基于NetFPGA的支持遠(yuǎn)程可重配置的多功能硬件防火墻

摘要：

與軟件防火墻相比，硬件防火墻使用專用芯片，安全與速度兼顧，具有吞吐量高、不占用系統(tǒng)資源的優(yōu)點(diǎn)，適合于整個(gè)網(wǎng)段的安全防護(hù)。但是，隨著網(wǎng)絡(luò)攻擊技術(shù)的綜合化和復(fù)雜化，硬件防火墻也暴露出了升級(jí)困難、配置不便的問(wèn)題，很難進(jìn)行靈活的修改和重配置來(lái)應(yīng)對(duì)新型的攻擊。隨著FPGA技術(shù)的發(fā)展，用FPGA技術(shù)實(shí)現(xiàn)基于IP地址、端口及協(xié)議的數(shù)據(jù)包過(guò)濾算法，對(duì)硬件防火墻系統(tǒng)進(jìn)行遠(yuǎn)程軟硬件可重配置成為一個(gè)全新的研究領(lǐng)域。本設(shè)計(jì)結(jié)合FPGA的可重構(gòu)設(shè)計(jì)思想，提出了硬件防火墻遠(yuǎn)程可重配置的設(shè)計(jì)理念，為及時(shí)應(yīng)對(duì)網(wǎng)絡(luò)攻擊的需要，添加支持遠(yuǎn)程更新硬件防火墻安全策略，在NetFPGA平臺(tái)上實(shí)現(xiàn)了一個(gè)支持可重配置的硬件防火墻系統(tǒng)。此外，對(duì)于網(wǎng)絡(luò)硬件防火墻的研發(fā)，已經(jīng)經(jīng)歷過(guò)了一個(gè)階段，前期準(zhǔn)備工作以及部分最終功能已經(jīng)完成，希望能夠利用這個(gè)機(jī)會(huì)在更加強(qiáng)大的平臺(tái)上實(shí)現(xiàn)與NetFPGA處理速率相匹配的高性能入侵檢測(cè)系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全狀態(tài)的正確判斷，反饋給網(wǎng)絡(luò)硬件防火墻，通過(guò)協(xié)同處理更加有效地進(jìn)行網(wǎng)絡(luò)安全防護(hù)。

該系統(tǒng)的主要特色功能有：

1． 運(yùn)用硬件電路加速實(shí)現(xiàn)的基于IP地址的數(shù)據(jù)包過(guò)濾功能；

2． 運(yùn)用硬件電路加速實(shí)現(xiàn)的基于端口的數(shù)據(jù)包過(guò)濾功能；

3． 運(yùn)用硬件電路加速實(shí)現(xiàn)的基于網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包過(guò)濾功能；

4． 結(jié)合硬件實(shí)現(xiàn)ARP攻擊的防護(hù)；

5． 防火墻端口的流量統(tǒng)計(jì)，數(shù)據(jù)傳輸及流量數(shù)據(jù)的遠(yuǎn)程顯示；

6． 系統(tǒng)的軟硬件遠(yuǎn)程可重配置的功能；

7． 硬件加速實(shí)現(xiàn)的高性能網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。

硬件防火墻系統(tǒng)原理和技術(shù)特點(diǎn)：

• 技術(shù)特點(diǎn)主要有：

1． 運(yùn)用硬件電路加速實(shí)現(xiàn)的基于IP地址的數(shù)據(jù)包過(guò)濾功能；

2． 運(yùn)用硬件電路加速實(shí)現(xiàn)的基于端口的數(shù)據(jù)包過(guò)濾功能；

3． 運(yùn)用硬件電路加速實(shí)現(xiàn)的基于網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包過(guò)濾功能；

4． 結(jié)合硬件實(shí)現(xiàn)ARP攻擊的防護(hù)；

5． 結(jié)合硬件實(shí)現(xiàn)的防火墻端口的流量統(tǒng)計(jì)，數(shù)據(jù)傳輸及流量數(shù)據(jù)的遠(yuǎn)程顯示；

6． 軟、硬件系統(tǒng)的遠(yuǎn)程可重配置的功能；

7． 硬件加速實(shí)現(xiàn)的高性能網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。

遠(yuǎn)程可重配置（Remote configuration）是當(dāng)前世界FPGA可重構(gòu)設(shè)計(jì)領(lǐng)域的一個(gè)前沿研究方向。目前處于理論剛剛提出，尚未完善的階段，實(shí)際的實(shí)現(xiàn)上有著一定難度。

本系統(tǒng)完成的遠(yuǎn)程可重配置，是首次針對(duì)與NetFPGA平臺(tái)的一個(gè)探索性的實(shí)現(xiàn)，完成遠(yuǎn)程可重配置的，能夠?qū)⑺诒鞠到y(tǒng)中實(shí)現(xiàn)，并添加進(jìn)硬件防火墻系統(tǒng)中，對(duì)于整個(gè)系統(tǒng)的先進(jìn)性和可靠性，都有著明顯的價(jià)值和意義。

遠(yuǎn)程可重配置的實(shí)現(xiàn)后，就可以允許管理員可以更加方便地對(duì)系統(tǒng)進(jìn)行維護(hù)以及將來(lái)與網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)后，能夠根據(jù)網(wǎng)絡(luò)入侵檢測(cè)結(jié)果在網(wǎng)絡(luò)遠(yuǎn)端對(duì)硬件防火墻系統(tǒng)的硬件和軟件系統(tǒng)的重新配置，自動(dòng)更改硬件防火墻的硬件和軟件系統(tǒng)，更換硬件防火墻中的安全策略中的硬件模塊，增加了針對(duì)于NetFPGA平臺(tái)的遠(yuǎn)程可重配置功能的設(shè)計(jì)與實(shí)現(xiàn)。

系統(tǒng)原理：

• 整個(gè)系統(tǒng)的原理是：

充分利用NetFPGA對(duì)于網(wǎng)絡(luò)數(shù)據(jù)的強(qiáng)大的處理能力，利用硬件電路將NetFPGA實(shí)現(xiàn)為一個(gè)支持遠(yuǎn)程可重配置的網(wǎng)絡(luò)硬件防火墻系統(tǒng)。其主要功能也均是基于硬件來(lái)實(shí)現(xiàn)：

1. 硬件防火墻的最主要的功能基于IP地址（或基于端口，基于網(wǎng)絡(luò)協(xié)議）的網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾

即利用在NetFPGA上設(shè)計(jì)的硬件系統(tǒng)，將到來(lái)的網(wǎng)絡(luò)數(shù)據(jù)包解析到第三層后，得到需要的數(shù)據(jù)，然后，與事先存放在寄存器組中的非可信過(guò)濾列表進(jìn)行比較，如果符合其中的一個(gè)表項(xiàng)，即刻將該數(shù)據(jù)包過(guò)濾掉，從而高速、有效地保障了防護(hù)的整個(gè)安全網(wǎng)絡(luò)不會(huì)被網(wǎng)絡(luò)攻擊所威脅。當(dāng)發(fā)生新的網(wǎng)絡(luò)攻擊時(shí)，從入侵檢測(cè)系統(tǒng)得到有效的入侵檢測(cè)數(shù)據(jù)，硬件防火墻系統(tǒng)中，上位機(jī)程序通過(guò)PCI總線，對(duì)硬件防火墻中硬件電路中過(guò)濾列表的修改，從而，有效地實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)。

系統(tǒng)框圖

系統(tǒng)框圖

2. 結(jié)合硬件來(lái)實(shí)現(xiàn)的ARP攻擊與欺騙的防護(hù)

原理是，利用ARP表在NetFPGA上的綁定和固化，使得所有到來(lái)的RARP數(shù)據(jù)包都不能夠?qū)etFPGA上的ARP表進(jìn)行修改，以及安全防護(hù)網(wǎng)絡(luò)中每個(gè)主機(jī)的IP-MAC的綁定相結(jié)合的方式來(lái)實(shí)現(xiàn)。NetFPGA上的固化，外加采用雙向綁定的方式，即可有效地實(shí)現(xiàn)對(duì)于ARP攻擊與欺騙的防護(hù)。

3. 流量數(shù)據(jù)的獲取與傳輸

圖-硬件防火墻、上位機(jī)以及流量監(jiān)測(cè)平臺(tái)的共同配合

如上圖所示，流量數(shù)據(jù)的獲取、傳輸與遠(yuǎn)程顯示主要分為三個(gè)模塊：

(1) 硬件防火墻，主要負(fù)責(zé)動(dòng)態(tài)地隨著網(wǎng)絡(luò)流量的改變而修改統(tǒng)計(jì)寄存器組中的數(shù)據(jù)；

(2) NetFPGA上位機(jī)，它的職責(zé)是通過(guò)PCI總線，讀取NetFPGA平臺(tái)的統(tǒng)計(jì)寄存器的數(shù)據(jù)，經(jīng)網(wǎng)絡(luò)接口，定時(shí)地發(fā)送給安全網(wǎng)絡(luò)內(nèi)部的流量監(jiān)測(cè)平臺(tái)；

(3) 流量監(jiān)測(cè)平臺(tái)，接收到數(shù)據(jù)包統(tǒng)計(jì)數(shù)據(jù)后，經(jīng)過(guò)運(yùn)算，并在GUI界面進(jìn)行動(dòng)態(tài)顯示。

4. 遠(yuǎn)程可重配置

針對(duì)于NetFPGA平臺(tái)的系統(tǒng)硬件結(jié)構(gòu)，提出一個(gè)相應(yīng)的遠(yuǎn)程可充配置的解決方案，具體的實(shí)現(xiàn)機(jī)制如下圖所示：

系統(tǒng)遠(yuǎn)程可充配置實(shí)現(xiàn)原理示意圖

在本系統(tǒng)硬件防火墻系統(tǒng)遠(yuǎn)程可重配置的過(guò)程中，系統(tǒng)硬件配置文件（bit文件）、軟件配置文件、用戶界面等配置文件的傳輸，大致需要經(jīng)歷以下幾個(gè)步驟：

1. 經(jīng)由遠(yuǎn)程主機(jī)傳輸?shù)接布阑饓Γ诜阑饓χ?，可?duì)數(shù)據(jù)包的進(jìn)行檢查和分析，保障可重構(gòu)系統(tǒng)的數(shù)據(jù)通道的安全；

2. 然后傳輸?shù)骄W(wǎng)絡(luò)中的交換機(jī)，由交換機(jī)進(jìn)行轉(zhuǎn)發(fā)；

3. 接下來(lái)，遠(yuǎn)程配置文件到由交換機(jī)到硬件防火墻系統(tǒng)的上位機(jī)；上位機(jī)刪除原硬件配置文件、軟件配置文件、GUI界面程序配置文件，將接受到新的遠(yuǎn)程配置文件存儲(chǔ)下來(lái)。

4. 由上位機(jī)對(duì)可重配置的硬件防火墻進(jìn)行遠(yuǎn)程配置文件的配置工作，配置完成后，重新運(yùn)行全新的防火墻系統(tǒng)。

在此過(guò)程中，可重配置硬件防火墻進(jìn)行重配置的遠(yuǎn)程配置文件的傳輸是在網(wǎng)絡(luò)正常通信的情況下進(jìn)行的，絲毫不影響防火墻系統(tǒng)的正常工作。在上位機(jī)接收到新的各個(gè)配置文件后，再對(duì)防火墻系統(tǒng)進(jìn)行配置。在此過(guò)程中，配置硬件系統(tǒng)的時(shí)間僅需短短的1秒鐘，加上運(yùn)行和下載新的軟件系統(tǒng)以及重新運(yùn)行的時(shí)間，總共的時(shí)間不超過(guò)5秒鐘，幾乎不影響正常的網(wǎng)絡(luò)通信。

5. 與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)

針對(duì)于NetFPGA平臺(tái)的系統(tǒng)硬件結(jié)構(gòu)，將入侵檢測(cè)功能有效地集成到該防火墻系統(tǒng)中，實(shí)現(xiàn)聯(lián)動(dòng)，從而更加有效地進(jìn)行網(wǎng)絡(luò)安全防護(hù)。解決方案的具體實(shí)現(xiàn)機(jī)制如下圖所示：

• 入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)以及與硬件防火墻主體的聯(lián)動(dòng)，主要的原理是：

1． 通過(guò)NetFPGA將每一個(gè)經(jīng)過(guò)的數(shù)據(jù)包進(jìn)行復(fù)制，傳輸?shù)接布肭謾z測(cè)系統(tǒng)，經(jīng)過(guò)高性能FPGA平臺(tái)的硬件系統(tǒng)進(jìn)行加速，對(duì)數(shù)據(jù)包的解析；

2． 然后，通過(guò)在平臺(tái)上實(shí)現(xiàn)的入侵監(jiān)測(cè)算法，分析檢測(cè)數(shù)據(jù)字段，從而得出相應(yīng)的數(shù)據(jù)，反饋給網(wǎng)絡(luò)硬件防火墻；

3． 接下來(lái)，通過(guò)網(wǎng)絡(luò)硬件防火墻依據(jù)從入侵監(jiān)測(cè)系統(tǒng)獲取到的數(shù)據(jù)，修改硬件過(guò)濾列表，在原有的硬件防火墻的防護(hù)性能不能滿足有效應(yīng)對(duì)新的安全威脅，必要更新新的硬件配置文件來(lái)保證防護(hù)性能時(shí)，管理人員可以通過(guò)遠(yuǎn)程可重配置更新防火墻的硬件系統(tǒng)和軟件系統(tǒng)，從而能夠更加有效地確保高效地應(yīng)對(duì)網(wǎng)絡(luò)攻擊。

圖-入侵檢測(cè)系統(tǒng)與硬件防火墻的聯(lián)動(dòng)