Middlebox穿越的安全成本

Question

我想计算虚拟机从一台物理服务器迁移到另一台物理服务器时中间盒遍历的安全成本。中间的盒子可以是防火墙或 IPS/IDS，其中包含检查穿过它们的虚拟机的规则。现在想象一个最简单的场景，唯一的问题是找到通过中间件规则检查VM的成本（这就是我所说的安全成本），并根据这个成本找到最佳路径。

然而，已经有一些协议，例如 BGP 或 OSPF，但不幸的是，它们都没有考虑安全成本。

Answer 1

我不同意到达最佳路径的正确方法是计算防火墙规则。相反，我会关注大量规则的影响。您不应尝试找出存在多少规则或启用了哪些安全功能，而应将最佳路径定义为网络延迟最低的路径。这可能很容易测量。如果有一个包含很多规则的防火墙并且仍然可以以更快的速度处理流量，那么您不应该介意通过该防火墙，对吗？