基于NetFPGA的支持遠程可重配置的多功能硬件防火墻

摘要：

與軟件防火墻相比，硬件防火墻使用專用芯片，安全與速度兼顧，具有吞吐量高、不占用系統(tǒng)資源的優(yōu)點，適合于整個網(wǎng)段的安全防護。但是，隨著網(wǎng)絡攻擊技術的綜合化和復雜化，硬件防火墻也暴露出了升級困難、配置不便的問題，很難進行靈活的修改和重配置來應對新型的攻擊。隨著FPGA技術的發(fā)展，用FPGA技術實現(xiàn)基于IP地址、端口及協(xié)議的數(shù)據(jù)包過濾算法，對硬件防火墻系統(tǒng)進行遠程軟硬件可重配置成為一個全新的研究領域。本設計結合FPGA的可重構設計思想，提出了硬件防火墻遠程可重配置的設計理念，為及時應對網(wǎng)絡攻擊的需要，添加支持遠程更新硬件防火墻安全策略，在NetFPGA平臺上實現(xiàn)了一個支持可重配置的硬件防火墻系統(tǒng)。此外，對于網(wǎng)絡硬件防火墻的研發(fā)，已經(jīng)經(jīng)歷過了一個階段，前期準備工作以及部分最終功能已經(jīng)完成，希望能夠利用這個機會在更加強大的平臺上實現(xiàn)與NetFPGA處理速率相匹配的高性能入侵檢測系統(tǒng)，實現(xiàn)對網(wǎng)絡安全狀態(tài)的正確判斷，反饋給網(wǎng)絡硬件防火墻，通過協(xié)同處理更加有效地進行網(wǎng)絡安全防護。

該系統(tǒng)的主要特色功能有：

1． 運用硬件電路加速實現(xiàn)的基于IP地址的數(shù)據(jù)包過濾功能；

2． 運用硬件電路加速實現(xiàn)的基于端口的數(shù)據(jù)包過濾功能；

3． 運用硬件電路加速實現(xiàn)的基于網(wǎng)絡協(xié)議的數(shù)據(jù)包過濾功能；

4． 結合硬件實現(xiàn)ARP攻擊的防護；

5． 防火墻端口的流量統(tǒng)計，數(shù)據(jù)傳輸及流量數(shù)據(jù)的遠程顯示；

6． 系統(tǒng)的軟硬件遠程可重配置的功能；

7． 硬件加速實現(xiàn)的高性能網(wǎng)絡入侵檢測系統(tǒng)。

硬件防火墻系統(tǒng)原理和技術特點：

• 技術特點主要有：

1． 運用硬件電路加速實現(xiàn)的基于IP地址的數(shù)據(jù)包過濾功能；

2． 運用硬件電路加速實現(xiàn)的基于端口的數(shù)據(jù)包過濾功能；

3． 運用硬件電路加速實現(xiàn)的基于網(wǎng)絡協(xié)議的數(shù)據(jù)包過濾功能；

4． 結合硬件實現(xiàn)ARP攻擊的防護；

5． 結合硬件實現(xiàn)的防火墻端口的流量統(tǒng)計，數(shù)據(jù)傳輸及流量數(shù)據(jù)的遠程顯示；

6． 軟、硬件系統(tǒng)的遠程可重配置的功能；

7． 硬件加速實現(xiàn)的高性能網(wǎng)絡入侵檢測系統(tǒng)。

遠程可重配置（Remote configuration）是當前世界FPGA可重構設計領域的一個前沿研究方向。目前處于理論剛剛提出，尚未完善的階段，實際的實現(xiàn)上有著一定難度。

本系統(tǒng)完成的遠程可重配置，是首次針對與NetFPGA平臺的一個探索性的實現(xiàn)，完成遠程可重配置的，能夠將它在本系統(tǒng)中實現(xiàn)，并添加進硬件防火墻系統(tǒng)中，對于整個系統(tǒng)的先進性和可靠性，都有著明顯的價值和意義。

遠程可重配置的實現(xiàn)后，就可以允許管理員可以更加方便地對系統(tǒng)進行維護以及將來與網(wǎng)絡入侵檢測系統(tǒng)聯(lián)動后，能夠根據(jù)網(wǎng)絡入侵檢測結果在網(wǎng)絡遠端對硬件防火墻系統(tǒng)的硬件和軟件系統(tǒng)的重新配置，自動更改硬件防火墻的硬件和軟件系統(tǒng)，更換硬件防火墻中的安全策略中的硬件模塊，增加了針對于NetFPGA平臺的遠程可重配置功能的設計與實現(xiàn)。

系統(tǒng)原理：

• 整個系統(tǒng)的原理是：

充分利用NetFPGA對于網(wǎng)絡數(shù)據(jù)的強大的處理能力，利用硬件電路將NetFPGA實現(xiàn)為一個支持遠程可重配置的網(wǎng)絡硬件防火墻系統(tǒng)。其主要功能也均是基于硬件來實現(xiàn)：

1. 硬件防火墻的最主要的功能基于IP地址（或基于端口，基于網(wǎng)絡協(xié)議）的網(wǎng)絡數(shù)據(jù)包過濾

即利用在NetFPGA上設計的硬件系統(tǒng)，將到來的網(wǎng)絡數(shù)據(jù)包解析到第三層后，得到需要的數(shù)據(jù)，然后，與事先存放在寄存器組中的非可信過濾列表進行比較，如果符合其中的一個表項，即刻將該數(shù)據(jù)包過濾掉，從而高速、有效地保障了防護的整個安全網(wǎng)絡不會被網(wǎng)絡攻擊所威脅。當發(fā)生新的網(wǎng)絡攻擊時，從入侵檢測系統(tǒng)得到有效的入侵檢測數(shù)據(jù)，硬件防火墻系統(tǒng)中，上位機程序通過PCI總線，對硬件防火墻中硬件電路中過濾列表的修改，從而，有效地實現(xiàn)網(wǎng)絡安全防護。

系統(tǒng)框圖

系統(tǒng)框圖

2. 結合硬件來實現(xiàn)的ARP攻擊與欺騙的防護

原理是，利用ARP表在NetFPGA上的綁定和固化，使得所有到來的RARP數(shù)據(jù)包都不能夠對NetFPGA上的ARP表進行修改，以及安全防護網(wǎng)絡中每個主機的IP-MAC的綁定相結合的方式來實現(xiàn)。NetFPGA上的固化，外加采用雙向綁定的方式，即可有效地實現(xiàn)對于ARP攻擊與欺騙的防護。

3. 流量數(shù)據(jù)的獲取與傳輸

圖-硬件防火墻、上位機以及流量監(jiān)測平臺的共同配合

如上圖所示，流量數(shù)據(jù)的獲取、傳輸與遠程顯示主要分為三個模塊：

(1) 硬件防火墻，主要負責動態(tài)地隨著網(wǎng)絡流量的改變而修改統(tǒng)計寄存器組中的數(shù)據(jù)；

(2) NetFPGA上位機，它的職責是通過PCI總線，讀取NetFPGA平臺的統(tǒng)計寄存器的數(shù)據(jù)，經(jīng)網(wǎng)絡接口，定時地發(fā)送給安全網(wǎng)絡內部的流量監(jiān)測平臺；

(3) 流量監(jiān)測平臺，接收到數(shù)據(jù)包統(tǒng)計數(shù)據(jù)后，經(jīng)過運算，并在GUI界面進行動態(tài)顯示。

4. 遠程可重配置

針對于NetFPGA平臺的系統(tǒng)硬件結構，提出一個相應的遠程可充配置的解決方案，具體的實現(xiàn)機制如下圖所示：

系統(tǒng)遠程可充配置實現(xiàn)原理示意圖

在本系統(tǒng)硬件防火墻系統(tǒng)遠程可重配置的過程中，系統(tǒng)硬件配置文件（bit文件）、軟件配置文件、用戶界面等配置文件的傳輸，大致需要經(jīng)歷以下幾個步驟：

1. 經(jīng)由遠程主機傳輸?shù)接布阑饓?，在防火墻中，可對?shù)據(jù)包的進行檢查和分析，保障可重構系統(tǒng)的數(shù)據(jù)通道的安全；

2. 然后傳輸?shù)骄W(wǎng)絡中的交換機，由交換機進行轉發(fā)；

3. 接下來，遠程配置文件到由交換機到硬件防火墻系統(tǒng)的上位機；上位機刪除原硬件配置文件、軟件配置文件、GUI界面程序配置文件，將接受到新的遠程配置文件存儲下來。

4. 由上位機對可重配置的硬件防火墻進行遠程配置文件的配置工作，配置完成后，重新運行全新的防火墻系統(tǒng)。

在此過程中，可重配置硬件防火墻進行重配置的遠程配置文件的傳輸是在網(wǎng)絡正常通信的情況下進行的，絲毫不影響防火墻系統(tǒng)的正常工作。在上位機接收到新的各個配置文件后，再對防火墻系統(tǒng)進行配置。在此過程中，配置硬件系統(tǒng)的時間僅需短短的1秒鐘，加上運行和下載新的軟件系統(tǒng)以及重新運行的時間，總共的時間不超過5秒鐘，幾乎不影響正常的網(wǎng)絡通信。

5. 與入侵檢測系統(tǒng)聯(lián)動

針對于NetFPGA平臺的系統(tǒng)硬件結構，將入侵檢測功能有效地集成到該防火墻系統(tǒng)中，實現(xiàn)聯(lián)動，從而更加有效地進行網(wǎng)絡安全防護。解決方案的具體實現(xiàn)機制如下圖所示：

• 入侵檢測系統(tǒng)的實現(xiàn)以及與硬件防火墻主體的聯(lián)動，主要的原理是：

1． 通過NetFPGA將每一個經(jīng)過的數(shù)據(jù)包進行復制，傳輸?shù)接布肭謾z測系統(tǒng)，經(jīng)過高性能FPGA平臺的硬件系統(tǒng)進行加速，對數(shù)據(jù)包的解析；

2． 然后，通過在平臺上實現(xiàn)的入侵監(jiān)測算法，分析檢測數(shù)據(jù)字段，從而得出相應的數(shù)據(jù)，反饋給網(wǎng)絡硬件防火墻；

3． 接下來，通過網(wǎng)絡硬件防火墻依據(jù)從入侵監(jiān)測系統(tǒng)獲取到的數(shù)據(jù)，修改硬件過濾列表，在原有的硬件防火墻的防護性能不能滿足有效應對新的安全威脅，必要更新新的硬件配置文件來保證防護性能時，管理人員可以通過遠程可重配置更新防火墻的硬件系統(tǒng)和軟件系統(tǒng)，從而能夠更加有效地確保高效地應對網(wǎng)絡攻擊。

圖-入侵檢測系統(tǒng)與硬件防火墻的聯(lián)動