论文部分内容阅读
本文介绍了在动态规则集的防火墙上,根据对每个规则匹配成功的统计数据,计算其优先级,采用霍夫曼编码的思想及时调整各规则的相对位置,让已经匹配成功次数较多或最后匹配成功时间较近的规则优先级更高,从而使每个通过网络的数据包需要经过匹配处理的规则数量降低。在静态规则集防火墙上,根据规则中的传输层协议类型将规则集分成多个规则组,每个数据包只同与其协议一致的规则组中的规则进行匹配,从而极大地减少进行匹配的规则数量。在以上方法基础上,本文对如何以linux防火墙为基础实现这些方法进行了研究。最后,为了检验这些方法的有效性,分别采取模拟实验与性能测试的方法,得到相应模拟实验和性能测试数据,结果分析表明,这些方法能够有效提高防火墙对规则的匹配速度,实现了优化的目的。