NP防火墙原理及应用案例.doc

一、防火墙技术背景 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种，硬件防火墙和软件防火墙，他们都能起到保护作用并筛选出网络上的攻击者。本文着重分析硬件防火墙。2、 防火墙技术现状 从防火墙的功能来说，主要包含以下几个方面：访问控制，如应用ACL进行访问控制；攻击防范，如防止 SYN FLOOD 等； NAT; VPN ；路由；认证和加密；日志记录；支持网管等。为了满足多样化的组网需求，降低用户对其它专用设备的需求，减少用户建网成本，防火墙上也常常把其它网络技术结合进来，例如支持 DHCP SERVER ， DHCP RELAY;支持动态路由，如RIP，OSPF等；支持拨号， PPPOE 等特性；支持广域网口；支持透明模式(桥模式)；支持内容过滤(如URL过滤)、防病毒和IDS等功能。防火墙的发展，经历了从早期的简单包过滤，到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好，速度快，得到最广泛的应用。应用代理虽然安全性更好，但它需要针对每一种协议开发特定的代理协议，对应用的支持不够好。但关键的是，它的性能比较差，从国外公开的防火墙测试报告来看，代理防火墙性能表现比较差，因此在网络带宽迅猛发展的情况下，已经不能完全满足需要。此外，有的防火墙支持SOCK代理，这种代理屏蔽了协议本身，只要客户端支持SOCK代理，该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议，如QQ的语音和视频协议，采用其它技术，在NAT情况下很难实现对该协议的支持，但QQ软件本身支持SOCK代理，如果防火墙支持SOCK代理协议，就可以实现对防火墙的穿越。但对于防火墙而言，不参与协议解码，也意味着防火墙对该协议失去了监测能力。 状态检测技术要监视每个连接发起到结束的全过程，对于部分协议，如FTP、 H.323等协议，是有状态的协议，防火墙必须对这些协议进行分析，以便知道什么时候，从哪个方向允许特定的连接进入和关闭。状态防火墙可以对特定的协议进行解码，因此安全性也比较好。有的防火墙可以对FTP、SMTP等有害命令进行检测和过滤，但因为在应用层解码分析，处理速度比较慢，为此，有的防火墙采用自适应方式，因此处理速度很快。状态防火墙还有一个特色是，当检测到SYN FLOOD攻击时，会启动代理。此时，如果是伪造源IP的会话，因为不能完成三层握手，攻击报文就无法到达服务器，但正常访问的报文仍然可达。 防火墙因为软件复杂，实现的功能较多，必须有操作系统支持，操作系统的安全是防火墙安全的基石。1998年，在中国和美国计算机学会ACM共同举办的国际会议上，我提出了高保障防火墙的概念，其核心是防火墙与安全操作系统无缝集成，在防火墙上实现类似B级操作系统的机制，如标记，MAC，强实体认证等。入关具有入关证，出关具有出关证。建立了防止内部敏感信息泄漏的机制，达到既防外又防内的目标。3、 NP防火墙技术的工作原理及应用案例网络处理器（NP）是专门为处理数据包而设计的可编程处理器，能够直接完成网络数据处理的一般性任务。硬件体系结构大多采用高速的接口技术和总线规范，具有较高的I/O能力，包处理能力得到了很大提升。网络处理器一般具有以下特点： 并行处理器: 采用多内核并行处理器结构。片内处理器按任务大致分为核心处理器和转发引擎。 专用硬件协处理器: 对要求高速处理的通用功能模块采用专用硬件实现以提高系统性能。 专用指令集: 转发引擎通常采用专用的精简指令集，并针对网络协议处理特点优化。 分级存储器组织: NP存储器一般包含多种不同性能的存储结构，对数据进行分类存储以适应不同的应用目的。 高速I/O接口: NP具有丰富的高速I/O接口，包括物理链路接口、交换接口、存储器接口、PCI总线接口等。通过内部高速总线连接在一起，提供很强的硬件并行处理能力。 可扩展性: 多个NP之间还可以互连，构成网络处理器簇，以支持更为大型高速的网络处理。 从网络处理器以上特点可以看出，与通用处理器相比，网络处理器在网络分组数据处理上具有明显的优势。NP架构防火墙一般由主控单元和网络处理单元组成。其中，网络处理单元是采用网络处理器芯片(NP)设计的专用网络处理板，主控单元是采用通用处理器设计的管理与协处理板，网络处理单元通过PCI总线与主控单元通信。NP架构防火墙银监局应用案例 中华卫士5000系列防火墙是采用NP(可编程网络处理器)架构自主研发的中低端硬件防火墙。拥有极高性价比的5000系列防火墙其系统从硬件平台到系统软件都是卫士通公司自主研制，从而消除了工控平台所固有的BIOS安全隐患，大大提高了安全性。另外，该系列防火墙还具有访问控制、身份认证、抗DoS攻击、日志审计、地址转换、带宽控制等全面的安全功能以及适用于中小规模的处理能力，中华卫士全系列防火墙5000系列、6000系列、8000系列均可以构建VPN，满足信息系统中的安全输出要求。同时5000系列支持PPPOE协议和ADSL接入方式，支持动态VPN的建立，可以通过动态域名或注册服务器的方式实现全网动态VPN组网，为用户提供最大的组网灵活性和最低的组网成本。针对四川省银监局所面临传输安全问题，中华卫士5000系列中绑定的VPN功能可以轻松帮助解决。5000系列NP防火墙支持IPsec和PPTP两种主流的VPN组网方式，可以和WINDOWS客户端VPN软件无缝对接，使用非常方便，通过防火墙的VPN功能为该业务网建立虚拟专网，将异地各节点的网络组建为一个统一的内联网，同时能够为移动用户提供远程的安全接入功能。除了中心点以外，其他节点的网络都采用动态接入的方式以节省投资。内网用户不能同时访问互联网和内联网资源。访问互联网必须通过用户认证，并能够限制时间区段。外网对内网服务器的访问要进行带宽保障，内网对互联网的访问要进行带宽控制限制BT等P2P软件占用过多带宽资源。为了保护关键业务，还采用带宽管理机制；为了实施全面监控、防御功能，应用了网络层入侵检测机制和防火墙日志服务器，对网络实时监控。4、 NP防火墙技术总结 NP网络加速能力非常好，这是它的专长。但是NP弱点也非常明显， NP这个技术从初始设计目的上，是针对路由器进行加速的，它拥有非常好的3层转发加速能力，但是在4-7层的数据处理上，对安全处理上，没有过多考虑。所以现在的多数NP构架的防火墙，主要还要外挂一个高性能CPU进行4-7层处理，这一方面增大了系统成本，另