網(wǎng)絡設備內嵌分層次一體化安全防護研究

０引言在通用網(wǎng)絡體系結構下，網(wǎng)絡設備和安全防護設備采用分離疊加式部署，安全防護策略配置和網(wǎng)絡流量交換調度相互獨立，無法有效地進行統(tǒng)一聯(lián)動，從而阻礙了動態(tài)防御效能的提升；而且，傳統(tǒng)的網(wǎng)絡運維手段不能實時跟蹤網(wǎng)絡狀態(tài)信息，缺乏快速收集網(wǎng)絡狀態(tài)并及時針對相應場景進行網(wǎng)絡流量優(yōu)化，不能滿足網(wǎng)絡業(yè)務運行過程中流狀態(tài)實時觸發(fā)的安全防護的要求。因此，研究在網(wǎng)絡設備中嵌入安全防護技術，能夠提高網(wǎng)絡效能，降低網(wǎng)絡建設成本，是提高網(wǎng)絡安全防護有效性的一個方法。１一體化安全防護的研究一體化安全防護的研究思路網(wǎng)絡設備內嵌分層次一體化安全防護的研究思路安全防護一體化并不是一個新的概念，在早期網(wǎng)絡建設中，網(wǎng)絡安全部署使用一體化安全防護建設能夠比較全面地實現(xiàn)安全防護。但是，該“一體化”概念中的網(wǎng)絡設備與安全防護設備是分離部署的，例如將防火墻串接在網(wǎng)絡入口，在網(wǎng)絡出口部署流量采集設備，并在網(wǎng)絡數(shù)據(jù)中心部署入侵檢測設備等。這樣的一體化防護部署能夠在一定程度上具備比較全面的防護能力，但在主動防御的時效性、動態(tài)策略聯(lián)動等方面有所欠缺，部分安全防護設備的性能瓶頸也會嚴重影響網(wǎng)絡性能和效率。本文提出了內嵌的、分層次一體化安全防護思路，擬通過分析業(yè)務流經(jīng)過網(wǎng)絡設備需要匹配的狀態(tài)和特征，研究流狀態(tài)觸發(fā)的實時安全檢測技術。一方面，需要研究在業(yè)務模塊上對線速報文進行狀態(tài)和特征匹配識別出非法報文的第一層防護，并構建轉發(fā)平面業(yè)務流實時狀態(tài)感應和流量可視化的框架，實現(xiàn)實時網(wǎng)絡狀態(tài)監(jiān)控的實時性、精細化和智能化。另一方面，需要研究進一步對數(shù)據(jù)流執(zhí)行第二層防護，將網(wǎng)絡設備內部的數(shù)據(jù)業(yè)務轉發(fā)、安全檢測以及管理模塊進行整合，實現(xiàn)數(shù)據(jù)包的快速深度安全檢查和轉發(fā)處理。本文的主要研究內容如下：第一層防護：在網(wǎng)絡設備的業(yè)務層，能夠分析報文流的關鍵字段，對這些關鍵字段的組合進行判斷，看報文是否為非法報文。對于疑似攻擊報文的數(shù)據(jù)流，可通過策略配置將數(shù)據(jù)流進行丟棄或轉發(fā)至第二層防護的模塊進行分析和處理。第二層防護：在網(wǎng)絡設備安全防護模塊（多核處理器）上整合網(wǎng)絡、應用和管理功能，以深度包檢測技術為核心，結合基于報文內容及基于行為特征的技術，實現(xiàn)網(wǎng)絡中應用的自動識別和智能分類，并根據(jù)識別結果采取不同的處理策略實現(xiàn)動態(tài)、主動防護。２網(wǎng)絡設備內嵌分層次一體化安全防護的實施方案網(wǎng)絡設備內嵌分層次一體化安全防護的設計，首先，需要兼顧考慮安全防護和網(wǎng)絡設備各自體系結構的要求，將兩者進行一體化融合設計。其次，由于網(wǎng)絡交換的吞吐能力通常大于安全防護的性能，為了進一步提升安全防護的性能，需要突破高性能多核并行深度檢測等技術，充分發(fā)揮多核處理器的并行處理能力，實現(xiàn)數(shù)據(jù)包的快速深度安全檢查和轉發(fā)處理。圖1為該方案框架：圖1?內嵌分層次一體化安全防護設計方案如圖1所示，第一層防護依托于業(yè)務模塊的硬件平臺（交換芯片或者FPGA），執(zhí)行規(guī)則匹配、ACL控制、策略匹配、數(shù)據(jù)包提取與分流等功能。該層次防護主要是針對原始大流量的網(wǎng)絡數(shù)據(jù)進行初步檢測，將規(guī)則匹配符合判斷條件的數(shù)據(jù)包進行過濾，并可按照上層策略配置，將特定流量或第一層無法匹配的異常包提交給第二層的防護模塊進行深度檢測。該層次的檢測一般基于L2～L3層的網(wǎng)絡協(xié)議特征字段進行匹配和統(tǒng)計，基于硬件處理，其轉發(fā)速度可達到線速，不影響網(wǎng)絡傳輸效率。第二層防護則在多核處理器中實現(xiàn)。網(wǎng)絡流量經(jīng)過第一層初步檢測和過濾后，存在部分規(guī)則無法匹配到的流量，或者根據(jù)上層需求需要對特定字段進行檢測的數(shù)據(jù)報文，這些流量可通過策略配置，將其導流到第二層防護模塊中進行處理。第二層防護包括三大安全功能模塊，分別是管理安全、網(wǎng)絡安全以及應用安全處理模塊，運行在用戶空間。網(wǎng)絡安全處理模塊結合網(wǎng)絡并行處理技術及應用加速技術等，可根據(jù)處理器的核數(shù)和端口隊列數(shù)，將多個實例分別綁定到不同的核上獨立運行，減少處理器間的競爭和上下文切換開銷，實現(xiàn)數(shù)據(jù)包的快速處理與轉發(fā)。同時根據(jù)安全策略的設置，網(wǎng)絡安全處理模塊將處理后的數(shù)據(jù)送到應用安全處理模塊的實例，應用安全處理模塊可以根據(jù)實際硬件情況和性能需求，運行一個或多個實例。第二層防護能夠實現(xiàn)L4～L7的自定義字段的檢測。３關鍵技術分析本節(jié)將對網(wǎng)絡設備內嵌分層次一體化安全防護所涉及的關鍵技術進行分析。3.1?流狀態(tài)觸發(fā)的實時安全檢測技術基于硬件平臺（交換芯片或FPGA），通過ACL控制功能，可配置相應的鍵值對報文流進行匹配，并執(zhí)行相應動作，從而實現(xiàn)相應的報文檢測功能。通過策略配置，可執(zhí)行以下動作：（1）路由選擇L3報文；（2）轉發(fā)控制報文到CPU，例如OAM類型報文；（3）分配新的優(yōu)先級、VLANID、VRF，以選擇報文流；（4）計數(shù)或測量一個給定的穿過多個端口的報文流；（5）重定向一個報文流到新的出口或者端口組；（6）基于出口更改或鏡像重定向一個報文流。處理器可通過分析報文流的關鍵字段，對這些關鍵字段的組合進行判斷，看報文是否為非法或攻擊報文，對疑似攻擊報文的數(shù)據(jù)流進行統(tǒng)計，一定時間內達到設定的閾值后，就認為其是攻擊報文，然后通過下發(fā)策略配置，對該數(shù)據(jù)流進行丟棄。圖2?報文統(tǒng)計設計如圖2所示，將時間軸分成間隔周期和統(tǒng)計周期，并為每種疑似攻擊報文設置一個計數(shù)器和閾值。在統(tǒng)計周期內，對某種疑似報文的個數(shù)進行統(tǒng)計，在統(tǒng)計周期結束時與配置的門限值進行比較，如果超過門限值，則認為是攻擊報文，在間隔周期內對該類型的報文進行丟棄；否則不丟棄。下一個統(tǒng)計周期和間隔周期重復以上動作。表1為部分非法報文判據(jù)及處理示例。表1?非法報文類型及處理方式示例序號判斷條件動作1源IP=目的IP丟棄2TCP源端口=TCP目的端口丟棄3分片中有不完整的TCP頭丟棄4UDP源端口=UDP目的端口丟棄5ICMP報文長度大于閾值丟棄6源MAC=目的MAC丟棄7TCP頭小于20字節(jié)丟棄8IPv6分片報文長度小于閾值丟棄3.2?安全模塊的整合一體化安全防護功能涉及三個安全模塊的整合，主要包括管理控制模塊、網(wǎng)絡安全處理模塊、應用安全處理模塊。其功能結構如圖3所示。圖3?整合后的安全模塊功能結構網(wǎng)絡安全處理模塊在用戶空間提供網(wǎng)絡協(xié)議棧功能，提供各種網(wǎng)絡環(huán)境適配能力。同時，網(wǎng)絡安全處理模塊可綜合多種安全處理技術，功能模塊包括：網(wǎng)絡地址轉換NAT、策略路由、流量統(tǒng)計、包過濾、IP/MAC綁定、應用識別、用戶管控、會話管理、帶寬控制、抗拒絕服務攻擊、URL訪問控制等。應用安全檢測模塊主要處理應用層安全防護事務，其功能包括：入侵防御、內容恢復、WEB攻擊防護、惡意代碼防護、信息防泄露、應用訪問控制等功能模塊。管理控制模塊實現(xiàn)設備自身的配置管理和狀態(tài)監(jiān)控等功能，支持Web管理、SSH管理和Console管理方式，提供網(wǎng)絡接口設置、安全策略定義、路由拓撲配置、系統(tǒng)狀態(tài)顯示、安全事件展示、知識庫更新（包括病毒特征庫、應用識別庫、IDS特征庫、URL分類庫）、升級維護等管理控制功能。管理控制模塊可接受智能化管控系統(tǒng)的統(tǒng)一管理，并可提供相應接口用于與其他安全系統(tǒng)或設備的協(xié)同聯(lián)動。3.3?單次解析多業(yè)務并行處理技術傳統(tǒng)檢測根據(jù)逐個報文進行威脅特征匹配，這種方式對處理器性能消耗很大，不但造成性能瓶頸，而且容易造成攻擊者逃避檢測。圖4?一次解析多業(yè)務并行處理原理示意內嵌的一體化安全防護摒棄了此種方式，采用全新架構的智能識別機制（如圖4），將報文根據(jù)會話進行重組，結合實時威脅防御、豐富的特征地址知識庫及應用識別等核心組件，檢測各層協(xié)議中的威脅，實現(xiàn)應用程序識別與控管、傳輸內容檢測與防御能力，限制未經(jīng)授權的文件傳輸、檢測并阻擋各種的網(wǎng)絡安全威脅，以及控制和管理各種非工作相關的網(wǎng)絡瀏覽。在檢測過程中，基于多核處理器硬件平臺，采用一次解析，多業(yè)務并行處理的架構。核心的應用解析和特征匹配處理由硬件加速模塊高速處理，各個安全業(yè)務并行跟蹤處理結果并更新狀態(tài)，當威脅特征的條件都符合時，立即根據(jù)安全策略觸發(fā)響應動作，而當條件不符合時，會自動調整跟蹤狀態(tài)，確保檢測安全的流量高速轉發(fā)。４結語網(wǎng)絡設備由于其自身的安全防護手段比較單一，對性能要求比較高，目前網(wǎng)絡體系中往往采用了網(wǎng)絡設備與安全設備分離部署的方式，這種部署方式不僅增加了設備數(shù)量，提高了部署成本，而且不利于實時監(jiān)測與處理策略的聯(lián)動。本專題擬采用分級防護體系架構，將安全防護功能嵌入網(wǎng)絡設備中，能夠兼顧性能和安全性，達