（计算机应用技术专业论文）基于网络处理器的千兆防火墙设计与实现.pdf

基于网络处理器的千兆防火墙设计与实现摘要 基于网络处理器的千兆防火墙设计与实现 摘要 目前，互联网的速率在飞速增长，宽带网络静悄悄地走进千家万户，人们 在享受网络带来的便利性的同时，也面临着黑客入侵、网络病毒等诸多安全性问 题。面对日益增长的网络安全需求和令人堪忧的安全现状，防火墙产品成为当 前研究热点。 本文的核心是设计和实现基于i x p l 2 0 0 网络处理器( n e t w o r kp r o c e s s o r , n p ) 的千兆硬件防火墙，在开发过程中，解决了多层体系结构、防火墙工作模式、 微引擎分配、攻击防范策略、图形用户界面等多方面的问题，在今后网络处理 器应用的推广和防火墙产品开发方面都提出了独特的见解。 传统的防火墙一般采用专用硬件芯片或者基于纯粹的软件方案，很难兼顾 性能与灵活性两方面的要求。n p 是用于实现报文处理、协议分析、路由、语音 数据集成和q o s 等通信工作的可编程硬件。它综合两者优点，摒弃它们的不足， 提出了全新的软硬件联合解决方案。基于n p 来设计网络设备符合中国国情。 i n t e l 公司推出了一系列并行可编程的网络处理器i x p 4 2 5 、i x p l 2 0 0 、 i x p 2 4 0 0 和i x p 2 8 0 0 ，其中i x p l 2 0 0 是面向企业网络设备的入门级n p 芯片，它 具有一个通用处理器和六个微引擎，非常适合i p 宽带网接入设备，是千兆防火 墙核心处理器的理想选择。 本文从网络安全现状及n p 应用角度出发，介绍了i n t e l 网络处理器硬件和 软件开发平台，设计了防火墙多层并行结构、剖析了防火墙基本工作模式，实 现了t c p 中继、a r p 代理透明模式、w e b u i 防火墙控制界面等关键模块，并 通过三个性能对比实验，确定了最佳微引擎分配方式，最后完成了n e t c h a n n e l 5 0 0 0 系列防火墙的研制工作，并展望了未来的发展方向。 本论文的创新点体现在如下三个方面： 提出了基于n p 的t c p 中继方法，在保证吞吐率的前提下避免内网遭 受恶意s y n 攻击。 基于网络处理器的千兆防火墙设计与实现 摘要 通过微引擎分配的三个实验，提出了优于参考设计的微引擎分配方案， 在n p 快通道性能研究方面作出一定贡献。 实现了高度人性化的w 曲图形管理界面，提出了配置向导，使普通网 络管理人员能有效配置防火墙。 关键词：网络处理器、防火墙、网络安全、t c p 中继、微引擎 本项目受“i n t e l 大学合作计划”资助，资助号：9 0 7 8 基于网络处理器的千兆防火墙设计与实现摘要 r e s e a r c ha n d i m p l e m e n t a t i o n o f g i g a b i t f i r e w a l lb a s e do nn e t w o r kp r o c e s s o r s a b s t r a c t w i t ht h er a p i d i n c r e a s i n go f i n t e r a c tn o w a d a y s ，b r o a d b a n d n e t w o r kc o m e si n t o p e o p l e sd a i l yl i f e m e a n w h i l e ，p e o p l eh a v e t os u f f e rs e c u r i t yp r o b l e m sa st h e ye n j o y t h ec o n v e n i e n c e b r o u g h tb y n e t w o r ks u c ha sh a c k e ri n t r u s i o na n dn e t w o r kv i r u s t h e r e f o r e ，f i r e w a l lp r o d u c tp l a y e sa ni m p o r t a n t r o l ea n di so f g r e a ti n t e r e s ti n m e e t i n g t h ei n c r e a s i n gd e m a n d so f n e t w o r k s e c u r i t y t h i s p a p e re x p l o r e st h er e s e a r c h w o r ko nh o wt od e s i g na g i g a - b i tf i r e w a l l b a s e do ni n t e l sn e t w o r k p r o c e s s o ri x p l 2 0 0 ，w h i c hp m s e n t s b o t hh i 曲- p e r f o r m a n c e a n d s e c u r i t yf u n c t i o n a l i t y d u r i n g t h ed e v e l o p i n g p e r i o d ，t h ea u t h o r a n dh i sf r i e n d s s o l v e dm a n yc r i t i c a lp r o b l e m s ，i n c l u d i n g m u l t i p l el a y e ra r c h i t e c t u r e ，w o r k i n g m o d e s ，a l l o c a t i o no fm i c r o - e n g i n e ，a t t a c kd e f e n c ep o l i c i e sa n d w e bu u s e r i n t e r f a c e a l s on e wi d e a so f i m p r o v e m e n to nb o t hf u t u r en e t w o r k p r o c e s s o r sa n d f i r e w a l lp r o d u c t sh a v e b e e nw e l lp r e s e n t e d c o m p a r e d w i t ht h et r a d i t i o n a lf i r e w a l l ，w h i c hc a n n o tm a k eag o o dt r a d e o f f b e t w e e n p e r f o r m a n c ea n df l e x i b i l i t y , t h en e t c h a n n e l 5 0 0 0s e r i e sf i r e w a l lu s e sn p a si t sc o r ep r o c e s s o r n pi sa p r o g r a m m a b l e h a r d w a r ea n di ti so p t i m i z e df o rp a c k e t p r o c e s s i n g ，p r o t o c o la n a l y s i s ，r o u t i n g ，v o i c ei n t e g r a t i o na n dq o s i nc h i n a ，n p i st h e b e s tc h o i c et od e s i g nn e t w o r kd e v i c e s i n t e lc o ，l t di n v e n t e das e r i e so f p a r a l l e lp r o g r a m m a b l en e t w o r k p r o c e s s o r s ， i n c l u d i n gi x p 4 2 5 ，i x p l 2 0 0 ，i x p 2 4 0 0 a n di x p 2 8 0 0 i x p l 2 0 0 ，o n eo f t h ei n t e l s n e t w o r k p r o c e s s o r s ，i sap r i m a r yp r o d u c t w h i c hi ss u i t a b l ef o re n t e r p r i s eu s a g e i t h a sa g e n e r a lp u r p o s ep r o c e s sa n d s i xm i c r o e n g i n e s i x p l 2 0 0 f i t st h er e q u i r e m e n t s o f b r o a db a n da c c e s sd e v i c ea n di ti st h eb e s tc h o i c eo f c f i g a - b i tf i r e w a l l 基于网络处理器的千兆防火墙设计与实现摘要 t h i s p a p e rb e g i n s w i t ht h ei n t r o d u c t i o no f t h ec u r r e n ts i t u a t i o no fn e t w o r k s e c u r i t ya n d t h en e t w o r k p r o c e s s o r sa p p l i c a t i o n t h e a u t h o ri n t r o d u c e sh a r d w a r e a n ds o f t w a r ed e v e l o p m e n t p l a t f o r m o f i n t e li x p l 2 0 0 h e p u t sf o r w a r d t c p r e l a y m o d u l e ，a r pp r o x ym o d u l e a n dw e b u im o d u l ee t c h ea l s od e v e l o p st h eb e s t a l l o c a t i o nw a yo f m i c r o - e n g i n et h r o u g h t h r e ee x p e r i m e n t s i nt h ee n d ，t h ec o n c l u s i o n i sm a d eo nt h ew h o l e p r o j e c ta n dg i v e sa ne x p e c t a t i o n f o rt h ed e v e l o p m e n to f n e t w o r k s e c u r i t yd e v i c e si n t h e f u t u r e t h em a i ni n n o v a t i v ei d e a si nt h i sp a p e r a r ep r e s e n t e da sf o l l o w s ： f i r s t ，t c pr e l a y m e t h o di sa p p l i e dt od e f e n ds y n f l o o d i n g a t t a c ka n dc o n t r o l t h ew h o l e p r o c e s so f t c p c o n n e c t i o n s e c o n d ，t h i sp a p e rp r o v i d e s n e w m i c r o e n g i n ea l l o c a t i o nm e t h o d st h r o u g h t h r e e e x p e r i m e n t s i tp u t sf o r w a r d an e wi d e at oa c c e l e r a t et h ep e r f o r m a n c eo f f a s tp a t h t h i r d ，ac o n f i g w i z a r di sp u tf o r w a r d ，w h i c hc a n h e l p u s e r st oc o n f i gf i r e w a l l e a s i l ye v e r yc o m m o no p e r a t o rc a nc o n f i g f i r e w a l le f f i c i e n t l yw i t ht h ew i z a r d - g a n gl i u ( c o m p u t e rs c i e n c e ) s u p e r v i s e db yp r o ez h i r e n s u n k e y w o r d s ： n e t w o r kp r o c e s s o r s ，f i r e w a l l ，n e t w o r ks e c u r i t y , t c pr e l a y , m i c r o - e n g i n e 基子丽缮娃理嚣熬手熬貉必琏设计与实现 东华大学学位论文原创性声明 本人郑重声明：我恪守学术道德，崇尚严谨学风。所摄交的学位论文，怒 本人在导师的指器下，独立进行研究工作所取得的成果。除文中已明确注明觏 弓| 焉豹内容舞，零论文不惫含任 孽箕稳个人或集俸已经发表或撰写遭貔 筝菇及 成果的内容。论文为本人亲自撰写，我对所写的内容负责，并完全意识到本声 明的法律结果由本人承担。 学位论文作者签名： 剥冈l 强麓：2 擘冬秀， 嚣 基于网络处理器的千兆防火墙设计与实现 东华大学学位论文版权使用授权书 学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保 留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅或借 阅。本人授权东华大学可以将本学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本学位论文属于 学位论文作者签名 保密口，在年解密后适用本版权书。 不保密崮。 刘刚 指导教师签名：罗峻f = 日期：o 讧年1 月o 日 日期：埘y 年7 月，o 日 基于网络处理器的千兆防火墙设计与实现第一章绪论 1 绪论 1 1 研究背景 目前，互联网的规模和质量都增长迅猛，几何级的增长、数量级的跃升、 短时间内翻一番都是最平常的表现。中国互联网络信息中- i , ( c n n i c ) 于2 0 0 3 年 7 月1 2 日在京发布了第1 2 次中国互联网络发展状况统计报告【1 2 】。最新的 统计报告数据显示，截至2 0 0 3 年6 月3 0 日，我国网民数量已经达到6 8 0 0 万， 半年内增长了8 9 0 万。而宽带用户也由半年前的6 6 0 万增长到9 8 0 万；上网计 算机已达2 5 7 2 万台，w w w 网站数4 7 3 9 0 0 个，分别比半年前增长2 3 5 和2 7 5 同时，网络安全也面临巨大挑战。专家在 1 3 1 0 0 指出：2 0 0 3 年以及今后的 几年中世界范围内的网络安全问题不容乐观，将面临来自网络的种种防不胜防 的攻击。我国目前面临的网络安全问题正随着信息化的飞速发展日益严峻 1 4 。 据统计，目前在遭受黑客攻击最为频繁的国家中，中国已经位居第三位。中国 互联网协会副秘书长黄澄清日前透露，2 0 0 2 年我国公安机关共受理各类信息网 络违法犯罪案件6 6 3 3 起，与2 0 0 1 年相比增长4 5 9 ，其中利用计算机实施 的违法犯罪5 3 0 1 起，占案件总数的7 9 9 。 以上列出的众多我国互联网络发展数据和网络安全问题数据形成了巨大反 差。面对日益增长的网络安全需求和令人堪忧的安全现状，高速防火墙产品成 为当前研究热点。但是，日益变化的网络安全现状使得我们不能再用几年前单 纯追求网络转输速度的思路去设计网络设备。在这种情况下，网络处理器应运 而生。 网络处理器是用于实现报文处理、协议分析、路由、语音数据集成和q o s 等通信工作的可编程硬件。基于网络处理器来开发具有投资少，见效快的优点， 非常符合中国国情。 基于网络处理器技术的防火墙研究方面，国内外很多专家都提出了自已的 观点，d o u g l a se c o m e r 教授在 4 1 6 0 提出基于网络处理器的网络系统设计理论 是本文的主要理论指导，i n t e l 公司在 5 1 0 0 给出了i x p l 2 0 0 编程框架，是本文的 基于网络处理器的千兆防火墙设计与实现 第一章绪论 主要技术指导，清华大学谭章熹等在【6 】中也针对网络处理器提出了独特的见 解。 我国在系统安全的研究与应用方面与先进国家和地区存在很大差距。近几 年来，在我国进行了安全操作系统、安全数据库、多级安全机制的研究，但由 于自主安全内核受控于人，难以保证没有漏洞。开发的防火墙、安全路由器、 安全网关、黑客入侵检测系统等产品和技术，主要集中在系统应用环境的较高 层次上，在完善性、规范性、实用性上还存在许多不足，特别是在多平台的兼 容性、多协议的适应性、多接口的满足性方面存在很大距离，其理论基础和自 主的技术手段也有待于发展和强化。然而，我国的系统安全的研究与应用毕竟 已经起步，具备了一定的基础和条件。1 9 9 9 年1 0 月发布了”计算机信息系统安 全保护等级划分准则”【1 0 1 】，该准则为安全产品的研制提供了技术支持，也为安 全系统的建设和管理提供了技术指导。 1 2 研究意义 研制以网络处理器为核心的多层高速防火墙产品，具有非常重要的理论和 实际意义： 1 ) 设计具有自主知识产权的网络安全产品，保护国家网络信息安全。 2 ) 研究网络处理器的应用，为新一代网络设备设计提供新的解决方案。 3 ) 以i x p l 2 0 0 为c p u 的千兆防火墙，能满足当前用户的急需，具有很高 的实用价值。 4 ) 多层的硬件、软件解决方案可以应用到计算机的各领域。 5 ) 针对s y nf l o o d i n g 攻击提出t c p 中继算法，开拓状态检测新思路。 1 3 研究内容 本论文旨在通过对防火墙的设计与实现，研究以网络处理器为核心的网络 安全设备应用，分析网络处理器的特点，解决应用过程中的各类问题，分析最 终产品的性能指标，为今后更广泛的网络处理器应用提供实践上的经验或指导。 笔者在硕士生学习期间参加了上海交通大学h t e l 联合实验室的网络处 理器研究项目，主要参与和负责防火墙产品开发中的系统结构设计、t c p 中继 器设计、防火墙应用模式分析、性能评测部分的工作。通过这些项目研究工作， 2 基于网络处理器的千兆防火墙设计与实现第一章绪论 给我的硕士论文撰写提供了第一手的素材，本文中的所有实验数据都是通过实 际测试我们最终的防火墙产品而得到的。 网络安全领域要研究的内容非常广泛，从访问控制列表( a c l ) 到入侵检 测( i d s ) ，从密码技术到c a 认证，从s n m p 安全机制到i p s e c 协议，还有v p n 和隧道的研究等等，许多网络安全专家在这些领域都提出了解决方案，制定了 相应标准。而我们的研究目标在于如何在网络处理器这一架构上实现一个防火 墙产品，这包括以下研究重点： 1 ) 适合于网络处理器的攻击检测算法 2 ) 网络处理器应用环境的分层系统结构 3 1 双通道与微码编程技术 4 1 多c p u 的组织结构与协调方法与效率分析 5 ) 防火墙管理与控制界面的设计 1 4 本文的结构 本文的正文共分五章： 第一章是绪论部分，主要描述了基于网络处理器应用的防火墙开发项目的 研究背景和意义，并介绍了主要研究内容。 第二章介绍相关的研究，分析了当今防火墙的概念、网络处理器发展现状、 网络处理器的代表i x p l 2 0 0 ，举例说明了网络处理器为报文处理而做的优化， 并重点分析了i n t e li x as d k 2 0 1 软件平台和n a t 地址转换模块。 第三章是系统设计部分，提出了m i c r oe n g i n e s t r o n g a r m x 8 6 的三层软 件和硬件体系结构，介绍了防火墙主要工作模式，提出了t c p 中继方法。 第四章详细介绍了使用i x p l 2 0 0 来实现防火墙产品的具体过程，包括t c p 中继功能和透明模式的实现。在s m a r t b i t s 测试仪器的帮助下，研究了处理流程 中的瓶颈，更新了微引擎分配、优化数据流程。实现了高度人性化的w e b 图形 管理界面，提出的了配置向导为普通网络管理人员有效配置防火墙提供了技术 保证。 第五章进行了总结与展望，总结对网络处理器千兆防火墙研究与开发的收 获，展示了n e t c h a n n e l5 0 0 0 防火墙样机，展望了网络安全产品的发展趋势。 基于网络处理器的千兆防火墙设计与实现第二章相关概念和技术 2 相关概念和技术 本章主要讨论基于网络处理器防火墙研究的技术背景和开发环境。 2 1 防火墙技术 2 1 1防火墙的概念 防火墙的原意是指在容易发生火灾的区域与拟保护的区域之间设置一道屏 障，可将火灾阻止以拟保护区域以外，以保护该区域的安全。 在网络安全技术上所说的防火墙，是指在两个网络之间加强访问控制的一 整套装置，包括软件和硬件。或者说，防火墙是用来在一个可信网络( 常称为 内部网、内网，如i n t r a n e t ) 与一个不可信网络( 常称为外部网。如i n t e m e t ) 间起保护作用的一整套装置，在内网与外网之间构造一个保护层，并强制所有 的访问或连接都必须经过这一保护层，在此进行检查和连接。只有被授权的通 信才能通过此保护层，从而保护内部网资源免遭非法入侵。在物理上，防火墙 表现为一个或组带特殊功能的网络设备，力求建立一个网络体系，并通过网 络配置、主机系统、路由器以及各种身份认证手段来实现该安全协议和机制。 一句话，防火墙实现了访问控制策略。 在众多网络安全解决方案中，安装防火墙是最常用的一种做法，它具有简 单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一 定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的i p 包，尽 可能地对外部网络屏蔽被保护网络或节点的信息、结构，另一方面对内屏蔽外 部某些危险地址，实现对内部网络的保护。 防火墙不是从计算机网络诞生起就一同出现的，当各种企、事业网络与 i n t e m e t 相联之后，其安全性就成为一个至关重要的问题，防火墙随之应运而生。 同其它任何社会一样，i n t e m e t 也受到某些无聊之人的困扰，这些人喜爱在网上 做这类的事，像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者偷走 大街上的地下井盖一样。一些人试图通过i n t e r n e t 完成一些真正的工作，而另一 些人则拥有敏感或专有数据需要保护。一般来说，防火墙的目是将那些无聊之 人挡在网络之外，同时使正常用户仍可以完成工作。 基于网络处理器的千兆防火墙设计与实现第二章相关概念和技术 许多传统风格的企业和数据中心都制定了计算安全策略和必须遵守的惯例 1 1 6 。在一家公司的安全策略规定数据必须被保护的情况下，防火墙更显得十分 重要，因为它是这家企业安全策略的具体体现。如果是一家大企业，连接到 i n t e r n e t 上的最难做的工作经常不是费用或所需做的工作，而是让管理层信服上 网是安全的。防火墙不仅提供了真正的安全性，而且还起到了为管理层盖上一 条安全的毯子的重要作用。 最后，防火墙可以发挥企业驻i n t e m e t “大使”的作用。许多企业利用其防 火墙系统作为保存有关企业产品和服务的公开信息、下载文件、错误修补以及 其它一些文件的场所。 2 1 2主要功能 一般而言，设立防火墙需要有特殊的较为封闭的网络拓扑结构，存在一个 关节点，可以进行网络分割，防火墙就安装在这里。在这个关节点上，防火墙 要实现以下主要功能： 1 1 控制不安全的服务，保护易受攻击的服务 某些操作默认开启的服务，可能会造成不安全隐患，比如u n i x 中，未授 权用户可以通过f i n g e r 服务获得当时联机的用户清单。而w i n d o w s 系统中诸如 g u e s t 用户、共享文件夹等更为非法入侵大开方便之门。在防火墙上提供对不安 全服务的控制，可以集中控制网络安全，避免因个别用户的疏漏而引狼入室。 2 ) 屏蔽内部网络拓扑结构 获得网络拓扑结构是入侵的前提条件之一，通过防火墙对内部网络的屏蔽， 使得外界无法探知内部网络结构、操作系统类型，内部路由器的设置等关键信 息，就可以使攻击行为无法进行。 3 1 站点访问控制 站点访问控制包含两方面的涵义，一方面可以控制内部服务器只能被某些 主机所访问，另一方面可以控制内网对外网某些不安全站点的访问，甚至可以 根据时间来控制，比如内网到外网的访问仅在工作日9 点至1 7 点开放。 4 ) 保证企业服务器安全、连续对外提供服务 很多企业不仅需要访问互联网络，而且还需要在互联网上开设服务器，用 于介绍公司产品，发布最新消息，收集客户意见，在线购买等等，很多公司愿 基于网络处理器的千兆防火墙设计与实现第二章相关概念和技术 意架设自己的邮件服务器。在这种情况下，企业网络面临来自世界各地的入侵 威胁，防火墙需要做好这类防护。目前的防火墙通常都将这些服务器放在d m z 区( 又称中立区) 。 5 1 网络连接的日志记录及使用统计 日志记录是控制网络安全的最后一关，同时也是安全案件侦破的有力证据， 通过对日志的分析可以了解当前网络安全状况，可以追查己发生的网络安全入 侵、泄密事件。 2 1 3防火墙的类型 依据不同分类标准不同，防火墙可以分为多种类型，以下按照网络体系结 构来进行的分类： 1 、网络级防火墙 也就是我们常说的“包过滤防火墙”，一般是基于五元组( 源地址和目的地 址、协议、源端1 ：3 和目的端口) 来作出通过与否的判断。一个路由器便是一个 “传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否 将所收到的包转发，但它不能判断出一个i p 包来自何方，去向何处。 网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保 护很有限因为它只检查地址和端1 3 ，对网络更高协议层的信息无理解能力1 7 l 。 2 ) 应用级网关 应用级网关就是我们常常说的“代理服务器”，它能够检查进出的数据包， 通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直 接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控 制，并做精细的注册和稽核。但每一种协议需要相应的代理软件，使用时工作 量大，效率不如网络级防火墙。 应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难， 而且有的应用级网关缺乏”透明度”。 3 1 电路级网关 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的t c p 握 手信息，这样来决定该会话( s e s s i o n ) 是否合法，电路级网关是在o s i 模型中会话 层上来过滤数据包，这样比包过滤防火墙要高二层。 6 基于网络处理器的千兆防火墙设计与实现第二章相关概念和技术 实际上电路级网关并非作为一个独立的产品存在，它与其他的应用级网关 结合在一起，另外，电路级网关还提供一个重要的安全功能：代理服务器 ( p r o x y s e r v e r ) ，在代理服务器上运行一个“地址转换”的进程，来将所有公 司内部的i p 地址映射到一个”安全”的i p 地址，这个地址是由防火墙使用的。但 是，作为电路级网关也存在着一些缺陷，因为该网关是在会话层工作的，它就 无法检查应用层级的数据包。 4 1 规则检查防火墙 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包 过滤防火墙一样，规则检查防火墙能够在o s i 网络层上通过i p 地址和端口号， 过滤进出的数据包。它也象电路级网关一样，能够检查s y n 和a c k 标记和序 列数字是否逻辑有序。当然它也象应用级网关一样，可以在o s i 应用层上检查 数据包的内容，查看这些内容是否能符合公司网络的安全规则【2 4 i 。 规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是， 它并不打破客户机朋匣务机模式来分析应用层的数据，它允许受信任的客户机 和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理， 而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的 模式来比较进出数据包。 2 2 网络处理器 2 2 1 防火墙的两类主要架构 要实现真正的千兆防火墙，目前的技术途径基本上有两条：一种是采用网 络处理器f n p ) ，另一种是采用a s i c 。下面我们来分析一下这两种技术架构各自 的特点。 网络处理器是专门为处理数据包而设计的可编程处理器，它的特点是内含 了多个数据处理引擎，这些引擎可以并发进行数据处理工作，在处理2 到4 层 的分组数据上比通用处理器具有明显的优势。网络处理器对数据包处理的一般 性任务进行了优化，如t c p 口数据的校验和计算、包分类、路由查找等。同时 硬件体系结构的设计也大多采用高速的接口技术和总线规范，具有较高的i o 能力。这样基于网络处理器的网络设备的包处理能力得到了很大的提升。它具 基于网络处理器的千兆防火墙设计与实现第二章相关概念和技术 有以下几个方面的特性：完全的可编程性、简单的编程模式、最大化系统灵活 性、高处理能力、高度功能集成、开放的编程接口、第三方支持能力。基于网 络处理器架构的防火墙与基于通用c p u 架构的防火墙相咄3 4 ，在性能上可以得 到很大的提高【2 2 1 1 2 3 1 。网络处理器能弥补通用c p u 架构性能的不足，同时又不 需要具备开发基于a s i c 技术的防火墙所需要的大量资金和技术积累，最近在 国内信息安全厂商中备受关注，成为国内厂商实现高端千兆防火墙的热门选择。 第二种方案是采用基于a s i c 技术的架构。n e t s c r e e n 是采用该技术的代表 厂家【1 。采用a s i c 技术可以为防火墙应用设计专门的数据包处理流水线，优 化存储器等资源的利用，是公认的使防火墙达到线速千兆，满足千兆环境骨干 级应用的技术方案。n e t s c r e e n 公司也因此取得了令人瞩目的成功。但a s i c 技 术开发成本高、开发周期长且难度大，一般的防火墙厂商难以具备相应的技术 和资金实力。 网络处理器与a s i c 方案哪种更适合千兆防火墙的应用是目前争论的一个 热点。这需要从性能、灵活性、功能完备性、成本、开发难度、技术成熟性等 方面来进行比较。从性能上说，由于基于网络处理器的防火墙本质是基于软件 的解决方案，它在很大的程度上依赖于软件设计的性能，而a s i c 由于是将算 法固化在硬件中，因而在性能上有比较明显的优势。 目前国内基于a s i c 技术的首信防火墙已可达到4 个千兆网口的全线速包 转发速率，而一般基于网络处理器的防火墙在小包情况下还不能完全作到2 网 口的千兆线速转发。反过来说，网络处理器的软件色彩使它具有更好的灵活性， 在升级维护方面有较大的优势。纯硬件的a s i c 防火墙缺乏可编程性，这使得 它缺乏灵活性从而跟不上防火墙功能的快速发展。 在开发难度、开发成本和开发周期方面，网络处理器技术有比较明显的优 势，毕竟网络处理器产生的一大原因就是降低这方面的门槛，这也是国内很多 防火墙企业选中网络处理器的原因。 2 2 2选择网络处理器的理由 笔者以为选择网络处理器作为防火墙的核心更合适，因为： 1 ) a s i c 技术门槛高，开发时间和经费有限 基于网络处理器的千兆防火墙设计与实现第二章相关概念和技术 a s i c 开发需要大量硬件设计仿真工具，而且需要有芯片加工企业的配合， 才能生产样机进行评估，开发周期也非常长，需要大量人力物力财力的支持。 相比而言，网络处理器的进入更容易一些，一般是由某大型公司推出一个具体 型号的n p ，同时推出评估系统和参考设计。要在较短时间内进行研究，不可能 选择a s i c 。 2 1 我们具备研究网络处理器技术所需基础知识 网络处理器是由通讯控制器发展而来，没有网络处理器之前，一般的网络 设备是采用通讯控制器来设计的。m o t o r o l a 公司m c 6 8 k 系列、m p c 8 6 0 8 2 6 0 系列都是为通讯产品而设计的。因此，网络处理器技术是本领域的最新技术， 但不是全新技术，而笔者过去曾使用它们来设计路由器软硬件，所以更愿意选 择网络处理器。 3 1 网络处理器的应用范围更广 网络处理器的可定制化程度很高，一个成熟的设计，稍加修改就可以成为 不同的产品。希望这次研究不仅仅局限在防火墙本身，而是通过这一产品的实 现，来研究网络处理器的应用，寻找今后网络通讯产品发展方向。 4 1 网络处理器项目获得i n t e l 资助 i n t e l 公司推出了i x a 架构的系列网络处理器，i n t e l 与国内多所大学和科研 机构建立了良好的共同研发环境。i n t e l 免费赠送给上海交通大学_ i n t e l 联合 实验室三套i x p l 2 0 0e v a l u a t i o nb o a r d 、多台d e l l 电脑和i x i a 高性能测试设 备。这些都为我们的研究提供了必要支持。 2 3i n t e li x p l 2 网络处理器 2 3 1 a ( 互联网交换结构) 和i x p ( 互联网交换处理器) i x a 即i n t e m e te x c h a n g ea r c h i t e c t u r e ，是指i n t e l 公司研究的网络处理器架 构1 】1 2 】，它包括硬件和软件两方面。i x a 架构的构心内容就是数据层面与控制层 面的不同处理路径。 i x p 即i n t e r a c te x c h a n g ep r o c e s s o r ，是指一种基于i x a 架构的处理器。i n t e l 目前已推出了多个系列i x p 网络处理器，包括：i x p l 2 0 0 2 4 0 0 2 8 0 0 三个系列。 基于网络处理器的千兆防火墙设计与实现 第二章相关概念和技术 表2 1i x p l 2 0 0 处理器的具体型号 t a b l e2 - 1 ，p a r tn u m b e ro f i x p l 2 0 0p r o c e s s o r s 2 3 2i x p l 2 0 0 基本结构 图2 1i x p l 2 0 0 内部结构与外部连接图 f i g u r e2 - 1 ，i x p l 2 0 0a r c h i t e c t u r ea n do u t e rc o n n e c t i o n s 上图描述了i n t e li x p l 2 0 0 网络处理器及其与外设连接方式的基本结构。该 处理器由六个主要功能模块组成【3j ，如下所述： 卜3 2 位嵌入式r i s c 微处理器s t r o n g a r m 6 个微引擎：3 2 位r i s c 引擎，完成高速的包监测，数据处理，数据传 输等功能。所有的微引擎带了5 级执行流水线和一个大寄存器堆( 2 5 6 个寄存 器) 。硬件多线程和线程敏感寄存器窗允许快速线程转换。 o 基于网络处理辨的千兆防火墙设计与实现 第二章相关概念和技术 卜s d r a m 接口：s t r o n g a r m 核、微引擎和p c i 总线共享的智能s d r a m 接口，能够在s d r a m 和微引擎或i x b u s 总线单元或p c i 总线单元之间以快的 形式传输数据。 卜s r a m 接口：s t r o n g a r mc o r e 、微引擎和p c i 总线共享的智能s r a m 接 口，能够在s r a m 和微引擎之间以快的形式传输数据。 i - p c i 接口：连接其他p c i 设备或另一主处理器的标准p c i 接口。 卜i x 接口：微引擎控制的智能数据传输引擎，能够在i x p l 2 0 0 和网络设备 之间传输数据块。 i x p l 2 0 0 还包括其它的一些辅助单元： 卜一个硬件可编程哈希单元； i - 4 k b 片内便笺存储器，存放全局数据，并且在各处理器之间进行消息传 递； 卜i x b u s 上缓存数据的接收和发送f i f o ： 卜多条独立的系统内部总线。 2 3 3 哈希单元 网络处理器与通用处理器的一个重要区别就是：前者为网络数据包的处理 而优化，设计了许多硬件加速功能，以i x p l 2 0 0 的哈希单元( h a s hu n i t ) 为例，可 知网络处理器对数据包处理的硬件优化情况。 与许多r i s c 处理器一样，i x p l 2 0 0 中的微引擎并没有提供乘法和除法这样 的多周期指令，但网络协议的处理经常使用到哈希。比如一个以哈希查找表加 冲突链表来实现的高速查找表。在其它处理器中，可能使用各种乘、除法运算 来实现哈希。在i x p l 2 0 0 中，有一个称为哈希单元的协处理器，专门实现哈希 功能。 哈希功能可以用下面这个公式来描述： 彳( x ) + m ( x ) g ( x ) q 0 ) + r o ) 其中，a ( x ) 表示输入值，m ( x ) 作为一个乘数，g ( x ) 是一个固化的值，只与 要计算的哈希数长度有关，q ( x ) 是商，r ( x ) 是余数。公式中，乘数m ( x ) 是唯一 可以更改的值，任何程序都要选择一个合适的乘数来进行哈希运算。 从数学角度来说，我们可以把哈希运算看成多项式运算，例如： 苎璺竺竺些堂塑王垄堕盔苎堡生兰塞翌竺三兰旦鲞塑鱼! ! ! ! 查 2 0 4 0 11 6 【注1 】 可以看成是多项式 x 1 7 + x l o + 1 g ( x ) 一共有两种取值情况 表2 - 2 哈希算法中的除数取值情况 t a b l e2 - 2 ，d i v i s o rv a l u e si nh a s ha l g o r i t h m 以下举出一个哈希计算的实例，以更好地理解i x p l 2 0 0 中的哈希算法。给 定以下值： a = 8 0 0 0 0 0 0 0 0 0 0 1 1 6( 即x 4 7 + 1 ) g = l 0 0 1 0 0 2 0 0 0 4 0 l1 6( 即x 4 8 + x 3 6 + x 2 5 + x 1 0 + 1 ) m = 2 0 d 1 6( 即x 9 + x 3 + x 2 + 1 ) 哈希单元要计算r ，即a 乘以m 除以g 的余数 注2 】 h ( a 、= r = a + m g 已知a 、m 可知 a ( x ) + m ( x ) = x 5 6 + x 5 0 + x 4 9 + x 4 7 + x 9 + x 3 + x 2 + 1 因此，可求出商e ( x ) q ( x ) = a ( x ) + m ( x ) g ( x ) = x 8 + x 2 十x 1 这样就可最终求得r ( x ) r r x ) = x 4 7 + x 4 4 + x 3 8 + x 3 7 + x 3 3 + x 2 7 + x 2 6 + x 1 8 + x 1 2 + x + x 9 十x 8 + x 3 + x 1 + 1 即 h ( a ) = r = 9 0 6 2 0 c 0 4 1 b o b l 6 通过对i x p l 2 0 0 哈希单元的分析，网络处理器提供了可实现哈希运算的硬 件功能，可实现以哈希冲突链表为数据结构的多种控制表，为高速报文分类和 转发提供有力支持。 下标1 6 表示前面的数据是以十六进制形式表示的 ：此处用c 语言中的号米表示取模运算，即求余数运算 1 2 2 41 ) ( as d k2 。0 1 i x as d k 2 0 1 是i n t e l 为配合网络处理器推广而向开发人员提供的一套软 件开发平台和部分用于测试i x p l 2 0 0 性能的应用程序组件，该组件通过提供一 组二、三层交换机的程序套件向程序员推出了a c e 的程序设计框架。 这个框架是我们研制开发防火墙的基础，通过在这个框架上设计状态检测、 攻击检测、管理策略就可以实现基于网络处理器的防火墙产品。 2 4 1 网络服务程序 i x a s d k 是专为网络服务程序设计的，如何定义网络服务程序? 防火墙、虚拟私有网络( v p n ) 、入侵检测、负载均衡设备、远程监视与管 理、q o s ( j 艮务质量保证) 、i p 语音( v o i c eo v e ri p ) 、协议转换、三层路由转发都 是典型的网络服务程序】。 一个网络服务程序包括报文的输入接v i 、输出接口和负责处理的应用程序。 输入接口 输出接口 奇固旺尹固 数据包流向 图2 2 网络服务程序中数据包流向示意图 f i g u r e2 - 2 ，p a c k e tf l o wi nn e t w o r ks e r v i c ep r o g r a m 这里的应用程序可以对报文进行分析，分类，修改，丢弃等处理 针对这种典型的网络服务程序流程，i n t e l 配合i x p l 2 0 0 评估系统硬件，同 步推出了i x as d k 软件开发包，并提出了a c e 编程框架。 2 4 2i x as d k 的解决方案 与通用处理器构建的网络设备不同，使用i x p l 2 0 0 网络处理器构建的网络 设备。以分层的模式去处理