摘要:
与软件防火墙比较,硬件防火墙运用专用芯片,安全与速度统筹,具有吞吐量高、不占用体系资源的长处,适合于整个网段的安全防护。可是,跟着网络进犯技能的归纳化和复杂化,硬件防火墙也露出出了晋级困难、装备不方便的问题,很难进行灵敏的修正和重装备来应对新式的进犯。跟着FPGA技能的开展,用FPGA技能完结根据IP地址、端口及协议的数据包过滤算法,对硬件防火墙体系进行长途软硬件可重装备成为一个全新的研讨范畴。本规划结合FPGA的可重构规划思维,提出了硬件防火墙长途可重装备的规划理念,为及时应对网络进犯的需求,增加支撑长途更新硬件防火墙安全策略,在NetFPGA渠道上完结了一个支撑可重装备的硬件防火墙体系。此外,关于网络硬件防火墙的研制,现已阅历过了一个阶段,前期准备作业以及部分终究功用现已完结,期望可以使用这个机会在愈加强壮的渠道上完结与NetFPGA处理速率相匹配的高功能侵略检测体系,完结对网络安全状况的正确判别,反馈给网络硬件防火墙,经过协同处理愈加有用地进行网络安全防护。
该体系的首要特征功用有:
1. 运用硬件电路加快完结的根据IP地址的数据包过滤功用;
2. 运用硬件电路加快完结的根据端口的数据包过滤功用;
3. 运用硬件电路加快完结的根据网络协议的数据包过滤功用;
4. 结合硬件完结ARP进犯的防护;
5. 防火墙端口的流量计算,数据传输及流量数据的长途显现;
6. 体系的软硬件长途可重装备的功用;
7. 硬件加快完结的高功能网络侵略检测体系。
硬件防火墙体系原理和技能特色:
- 技能特色首要有:
1. 运用硬件电路加快完结的根据IP地址的数据包过滤功用;
2. 运用硬件电路加快完结的根据端口的数据包过滤功用;
3. 运用硬件电路加快完结的根据网络协议的数据包过滤功用;
4. 结合硬件完结ARP进犯的防护;
5. 结合硬件完结的防火墙端口的流量计算,数据传输及流量数据的长途显现;
6. 软、硬件体系的长途可重装备的功用;
7. 硬件加快完结的高功能网络侵略检测体系。
长途可重装备(Remote configuration)是当时国际FPGA可重构规划范畴的一个前沿研讨方向。现在处于理论刚刚提出,没有完善的阶段,实践的完结上有着必定难度。
本体系完结的长途可重装备,是初次针对与NetFPGA渠道的一个探索性的完结,完结长途可重装备的,可以将它在本体系中完结,并增加进硬件防火墙体系中,关于整个体系的先进性和可靠性,都有着显着的价值和含义。
长途可重装备的完结后,就可以答应管理员可以愈加方便地对体系进行保护以及将来与网络侵略检测体系联动后,可以根据网络侵略检测成果在网络远端对硬件防火墙体系的硬件和软件体系的从头装备,主动更改硬件防火墙的硬件和软件体系,替换硬件防火墙中的安全策略中的硬件模块,增加了针关于NetFPGA渠道的长途可重装备功用的规划与完结。
体系原理:
- 整个体系的原理是:
充分使用NetFPGA关于网络数据的强壮的处理才能,使用硬件电路将NetFPGA完结为一个支撑长途可重装备的网络硬件防火墙体系。其首要功用也均是根据硬件来完结:
- 硬件防火墙的最首要的功用根据IP地址(或根据端口,根据网络协议)的网络数据包过滤
即使用在NetFPGA上规划的硬件体系,将到来的网络数据包解析到第三层后,得到需求的数据,然后,与事前存放在寄存器组中的非可信过滤列表进行比较,假如契合其间的一个表项,立刻将该数据包过滤掉,然后高速、有用地保证了防护的整个安全网络不会被网络进犯所要挟。当产生新的网络进犯时,从侵略检测体系得到有用的侵略检测数据,硬件防火墙体系中,上位机程序经过PCI总线,对硬件防火墙中硬件电路中过滤列表的修正,然后,有用地完结网络安全防护。
体系框图
体系框图
- 结合硬件来完结的ARP进犯与诈骗的防护
原理是,使用ARP表在NetFPGA上的绑定和固化,使得一切到来的RARP数据包都不可以对NetFPGA上的ARP表进行修正,以及安全防护网络中每个主机的IP-MAC的绑定相结合的方法来完结。NetFPGA上的固化,外加选用双向绑定的方法,即可有用地完结关于ARP进犯与诈骗的防护。
- 流量数据的获取与传输
图-硬件防火墙、上位机以及流量监测渠道的一起合作
如上图所示,流量数据的获取、传输与长途显现首要分为三个模块:
(1) 硬件防火墙,首要担任动态地跟着网络流量的改动而修正计算寄存器组中的数据;
(2) NetFPGA上位机,它的责任是经过PCI总线,读取NetFPGA渠道的计算寄存器的数据,经网络接口,守时地发送给安全网络内部的流量监测渠道;
(3) 流量监测渠道,接收到数据包计算数据后,经过运算,并在GUI界面进行动态显现。
- 长途可重装备
针关于NetFPGA渠道的体系硬件结构,提出一个相应的长途可充装备的解决方案,详细的完结机制如下图所示:
体系长途可充装备完结原理示意图
在本体系硬件防火墙体系长途可重装备的过程中,体系硬件装备文件(bit文件)、软件装备文件、用户界面等装备文件的传输,大致需求阅历以下几个过程:
1. 经由长途主机传输到硬件防火墙,在防火墙中,可对数据包的进行检查和剖析,保证可重构体系的数据通道的安全;
2. 然后传输到网络中的交换机,由交换机进行转发;
3. 接下来,长途装备文件到由交换机到硬件防火墙体系的上位机;上位机删去原硬件装备文件、软件装备文件、GUI界面程序装备文件,将接受到新的长途装备文件存储下来。
4. 由上位机对可重装备的硬件防火墙进行长途装备文件的装备作业,装备完结后,从头运转全新的防火墙体系。
在此过程中,可重装备硬件防火墙进行重装备的长途装备文件的传输是在网络正常通讯的情况下进行的,一点点不影响防火墙体系的正常作业。在上位机接收到新的各个装备文件后,再对防火墙体系进行装备。在此过程中,装备硬件体系的时刻仅需短短的1秒钟,加上运转和下载新的软件体系以及从头运转的时刻,一共的时刻不超越5秒钟,简直不影响正常的网络通讯。
- 与侵略检测体系联动
针关于NetFPGA渠道的体系硬件结构,将侵略检测功用有用地集成到该防火墙体系中,完结联动,然后愈加有用地进行网络安全防护。解决方案的详细完结机制如下图所示:
- 侵略检测体系的完结以及与硬件防火墙主体的联动,首要的原理是:
1. 经过NetFPGA将每一个经过的数据包进行仿制,传输到硬件侵略检测体系,经过高功能FPGA渠道的硬件体系进行加快,对数据包的解析;
2. 然后,经过在渠道上完结的侵略监测算法,剖析检测数据字段,然后得出相应的数据,反馈给网络硬件防火墙;
3. 接下来,经过网络硬件防火墙根据从侵略监测体系获取到的数据,修正硬件过滤列表,在原有的硬件防火墙的防护功能不能满意有用应对新的安全要挟,必要更新新的硬件装备文件来保证防护功能时,管理人员可以经过长途可重装备更新防火墙的硬件体系和软件体系,然后可以愈加有用地保证高效地应对网络进犯。
图-侵略检测体系与硬件防火墙的联动