一种高性能多业务的网络安全处理设备 【技术领域】
本发明属于网络信息安全技术领域,尤其涉及一种网络安全处理设备。
背景技术
随着计算机网络技术的快速发展和广泛应用,网络安全成为影响计算机网络技术发展和应用的至关重要的问题。因此,出现了各种网络安全设备,并得到了广泛的应用。简单的安全设备仅可以实现基本的报文过滤、状态过滤等功能,复杂的安全设备融合了虚拟私有网(Virtual Private Network虚拟私有网)、网络地址转换(Network Address Translation网络地址转换)等功能,通常根据网络组网的需求,在设备内部还可内嵌内容过滤、防病毒、入侵检测(IDS:Invasion Detection System入侵检测系统)等模块。
现有的网络安全设备有两种主要的实现方式:
(1)通用PC系统(或工控机)+软件架构
这种网络安全设备的特点是采用通用PC系统(或工控机)作为硬件平台,参见附图1,在该硬件平台的CPU内运行通用操作系统如Windows/Linux/Unix等,安全功能由在通用操作系统上运行的安全应用软件实现。
这种架构的网络安全设备成本低、灵活性好,升级方便,只需对软件进行改动即可。但在安全处理性能方面存在着难以克服的瓶颈(通常,报文过滤规则数的增加会导致转发性能指数级下降)。原因是这种安全设备的功能采用软件来实现,要提高性能只能靠提高通用处理器的运算能力,但通用处理器的运算能力毕竟有限,因此,采用这种网络安全设备在大流量网络环境下存在着不可避免的性能瓶颈,基本不适合在大流量网络环境下使用。
(2)安全处理芯片+嵌入式处理器架构
这种安全设备把软件运算硬件化,主要由安全处理芯片和嵌入式处理器构成,将主要的安全处理流程在专用地安全处理芯片上实现,如FPGA(FieldProgrammable Gate Array现场可编程逻辑门阵列)、ASIC(Application SpecificIntegrated Circuit专用集成电路、NP(Network Processor网络处理器)等,以减少嵌入式处理器的运算压力,嵌入式处理器主要完成对设备的控制、管理等功能,参见图2。
这种体系架构安全设备的核心网络处理器或安全处理芯片对报文过滤、转发处理的性能较高,一定程度上缓解了大流量网络环境下的报文快速过滤、转发的性能瓶颈。但是,网络处理器NP是适用于数据通信交换机、路由器中的数据转发芯片,并非专用的安全处理芯片,在基于连接的状态检测、协议代理甚至ACL规则过滤等方面根本无法达到专用安全处理芯片的性能,一旦进行数据的安全处理,性能将急剧降低。此外,目前采用专用安全处理芯片的体系架构,功能方面也相对简单,只能实现快速而简单的报文ACL(Access ControlList访问控制列表)过滤、状态检测、转发处理等功能,在业务处理能力及拓展方面,存在与网络处理器同样的缺陷,功能和业务扩展(升级)只能靠上层软件来实现。
该安全处理设备尽管一定程度上提高了系统的处理性能,解决了大流量情况下的性能瓶颈。然而,由于使用网络处理器或专用安全处理芯片处理,功能扩展或者升级只能靠上层软件来实现,而通常这种架构的安全设备如防火墙、网络地址转换网关、虚拟私有网网关等的嵌入式CPU运算性能都比较低,如果要内嵌IDS、防病毒、内容过滤等上层业务功能时,则因CPU运算能力有限而导致性能严重降低。另外,嵌入式处理器与安全处理芯片之间的通信通道带宽一般较低,通常有效带宽在几百M bps以内,难以实现高性能的软/硬件协同工作。
【发明内容】
本发明针对上述两种安全设备体系架构各自的局限性,提供了一种新的高性能多业务的安全处理设备,可以解决通用PC系统(或工控机)+软件架构在转发处理性能上的瓶颈,同时也可解决安全处理芯片+嵌入式处理器架构在功能可扩展性方面的局限性,既可充分满足大流量网络环境下的性能需求,也可满足功能扩展的需求。
为实现本发明的上述目的,本发明提供了一种网络安全处理设备,包括物理层接口、高速硬件处理模块和服务器平台;物理层接口与高速硬件处理模块之间通过物理层接口通信总线进行数据通信,高速硬件处理模块和服务器平台之间通过高速通信总线进行数据通信,服务器平台内部运行有安全处理系统。
高速硬件处理模块包括安全处理芯片、高速查找协处理器、表项存储器与报文缓存存储器;从物理层接口接收进来的报文首先由安全处理芯片进行报文安全信息和转发信息的提取和分析,然后把报文放置到所述的报文缓存存储器里暂存,同时对提取出来的安全信息和转发信息进行处理,根据每个报文的实际查表需求发送查找指令到高速查找协处理器或所述的表项存储器,在指令执行完毕后,高速查找协处理器或表项存储器返回查找指令结果,安全处理芯片根据该查找指令结果把报文从报文缓存存储器里提取出来,进行报文的编辑封装处理,然后再根据查找指令结果中的转发信息把报文送交物理层接口或通过高速通信总线送交服务器平台。
安全处理芯片包括报文输入接口处理模块、报文分析模块、入侵检测模块、状态检测及过滤模块、转发处理模块、网络地址转换处理模块、虚拟私有网处理模块、搜索引擎查表处理模块、缓存管理模块、调度及业务质量监管模块、加解密处理模块、报文编辑封装处理模块、报文输出处理模块、CPU处理报文缓存模块以及CPU接口处理模块;
报文输入接口处理模块从所述的物理层接口接收报文,送交报文分析模块处理。报文分析模块对报文进行分析和合法性检测,根据分析的结果进行丢弃或后续处理。如果报文需要进行网络地址转换处理,则提取报文的网络地址信息送交网络地址转换处理模块和搜索引擎查表处理模块处理;如果报文需要进行虚拟私有网处理,提取报文的虚拟私有网信息送交虚拟私有网处理模块、加解密处理模块和搜索引擎查表处理模块处理;如果报文需要进行入侵检测以及过滤、基于连接的状态检测,则提取报文的二层到七层信息送交入侵检测模块、状态检测及过滤模块和搜索引擎查表处理模块处理;
转发处理模块提取报文的转发信息,送交到搜索引擎查表处理模块进行查表,以确定目的转发路径;缓存管理模块对报文分析模块接收到的报文进行暂存,并根据入侵检测模块、状态检测及过滤模块、转发处理模块、网络地址转换处理模块、虚拟私有网处理模块、搜索引擎查表处理模块送来的报文处理信息,与调度及业务质量监管模块共同配合进行报文的调度转发;CPU处理报文缓存模块接收从缓存处理模块以及CPU接口处理模块送来的报文,根据报文控制信息,发送给报文编辑封装处理模块或CPU接口处理模块;CPU接口处理模块实现对安全处理芯片内部模块的控制,以及CPU处理报文的上交和下传;报文编辑封装处理模块接收从缓存处理模块送来的报文和从各个处理模块、搜索引擎查表处理模块送来的查找控制、转发信息,然后进行报文的编辑修改,并进行报文的重新封装校验,然后发送给报文输出接口处理模块;报文输出接口处理模块接收到从报文编辑封装处理模块送来的报文后,发送到所述的物理层接口。
安全处理系统包含有安全内核子系统、系统接口子系统和安全应用子系统;安全内核子系统以操作系统为支撑平台,接收用户配置信息,建立配置信息表项,对表项进行维护,并进行系统功能配置;系统接口子系统在安全应用子系统和安全内核子系统之间完成接口的转换和适配;安全应用子系统提供各种系统应用功能。
安全内核子系统包括安全芯片驱动、物理层接口驱动、TCP/IP协议栈和操作系统;
安全处理芯片驱动完成安全处理芯片初始化以及提供管理配置接口;物理层接口驱动完成物理层接口初始化以及提供管理配置接口;TCP/IP协议栈对处理报文协议进行协商处理和控制,实现正确的链路建立和报文安全处理及转发;操作系统作为安全内核子系统的支撑平台。
安全应用子系统包括日志服务模块、高可用性模块、网页服务模块、配置服务模块、虚拟私有网服务模块和配置用户图形接口模块;日志服务模块处理并输出日志信息;高可用性模块和另一台网络安全处理设备的高可用性模块之间建立通信通道,完成两台设备之间状态检测和信息同步;网页服务模块提供对管理配置通道的支持;配置服务模块完成读取配置信息,初始化设备,并定时将用户新配置的数据写入配置文件;虚拟私有网服务模块提供对虚拟私有网的支持;配置用户图形接口模块提供用户的配置管理图形界面。
物理层接口通信总线可以为介质无关接口MII或者千兆介质无关接口GMII。
高速通信总线可以为外设部件互连PCI或者较快外设部件互连PCI-X。
【附图说明】
图1为通用PC系统(或工控机)+软件架构的安全处理设备结构示意图;
图2为安全处理芯片+嵌入式处理器架构的安全处理设备结构示意图;
图3为本发明的安全处理设备结构示意图;
图4为本发明的高速硬件处理模块结构示意图;
图5为本发明的服务器平台结构示意图;
图6为本发明的服务器平台中运行的软件系统功能模块框图。
【具体实施方式】
以下结合附图对本发明的实现进行详细描述。
参见图3,本发明的安全处理设备由物理层接口01、高速硬件处理模块02和服务器平台03构成,物理层接口01主要提供百兆FE(Fast Ethernet快速以太网)端口或者千兆GE(Gigabit Ethernet千兆以太网)端口,与高速硬件处理模块02之间通过物理层接口通信总线04,如MII(Media IndependenceInterface介质无关接口)或者GMII(Gigabit Media Independence Interface千兆介质无关接口)等进行数据通信,高速硬件处理模块02和服务器平台03之间通过高速通信总线06,如PCI(Peripheral Component Interconnection外设部件互连)、PCI-X(Peripheral Component Interconnection Express较快外设部件互连)等进行数据通信。
参见图4,高速硬件处理模块02主要由安全处理芯片021、高速查找协处理器022、表项存储器023、报文缓存存储器024等组成。
高速硬件处理模块02的核心是安全处理芯片021,该芯片在服务器平台的协同配合下完成主要的安全处理功能,如报文过滤、状态检测及过滤、虚拟私有网、网络地址转换、加解密功能等。
由图4可见,安全处理芯片021由报文输入接口处理模块02101、报文分析模块02102、入侵检测模块02103、状态检测及过滤模块02104、转发处理模块02105、网络地址转换处理模块02106、虚拟私有网处理模块02107、搜索引擎查表处理模块02108、缓存管理模块02109、调度及业务质量(Quality ofService业务质量)监管模块02110、加解密处理模块02111、报文编辑封装处理模块02112、报文输出接口处理模块02113、CPU处理报文缓存模块02114、以及CPU接口处理模块02115组成。其中:
报文输入接口处理模块02101与外围的物理层接口01进行对接,并作接口通信协议的适配,接收到数据帧后,送交报文分析模块02102处理。
报文分析模块02102进行报文分析,包括报文的合法性检测以及协议识别,根据报文的协议类型和流分类等信息进行不同的处理流程,如果报文需要进行网络地址转换处理,提取报文的网络地址等信息送交网络地址转换处理模块02106和搜索引擎模块02108处理;如果报文需要进行虚拟私有网处理,提取报文的虚拟私有网信息送交虚拟私有网处理模块02107、加解密处理模块02111和搜索引擎模块02108处理;如果报文需要进行入侵检测以及过滤、基于连接的状态检测及过滤,则提取报文的相关二层到七层信息送交入侵检测模块02103、状态检测及过滤模块02104和搜索引擎模块02108处理。
报文分析模块02102在提取报文信息进行控制流处理过程的同时,把报文直接送交到缓存管理模块02109进行缓存、队列调度和业务质量管制。
入侵检测模块02103支持入侵检测功能,可自动防范常见的数十种网络攻击和扫描窥探,达到线速检测过滤,避免对内网以及防火墙本身的攻击。该模块和安全处理系统05相配合,可提供多于1400种攻击特征的防范和报警。同时,该模块与状态检测及过滤模块02104可实现联动防范。通过实时告警信息和日志数据,用户可以分析和确认攻击行为,实现早期防范。该模块收到报文分析模块02102送交的报文控制信息后,进行处理分析,并提取状态检测及查表过滤信息送交状态检测及过滤模块02104和搜索引擎查表模块02108处理。当报文数据流需要进行入侵检测分析时,对相应报文打上交CPU处理标志,由缓存管理模块02109同时转发给报文编辑封装处理模块02112和CPU处理报文缓存模块02114。
状态检测及过滤模块02104实现报文过滤,不仅提供基本的报文过滤、会话状态检测,而且支持基于应用级的状态过滤,可实现对TCP(Transfer ControlProtocol传输控制协议)、UDP(User Datagram Protocol用户数据协议)、FTP(File Transfer Protocol文件传输协议)、HTTP(Hyper Text Transport Protocol超文本传输协议)、SMTP(Simple Mail Transfer Protocol简单邮件传输协议)、H.323等应用协议的状态检测过滤。该模块提取报文的查表过滤信息(如源地址、目的地址、源端口、目的端口、协议类型、连接控制信息、应用层信息等)送交搜索引擎查表模块02108进行查表,以判断该报文是丢弃还是通过,实现基于报文和连接的过滤。
转发处理模块02105提取报文路由转发信息,送交到搜索引擎查表模块02108进行查表,以确定目的转发路径,用于调度及业务质量监管模块02110、缓存管理模块02109和报文编辑封装处理模块02112调度转发报文。
网络地址转换处理模块02106实现动态地址转换,支持多对一、多对多地址转换,也支持静态地址转换,支持网络内部公私网地址混合编址,可自动识别并进行正确的地址转换。收到报文分析模块02102送交的报文信息后,提取网络地址等信息送交搜索引擎查表模块02108处理。
虚拟私有网处理模块02107实现基于L2TP(Layer 2 Tunneling Protocol二层隧道协议)、GRE(Generic Routing Encapsulation通用路由封装)、IPSEC(Internet Protocol SECurity extensions IP协议安全扩展)等协议的虚拟私有网功能,可提供高性能DES(Data Encryption Standard数据加密标准)、3DES(Triple Data Encryption Standard三倍数据加密标准)、AES(AdvancedEncryption Standard超级加密标准)、MD5(Message-Digest Algorithm 5信息摘要算法5)、SHA-1/SHA-2(Secure Hash Standard安全HASH标准算法)等加解密功能,并且可实现密钥的手动配置和IKE自动协商。该模块在收到报文分析模块02102送交的报文信息后,进行虚拟私有网处理分析,并提取虚拟私有网查表信息送交搜索引擎查表模块02108处理。
搜索引擎查表处理模块02108接收入侵检测模块02103、状态检测及过滤模块02104、转发处理模块02105、网络地址转换处理模块02106、虚拟私有网虚拟私有网处理模块02107等的查表请求;采用规则以及内容匹配算法、网络地址转换查表算法、路由转发算法等完成报文查表操作。对于不同的算法或多种算法的混合实现可采用高速查找协处理器022或表项存储器023。
缓存管理模块02109对从报文分析模块02102接收到的报文进行存储,写入报文缓存存储器024。并等待从入侵检测模块02103、状态检测及过滤模块02104、转发处理模块02105、网络地址转换处理模块02106、虚拟私有网处理模块02107以及搜索引擎查表模块02108等送来的报文信息,再根据报文在报文缓存存储器024中的存储控制信息,与调度及业务质量监管处理模块02110共同配合完成该报文在报文缓存存储器024中的读出控制以及调度发送。
调度及业务质量监管模块02110完成对不同输入输出端口、不同转发过滤信息的报文进行调度和流量监管,发送控制信息到缓存管理模块02109,由缓存管理模块02109把报文发送到报文编辑封装处理模块02112和CPU处理报文缓存模块02114。
加解密处理模块02111通过不同的加解密算法子模块,如DES、3DES、AES等;对应该进行加解密的报文、虚拟私有网隧道报文进行相应的加密和解密,以保证报文在传送过程中的正确可靠、不被窃取和篡改。
报文编辑封装处理模块02112接收从缓存处理模块02109送来的报文和从各个处理模块、搜索引擎查表模块02108送来的查找控制、转发信息,然后进行报文的编辑修改;如网络地址转换转发报文,需要修改报文的网络地址信息为转换后的网络地址信息;如路由转发报文,需要修改报文的转发地址信息和路径信息;并进行报文的重新封装校验,然后发送给报文输出接口处理模块02113。
报文输出接口处理模块02113与外围的物理层接口01进行对接,并作接口通信协议的适配,接收到从报文编辑封装处理模块02112送来的报文后,添加帧校验信息和帧控制信息,发送到所述的物理层接口。
CPU处理报文缓存模块02114实现对安全处理芯片上交CPU报文的存储,和CPU下发到安全处理芯片的转发报文存储,以实现和服务器平台03之间高性能、无拥塞的通信。
CPU接口处理模块02115实现对安全处理芯片021内部各个模块的控制,以及CPU处理报文的上交和下传;该模块最大的作用是与服务器平台通过高速通信总线进行通信,以实现安全处理芯片和服务器平台之间的高效协调配合。
高速查找协处理器022采用基于比特位和比特位掩码的匹配,实现对规则和内容的匹配过滤,以完成如入侵检测模块的流识别、状态检测及过滤模块的报文信息过滤和基于连接的状态检测,从而可以达到线速的高性能信息查表和报文转发;表项存储器023主要存储报文的虚拟私有网、网络地址转换、过滤、转发表项、状态检测、ACL等表项,可以采用通用的DDR(Double Data Rate双沿触发数据速率)SSRAM(Synchronous Static RAM同步静态随机存取存储器)或者DDR SDRAM(Synchronous Dynamic RAM同步动态随机存取存储器)等器件;报文缓存存储器024主要存储输入报文,在输入报文的安全信息和转发信息经安全处理芯片完全处理完毕之前存储报文,等待处理和转发,避免报文因拥塞而丢弃,可以采用通用的DDR(Double Data Rate双沿触发数据速率)SSRAM(Synchronous Static RAM同步静态随机存取存储器)或者DDRSDRAM(Synchronous Dynamic RAM同步动态随机存取存储器)等器件。
服务器平台03通常使用单CPU进行高速运算处理,也可使用多CPU进行并行高速运算处理,通过与高速硬件处理模块02的配合达到高性能的软硬件协同处理。服务器平台03还可内嵌IDS、防病毒、深度内容过滤等上层控制或应用软件模块,实现各种丰富的安全处理功能。
服务器平台03与高速硬件处理模块02之间为高速通信通道06,如PCI、PCI-X等,该通道在高速处理模块02上由安全处理芯片021直接提供,通过该通道实现安全处理芯片021与服务器平台03之间的物理连接和高速的信息交互,该通道可提供高达8Gbps以上的通信带宽,确保无阻塞的软硬件系统协同工作。
参见图5,服务器平台03是标准的工业Server体系架构,内有单个或多个高速CPU031、内存032、硬盘033、外设部件互联接口034、芯片组035、对外接口036(串口、并口、USB接口、VGA接口等)以及其他配件037。
图6是服务器平台03中所运行的安全处理系统05的功能模块框图。安全处理系统05包含有安全内核子系统051、系统接口子系统052和安全应用子系统053,安全内核子系统051是安全处理系统05的核心,以操作系统05104为支撑平台,它负责接收所有用户配置信息,建立配置信息表项并对表项进行维护。另外,它接收到配置信息后,还要根据配置信息驱动硬件芯片或配置TCP/IP协议栈,从而完成系统的功能配置。
系统接口子系统052是安全内核子系统051和安全应用子系统053之间的接口,在安全应用子系统053和安全内核子系统051之间完成接口的转换、适配。
安全应用子系统053提供网络安全处理设备的各种应用功能,包括日志服务、高可用性、网页服务、配置服务、虚拟私有网服务。报文从物理层接口01接收并处理后,交高速硬件处理模块02处理;高速硬件处理模块02根据用户的配置信息对报文进行处理,如需交安全处理系统05进行处理,则通过高速通信总线06上交给安全处理系统05。安全处理系统05接收到该报文后,通过系统接口子系统052调用安全内核子系统051的安全处理芯片驱动05101及TCP/IP协议栈05103对报文进行处理,处理完的报文通过高速通信总线06下发给高速硬件处理模块02,高速硬件处理模块02完成对报文的处理后,通过物理层接口01把报文转发出去。
安全应用子系统053包括日志服务模块05301、高可用性模块05302、网页服务模块05303、配置服务模块05304、虚拟私有网服务模块05305。日志服务模块05301处理网络安全处理设备的所有日志信息,将所有日志信息输出;高可用性模块05302和另一台网络安全处理设备的高可用性模块之间建立通信通道,完成两台设备之间状态检测和信息同步。设备之间获取配置信息和完成系统配置工作都通过系统接口子系统052完成。
网页服务模块05303为安全处理设备提供对基于WebUI的管理配置通道的支持,通过网页服务模块05303,用户可通过浏览器软件对网络安全处理设备进行配置、控制和管理。
配置服务模块05304完成网络安全设备初始化时从配置文件读取配置信息初始化设备及定时将用户新配置的数据写入配置文件。
虚拟私有网服务模块05305提供对虚拟私有网协议的支持,以实现IPsec、L2TP、GRE等虚拟私有网协议的连接协商建立,并实现IKE等协议的自动协商处理。
配置用户图形接口模块05306提供用户的配置管理界面,用户可以通过多种管理方式,如命令行、WEB管理界面以及SNMP(Simple NetworkManagement Protocol)网管协议实现对设备的单机或集群管理配置。
安全内核子系统051由安全处理芯片驱动05101、物理层接口驱动05102、TCP/IP协议栈05103和操作系统05104组成,提供设备运行的操作系统、底层驱动、策略管理和配置功能等。安全内核子系统051通过系统接口子系统052为安全应用子系统053提供支持。
安全处理芯片驱动05101完成安全处理芯片初始化(驱动控制)以及提供管理配置接口;物理层接口驱动05102完成物理层接口驱动芯片初始化(驱动控制)以及提供管理配置接口;TCP/IP协议栈05103完成对处理报文虚拟私有网、FTP、HTTP、TCP、UDP等IP协议进行协商处理和控制,实现正确的链路建立和报文安全处理及转发;操作系统05104作为安全内核子系统051的支撑平台。
从物理层接口接收进来的报文,首先由安全处理芯片进行相应的安全处理,(如安全过滤、网络地址转换转换、虚拟私有网处理、加解密处理、内容过滤、转发处理等),如需软件协助处理,则通过高速通信总线上交给服务器平台,由服务器平台的CPU进行高速运算及处理。处理完的报文,再通过安全处理芯片送出到物理层接口。
随着网络的发展,电信网、ISP(Internet Service Provider因特网服务提供商)、IDC(Internet Data Center因特网数据中心)、以及企业网、政务网、金融网等场合对网络安全设备的性能要求越来越高,同时,由于实际组网的需要,还要求安全设备内嵌IDS、防病毒、深度内容过滤等功能。采用本发明的网络安全设备,在安全处理性能上可高达5Gbps以上;而且,由于采用了服务器平台,在功能可扩展性上得到了极大提高,可有效的满足ISP、IDC、企业网、政务网、金融网、电信网等各种场合对网络安全设备的需求。
本发明不限于以上实施方式,本领域技术人员可以根据本发明作出各种改变和变形,只要不脱离本发明精神,均应属于本发明权利要求所定义的范围。