本发明专利技术公开了一种云计算平台中成本最小化的防火墙设置方法,将云服务器划分成集群,从而为云计算平台部署防火墙;根据服务器提供的云服务所处应用层的不同,将服务器进行分组,每类应用对应一个组,如果一个服务器提供多种服务,选择主要服务作为其划分组别的标准;对于每一种云服务,以成本最小化为约束,托管服务器按照下面三个策略之一聚集成集群:策略a,将所有托管服务器聚集为一个单一集群对待;策略b,将所有托管服务器聚集为多个集群,其数目小于服务器数目;策略c,将每台托管服务器作为一个集群;为每一种类型的云服务分别建立防火墙。给定某一类型的服务,本发明专利技术给出了如何通过托管服务器聚类实现更为经济的成本支出。
【技术实现步骤摘要】
【专利摘要】本专利技术公开了,将云服务器划分成集群,从而为云计算平台部署防火墙;根据服务器提供的云服务所处应用层的不同,将服务器进行分组,每类应用对应一个组,如果一个服务器提供多种服务,选择主要服务作为其划分组别的标准;对于每一种云服务,以成本最小化为约束,托管服务器按照下面三个策略之一聚集成集群:策略a,将所有托管服务器聚集为一个单一集群对待;策略b,将所有托管服务器聚集为多个集群,其数目小于服务器数目;策略c,将每台托管服务器作为一个集群;为每一种类型的云服务分别建立防火墙。给定某一类型的服务,本专利技术给出了如何通过托管服务器聚类实现更为经济的成本支出。【专利说明】
本专利技术涉及计算机
,具体涉及一种云计算平台中成本最小化的防火墙设置方法。
技术介绍
云计算发展和受接收程度与日俱增,是未来部署软件和服务重要基础设施。云服务提供商提供给用户按需的、弹性的服务,降低了资本性支出和运营成本。虽然云计算有着众多优点,由于数据和业务外包给了第三方,由此也产生了云中严重的安全和隐私问题。Aviram 等在” Determinating timing channels in computeclouds”中提出由提供者强制的决定执行方法,控制VM之间的时间片通道来避免跨VM攻击。Liu等在” A new form of DoS attack in a cloud andits avoidance mechanism,”中提出了一种利用云计算设施供给不足的特性的新型DoS攻击方法。另一类和云相关的特定攻击是可持续发展经济拒绝(Economic Denial of Sustanability),由Hoff在,,Cloud computing security:From DDoS attack (distributeddenial of servie) toEDoS(economic denial of sustainability) ”中提出,此攻击方法利用了云计算定价模型的即买即付特点。尽管有许多和安全相关的工作,据本专利技术所知,目前致力于防止云数据受到各种攻击的研究工作并不多,自然对于云环境中防火墙的成本开销做定性分析的就更少了。Yu等在” Can We Beat DDoS Attacks in Clouds”中,提出防火墙运行成本与VM个数和服务时间成正比关系,并在实验中证明了此假设。为了保护云数据中心,构建防火墙是一个不错的选择,传统防火墙处在抵御恶意流量的第一战线上。基于首次匹配的语义,防火墙放行或丢弃入站或出站流量。通常,防火墙部署在托管简单和有限服务的局域网环境下。然而,云数据中心通常托管着各种各样类型的异构服务,如web服务,新闻服务,电子商务服务。不幸的是,所有这些服务都会受到许多攻击,如分布式拒绝服务攻击、钓鱼式攻击等待。服务的多样化和攻击的复杂性使得传统的基于数据包的防火墙不适用于云平台。Yu等在”A general cloud firewall framework with dynamic resource allocation,,中提出了一个云防火墙的通用框架,框架在传统数据包层防火墙的基础上,形成一个事件层检测链,此外,防火墙所需资源是按照需求动态快速分配的。但是,集中式的防火墙可能受到单点故障的影响,进而成为性能瓶颈。
技术实现思路
专利技术目的:为了解决现有技术的问题,本专利技术提供。本专利技术公开了,将云服务器划分成集群,从而为云计算平台部署防火墙;根据服务器提供的云服务所处应用层的不同(如Web服务、数据库服务、新闻服务、邮件服务等),将服务器进行分组,每类应用对应一个组,如果一个服务器提供多种服务,选择主要服务作为其划分组别的标准;对于每一种云服务,以成本最小化为约束,托管服务器按照下面三个策略之一聚集成集群:策略a,将所有托管服务器聚集为一个单一集群对待;策略b,将所有托管服务器聚集为多个集群,其数目小于服务器数目;策略C,将每台托管服务器作为一个集群;为每一种类型的云服务分别建立防火墙。本专利技术中,确定防火墙系统平均请求时间T、平均系统吞吐量Y和CPU使用率U ;平均请求时间T包括排队时间和处理时间,用余衡量每条请求从发起到防火墙处理请求结束的时间长短;平均系统吞吐量Y指单位时间内,防火墙所处理的请求数目,用于衡量防火墙处理请求的速度快慢;CPU使用率U是平均系统吞吐量Y和每条服务的平均处理时间的乘积,用于衡量防火墙系统自身的开销大小。由于云防火墙需要消耗云数据中心的资源,本专利技术提出了一个符合云计算平台即买即付的定价策略的线性成本模型,Cost=R*P (ECUs)。,其中R是每个托管服务虚拟机实例处理平均到达托管服务器的防火墙的请求的总响应时间,P(ECUs)是给定了数目的ECU (计算单元)的每个实例的价格;基于此模型,提出了分别在相同系统吞吐量和相同系统响应时间下,防火墙的构建方式及其相应成本开销。本专利技术给出了最优化成本的防火墙构建方法。在相同系统吞吐量Y的条件下,选择成本开支最小的策略执行:【权利要求】1.,其特征在于,将云服务器划分成集群,从而为云计算平台部署防火墙; 根据服务器提供的云服务所处应用层的不同,将服务器进行分组,每类应用对应一个组; 对于每一种云服务,以成本最小化为约束,托管服务器按照下面三个策略之一聚集成集群,并为每一种类型的云服务分别建立防火墙: 策略a,将所有托管服务器聚集为一个单一集群对待; 策略b,将所有托管服务器聚集为多个集群,其数目小于服务器数目; 策略C,将每台托管服务器作为一个集群。2.根据权利要求1所述的,其特征在于,确定防火墙系统平均请求时间T、平均系统吞吐量Y和CPU使用率U ; 平均请求时间T包括排队时间和处理时间,用余衡量每条请求从发起到防火墙处理请求结束的时间长短; 平均系统吞吐量Y指单位时间内,防火墙所处理的请求数目,用于衡量防火墙处理请求的速度快慢; (PU使用率U是平均系统吞吐量Y和每条服务的平均处理时间的乘积,用于衡量防火墙系统自身的开销大小。3.根据权利要求2所述的,其特征在于,成本最小化为约束中采用以下公式计算成本:Cost=R*P(ECUs), 其中R是每个托管服务虚拟机实例处理平均到达托管服务器的防火墙的请求的总响应时间,P(ECUs)是给定了数目的ECU (计算单元)的每个实例的价格; 在相同系统吞吐量Y的条件下,选择成本开支最小的策略执行: 4.根据权利要求3所述的,其特征在于,在相同系统响应时间的条件下,选择成本开支最小的策略执行: 【文档编号】G06F21/55GK103475672SQ201310461337【公开日】2013年12月25日 申请日期:2013年9月30日 优先权日:2013年9月30日 【专利技术者】窦万春, 刘孟, 陶旭 申请人:南京大学本文档来自技高网...
【技术保护点】
一种云计算平台中成本最小化的防火墙设置方法,其特征在于,将云服务器划分成集群,从而为云计算平台部署防火墙;根据服务器提供的云服务所处应用层的不同,将服务器进行分组,每类应用对应一个组;对于每一种云服务,以成本最小化为约束,托管服务器按照下面三个策略之一聚集成集群,并为每一种类型的云服务分别建立防火墙:策略a,将所有托管服务器聚集为一个单一集群对待;策略b,将所有托管服务器聚集为多个集群,其数目小于服务器数目;策略c,将每台托管服务器作为一个集群。
【技术特征摘要】
【专利技术属性】
技术研发人员:窦万春,刘孟,陶旭,
申请(专利权)人:南京大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。