基于NetFPGA的支持遠程可重配置的多功能硬件防火墻
加入技術(shù)交流群
摘要:
與軟件防火墻相比,硬件防火墻使用專用芯片,安全與速度兼顧,具有吞吐量高、不占用系統(tǒng)資源的優(yōu)點,適合于整個網(wǎng)段的安全防護。但是,隨著網(wǎng)絡(luò)攻擊技術(shù)的綜合化和復雜化,硬件防火墻也暴露出了升級困難、配置不便的問題,很難進行靈活的修改和重配置來應對新型的攻擊。隨著FPGA技術(shù)的發(fā)展,用FPGA技術(shù)實現(xiàn)基于IP地址、端口及協(xié)議的數(shù)據(jù)包過濾算法,對硬件防火墻系統(tǒng)進行遠程軟硬件可重配置成為一個全新的研究領(lǐng)域。本設(shè)計結(jié)合FPGA的可重構(gòu)設(shè)計思想,提出了硬件防火墻遠程可重配置的設(shè)計理念,為及時應對網(wǎng)絡(luò)攻擊的需要,添加支持遠程更新硬件防火墻安全策略,在NetFPGA平臺上實現(xiàn)了一個支持可重配置的硬件防火墻系統(tǒng)。此外,對于網(wǎng)絡(luò)硬件防火墻的研發(fā),已經(jīng)經(jīng)歷過了一個階段,前期準備工作以及部分最終功能已經(jīng)完成,希望能夠利用這個機會在更加強大的平臺上實現(xiàn)與NetFPGA處理速率相匹配的高性能入侵檢測系統(tǒng),實現(xiàn)對網(wǎng)絡(luò)安全狀態(tài)的正確判斷,反饋給網(wǎng)絡(luò)硬件防火墻,通過協(xié)同處理更加有效地進行網(wǎng)絡(luò)安全防護。
該系統(tǒng)的主要特色功能有:
1. 運用硬件電路加速實現(xiàn)的基于IP地址的數(shù)據(jù)包過濾功能;
2. 運用硬件電路加速實現(xiàn)的基于端口的數(shù)據(jù)包過濾功能;
3. 運用硬件電路加速實現(xiàn)的基于網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包過濾功能;
4. 結(jié)合硬件實現(xiàn)ARP攻擊的防護;
5. 防火墻端口的流量統(tǒng)計,數(shù)據(jù)傳輸及流量數(shù)據(jù)的遠程顯示;
6. 系統(tǒng)的軟硬件遠程可重配置的功能;
7. 硬件加速實現(xiàn)的高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)。
硬件防火墻系統(tǒng)原理和技術(shù)特點:
- 技術(shù)特點主要有:
1. 運用硬件電路加速實現(xiàn)的基于IP地址的數(shù)據(jù)包過濾功能;
2. 運用硬件電路加速實現(xiàn)的基于端口的數(shù)據(jù)包過濾功能;
3. 運用硬件電路加速實現(xiàn)的基于網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包過濾功能;
4. 結(jié)合硬件實現(xiàn)ARP攻擊的防護;
5. 結(jié)合硬件實現(xiàn)的防火墻端口的流量統(tǒng)計,數(shù)據(jù)傳輸及流量數(shù)據(jù)的遠程顯示;
6. 軟、硬件系統(tǒng)的遠程可重配置的功能;
7. 硬件加速實現(xiàn)的高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)。
遠程可重配置(Remote configuration)是當前世界FPGA可重構(gòu)設(shè)計領(lǐng)域的一個前沿研究方向。目前處于理論剛剛提出,尚未完善的階段,實際的實現(xiàn)上有著一定難度。
本系統(tǒng)完成的遠程可重配置,是首次針對與NetFPGA平臺的一個探索性的實現(xiàn),完成遠程可重配置的,能夠?qū)⑺诒鞠到y(tǒng)中實現(xiàn),并添加進硬件防火墻系統(tǒng)中,對于整個系統(tǒng)的先進性和可靠性,都有著明顯的價值和意義。
遠程可重配置的實現(xiàn)后,就可以允許管理員可以更加方便地對系統(tǒng)進行維護以及將來與網(wǎng)絡(luò)入侵檢測系統(tǒng)聯(lián)動后,能夠根據(jù)網(wǎng)絡(luò)入侵檢測結(jié)果在網(wǎng)絡(luò)遠端對硬件防火墻系統(tǒng)的硬件和軟件系統(tǒng)的重新配置,自動更改硬件防火墻的硬件和軟件系統(tǒng),更換硬件防火墻中的安全策略中的硬件模塊,增加了針對于NetFPGA平臺的遠程可重配置功能的設(shè)計與實現(xiàn)。
系統(tǒng)原理:
- 整個系統(tǒng)的原理是:
充分利用NetFPGA對于網(wǎng)絡(luò)數(shù)據(jù)的強大的處理能力,利用硬件電路將NetFPGA實現(xiàn)為一個支持遠程可重配置的網(wǎng)絡(luò)硬件防火墻系統(tǒng)。其主要功能也均是基于硬件來實現(xiàn):
- 硬件防火墻的最主要的功能基于IP地址(或基于端口,基于網(wǎng)絡(luò)協(xié)議)的網(wǎng)絡(luò)數(shù)據(jù)包過濾
即利用在NetFPGA上設(shè)計的硬件系統(tǒng),將到來的網(wǎng)絡(luò)數(shù)據(jù)包解析到第三層后,得到需要的數(shù)據(jù),然后,與事先存放在寄存器組中的非可信過濾列表進行比較,如果符合其中的一個表項,即刻將該數(shù)據(jù)包過濾掉,從而高速、有效地保障了防護的整個安全網(wǎng)絡(luò)不會被網(wǎng)絡(luò)攻擊所威脅。當發(fā)生新的網(wǎng)絡(luò)攻擊時,從入侵檢測系統(tǒng)得到有效的入侵檢測數(shù)據(jù),硬件防火墻系統(tǒng)中,上位機程序通過PCI總線,對硬件防火墻中硬件電路中過濾列表的修改,從而,有效地實現(xiàn)網(wǎng)絡(luò)安全防護。
系統(tǒng)框圖
系統(tǒng)框圖
- 結(jié)合硬件來實現(xiàn)的ARP攻擊與欺騙的防護
原理是,利用ARP表在NetFPGA上的綁定和固化,使得所有到來的RARP數(shù)據(jù)包都不能夠?qū)etFPGA上的ARP表進行修改,以及安全防護網(wǎng)絡(luò)中每個主機的IP-MAC的綁定相結(jié)合的方式來實現(xiàn)。NetFPGA上的固化,外加采用雙向綁定的方式,即可有效地實現(xiàn)對于ARP攻擊與欺騙的防護。
- 流量數(shù)據(jù)的獲取與傳輸
圖-硬件防火墻、上位機以及流量監(jiān)測平臺的共同配合
如上圖所示,流量數(shù)據(jù)的獲取、傳輸與遠程顯示主要分為三個模塊:
(1) 硬件防火墻,主要負責動態(tài)地隨著網(wǎng)絡(luò)流量的改變而修改統(tǒng)計寄存器組中的數(shù)據(jù);
(2) NetFPGA上位機,它的職責是通過PCI總線,讀取NetFPGA平臺的統(tǒng)計寄存器的數(shù)據(jù),經(jīng)網(wǎng)絡(luò)接口,定時地發(fā)送給安全網(wǎng)絡(luò)內(nèi)部的流量監(jiān)測平臺;
(3) 流量監(jiān)測平臺,接收到數(shù)據(jù)包統(tǒng)計數(shù)據(jù)后,經(jīng)過運算,并在GUI界面進行動態(tài)顯示。
- 遠程可重配置
針對于NetFPGA平臺的系統(tǒng)硬件結(jié)構(gòu),提出一個相應的遠程可充配置的解決方案,具體的實現(xiàn)機制如下圖所示:
系統(tǒng)遠程可充配置實現(xiàn)原理示意圖
在本系統(tǒng)硬件防火墻系統(tǒng)遠程可重配置的過程中,系統(tǒng)硬件配置文件(bit文件)、軟件配置文件、用戶界面等配置文件的傳輸,大致需要經(jīng)歷以下幾個步驟:
1. 經(jīng)由遠程主機傳輸?shù)接布阑饓Γ诜阑饓χ校蓪?shù)據(jù)包的進行檢查和分析,保障可重構(gòu)系統(tǒng)的數(shù)據(jù)通道的安全;
2. 然后傳輸?shù)骄W(wǎng)絡(luò)中的交換機,由交換機進行轉(zhuǎn)發(fā);
3. 接下來,遠程配置文件到由交換機到硬件防火墻系統(tǒng)的上位機;上位機刪除原硬件配置文件、軟件配置文件、GUI界面程序配置文件,將接受到新的遠程配置文件存儲下來。
4. 由上位機對可重配置的硬件防火墻進行遠程配置文件的配置工作,配置完成后,重新運行全新的防火墻系統(tǒng)。
在此過程中,可重配置硬件防火墻進行重配置的遠程配置文件的傳輸是在網(wǎng)絡(luò)正常通信的情況下進行的,絲毫不影響防火墻系統(tǒng)的正常工作。在上位機接收到新的各個配置文件后,再對防火墻系統(tǒng)進行配置。在此過程中,配置硬件系統(tǒng)的時間僅需短短的1秒鐘,加上運行和下載新的軟件系統(tǒng)以及重新運行的時間,總共的時間不超過5秒鐘,幾乎不影響正常的網(wǎng)絡(luò)通信。
- 與入侵檢測系統(tǒng)聯(lián)動
針對于NetFPGA平臺的系統(tǒng)硬件結(jié)構(gòu),將入侵檢測功能有效地集成到該防火墻系統(tǒng)中,實現(xiàn)聯(lián)動,從而更加有效地進行網(wǎng)絡(luò)安全防護。解決方案的具體實現(xiàn)機制如下圖所示:
- 入侵檢測系統(tǒng)的實現(xiàn)以及與硬件防火墻主體的聯(lián)動,主要的原理是:
1. 通過NetFPGA將每一個經(jīng)過的數(shù)據(jù)包進行復制,傳輸?shù)接布肭謾z測系統(tǒng),經(jīng)過高性能FPGA平臺的硬件系統(tǒng)進行加速,對數(shù)據(jù)包的解析;
2. 然后,通過在平臺上實現(xiàn)的入侵監(jiān)測算法,分析檢測數(shù)據(jù)字段,從而得出相應的數(shù)據(jù),反饋給網(wǎng)絡(luò)硬件防火墻;
3. 接下來,通過網(wǎng)絡(luò)硬件防火墻依據(jù)從入侵監(jiān)測系統(tǒng)獲取到的數(shù)據(jù),修改硬件過濾列表,在原有的硬件防火墻的防護性能不能滿足有效應對新的安全威脅,必要更新新的硬件配置文件來保證防護性能時,管理人員可以通過遠程可重配置更新防火墻的硬件系統(tǒng)和軟件系統(tǒng),從而能夠更加有效地確保高效地應對網(wǎng)絡(luò)攻擊。
圖-入侵檢測系統(tǒng)與硬件防火墻的聯(lián)動
評論