Математическое моделирование средств межсетевого экранирования в условиях приоритезации трафика

Сетевая безопасность является важным аспектом защиты информационных активов современной организации, имеющей развитую IT-инфраструктуру. Межсетевое экранирование - это одна из базовых функций, использующихся для обеспечения сетевой безопасности. В качестве устройств межсетевого экранирования, выполняющих пакетную фильтрацию, используются как узкоспециализированные средства, такие как межсетевые экраны, так и маршрутизаторы сети. Вопросами увеличения производительности и отказоустойчивости сетевого оборудования в настоящее время занимается большое число производителей оборудования. Специалисты IEEE обосновали опасность атак типа "Распределённый Отказ в обслуживании" (англ. DDoS) на нижние ступени базы правил фильтрации. Работа содержит математическую модель средства межсетевого экранирования, не учитывающую функционирование в условиях приоритезации трафика. Приведена математическая модель средства межсетевого экранирования, реализующего механизмы приоритезации трафика. Эта модель основывается на работе специалистов IEEE, но имеет ряд доработок, позволяющих оценить влияние приоритезации трафика на эффективность его фильтрации и отказоустойчивость оборудования. Математические методы и процедуры расчёта также претерпели изменение, что повысило скорость расчёта в среде имитационного моделирования. Описано функционирование средства межсетевого экранирования в условиях приоритезации трафика. Приведены содержательная и математическая постановки задачи, математические методы и процедуры, использованные при описании модели, общие принципы расчётов в средах компьютерной алгебры и математического моделирования, а также численные оценки. Представлены два метода расчёта в средах математического моделирования, приведено их краткое описание, плюсы и минусы. Для подтверждения корректности работы модели использовались три сценария поведения трафика. Представлены численные значения показателей производительности средств межсетевого экранирования, функционирующих в условиях приоритезации трафика и графические зависимости. Описана опасность использования механизмов очередей (queueing) без ограничения полос пропускания трафика (policing, shaping), выделяемых под разные классы обслуживания, что будет верно для сетей доступа. Даны рекомендации по использованию механизмов очередей в рамках концепции QoS.