（计算机软件与理论专业论文）网络安全防护体系中qos流量控制的研究与设计.pdf

网络安全防护体系中q o s 流量控制的研究与实现 计算机软件与理论专、【p 研究生刘勇指导教师李涛 随着i n t e r n e t 飞速发展，新的应用不断增多，对网络的实时忡、服务质量要 求越来越高。网络安全防护体系中大部分网络安全设备均处在网络的瓶颈位置 上，当应用在大规模的网络时，如果不能很好解决其流量控制，势必会影响网 络性能，甚至造成网络拥塞。 奉文详细分析了流量控制的理论和技术，结合网络安全设备的情况，设计实 现了基于区分服务模型的流量控制系统。 本文的主要完成以下了：作： ( 1 ) 分析讨论了区分服务和综合服务两种流量控制体系结构，研究了常 用的队列管理算法。 ( 2 ) 将输入队列j 输出队列结合，可灵活地根据多种数据包属性的组合 进行数据流分类，如地址、掩码、端口号、协议类型等等，综合地制订准确的 带宽分配和管理策略。 ( 3 ) 在基丁区分服务设计流量控制系统的同时，扩展了区分服务的功能。 对于尽力而为服务，系统扩展了相应d s c p 值范围；通过分类，使流量控制系 统功能更强大，更好地结合了网络安全的实际。 ( 4 ) 在一个流量控制系统中同时设计实现确保服务、奖赏服务、尽力而 为服务三种业务类型，可以同时满足不同的流量榨制需求。 ( 5 ) 设计实现了基于b s 结构的管理配莒：工具，简洁、友好的界面，使 流量控制系统容易配置，而目不易出错。 ( 6 ) 采用面向对象设计的方法，将业务类型管理和用户节点管理分别独 立没计，具有较好的扩展性。 ( 7 ) 采用角色的方式，将流量控制功能赋予用户节点。 一l 一 ( 8 ) 采剧层次化的流量控制方法，i 以埘每个层次进行流量控制。 关键词：流量控制、区分服务、州络安全、服务质量、队列管理 t h er e s e a r c ha n d i m p l e m e n t a t i o no ft r a f f i cc o n t r o l b a s e do nq o si nn e t w o r k s e c u r i t ys y s t e m m a j o rc o m p u t e rs o f t w a r e & t h e o r y s t u d e n tl i uy o n ga d v i s o rl it a o w i t l lt h ed e v e l o p m e n to fi n t e m e t n e wa p p l i c a t o n sa r ea p p e a r i n gc o n t i n u o u s l y a n dt h er e q u i r e m e n to ft h en e t w o r ko nt h er e a lt i m ea n dq o $ a r em u c h t o u g h e rt h a n b e f o r e i nt h en e t w o r ks e c u n t yd e f e n c ea r c h i t e c t u r e ，m o s to ft h en e t w o r ks e c u r i t y d e v i c e sh a v eb e c o m et h en e t w o r k sb o t t l e n e c k w h e nu s e di nt h el a r g e s c a l en e t w o r k t h a tl a c k sg o o dt r a f f e c o n t r o l ，t h e ym u s ti n f l u e n c et h en e t w o r k sp e r f o r m a n c e ，a n d e v e nc o n g e s tt h en e t w o r k i nt h i sp a p e r , t h et h e o r ya n dt e c h n o l o g yo f t h et r a _ f h cc o n t r o la r ed i s c u s s e d ，a n da t r a f f i cc o n t r o ls y s t e mb a s e do nd i t t s e r vi sd e s i g n e da n di m p l e m e n t e d t h em a i nw o r k so f t h i sp a p e ra r ea sf o l l o w s ： 1 t h et r a f f i cc o n t r o ls y s t e m sb a s e do nd i f 撂e r va r r di n t s e r va r ed i s c u s s e da n d a n a l y z e dr e s p e c t i v e l y ，a n dt h ea l g o r i t h mo f q u e u em a n a g e m e n ti sr e s e a r c h e d 2 w i t hc o m b i n gi n p u tq u e u ea n do u t p u tq u e u e 。t h ed a t af l o wc a nb ec l a s s i f i e d a c c o r d i n gt ot h ec o m b i n a t i o no f t h ed a t a p a c k e t sp r o p e r t i e s ，s u c ha sa d d r e s s ， m a s k ，p o r tn u m b e ra n dp r o t o c o lt y p e ，a n dt h ep o l i c yo fa l l o t t i n ga n d m a n a g i n gt h eb a n d w i d t ho f t h en e t w o r kc a nb ed e s i g n e de x a c t ly 3 t h ed i f f s e r v sf u n c t i o ni se x t e n d e di nt h et r a f f i cc o n t r o ls y s t e mb a s e do n d i f f s e r v t h er a n g eo fd s c pi se x t e n d e di nt h eb e s te b ns e r v i c e b y c l a s s i f ) i n g ，t h et r a f f i cc o n t r o ls y s t e mh a sm u c hm o r ef u n c t i o n sa n dc o n f o r m s t ot h ep r a c t i c eo ft h en e t w o r ks e c u r i t y 4 t h r e es e r v i c e s ，i n c l u d i n gp r e m i u ms e r v i c e ，a s s u r e ds e r v i c e ，a n db e s te f f o r t s e r v i c e ，a r ed e s i g n e di nt h et r a f f i cc o n t r o ls y s t e m ，w h i c hc a ns a t i s f yt h e 川 5 6 7 8 d i f f e r e n e tr e q u i r e m e n t so f t r a f f i cc o n t r 0 1 t h em a n a g e m e n tt o o lb a s e do nt h eb sf r a m e w o r ka r ed e s i g n e da n d i m p l e m e n t e d ，w h i c hi n t e r f a c ei ss i m p l ea n df r i e n d t m m f o mt h es y s t e mi s e a s yt oc o n f i g u r ea n da tt h es a m et i m ef e w e r e r r o rh a p p e n s t h eo b j e c t o r i e n t e dm e t h o di su s e d i nt h ed e s i g n p r o c e s s ，a n d t h e m a n a g e m e n to fs e r v i c ea n dr i s e rn o d ei sd i s i g n e ds e p a r a t e l y , s ot h a tt h e e x t e n s i b i l i t yo f t h es y s t e mi sb e t t e r t h em e t h o do fr o l em a n a g e m e n ti su s e d ，s ot h a tt h et r a f f i cc o n t r o lf u n c t i o ni s a u t h o r i z e dt ot h eu s e rn o d e t h em e t h o do fh i e r a r c h i c a lt r a f f i cc o n t r o li su s e d ，s ot h a te a c hl a y e r st r a f f i c c a l lb ec o n t r o l l e d k e y w o r d s ：t r a 硒ec o n t r o l ，d i f f s e r v ，n e t w o r k s e c u r i t y , q o s ，q u e u e m a n a g e m e n t 1 v - 四川人学硕士学位论文 1 绪论 1 1 背景 随着网络经济时代的到来，网络将会成为一个无处不有、无所不用的工具。 当资源共享广泛用于政治、军事、经济以及科学各个领域，网络的用户来自社 会各个阶层与部门时，大量在网络中存储和传输的数据都有可能被盗用、暴露 和篡改，因此需要加以保护。网络的安全和可靠性已成为世界各国共同关注的 焦点。我国虽然计算机网络应用起步较晚，但在金融界已发生多起盗窃案，在 科技界也发生了用户帐户被盗用，使被盗用户一个月的网络费用损失高达2 万 余元。因此，计算机网络系统必须采用安全措施，以鉴别合法用户和监督经过 授权的操作，同时防止对敏感数据进行非授权的访问、使用，防止黑客的入侵 和计算机病毒的破坏。 在确保网络安全的同时，人们对i n t e m e t 的应用的要求也越来越高。自1 9 6 9 年以来，互联网上的流量以成倍的速度增长，尤其是1 9 9 6 年以后，网络流量的 增长速度以每年五倍的速度递增。目前，网络流量的增长速度已经远远超过半 导体技术的发展速度，现有的互联网提供的是“尽力而为”( b e s t e f f o r t ) 的服务， 在这种服务模型下，所有的业务流被“一视同仁”地公平竞争网络资源，所有 的i p 包都采用先进先出( f i r s ti nf i r s to u t ，f i f o ) 的工作方式，i p 包被最大努 力地送达目的地。但对i p 包传递的可靠性、延迟等不能提供任何保证。 q o s ( q u a l i t yo f s e r v i c e ) 哏口服务质量是一个综合指标，用于衡量使用一个 服务的满意程度。随着i n t e m e t 规模的不断增长，i p 网上出现了大量的实时业务。 由于实时业务对网络的传输延时、延时抖动等特性较为敏感，因此这些实时业 务的出现暴露了i p 网络技术的两个重要缺陷：一个是传统i p 技术的吞吐量不高， 这可以随着a s i c 技术的进步，通过设计专用硬件来解决；另一个就是传统i p 没有服务质量q o s 保证，这与计算机网络产生之初只是为传输简单的数据业务， 因而采用面向无连接的服务有关。i p 网络不能保证业务特定的q o s 要求已经成 为i p 网络向宽带综合服务网络发展的巨大障碍。有人提出可以用增大带宽来解 决q o s 问题，然而由于应用的需求是无止境的，不管网络有多大的带宽都有可 棚 四川大学碗士学位论文 能耗尽，这种方法并不十分可行。如何解决i p 网络的q o s 要求，以使网络能够 灵活地根据业务的具体特点提供给客户满意的服务，是i p 业界亟待解决的问题。 在这种情况下，各个研究团体纷纷开始组织大规模的q o s 研究，。+ 些大的通信 厂商也联合成立了q o s 论坛，协商各种q o s 技术标准的实施方案。q o s 流量控 制是其中很重要的一个内容。通过q o s 流量控制，可以有效管理网络带宽，达 到以下目的：防止网络因过载丽引起吞吐量下降和延时的增加：减少拥塞，避 免死锁；合理分配带宽资源。 网络安全和q o s 流量控制有着非常密切的联系，它们相互构成对方体系结 构中重要的组成部分。首先，网络安全设备为q o s 流量控制提供了安全保障。 其次，作为网络中心的网络安全设备，往往处在内部网络与外部网络、内部网 络内不同安全等级的子网络之间交换数据的瓶颈位置，需要对网络中不同服务、 不同子网、不同设备提供不同带宽。这些网络安全设备是否有较好的流量控制， 将直接影响网络性能。因此，研究基于网络安全保护体系中的q o s 流量控制是 非常必要而且迫切的。 1 2 课题来源 本课题是李涛教授主持的四川大学计算机网络与安全研究所( n i s e c ) 的众 多课题之一。n i s e c 长期致力于计算机网络与安全、电子商务、电子政务、智能 信息系统等领域的理论与技术的研究，研制成功c a 认证中心、新型智能防火 墙、i d s 、安全v p n 、安全电子邮件系统、安全w e b 服务器、灾难紧急救援系 统、多功能网络安全服务器、国库直接支付系统、政府采购系统等八大系列1 0 多个产品，应用范围遍及全省各地市州政府和军队。 基于网络安全防护体系的流量控制系统是这些系统的予系统，将使网络安全 产品具有较好的性能，提供更好的服务质量。 1 3 国内外研究应用现状 当前，实现基于q o s 的流量控制已经是国际上研究的热点。因特网工程任 务组( i n t e m e t e n g i n e e r i n g t a s k f o r c e ，i e t f ) 在i p 网络的q o s 方面建议了一些 穴学硕0 学位论义 服务模型和机制，其中最基本的是综合服务( i n t e g r a t e ds e r v i c e s 。i n t s e r v ) 弘1 和 区分服务( d i f f e r e n t i a t e ds e r v i c e s ，d i f f s e r v ) i 3 j 业务模型，另外还有流量工程、 基于限制的路由、多协议标记交换( m u l t i p r o t o c o ll a b e ls w i t c h i n g ，m p l s ) 等。 i e t f 专门成立了区分服务工作组( d i f f e r e n t i a t e ds e r v i c e sw o r k i n gg r o u p ) 、综合 服务工作组( i n t e g r a t e ds e r v i c e sw o r k i n gg r o u p ) 、i p 性能矩阵工作组( i p p e r f o r m a n c em e t r i c sw o r k i n gg r o u p ) 、i n t e m e t 流量工程工作组( t e w g ，i n t e r n e t t r a f f i ce n g i n e e r i n gw o r k i n gg r o u p ) 、多协议标记交换工作组( m u l t i p r o t o c o ll a b e l s w i t c h i n gw o r k i n gg r o u p ) 、策略框架工作组( p o l i c yf r a m e w o r kw o r k i n gg r o u p ) 、 资源分配协议工作组( r e s o u r c e a l l o c a t i o n p r o t o c o l w o r k i n g g r o u p ) 。 i n t e r n e t 2 开发的b a n d w i d t hb r o k e r 模型是一个尝试。它是在i p 的骨干网上使 用d i f f s e r v ，引入b a n d w i d t h b r o k e r 收集网络的拓扑结构及链路状态信息，管理 网络资源并结合策略服务器规定的策略进行接纳控制。带宽代理器负责处理来 自用户主机，或者业务服务器，或者网络维护人员的带宽申请请求，带宽代理 器根据当前网络的资源预留状况和配置的策略以及与用户签订的业务s l a ( s e r v i c el e v e la g r e e m e n t ) ，确定是否允许用户的带宽申请。d i f f s e r v 域之间通 过b a n d w i d t hb r o k e r 进行s l a 协商，使d i f l s e l v 能够实现端到端的接纳控制和 q o s 保障。带宽管理器内记录各类s l a 配置信息、物理网络的拓扑信息、网络 路由设备的配置信息和策略信息、用户认证信息、当前的资源预留信息、网络 占用状态信息等大量静态的和动态的信息。同时，带宽管理器还必须记录路由 信息，以确立用户的业务流路径和跨域的下游带宽管理器位置。 由于带宽管理器模型存在很多实际问题，目前i n t e r a c t 2 基本停止了相应昀研 究，而由其他标准组织在i n t e r n e t 2 基础上进行了改进和发展。包括欧洲标准化 组织e t s i 专门设立的t i p h o n 工作组制订的q o s 模型以及美国多业务交换论 坛m s f 在下一代网络的q o s 架构上的研究成果都是在向相同的方向努力。m s f 的q o s 架构与e t s i 类似，引入了b a n d w i d t hm a n a g e r 来动态管理网络的资源调 度，实现实时的流量工程麓力。 包括i t u 在内的许多在q o s 和流量工程方面进行大力研究的标准化组织目 前在q o s 方面基本都是像e t s i m s f 的思路：引入资源管理器来实现实时的流 量工程，资源管理器接受业务资源申请，为业务分配和管理承载网的资源和转 发路径，并控制边缘或网关，识别用户的业务流，让用户的业务流按照分配的 3 ， 四川人学硕上学位论义 路由和资源转发。p a c k e t c a b l e 和3 g p p 在核心网上也借鉴了以上的解决思路。 i t u - - t s g l 3 组目前正在研究制订新建议草案y q o s a r “分组网络q o s 参考 体系结构”。建议草案y q o s a r 明确定义了与网络能力、d i f f s e r v 、m p l s 、i n t s e r v 等实现q o s 的具体方式及有关的基本q o s 构建模块( 接入控制、拥塞反馈、计 量和测量、策略及策略配置、队列和调度、资源预留、服务等级管理和流量标 示等) ，通过不同的方式把这些模块组织起来，就可以控制网络提供业务所要求 的响应。同时也考虑了实现q o s 对安全的影响及相应机制。 我国电信标准协会网络与交换标准技术委员会已经研究制订了“i p 网络技术 要求、网络性能参数与指标的行业标准”，该标准主要参考了我国其他网络性能 指标的技术规范、i t u 和i e t f 相关的标准编制的。 当前国内外较多网络安全设备具有q o s 流量控制，尤其在防火墙和v p n 、 入侵检测系统上，因为这些网络安全设备处于网络的瓶颈位置。在国内联想网 御、清华紫光、华为、天融信、华堂、东方龙马、安联等网络安全设备均具有 网络流量控制功能。在国外，很多网络安全产品也同样具有q o s 流量控制功能， 如c i s c o 、阿姆瑞特、l i n k t r u s t 、f o r t i g a t e 、n e t s c r e e n 等，其中包括f o r t i g a t e 在内的部分网络安全产品集防火墙、入侵检测、v p n 、流量控制于一体。 1 4 论文的主要工作 本文的工作是在集防火墙、入侵检测、v p n 等为一体的网络安全防护体系 上，设计并实现了一套完整的流量控制系统，本文的主要工作有： 分析流量控制系统的体系结构，讨论了流量控制中的队列管理算法。 设计了基于区分服务的流量控制系统，同时实现了确保服务、奖赏服务、 尽力而为服务三种业务类型。 一设计实现了基于b s 结构的流量控制系统管理工具。 一实现显示各类的流量，可以实时检查带宽分配是否合理。 将输入队列和输出队列结合，既可灵活控制上行带宽，也可以灵活控制 下行带宽。 明川大学硕士学位论文 1 5 论文结构 本文主要论述了如何实现网络安全防护体系中的流量控制，并详细阐述了相 关的理论及技术。论文结构如下： 第一章介绍课题背景、来源、国内外研究现状、论文工作和论文结构。 第二章介绍网络安全防护体系中防火墙、v p n 、入侵检测、安全审计的概念、 作用，简单介绍网络安全防护体系与流量控制的关系。 第三章介绍和比较流量控制的两种网络体系结构：集成服务和区分服务。 第四章介绍流量控制的常用队列管理算法。其中最主要的是随机提前检测和 分层链路共享算法。 第五章介绍l i n u x 核心网络体系结构，设计了基于网络安全防护体系中的流 量控制系统。 第六章介绍如何实现基于网络安全防护体系的流量控制系统，设计实现了管 理配置工具。 第七章对全文总结。 1 6 小结 随着计算机网络技术的飞速发展，用户人数以几何级数的方式递增，催生了 一大批新的商业形式和网络服务。网络给社会和人类带来便利，也带来前所未 有的网络安全问题，同时网络流量的增长速度以每年五倍的速度递增。一些实 时性高或重要保证的业务对带宽的要求越来越高，而现有网络提供的尽力而为 服务对i p 包传递的可靠性、延迟等不能提供任何保证。网络安全设备处于网络 的瓶颈位置，如果没有很好的流量控制功能，容易导致网络性能下降，甚至拥 塞。因此，将网络安全和流量控制有机结合，将既能保证网络安全，同时提供 很好的服务质量，是非常必要的。 酒 列川大学硕士学位论文 2 网络安全防护体系 网络安全包括安全管理、安全设备、安全系统等多个方面。从技术上来讲， 网络安全包括安全操作系统、应用软件、防火墙、入侵监测、网络监控、安全 扫描、信息审计、身份验证、通信加密、灾难恢复等。在整个网络防护体系中 防火墙、入侵监测、v p n 、安全审计是非常重要的。防火墙，是整个网络安全 防护体系的门户，主要完成内部网络和外部网络、内部网络中不同安全要求的 子网络隔开，用于对进出的数据包和协议进行过滤和限制。入侵监测系统是处 于安全防护体系的中层，对整个网络进行实时监控和分析，包括监控流经网络 的数据包和用户的行为，检测系统是否受到攻击或遭到黑客入侵，并对异常行 为和现象进行分析，做出相应的相应和报警。v p n 提供安全通道。安全审计对 各种安全事件进行记录分析。 流量控制和网络安全防护设备之间有着非常密切的联系，它们相互构成对方 体系中重要的组成部分。 2 1 防火墙 防火墙是一个或一组系统，它在网络之闻执于亍访问控制策略。实现防火墙 的实际方式各不相同，但是在原则上，防火墙可以被认为是这样一对机制：一 种机制是拦阻数据包通行，另一种机制是允许数据包通过。一些防火墙偏重拦 阻数据包的通行，而另一些防火墙则偏熏允许数据包通过。 从本质上说，防火墙是一种保护装置，是用来保护网络数据、资源和用户声 誉的。数据是指用户保存在计算机里的信息，保护数据是指保护数据的保密性、 完整性和可用性。资源是指用户计算机内的系统资源。作为计算机本身并不存 在声誉问题，保护声誉实际上是防止网络入侵者冒充用户的身份出现在网络上， 并做一些不是用户做的事，或者防止入侵者冒充用户的身份在网络上进行消费， 而这些费用一般全部由用户来承担。 因特网防火墙常常被安装在受保护的内部网络连接到因特网的连接点上，所 有来自因特网的传输信息或从用户的内部网络发出的信息都必须穿过防火墙。 心川a 学碗：f f 学位论x 因此，防火墙能够确保如电子邮件、文件传输、远程登录或特定系统间信息交 换的安全。 从逻辑上讲，防火墙是分离器、限制器、分析器。从物理角度看，各站点防 火墙物理实现的方式有所不同。防火墙的组成可简单用表达式说明如下： 防火墙= 过滤器+ 安全策略( 网关) 防火墙通过逐一审查收到的每个数据包，判断是否有与之相匹配的过滤规 则。即按表格中规则的先后顺序以及每条规则的条件项进行比较，直到满足某 一条规则的条件，并做出规定的动作( 停下或向前转发) ，从而来保护网络的安 全。 防火墙体系结构包括：多重宿主主机结构、屏蔽主机体系结构、屏蔽子网体 系结构。防火墙的种类有：包过滤型防火墙、应用网关防火墙、代理服务型防 火墙、状态检测型防火墙、混合防火墙等。 对防火墙的两大需求是保障内部网的安全和保证内部网同外部网的连通。防 火墙的主要功能有：监视控制信息；隔离内外网络，保护内部网络；强化网络 安全策略：有效记录和审计内、外部网络之间的连接和使用；集中安全保护和 管理。 2 2 入侵监测系统 入侵检测，是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若 干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策 略的行为和被攻击的迹象。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) 是指为对计算机和网络资源上的 恶意使用行为进行识别和响应的处理系统。入侵检测系统可以很好的弥补防火 墙的不足，是防火墙的补充。作为一种积极主动的安全防护技术，入侵检测提 供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦 截和响应入侵。入侵检测系统的目的在于检测可能存在的攻击行为。它不仅能 检测来自外部的入侵行为，还可以检测内部用户的末授权行为。 入侵检测系统主要功能有以下几点：监视用户和系统的运行状况，查找非法 用户和合法用户的越权操作；检测系统配置的正确性和安全漏洞，并提示管理 订 四川人学硕上学位论文 员修补漏洞；对用户的非正常活动进行统计分析，发现入侵行为的规律；检查 系统程序和数据的一致性与正确性。 2 3 v p n v p n 是指通过一个公用网络( 通常是因特网) 建立一个临时的、安全的连 接，是一条穿过混乱的公用网络的安全、稳定的隧道。 v p n 是企业网在因特网等公共网络上的延伸，它为远程用户、公司分支机 构、商业伙伴及供应商等与公司的内部网或相互之间建立可信的安全连接，并 保证数据的安全传输。通过v p n 建立一个企业的虚拟专用网将大幅度地减少用 户在城域网和远程网络连接上的费用。同时，企业不必投入大量的人力和物力 去安装和维护w a n 设备和远程访问设备，这些工作都可以托管给i s p ，从而简 化了网络的设计、管理，提高了网络的随意扩展性。另外，v p n 使用户具有完 全控制主动权，用户可以利用i s p 的设施和服务，同时又完全掌握着自己网络的 控制权。比方说，用户可以把拨号访问交给i s p 去做，由自己负责用户的查验、 访问权、网络地址、安全性和网络变化管理等重要工作，当然企业也可以自己 组建管理v p n 。 v p n 技术通过构架安全网络平台为虚拟的专用网通信提供具有隔离和隐藏 的保密性，目前，v p n 主要采用四种技术来保证安全，这四项技术分别是隧道 技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。其中，隧道 技术是v p n 的基本技术。 2 4 安全审计 安全审计是指对有关操作系统、系统应用或用户活动所产生的一系列的计算 机安全事件进行记录和分析的过程。在网络系统中，安全管理员采用审计系统 来监视系统的状态和的活动，并对日志文件进行分析、及时发现系统中存在的 安全问题。 安全审计的功能主要包括以下几点：对潜在的攻击者起到震慑或警告；对于 已经发生的系统破坏行为，提供有效的追纠证据；为系统管理员提供有价值的 四川大学硕七学位论文 系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。 2 5 网络安全防护体系中的流量控制 网络带宽是互联网和企业网络中的宝贵资源，这种资源长期以来没有得到有 效的控制和管理，一直处于无序的状态。各种数据流自由地占用这种宝贵的资 源，其中包括大量的垃圾数据甚至是有害的数据，比如一些病毒木马等有害程 序的破坏数据。在这些垃圾数据占用了大量的网络带宽的时候，关系到企业生 产和管理的关键数据却往往因为没有足够的网络带宽而延误，严重影响到经济 效益。在网络安全防护体系中，将造成带宽利用率的大幅降低、形成网络带宽 的瓶颈，影响到网络的丁f 常运行。所有这些问题就是因为网络中缺乏一种针对 流量的有效控制机制。 通过在网络安全防护体系中提供网络流量控制，从而实现高效的网络流量管 理，在保证网络安全的实时性和有效性的同时，维持网络传输速度，实现网络 安全与网络性能的完美统一，提高网络中关键数据流的性能，确保网络的健康 有序。 2 6 小结 本章简单介绍网络安全防护体系的组成，重点介绍防火墙、入侵监测系统、 v p n 、安全审计的基本概念和功能，最后介绍在网络安全防护体系中引入流量 控制的必要性。 曲 四川大学硕士学位论文 3 流量控制网络体系结构 3 1 流量控制概述 流量是指计算机网络中的通信量，具体指网络中的报文流或分组流。计算 机网络是由有限的资源组成，这些有限的资源包括链路的信道带宽、防火墙、 结点交换机及其中的缓冲存储器等。在一段时间内，无限制的信息流进入计算 机网络将导致网络拥塞。当数据报文在网络传输中经历了比所期望的延时更长 的时间的时间，就认为网络产生了拥塞这种现象类似于城市中的交通堵塞。 网络中如果发生了拥塞，则只能传出很少的信息，而且拥塞会很快地延伸，甚 至会导致“死锁”。发生“死锁”时，就没有信息的流动。如果不防止拥塞，则 网络性能下降。 流量控制指在一个计算机网络上，以满足特定的性能指标以及避免出现拥 塞为目标的全部网络行为。解决网络拥塞的办法是采用流量控制。其目的就是 为了尽可能最大限度地利用网络资源，避免拥塞。简单地说，网络流量控制具 有以下几个主要功能： ( 1 ) 网络资源管理：指分配网络资源的一组策略和规则。网络资源指在网 络防火墙、交换机、网络路出设备等的带宽和缓冲空间等。 ( 2 ) 许可控制：许可控制指当接受一个新的数据流时所作的承诺，或在一 个新的流所请求的网络资源超出可用网络资源时，拒绝做出承诺。 ( 3 ) 参数控制：参数控制是监视和控制流量，确保不违反网络规定的一组 控制策略。 ( 4 ) 包标记：当发现一个i p 流不符合流量要求的某个方面或多个方面时， 将会标记不符合的包。这是通过修改i p 头中t o s d s 字段的相应比特实现。 ( 5 ) 流量整形：流量整形是一种修改流的流量特性的网络行为，以使流变 得更加适合网络，如整形一个流的峰值速率。 ( 6 ) 包调度：包调度是包括两个方面的功能：一是对于具有严格时延要求 的流限定排队时延；二是用一种网络指定的方式为不同的流分配可用资源。 事实表明，有流量控制的网络和无流量控制的网络对避免网络资源的拥塞 4 0 心川大学硕上学位沦文 与死锁方面有很大的差别。 流量控制可以使i p 网络资源的利用率得以优化，保护i p 网络和进入网络的 流量，以实现i p 性能指标和服务质量( q o s ) 承诺。 流量控制中最关键的技术是队列管理，在本文第4 章将专门介绍有关队列管 理的算法。 3 2 流量控制网络体系结构 在q o s 流量控制中，i e t f 作了很多工作，先后提出了两种不同的体系结构： 综合服务体系结构( i m e g r a t e ds e r v i c e s ，i n t s e r v ) 和区分服务体系结构 ( d i f f e r e m i a t e ds e r v i c e s ，d i f f s e r v ) 。 3 2 1 综合服务体系结构 传统的i p 传输服：务称为尽力而为服务。尽力而为服务的数据包不需要q o s 控制，信息传输控制一般不依赖于网络状态，带宽分配可以动态地改变，但需 要流控制，这种服务已经不能满足当今各种网络应用的需要。为了满足人们对 i n t e r a c t 带宽流量的需求，i e t f 与1 9 9 4 年在r f c l 6 3 3 中定义了综合服务模型 i n t s e r v 。 i n t s e r v 依靠资源预留协议r s v p 提供q o s 协商机制，逐节点( h o p 。b y h o p ) 地建立或拆除每个数据流的路径状态和资源预留软状态( s o f ts t a t e ) ：依靠接纳 控制( a d m i s s i o nc o n t r 0 1 ) 决定链路或网络节点是否有足够的资源满足用户的资 源预留请求；依靠分类器( c l a s s i f i e r ) 和分组调度器( p a c k e ts c h e d u l e r ) 将i p 分 组分类成不同的口流，并根据每个流的状态对分组的传输实旋管理、调度 ( s c h e d u l i n g ) 等控制。i n t s e r v r s v p 服务模型主要由4 个部分构成：信令协议 r s v p 、接纳控制器( a d m i s s i o nc o n t r o lr o u t i n e s ) 、分类器和分组调度器组成，其 中接纳控制器、分类器、分组调度器组成流量控制t r a f f i cc o n t r 0 1 ) ，它是指网 络设备中存在的一些组件以控制和管理为支持特定q o s 所需的网络资源。下面 分别讲述这三个部分。 一接纳控制器：它基于设定的控制策略和要求到达的性能指标，对用户的 访问进行一定的监视和控制，有利于保证用户的利益和确保网络的性 。 四川大学硕士学位论文 能。它决定一个网络设备是否授予一个新的业务流所要求的q o s 而不影 响以前的q o s 。 分类器：根据预置的一些规则，它对进入防火墙、交换机、网络路由设 备等的每一个分组进行分类。这可能需要查看p 分组里的某些域如i p 源地址、i p 目的地址、上层协议类型、发送端口号、目的端口号等；分 组经过分类以后被放到不同的队列中等待接收服务。相同类在分组调度 器中得到相同处理，获得相同q o s 。 一分组调度器：它主要是基于一定的调度算法对分类后的分组队列进行调 度服务。常见的调度算法有w f q 、w f 2 q 、s c f q 、w r r 、c b q 、p f i f o 、 h t b 等。 3 2 1 1r s v p 协议 r s v p 协议是一种可用于不同q o s 服务的资源预留协议，在协议栈中处 于传输层协议的位置，它的资源预留必须是由接收端到发送端的端到端过 程。r s v p 协议的工作原理如下： 发送端依据高、低带宽的范围、传输迟延以及抖动来代表发送业务。 r s v p 从含有“业务类别( t s p e c ) ”信息的发送端发送一个路径信息给目的地 址f 单点广播或多点广播的接收端) 。每一个支持r s v p 的网络设备沿着下行 路由建立一个“路径状态表( p a t h ) ”，其中包括路径信息里先前的源地址。 为了获得资源预留，接收端发送一个上行的r e s v ( 预留请求) 消息。除了 t s p e c ，r e s v 消息里有“请求类别( r s p e c ) ”，表明所要求的综合服务类型， 还有一个“过滤器类别”，表示正在为分组预留资源( 如传输协议和端e 1 号) 。 r s p e c 和过滤器类别合起来代表一个“流的描述符”，网络路由设备就是靠 它来识别每一个预留资源。当每个支持r s v p 的网络设备沿着上行路径接收 r e s v 的消息时，它将检查有关的请求，并且配置所需的资源。如果这个请 求得不到满足( 可能由于资源短缺或未通过认证) ，网络设备向接收端返回一 个错误消息。如果这个消息被接受，网络设备就发送上行r e s v 到下一个网 络设备。当最后一个网络设备接收r e s v ，同时接受请求的时候，它再发送 一个证实消息给接收端。当发送端或接收端结束了一个r s v p 会话时，有一 - 1 2 四川大学硕士学位论文 个明显的断丌连接的过程。 r s v p 具有如下特点： ( 1 ) 可对点到点通信、点到多点通信方式进行资源预留，可以动态地改变 组成员和路由。 ( 2 ) r s v p 采用单方向预留方式，发送端只发送数据，接收端只接收数据。 接收数据流的接收端称为数据流的下游，发送数据流的发送端称为上游。 ( 3 ) r s v p 在防火墙、交换机、网络路由设备等网络元素上设置和维护记 录路由和资源预留信息的软状态表，并能根据路由和预留信息的变化进行自动 更新和调整。 ( 4 ) r s v p 能够根据用户对数据源的访问需要提供不同的预留方式。 ( 5 ) r s v p 提供流量控制和传输策略控制。 ( 6 ) r s v p 对不支持这个协议的网络路由设备是透明的，即不支持r s v p 的 网络路由设备可简单地将r s v p 分组做尽力传送处理。 3 2 1 。2i n t s e r v 业务类型 在r f c l 6 3 3 中提出i n t s e r v 定义了三种业务类型： 在r f c 2 2 1 1 中可控负载型服务( c o n t r o l l e d l o a ds e r v i c e s ，c s ) 5 1 被定义为 给用户提供一种类似在网络没有重负载情况下的服务，它是一种定性的指标； 在r f c 2 2 1 2 中质量保证型服务( g u a r a n t e e ds e r v i c e s ，g s ) 6 1 被定义为对带 宽、时延、分组丢失率提供定量的质量保证； 尽力而为服务( b e s t ：e f f o r t ) 是指类似于目前i n t e m e t 网上提供的服务，是一 种尽力而为的工作方式，基本上无任何质量保证。 i e t fr f c 2 2 1 1 中把可控负载型服务定义为一种端到端的行为。可控负载型 服务使用户感到网络是在一种很轻的负载或具有很大的容量条件下运行，用户 感觉不到不可忍耐的延迟。可控负载型服务是一种“软实时”服务，这种服务 模式用于模拟用户在没有重负载和拥塞时的服务模式，它在本质上是一种定性 的服务。具体而言：很高百分比的分组被成功地转发给接收端，损失或丢失的 分组百分比必须低于允许的范围；绝大部分转发成功的分组的延迟率要小于一 个可以接受的延迟范围。 四川人学硕士学位论文 i e t fr f c 2 2 1 2 中定义了质量保证型服务。质量保证型服务要求网络中各元 素保证用户所要求的最小延迟时间，从而保证会话过程中每个分组确定的延迟 界限，即保证在规定的传送时间内到达，只要数据流的传输保持在特定的传输 参数范围内，就不会因为队列的溢出而被丢弃。这一点不同于可控负载型服务。 在可控负载型服务中，网络元素最大限度地接近用户的延迟要求，但不能给予 保证。质量保证型服务是一种“硬实时”服务。 i n t s e r v 的优点是它具有很好的q o s 保证，使用r s v p 的软状态特性可以支 持网络状态的动态改变与组播业务中组员的动态加入，同时利用r s v p 中p a t h 与r e s v 的刷新，还可以判断网络中相邻节点的产生与退出节点，并实现网络 资源的有效分配。 i n t s e r v 同时也存在以下三个问题： 除非所有节点都支持i n t s e r v ，否则端到端的q o s 就无法保证。 i n t s e r v 不能保证在需要的时候有足够的资源。 _ i n t s e r v 以每_ _ - _ 数据流的大小为基础预留网络资源的，如果来自一个汇集 点的多个数据流都要求相同的资源，i n t s e r v 对这些数据流仍是逐个单独 处理，即每个流的r e s v 信息都必须单独发送。显然，i n t s e r v 不能较 好地适应大规模应用需要，无法避免网络资源的浪费。 3 2 2 区分服务体系结构 3 2 2 1 概念和术语 分类器( c l a s s i f i e r ) ：依据事先定义的规则，根据分组头内容选择分组的实 体，将在3 2 2 4 中详细描述分类器。 d s 区域( d sd o m a i n ) ：由一些相连的d s 节点构成的集合，它们遵循统一 的服务提供策略并实现一致的p h b 组。 d s 标记( d s c p ，d i f f e r e n t i a t e ds e r v i c e se o d e p o i m ) ：d s 标记域定义为原i p v 4 包头的t o s 字节或i p 描包头的流类型字节的前六位，如图3 1 所示。d s c p 是 d s 标记域中的具体值，用来标识数据包所属的流聚集，供数据包经过d s 节点 时选择特定的p h b 。 ， 舶川大学硕l 学位论文 图3 1 d s c p 定义 微流( m i c r o f l o w ) ：一台主机上的单个应用业务流，这个流由分组的源地址、 发送端口、目的地址、