基于NetFPGA的支持遠(yuǎn)程可重配置的多功能硬件防火墻

摘要：

與軟件防火墻相比，硬件防火墻使用專用芯片，安全與速度兼顧，具有吞吐量高、不占用系統(tǒng)資源的優(yōu)點(diǎn)，適合于整個(gè)網(wǎng)段的安全防護(hù)。但是，隨著網(wǎng)絡(luò)攻擊技術(shù)的綜合化和復(fù)雜化，硬件防火墻也暴露出了升級困難、配置不便的問題，很難進(jìn)行靈活的修改和重配置來應(yīng)對新型的攻擊。隨著FPGA技術(shù)的發(fā)展，用FPGA技術(shù)實(shí)現(xiàn)基于IP地址、端口及協(xié)議的數(shù)據(jù)包過濾算法，對硬件防火墻系統(tǒng)進(jìn)行遠(yuǎn)程軟硬件可重配置成為一個(gè)全新的研究領(lǐng)域。本設(shè)計(jì)結(jié)合FPGA的可重構(gòu)設(shè)計(jì)思想，提出了硬件防火墻遠(yuǎn)程可重配置的設(shè)計(jì)理念，為及時(shí)應(yīng)對網(wǎng)絡(luò)攻擊的需要，添加支持遠(yuǎn)程更新硬件防火墻安全策略，在NetFPGA平臺上實(shí)現(xiàn)了一個(gè)支持可重配置的硬件防火墻系統(tǒng)。此外，對于網(wǎng)絡(luò)硬件防火墻的研發(fā)，已經(jīng)經(jīng)歷過了一個(gè)階段，前期準(zhǔn)備工作以及部分最終功能已經(jīng)完成，希望能夠利用這個(gè)機(jī)會在更加強(qiáng)大的平臺上實(shí)現(xiàn)與NetFPGA處理速率相匹配的高性能入侵檢測系統(tǒng)，實(shí)現(xiàn)對網(wǎng)絡(luò)安全狀態(tài)的正確判斷，反饋給網(wǎng)絡(luò)硬件防火墻，通過協(xié)同處理更加有效地進(jìn)行網(wǎng)絡(luò)安全防護(hù)。

該系統(tǒng)的主要特色功能有：

1． 運(yùn)用硬件電路加速實(shí)現(xiàn)的基于IP地址的數(shù)據(jù)包過濾功能；

2． 運(yùn)用硬件電路加速實(shí)現(xiàn)的基于端口的數(shù)據(jù)包過濾功能；

3． 運(yùn)用硬件電路加速實(shí)現(xiàn)的基于網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包過濾功能；

4． 結(jié)合硬件實(shí)現(xiàn)ARP攻擊的防護(hù)；

5． 防火墻端口的流量統(tǒng)計(jì)，數(shù)據(jù)傳輸及流量數(shù)據(jù)的遠(yuǎn)程顯示；

6． 系統(tǒng)的軟硬件遠(yuǎn)程可重配置的功能；

7． 硬件加速實(shí)現(xiàn)的高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)。

硬件防火墻系統(tǒng)原理和技術(shù)特點(diǎn)：

• 技術(shù)特點(diǎn)主要有：

1． 運(yùn)用硬件電路加速實(shí)現(xiàn)的基于IP地址的數(shù)據(jù)包過濾功能；

2． 運(yùn)用硬件電路加速實(shí)現(xiàn)的基于端口的數(shù)據(jù)包過濾功能；

3． 運(yùn)用硬件電路加速實(shí)現(xiàn)的基于網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包過濾功能；

4． 結(jié)合硬件實(shí)現(xiàn)ARP攻擊的防護(hù)；

5． 結(jié)合硬件實(shí)現(xiàn)的防火墻端口的流量統(tǒng)計(jì)，數(shù)據(jù)傳輸及流量數(shù)據(jù)的遠(yuǎn)程顯示；

6． 軟、硬件系統(tǒng)的遠(yuǎn)程可重配置的功能；

7． 硬件加速實(shí)現(xiàn)的高性能網(wǎng)絡(luò)入侵檢測系統(tǒng)。

遠(yuǎn)程可重配置（Remote configuration）是當(dāng)前世界FPGA可重構(gòu)設(shè)計(jì)領(lǐng)域的一個(gè)前沿研究方向。目前處于理論剛剛提出，尚未完善的階段，實(shí)際的實(shí)現(xiàn)上有著一定難度。

本系統(tǒng)完成的遠(yuǎn)程可重配置，是首次針對與NetFPGA平臺的一個(gè)探索性的實(shí)現(xiàn)，完成遠(yuǎn)程可重配置的，能夠?qū)⑺诒鞠到y(tǒng)中實(shí)現(xiàn)，并添加進(jìn)硬件防火墻系統(tǒng)中，對于整個(gè)系統(tǒng)的先進(jìn)性和可靠性，都有著明顯的價(jià)值和意義。

遠(yuǎn)程可重配置的實(shí)現(xiàn)后，就可以允許管理員可以更加方便地對系統(tǒng)進(jìn)行維護(hù)以及將來與網(wǎng)絡(luò)入侵檢測系統(tǒng)聯(lián)動后，能夠根據(jù)網(wǎng)絡(luò)入侵檢測結(jié)果在網(wǎng)絡(luò)遠(yuǎn)端對硬件防火墻系統(tǒng)的硬件和軟件系統(tǒng)的重新配置，自動更改硬件防火墻的硬件和軟件系統(tǒng)，更換硬件防火墻中的安全策略中的硬件模塊，增加了針對于NetFPGA平臺的遠(yuǎn)程可重配置功能的設(shè)計(jì)與實(shí)現(xiàn)。

系統(tǒng)原理：

• 整個(gè)系統(tǒng)的原理是：

充分利用NetFPGA對于網(wǎng)絡(luò)數(shù)據(jù)的強(qiáng)大的處理能力，利用硬件電路將NetFPGA實(shí)現(xiàn)為一個(gè)支持遠(yuǎn)程可重配置的網(wǎng)絡(luò)硬件防火墻系統(tǒng)。其主要功能也均是基于硬件來實(shí)現(xiàn)：

1. 硬件防火墻的最主要的功能基于IP地址（或基于端口，基于網(wǎng)絡(luò)協(xié)議）的網(wǎng)絡(luò)數(shù)據(jù)包過濾

即利用在NetFPGA上設(shè)計(jì)的硬件系統(tǒng)，將到來的網(wǎng)絡(luò)數(shù)據(jù)包解析到第三層后，得到需要的數(shù)據(jù)，然后，與事先存放在寄存器組中的非可信過濾列表進(jìn)行比較，如果符合其中的一個(gè)表項(xiàng)，即刻將該數(shù)據(jù)包過濾掉，從而高速、有效地保障了防護(hù)的整個(gè)安全網(wǎng)絡(luò)不會被網(wǎng)絡(luò)攻擊所威脅。當(dāng)發(fā)生新的網(wǎng)絡(luò)攻擊時(shí)，從入侵檢測系統(tǒng)得到有效的入侵檢測數(shù)據(jù)，硬件防火墻系統(tǒng)中，上位機(jī)程序通過PCI總線，對硬件防火墻中硬件電路中過濾列表的修改，從而，有效地實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)。

系統(tǒng)框圖

系統(tǒng)框圖

2. 結(jié)合硬件來實(shí)現(xiàn)的ARP攻擊與欺騙的防護(hù)

原理是，利用ARP表在NetFPGA上的綁定和固化，使得所有到來的RARP數(shù)據(jù)包都不能夠?qū)etFPGA上的ARP表進(jìn)行修改，以及安全防護(hù)網(wǎng)絡(luò)中每個(gè)主機(jī)的IP-MAC的綁定相結(jié)合的方式來實(shí)現(xiàn)。NetFPGA上的固化，外加采用雙向綁定的方式，即可有效地實(shí)現(xiàn)對于ARP攻擊與欺騙的防護(hù)。

3. 流量數(shù)據(jù)的獲取與傳輸

圖-硬件防火墻、上位機(jī)以及流量監(jiān)測平臺的共同配合

如上圖所示，流量數(shù)據(jù)的獲取、傳輸與遠(yuǎn)程顯示主要分為三個(gè)模塊：

(1) 硬件防火墻，主要負(fù)責(zé)動態(tài)地隨著網(wǎng)絡(luò)流量的改變而修改統(tǒng)計(jì)寄存器組中的數(shù)據(jù)；

(2) NetFPGA上位機(jī)，它的職責(zé)是通過PCI總線，讀取NetFPGA平臺的統(tǒng)計(jì)寄存器的數(shù)據(jù)，經(jīng)網(wǎng)絡(luò)接口，定時(shí)地發(fā)送給安全網(wǎng)絡(luò)內(nèi)部的流量監(jiān)測平臺；

(3) 流量監(jiān)測平臺，接收到數(shù)據(jù)包統(tǒng)計(jì)數(shù)據(jù)后，經(jīng)過運(yùn)算，并在GUI界面進(jìn)行動態(tài)顯示。

4. 遠(yuǎn)程可重配置

針對于NetFPGA平臺的系統(tǒng)硬件結(jié)構(gòu)，提出一個(gè)相應(yīng)的遠(yuǎn)程可充配置的解決方案，具體的實(shí)現(xiàn)機(jī)制如下圖所示：

系統(tǒng)遠(yuǎn)程可充配置實(shí)現(xiàn)原理示意圖

在本系統(tǒng)硬件防火墻系統(tǒng)遠(yuǎn)程可重配置的過程中，系統(tǒng)硬件配置文件（bit文件）、軟件配置文件、用戶界面等配置文件的傳輸，大致需要經(jīng)歷以下幾個(gè)步驟：

1. 經(jīng)由遠(yuǎn)程主機(jī)傳輸?shù)接布阑饓Γ诜阑饓χ?，可對?shù)據(jù)包的進(jìn)行檢查和分析，保障可重構(gòu)系統(tǒng)的數(shù)據(jù)通道的安全；

2. 然后傳輸?shù)骄W(wǎng)絡(luò)中的交換機(jī)，由交換機(jī)進(jìn)行轉(zhuǎn)發(fā)；

3. 接下來，遠(yuǎn)程配置文件到由交換機(jī)到硬件防火墻系統(tǒng)的上位機(jī)；上位機(jī)刪除原硬件配置文件、軟件配置文件、GUI界面程序配置文件，將接受到新的遠(yuǎn)程配置文件存儲下來。

4. 由上位機(jī)對可重配置的硬件防火墻進(jìn)行遠(yuǎn)程配置文件的配置工作，配置完成后，重新運(yùn)行全新的防火墻系統(tǒng)。

在此過程中，可重配置硬件防火墻進(jìn)行重配置的遠(yuǎn)程配置文件的傳輸是在網(wǎng)絡(luò)正常通信的情況下進(jìn)行的，絲毫不影響防火墻系統(tǒng)的正常工作。在上位機(jī)接收到新的各個(gè)配置文件后，再對防火墻系統(tǒng)進(jìn)行配置。在此過程中，配置硬件系統(tǒng)的時(shí)間僅需短短的1秒鐘，加上運(yùn)行和下載新的軟件系統(tǒng)以及重新運(yùn)行的時(shí)間，總共的時(shí)間不超過5秒鐘，幾乎不影響正常的網(wǎng)絡(luò)通信。

5. 與入侵檢測系統(tǒng)聯(lián)動

針對于NetFPGA平臺的系統(tǒng)硬件結(jié)構(gòu)，將入侵檢測功能有效地集成到該防火墻系統(tǒng)中，實(shí)現(xiàn)聯(lián)動，從而更加有效地進(jìn)行網(wǎng)絡(luò)安全防護(hù)。解決方案的具體實(shí)現(xiàn)機(jī)制如下圖所示：

• 入侵檢測系統(tǒng)的實(shí)現(xiàn)以及與硬件防火墻主體的聯(lián)動，主要的原理是：

1． 通過NetFPGA將每一個(gè)經(jīng)過的數(shù)據(jù)包進(jìn)行復(fù)制，傳輸?shù)接布肭謾z測系統(tǒng)，經(jīng)過高性能FPGA平臺的硬件系統(tǒng)進(jìn)行加速，對數(shù)據(jù)包的解析；

2． 然后，通過在平臺上實(shí)現(xiàn)的入侵監(jiān)測算法，分析檢測數(shù)據(jù)字段，從而得出相應(yīng)的數(shù)據(jù)，反饋給網(wǎng)絡(luò)硬件防火墻；

3． 接下來，通過網(wǎng)絡(luò)硬件防火墻依據(jù)從入侵監(jiān)測系統(tǒng)獲取到的數(shù)據(jù)，修改硬件過濾列表，在原有的硬件防火墻的防護(hù)性能不能滿足有效應(yīng)對新的安全威脅，必要更新新的硬件配置文件來保證防護(hù)性能時(shí)，管理人員可以通過遠(yuǎn)程可重配置更新防火墻的硬件系統(tǒng)和軟件系統(tǒng)，從而能夠更加有效地確保高效地應(yīng)對網(wǎng)絡(luò)攻擊。

圖-入侵檢測系統(tǒng)與硬件防火墻的聯(lián)動