порядков больше, чем суммарное время пребывания пакета в очереди к процессорному комплексу и времени обработки пакета процессором, поэтому переполнение входных очередей МЭ невозможно в режиме функционирования системы без перегрузок.
процесс обслуживания пакетов МЭ
Рис. 3. Зависимость числа обработанных и потерянных пакетов от времени работы межсетевого экрана
В статье представлены результаты исследований по разработке модели межсетевого экрана в терминах теории массового обслуживания. Для численного анализа показателей эффективности межсетевого экрана была разработана имитационная модель с помощью которой для близких к реальным исходным данным оценено число обработанных и потерянных межсетевым экраном пакетов. Предметом дальнейших исследований является построение и анализ аналитической модели межсетевого экрана и сравнение ее вероятностно-временных характеристик с результатами имитационного моделирования с учетом построения баз правил фильтрации [71.
1. Roedigand U, Schmitt J, 2004, 'Performance Modelling and Evaluation of Firewall Architectures for Multimedia Applications', Computer Science, Springer Verlag, Berlin, P. 1-2,
2. Andrew, O, 2014, Maximizing Firewall Performance BRKSEC-3021 2014, viewed 1 December 2014, h ttp ://d2zmd bb m9feq rf.clo udfront. nety 2013/ u sa/ pdf/ B R KSEC-3021. pdf.
3. Довгань Ю. 2014, ASA 5585-Х Новые устройства в линейке ASA 5500 2014, viewed 1 December 2014, http://www.cisco.com/web/UA/training/events/pdf/ASA5585_ydo vgan.pdf.
4. Frahim, J, Santos, O, Osipov, A. 2014, 'Cisko ASA: All-in-One Next-Generation Firewall, IPScand VPN Services', Cisko Press, Indianapolis, pp. 173-191.
5. Rasovic, S, Cisco Advanced ASA Firewalls Inside-Out BRKSEC-3660 2014, viewed 1 Marth, 2015, http://www,a lcatron.net
6. Гребешков А.Ю. Микропроцессорные системы и программное обеспечение в средствах связи // ПГУТИ, 2009. -С. 298.
7. Мусатов В.К. Обоснование эффективности применения автокоррекции баз правил фильтрации в средствах межсетевого экранирования // T-Comm - Телекоммуникации и Транспорт. - 2014. - № 8, - С. 68-72.
8. Basharin, G.P., Gaidamaka, Yu.V. and Samouylov, K.E. 2013, 'Mathematical Theory of Teletraffic and Its Application to the Analysis of Multiservice Communication of Next Generation Networks', Automatic Control and Computer Sciences, Vol. 47, Issue 2, pp. 62-69.
Литература
r r\
MATHEMATICAL MODEL OF THE FIREWALL FOR MULTIMEDIA TRAFFIC
Botvinko Anatoly, Cryptography Institute of Communications and Informatics, Moscow, Russia,
botviay@sci.pfu.edu.ru
Samouylov Konstantin,
Prof., Head of Applied Probability and Informatics DepartmentPeoples' Friendship University of Russia, Moscow,
ksam@sci.pfu.edu.ru
The reported study was partially supported by RFBR, research project No 14-07-00090.
Abstract
Most well-known method of network protection and server resources from unauthorized access and injurious attack are firewall. It is software or hardware-software tools for control net traffic based on technology filtering packets in compliance with fixed rules. In this paper are created and explored firewall model Cisco ASA 5500-X express as queue system with two incoming arrivals for testing it processing power. The subject of research is firewall model Cisco ASA 5500-X. The aim of research is create model of process service traffic in firewall, estimate and explore it characteristics (finding parameters of quality transference multimedia and signal traffic). Space of model from article is research firewall as packet filter, stateful inspection. Processing power firewall depends on type of processed traffic. Therefore created model was examination for various types of arrivals. The rule service of arrivals in queue system is exponential. Process of services traffic firewall describe by markovian processes.
Keyword: firewall, queue system, time-probability characteristics, service traffic, processing power.
References
1. Roedigand U, Schmitt J, 2004, 'Performance Modelling and Evaluation of Firewall Architectures for Multimedia Applications', Computer Science, Berlin, pp. 1-2.
2. Andrew, O, 2014, 'Maximizing Firewall Performance' BRKSEC-3021, viewed 1 December 2014, http://d2zmdbbm9feqrf.cloud-front.net/2013/usa/pdf/BRKSEC-3021.pdf.
3. Dovgan, U, 2014, ASA 5585-X New devices in series ASA 5500 2014, viewed 1 December 2014, http://www.cisco.com/web/UA/training/events/pdf/ASA5585_ydovgan.pdf. (in Russian)
4. Frahim, J, Santos, O, Osipov, A, 2014, 'Cisco ASA: All-in-One Next-Generation Firewall, IPScand VPN Services', Cisco Press, Indianapolis, pp. 173-191.
5. Rasovic, S, 2014, 'Cisco Advanced ASA Firewalls Inside-Out BRKSEC-3660', viewed 1 Marth 2015, http://www.alcatron.net
6. Grebeshkov, À, 2009, 'Microprocessor systems and software in communication', PGTUI, P. 298. (in Russian)
7. Musatov, V.K., 'Justification of the effectiveness of rule base autocorrection in network firewalls' T-Comm, 2014. No.8, pp. 68-72. (in Russian)
8. Basharin, G.P., Gaidamaka, Yu.V. and Samouylov, K.E. 2013, 'Mathematical Theory of Teletraffic and Its Application to the Analysis of Multiservice Communication of Next Generation Networks', Automatic Control and Computer Sciences, Vol. 47, Issue 2, pp. 62-69.