1、基于网络处理器高速深度检测防火墙的研究与设计周 鹏1,2,郑康锋1,2(1. 北京 邮电大学信息安全中心,北京 100876; 2. 北京邮电大学灾备技术国家工程实验室,北京 100876摘要:深度检测防火墙是当前应对复杂网络攻击的一种新的有效机制。针对基于x86 平台和基于ASIC 平台的两种传统防火墙开发模型存在着固有的弊端,本文利用网络处理器NFP3200支持异构平台,提出一种基于网络处理器的深度检测防火墙的体系设计,在该体系结构下可以实现数据包深层检测和高速过滤异构并行,一方面性能上满足高速网络,能够快速处理过滤网络数据包,另一方面功能上能够实现数据包的深层检测,在纵深防御上提高了灵活
2、性和扩展性,满足当前安全产品的高性能和灵活性的需求。 关键字:信息安全;网络处理器;深度包检测;入侵检测; 防火墙Research and Design of the High-speed Deep Inspection FirewallBased on Network ProcessorZHOU Peng 1,2, ZHENG Kangfeng 1 引言1,2(1. Information Security Center, Beijing University of Posts and Telecommunications, Beijing 100876, China; 2. Nationa
3、l Engineering Laboratory for Disaster Backup and Recovery, Beijing University ofPosts and Telecommunications, Beijing 100876, ChinaAbstract : Deep Inspection Firewall is a new effective mechanism for complex network attacks. Because of the inherent drawbacks of two traditional development models tha
4、t X86-based platforms and ASIC-based platform, this paper present a Deep Inspection Firewall system design based on network processor which supports heterogeneous platforms. This architecture enables deep packet inspection and high-speed filtering heterogeneous parallel. On the one hand to meet the
5、high-speed network performance to quickly filter network packets, on the other functions can be achieved on the deep packet inspection, improving the flexibility and scalability.Keywords : information security, network processor, DPI, IDS, firewall近年来,随着网络安全形式的日益严峻,传统防火墙从包过滤防火墙到应用网关防火墙再到状态检测防火墙,由于自身
6、固有的缺陷,越来越不能满足用户对于安全性的不断要求。深度检测防火 墙有效的将状基金项目:中央高校基本科研业务费专项资金资助(the Fundamental Research Funds for the Central Universities,项目编号:BUPT2009RC0218、BUPT2010PTB0501、BUPT2010PTB0502作者简介:周鹏,男,硕士研究生,主要研究方向网络安全 ;E-mail: 态检测和应用防火墙技术结合在一起,通过执行对数据流深度检测,提供针对应用级别的信息深度防御,是解决传统防火墙目前遇到难题的一种新技术。传统防火墙主要有两种开发模型1,一种是基于x86
7、平台,另一种是基于ASIC 硬件平台。基于x86平台开 发的防火墙在性能方面遭遇了瓶颈,几乎不可能支持超过OC-12(约655 兆的带宽。而基于 ASIC 的设计方案虽然能够提供更高性能的,但却面临着灵活性、扩展性差,开发周期长,费用大的问题22 网络处理器 NFP3200概述。从技术角度来讲,目前能解决性能与灵活性两方面问题的硬件平台就是网络处理器。因此,本文提出了一种基于网络处理器NFP3200的深度检测防火墙的体系结构,并讨论了其中关键模块的设计。NFP3200是Netronome 公司推出的新一代网络处理器,它继承于Intel 的IXP2800网络处理器,被认为工业界首款为统一计算架构
8、(the Unified Computing设计 的网络流处理器(Network Flow Processor ,NFP。NFP3200网络流处理器高度可编程,具有40个包处理引擎,紧密耦合通用多核CPU ,集成支持SR-IOV 的第二代PCIE 接口。 NFP3200目标定位于20G 线速处理能力,作为业界首款为覆盖网络设备和服务器提供统一计算平台的网络流处理器,具有超强的处理性能。尤为重要的是,NFP3200基于Netronome 完整的x86/IA+NFP 网络流处理器架构,把NFE 紧密耦合到x86/IA 平台上。通过采用x86/IA+NFP 的异构平台,一方面可以通过数据包的快速转发
9、,保证数据包的线性处理性能;另一方面可以利用x86/IA 的灵活性,支持更多的应用层面的业务。3 基于网络处理器的高速深度检测防火墙系统设计3.1 系统模型本文提出深度检测防火墙硬件平台是NFP3200新一代网络处理器,该处理器支持x86/IA +NFP 异构平台,所以深度检测防火墙硬件结构上分为两个层次,上层是为X86/IA 通用处理架构,支持x86/IA 下的灵活性编程,具有开源代码的多方面支持。下层为NFP 专用处理架构,具有40个微引擎,支持硬件编程,具有高性能的数据处理能力。两者之间通过PCIE 实现高速通信,可以实现数据的高速交换。如图1所示,基于深度检测防火墙系统模型分为上下两层
10、,分别为控制面和数据面,两个层面功能和性能上互补,灵活高效的实现了深度检测防火墙的功能。图1 系统模型控制面一方面负责对系统进行管理和控制,另一方面,控制面通过部署深度检测群组,将深度包检测和入侵检测系统融合到防火墙系统,根据应用级别的信息,能够实现网络入侵检测和可疑数据包的深层检测,并能够根据检测结果动态制定控制策略,实时与数据面联动,实现防火墙深度防护功能。数据面主要基于多引擎并发处理,实现对数据流的高速有效的控制和处理。其主要含有以下模块:数据包接收模块,数据包中间处理模 块,Qos模块和数据包发送模块。数据包中间处理模块主要包含包分类过滤器,其根据控制策略,实现对数据包解析,分类,检测
11、,处理和统计。Qos 模块主要实现网络数据流的拥塞控制,数据包的队列处理和优化调度,在保证防火墙各项功能的前提下,提高处理性能。3.2 总体设计基于网络处理器的深度检测防火墙总体结构设计如图2所示,图中给出了深度检测防火墙对于流经防火墙数据流的控制处理流程。深度检测防火墙核心功能主要由数据面层的包分类过滤器和控制面层的深度检测群组实现。异常数据流正常数据流可疑数据流网络访问数据流图2 系统流程图正如图2所示:包分类过滤器对流经防火墙的数据包 进行解析和分类,然后根据配置的控制策略进行检测处理,控制策略对不同数据流划定不同的防御级别,从而采取不同处理操作。粗略上可以将数据流划分为三类: 正常数据
12、流,攻击数据流和可疑数据流。包过滤分类器检测为 合法的正常数据流会直接转发,检测为非法的攻击数据流会直接丢弃,对于无法判断的异常数据流,过滤器直接缓存数据流,同时通过数据包拷贝将该数据流的镜像提交给控制面的深度检测群组,做进一步的深度检测。包分类过滤器主要实现对数据包粗粒度的检测过滤。深度包检测群组通过负载均衡支持多处理器并行分析数据包,主要对包分类过滤器根据防御级别提交的数据流进行检测。深度检测群组利用入侵检测和深度包检测模块对数据包进行应用级的解析,深度检测攻击行为。检测完成后将检测结果提交给策略控制模块,策略控制模块将对该数据流的处理操作下达给包分类过滤器,同时更新控制策略表,以便对后续
13、同类数据流的直接处理,提高工作效率。3.3 包分类过滤器深度检测防火墙数据面的核心为包分类过滤器,其通过多级检测,高速处理流经防火墙所有数据包,根据配置策略实现控制数据包流向。包分类过滤器主要包含基于Flow状态的检测 和基于TCAM配置策略检测两级检测。基于Flow状态 的检测:底层的微引擎根据解析的数据包关键字段直接匹配流状态表,实现对当前流的分类过滤处理。流状态表存储在寄存器中,可供微引擎高速查找,每个条目缓存为一个流的匹配入口,流状态表支持百万数量级的条目个数3。流状态表条目自动创建和定期更新,数据包在一对IP之 间的通信将视为一条流,支持五维目的地址,源地址,目的端口 ,源端口,协议
14、ID 粗粒度的查询。通过基于Flow状态的检测可以高速处理大部分数据流,保证防火墙的高性能。基于TCAM 配置策略检测:当基于Flow 状态的检测没有相应流的匹配入口,包分类过滤器通过基于TCAM 配置策略检测实现数据包的分类过滤处理。如图3所示,基于TCAM 配置策略检测的控制策略有两部分组成,规则集(RULL 和动作集(ACTION ,规则集存储在TCAM 中,动作集存储在SRAM 。底层的微引擎根据解析的数据包关键字段,查找TCAM ,匹配规则集,进而从SRAM 获得相应的ACTION ,完成对数据包操作。基于TCAM 配置策略检测的规则集支持源MAC ,目的MAC ,EtherType
15、 ,物理端口ID ,源地址,目的地址,源端口,目的端口,IP 协议号,TCP 标识 ,ICMP code/Type 多域段查询5。图3 查找TCAM 策略如图4所示,包分类过滤器利用基于Flow 状态和基于TCAM 配置策略两级检测处理数据包的流程。对于流经包分类过滤器的数据包,微引擎提取数据包的关键字后,直接查询缓存中的流状态表,如果匹配成功,则认为该数据包属于一条存在流,通过查找该流的入口,获得基于该流的动作。如果匹配不成功,微引擎会转向查找TCAM 配置策略,通过查找规则集,获取对该 数据包的ACTION ,当微引擎对数据包执行ACTION 后,自动创建一条对应该数据流的流条目,同时将该
16、条目写入流状态表,在有效期内,对于以后同类数据流微引擎将采取相同的处理动作。当前待处理数据包.图 4 包分类过滤器检测流程 图5 并行检测原理图3.4 深度检测群组深度检测群组通过部署DPI 模块和IDS 模块,对数据面提交的可疑数据包进行深度解析6,运用深度包检测技术和入侵检测系统,根据特征检测和内容过滤7深度检测群组通过负载均衡技术,支持DPI 模块和IDS 模块分布式并发执行,可以大大提高检测性能。深度检测防火墙利用负载均衡模块,可以实现对数据流的分流和拷贝,从而将数据流划分为不同的对象提交给深度检测群组模块,实现数据流的并行检测。,检测攻击行为,实时提交检测结果,动态执行防护策略。正如
17、图5所示,负载均衡模块在分流和拷贝数据包处理中,会为数据包创建QueueID,通过队列操作技术,从数据面提交上来的待检测数据包会被深度 检测群组根据QueueID放入不同的队列4 。同时深度检测群组会为每个检测模块提供一个对应处理对象的hostID,通过该hostID实现对与QueueID关联,每个 检测模块可以独立处理自己的对象8 4 实验及结果。由此,每个检测 模块可以并发处理,支持多核和分布式部署,可以大大提高深层检测的性能。深度检测防火墙x86平台采用4核CPU的服务器,运行Centos 5.6操作系统,该系统在真实的网络环境下进行相关测试,其包过滤,深度包检测,入侵检测,数据包拦截等
18、功能顺利通过测试。对于其处理性能,给出最坏情况下的性能测试。配置 规则将所有数据包由数据面提交给控制面进行深度检测,使防火墙进行最长的处理过程,对于包长为64,256,512,1024,1280,1518数据包的处理速度如下图6。对于最小的64字节数据包,在深度检测的前提下处理性能也能达到1G 以上,对于一般数据包处理速率在2G以上,就总体而言,基于网络处理器的深度 检测防火墙处理性能强大。图6 系统数据包处理速率5 总结深度检测防火墙作为应对复杂网络攻击一种新的有效机制,已经成为网络安全产品一个热点。然而,传统 防火墙两种开发模型存在固有的局限性。新一代网络处理器支持异构平台,综合了ASIC
19、平台和x86平台两者的优点,在提供高性能的同时,又具备高度的灵活性。本文针对 新一代网络处理器结构特点,提出了一种基于网络处理器高速深度检测防火墙的体系设计,并阐述了其中关键模块的工作原理。在此体系下可以实现防火墙的深度检测功能,同时保证高速处理性能,满足当前网络安全产品的高性能、灵活性和可扩展性的要求。参考文献1.钟婷,刘勇 ,李志军,等.基于网络处理器的IPv4/IPv6 综合防火墙体系结构研究J.通信学报,2006,27(2:142-146.2王晓雯,尹少平 .一种基于NP的深度检测防火墙新架构J.电力学报,2008,23(4:314-315.3 Netronom Netronome F
20、low Manager: Users Guide 2006-2009 Netronome Systems, Inc.4 Netronom Netronome Flow Driver: Programmers Reference Manual 2009-2010 Netronome Systems, Inc.5 Gupta P, McKeown N. Packet Classification on Multiple FieldsC. Proceedings of ACM Sigcomm, 1999,09: 146-160.6 Rashti MJ, Rabiee HR, Foroutan A. A Multi-dimensional Packet Classifier for NP-based FirewallsC. Proceedings of the 2004 International Symposium on Applications and the Internet, 2004. 7 Andrew R. Baker, Brian Caswell, Mike Poor,Snort 2 1 Intrusion Detection, Second EditionM. the United States of America, Syngress, 2004:165-311. 6
