網(wǎng)絡(luò)設(shè)備內(nèi)嵌分層次一體化安全防護(hù)研究

０引言在通用網(wǎng)絡(luò)體系結(jié)構(gòu)下，網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備采用分離疊加式部署，安全防護(hù)策略配置和網(wǎng)絡(luò)流量交換調(diào)度相互獨(dú)立，無(wú)法有效地進(jìn)行統(tǒng)一聯(lián)動(dòng)，從而阻礙了動(dòng)態(tài)防御效能的提升；而且，傳統(tǒng)的網(wǎng)絡(luò)運(yùn)維手段不能實(shí)時(shí)跟蹤網(wǎng)絡(luò)狀態(tài)信息，缺乏快速收集網(wǎng)絡(luò)狀態(tài)并及時(shí)針對(duì)相應(yīng)場(chǎng)景進(jìn)行網(wǎng)絡(luò)流量?jī)?yōu)化，不能滿(mǎn)足網(wǎng)絡(luò)業(yè)務(wù)運(yùn)行過(guò)程中流狀態(tài)實(shí)時(shí)觸發(fā)的安全防護(hù)的要求。因此，研究在網(wǎng)絡(luò)設(shè)備中嵌入安全防護(hù)技術(shù)，能夠提高網(wǎng)絡(luò)效能，降低網(wǎng)絡(luò)建設(shè)成本，是提高網(wǎng)絡(luò)安全防護(hù)有效性的一個(gè)方法。１一體化安全防護(hù)的研究一體化安全防護(hù)的研究思路網(wǎng)絡(luò)設(shè)備內(nèi)嵌分層次一體化安全防護(hù)的研究思路安全防護(hù)一體化并不是一個(gè)新的概念，在早期網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)安全部署使用一體化安全防護(hù)建設(shè)能夠比較全面地實(shí)現(xiàn)安全防護(hù)。但是，該“一體化”概念中的網(wǎng)絡(luò)設(shè)備與安全防護(hù)設(shè)備是分離部署的，例如將防火墻串接在網(wǎng)絡(luò)入口，在網(wǎng)絡(luò)出口部署流量采集設(shè)備，并在網(wǎng)絡(luò)數(shù)據(jù)中心部署入侵檢測(cè)設(shè)備等。這樣的一體化防護(hù)部署能夠在一定程度上具備比較全面的防護(hù)能力，但在主動(dòng)防御的時(shí)效性、動(dòng)態(tài)策略聯(lián)動(dòng)等方面有所欠缺，部分安全防護(hù)設(shè)備的性能瓶頸也會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能和效率。本文提出了內(nèi)嵌的、分層次一體化安全防護(hù)思路，擬通過(guò)分析業(yè)務(wù)流經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備需要匹配的狀態(tài)和特征，研究流狀態(tài)觸發(fā)的實(shí)時(shí)安全檢測(cè)技術(shù)。一方面，需要研究在業(yè)務(wù)模塊上對(duì)線速報(bào)文進(jìn)行狀態(tài)和特征匹配識(shí)別出非法報(bào)文的第一層防護(hù)，并構(gòu)建轉(zhuǎn)發(fā)平面業(yè)務(wù)流實(shí)時(shí)狀態(tài)感應(yīng)和流量可視化的框架，實(shí)現(xiàn)實(shí)時(shí)網(wǎng)絡(luò)狀態(tài)監(jiān)控的實(shí)時(shí)性、精細(xì)化和智能化。另一方面，需要研究進(jìn)一步對(duì)數(shù)據(jù)流執(zhí)行第二層防護(hù)，將網(wǎng)絡(luò)設(shè)備內(nèi)部的數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)發(fā)、安全檢測(cè)以及管理模塊進(jìn)行整合，實(shí)現(xiàn)數(shù)據(jù)包的快速深度安全檢查和轉(zhuǎn)發(fā)處理。本文的主要研究?jī)?nèi)容如下：第一層防護(hù)：在網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)層，能夠分析報(bào)文流的關(guān)鍵字段，對(duì)這些關(guān)鍵字段的組合進(jìn)行判斷，看報(bào)文是否為非法報(bào)文。對(duì)于疑似攻擊報(bào)文的數(shù)據(jù)流，可通過(guò)策略配置將數(shù)據(jù)流進(jìn)行丟棄或轉(zhuǎn)發(fā)至第二層防護(hù)的模塊進(jìn)行分析和處理。第二層防護(hù)：在網(wǎng)絡(luò)設(shè)備安全防護(hù)模塊（多核處理器）上整合網(wǎng)絡(luò)、應(yīng)用和管理功能，以深度包檢測(cè)技術(shù)為核心，結(jié)合基于報(bào)文內(nèi)容及基于行為特征的技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)中應(yīng)用的自動(dòng)識(shí)別和智能分類(lèi)，并根據(jù)識(shí)別結(jié)果采取不同的處理策略實(shí)現(xiàn)動(dòng)態(tài)、主動(dòng)防護(hù)。２網(wǎng)絡(luò)設(shè)備內(nèi)嵌分層次一體化安全防護(hù)的實(shí)施方案網(wǎng)絡(luò)設(shè)備內(nèi)嵌分層次一體化安全防護(hù)的設(shè)計(jì)，首先，需要兼顧考慮安全防護(hù)和網(wǎng)絡(luò)設(shè)備各自體系結(jié)構(gòu)的要求，將兩者進(jìn)行一體化融合設(shè)計(jì)。其次，由于網(wǎng)絡(luò)交換的吞吐能力通常大于安全防護(hù)的性能，為了進(jìn)一步提升安全防護(hù)的性能，需要突破高性能多核并行深度檢測(cè)等技術(shù)，充分發(fā)揮多核處理器的并行處理能力，實(shí)現(xiàn)數(shù)據(jù)包的快速深度安全檢查和轉(zhuǎn)發(fā)處理。圖1為該方案框架：圖1?內(nèi)嵌分層次一體化安全防護(hù)設(shè)計(jì)方案如圖1所示，第一層防護(hù)依托于業(yè)務(wù)模塊的硬件平臺(tái)（交換芯片或者FPGA），執(zhí)行規(guī)則匹配、ACL控制、策略匹配、數(shù)據(jù)包提取與分流等功能。該層次防護(hù)主要是針對(duì)原始大流量的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行初步檢測(cè)，將規(guī)則匹配符合判斷條件的數(shù)據(jù)包進(jìn)行過(guò)濾，并可按照上層策略配置，將特定流量或第一層無(wú)法匹配的異常包提交給第二層的防護(hù)模塊進(jìn)行深度檢測(cè)。該層次的檢測(cè)一般基于L2～L3層的網(wǎng)絡(luò)協(xié)議特征字段進(jìn)行匹配和統(tǒng)計(jì)，基于硬件處理，其轉(zhuǎn)發(fā)速度可達(dá)到線速，不影響網(wǎng)絡(luò)傳輸效率。第二層防護(hù)則在多核處理器中實(shí)現(xiàn)。網(wǎng)絡(luò)流量經(jīng)過(guò)第一層初步檢測(cè)和過(guò)濾后，存在部分規(guī)則無(wú)法匹配到的流量，或者根據(jù)上層需求需要對(duì)特定字段進(jìn)行檢測(cè)的數(shù)據(jù)報(bào)文，這些流量可通過(guò)策略配置，將其導(dǎo)流到第二層防護(hù)模塊中進(jìn)行處理。第二層防護(hù)包括三大安全功能模塊，分別是管理安全、網(wǎng)絡(luò)安全以及應(yīng)用安全處理模塊，運(yùn)行在用戶(hù)空間。網(wǎng)絡(luò)安全處理模塊結(jié)合網(wǎng)絡(luò)并行處理技術(shù)及應(yīng)用加速技術(shù)等，可根據(jù)處理器的核數(shù)和端口隊(duì)列數(shù)，將多個(gè)實(shí)例分別綁定到不同的核上獨(dú)立運(yùn)行，減少處理器間的競(jìng)爭(zhēng)和上下文切換開(kāi)銷(xiāo)，實(shí)現(xiàn)數(shù)據(jù)包的快速處理與轉(zhuǎn)發(fā)。同時(shí)根據(jù)安全策略的設(shè)置，網(wǎng)絡(luò)安全處理模塊將處理后的數(shù)據(jù)送到應(yīng)用安全處理模塊的實(shí)例，應(yīng)用安全處理模塊可以根據(jù)實(shí)際硬件情況和性能需求，運(yùn)行一個(gè)或多個(gè)實(shí)例。第二層防護(hù)能夠?qū)崿F(xiàn)L4～L7的自定義字段的檢測(cè)。３關(guān)鍵技術(shù)分析本節(jié)將對(duì)網(wǎng)絡(luò)設(shè)備內(nèi)嵌分層次一體化安全防護(hù)所涉及的關(guān)鍵技術(shù)進(jìn)行分析。3.1?流狀態(tài)觸發(fā)的實(shí)時(shí)安全檢測(cè)技術(shù)基于硬件平臺(tái)（交換芯片或FPGA），通過(guò)ACL控制功能，可配置相應(yīng)的鍵值對(duì)報(bào)文流進(jìn)行匹配，并執(zhí)行相應(yīng)動(dòng)作，從而實(shí)現(xiàn)相應(yīng)的報(bào)文檢測(cè)功能。通過(guò)策略配置，可執(zhí)行以下動(dòng)作：（1）路由選擇L3報(bào)文；（2）轉(zhuǎn)發(fā)控制報(bào)文到CPU，例如OAM類(lèi)型報(bào)文；（3）分配新的優(yōu)先級(jí)、VLANID、VRF，以選擇報(bào)文流；（4）計(jì)數(shù)或測(cè)量一個(gè)給定的穿過(guò)多個(gè)端口的報(bào)文流；（5）重定向一個(gè)報(bào)文流到新的出口或者端口組；（6）基于出口更改或鏡像重定向一個(gè)報(bào)文流。處理器可通過(guò)分析報(bào)文流的關(guān)鍵字段，對(duì)這些關(guān)鍵字段的組合進(jìn)行判斷，看報(bào)文是否為非法或攻擊報(bào)文，對(duì)疑似攻擊報(bào)文的數(shù)據(jù)流進(jìn)行統(tǒng)計(jì)，一定時(shí)間內(nèi)達(dá)到設(shè)定的閾值后，就認(rèn)為其是攻擊報(bào)文，然后通過(guò)下發(fā)策略配置，對(duì)該數(shù)據(jù)流進(jìn)行丟棄。圖2?報(bào)文統(tǒng)計(jì)設(shè)計(jì)如圖2所示，將時(shí)間軸分成間隔周期和統(tǒng)計(jì)周期，并為每種疑似攻擊報(bào)文設(shè)置一個(gè)計(jì)數(shù)器和閾值。在統(tǒng)計(jì)周期內(nèi)，對(duì)某種疑似報(bào)文的個(gè)數(shù)進(jìn)行統(tǒng)計(jì)，在統(tǒng)計(jì)周期結(jié)束時(shí)與配置的門(mén)限值進(jìn)行比較，如果超過(guò)門(mén)限值，則認(rèn)為是攻擊報(bào)文，在間隔周期內(nèi)對(duì)該類(lèi)型的報(bào)文進(jìn)行丟棄；否則不丟棄。下一個(gè)統(tǒng)計(jì)周期和間隔周期重復(fù)以上動(dòng)作。表1為部分非法報(bào)文判據(jù)及處理示例。表1?非法報(bào)文類(lèi)型及處理方式示例序號(hào)判斷條件動(dòng)作1源IP=目的IP丟棄2TCP源端口=TCP目的端口丟棄3分片中有不完整的TCP頭丟棄4UDP源端口=UDP目的端口丟棄5ICMP報(bào)文長(zhǎng)度大于閾值丟棄6源MAC=目的MAC丟棄7TCP頭小于20字節(jié)丟棄8IPv6分片報(bào)文長(zhǎng)度小于閾值丟棄3.2?安全模塊的整合一體化安全防護(hù)功能涉及三個(gè)安全模塊的整合，主要包括管理控制模塊、網(wǎng)絡(luò)安全處理模塊、應(yīng)用安全處理模塊。其功能結(jié)構(gòu)如圖3所示。圖3?整合后的安全模塊功能結(jié)構(gòu)網(wǎng)絡(luò)安全處理模塊在用戶(hù)空間提供網(wǎng)絡(luò)協(xié)議棧功能，提供各種網(wǎng)絡(luò)環(huán)境適配能力。同時(shí)，網(wǎng)絡(luò)安全處理模塊可綜合多種安全處理技術(shù)，功能模塊包括：網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、策略路由、流量統(tǒng)計(jì)、包過(guò)濾、IP/MAC綁定、應(yīng)用識(shí)別、用戶(hù)管控、會(huì)話(huà)管理、帶寬控制、抗拒絕服務(wù)攻擊、URL訪問(wèn)控制等。應(yīng)用安全檢測(cè)模塊主要處理應(yīng)用層安全防護(hù)事務(wù)，其功能包括：入侵防御、內(nèi)容恢復(fù)、WEB攻擊防護(hù)、惡意代碼防護(hù)、信息防泄露、應(yīng)用訪問(wèn)控制等功能模塊。管理控制模塊實(shí)現(xiàn)設(shè)備自身的配置管理和狀態(tài)監(jiān)控等功能，支持Web管理、SSH管理和Console管理方式，提供網(wǎng)絡(luò)接口設(shè)置、安全策略定義、路由拓?fù)渑渲谩⑾到y(tǒng)狀態(tài)顯示、安全事件展示、知識(shí)庫(kù)更新（包括病毒特征庫(kù)、應(yīng)用識(shí)別庫(kù)、IDS特征庫(kù)、URL分類(lèi)庫(kù)）、升級(jí)維護(hù)等管理控制功能。管理控制模塊可接受智能化管控系統(tǒng)的統(tǒng)一管理，并可提供相應(yīng)接口用于與其他安全系統(tǒng)或設(shè)備的協(xié)同聯(lián)動(dòng)。3.3?單次解析多業(yè)務(wù)并行處理技術(shù)傳統(tǒng)檢測(cè)根據(jù)逐個(gè)報(bào)文進(jìn)行威脅特征匹配，這種方式對(duì)處理器性能消耗很大，不但造成性能瓶頸，而且容易造成攻擊者逃避檢測(cè)。圖4?一次解析多業(yè)務(wù)并行處理原理示意內(nèi)嵌的一體化安全防護(hù)摒棄了此種方式，采用全新架構(gòu)的智能識(shí)別機(jī)制（如圖4），將報(bào)文根據(jù)會(huì)話(huà)進(jìn)行重組，結(jié)合實(shí)時(shí)威脅防御、豐富的特征地址知識(shí)庫(kù)及應(yīng)用識(shí)別等核心組件，檢測(cè)各層協(xié)議中的威脅，實(shí)現(xiàn)應(yīng)用程序識(shí)別與控管、傳輸內(nèi)容檢測(cè)與防御能力，限制未經(jīng)授權(quán)的文件傳輸、檢測(cè)并阻擋各種的網(wǎng)絡(luò)安全威脅，以及控制和管理各種非工作相關(guān)的網(wǎng)絡(luò)瀏覽。在檢測(cè)過(guò)程中，基于多核處理器硬件平臺(tái)，采用一次解析，多業(yè)務(wù)并行處理的架構(gòu)。核心的應(yīng)用解析和特征匹配處理由硬件加速模塊高速處理，各個(gè)安全業(yè)務(wù)并行跟蹤處理結(jié)果并更新?tīng)顟B(tài)，當(dāng)威脅特征的條件都符合時(shí)，立即根據(jù)安全策略觸發(fā)響應(yīng)動(dòng)作，而當(dāng)條件不符合時(shí)，會(huì)自動(dòng)調(diào)整跟蹤狀態(tài)，確保檢測(cè)安全的流量高速轉(zhuǎn)發(fā)。４結(jié)語(yǔ)網(wǎng)絡(luò)設(shè)備由于其自身的安全防護(hù)手段比較單一，對(duì)性能要求比較高，目前網(wǎng)絡(luò)體系中往往采用了網(wǎng)絡(luò)設(shè)備與安全設(shè)備分離部署的方式，這種部署方式不僅增加了設(shè)備數(shù)量，提高了部署成本，而且不利于實(shí)時(shí)監(jiān)測(cè)與處理策略的聯(lián)動(dòng)。本專(zhuān)題擬采用分級(jí)防護(hù)體系架構(gòu)，將安全防護(hù)功能嵌入網(wǎng)絡(luò)設(shè)備中，能夠兼顧性能和安全性，達(dá)