防火墙扩展match模块匹配算法优化
为提高大规则集防火墙中规则匹配效率,研究了Iptables规则中扩展match模块的匹配特点,将匹配过程分为数据包解码和参数比较两个步骤,对不同规则中的相同扩展match模块,提出了一种"一次解码,多次匹配"(decoding-once-technology,DOT)的优化算法.通过对规则匹配时间建模分析,证明改进算法可以减少规则匹配时数据包解码次数,从而降低规则中扩展match模块的匹配时间.实验结果表明,改进后的算法可以有效提高防火墙吞吐量,降低时延.
扩展match模块、一次解码、多次匹配、模块匹配时间、Iptables防火墙、防火墙吞吐量
32
TP393.08(计算技术、计算机技术)
国家863高技术研究发展计划基金项目2009AA01ZA32
2011-07-19(万方平台首次上网日期,不代表论文的发表时间)
共4页
766-769
