網(wǎng)絡(luò)設(shè)備內(nèi)嵌分層次一體化安全防護(hù)研究

０引言在通用網(wǎng)絡(luò)體系結(jié)構(gòu)下，網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備采用分離疊加式部署，安全防護(hù)策略配置和網(wǎng)絡(luò)流量交換調(diào)度相互獨立，無法有效地進(jìn)行統(tǒng)一聯(lián)動，從而阻礙了動態(tài)防御效能的提升；而且，傳統(tǒng)的網(wǎng)絡(luò)運維手段不能實時跟蹤網(wǎng)絡(luò)狀態(tài)信息，缺乏快速收集網(wǎng)絡(luò)狀態(tài)并及時針對相應(yīng)場景進(jìn)行網(wǎng)絡(luò)流量優(yōu)化，不能滿足網(wǎng)絡(luò)業(yè)務(wù)運行過程中流狀態(tài)實時觸發(fā)的安全防護(hù)的要求。因此，研究在網(wǎng)絡(luò)設(shè)備中嵌入安全防護(hù)技術(shù)，能夠提高網(wǎng)絡(luò)效能，降低網(wǎng)絡(luò)建設(shè)成本，是提高網(wǎng)絡(luò)安全防護(hù)有效性的一個方法。１一體化安全防護(hù)的研究一體化安全防護(hù)的研究思路網(wǎng)絡(luò)設(shè)備內(nèi)嵌分層次一體化安全防護(hù)的研究思路安全防護(hù)一體化并不是一個新的概念，在早期網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)安全部署使用一體化安全防護(hù)建設(shè)能夠比較全面地實現(xiàn)安全防護(hù)。但是，該“一體化”概念中的網(wǎng)絡(luò)設(shè)備與安全防護(hù)設(shè)備是分離部署的，例如將防火墻串接在網(wǎng)絡(luò)入口，在網(wǎng)絡(luò)出口部署流量采集設(shè)備，并在網(wǎng)絡(luò)數(shù)據(jù)中心部署入侵檢測設(shè)備等。這樣的一體化防護(hù)部署能夠在一定程度上具備比較全面的防護(hù)能力，但在主動防御的時效性、動態(tài)策略聯(lián)動等方面有所欠缺，部分安全防護(hù)設(shè)備的性能瓶頸也會嚴(yán)重影響網(wǎng)絡(luò)性能和效率。本文提出了內(nèi)嵌的、分層次一體化安全防護(hù)思路，擬通過分析業(yè)務(wù)流經(jīng)過網(wǎng)絡(luò)設(shè)備需要匹配的狀態(tài)和特征，研究流狀態(tài)觸發(fā)的實時安全檢測技術(shù)。一方面，需要研究在業(yè)務(wù)模塊上對線速報文進(jìn)行狀態(tài)和特征匹配識別出非法報文的第一層防護(hù)，并構(gòu)建轉(zhuǎn)發(fā)平面業(yè)務(wù)流實時狀態(tài)感應(yīng)和流量可視化的框架，實現(xiàn)實時網(wǎng)絡(luò)狀態(tài)監(jiān)控的實時性、精細(xì)化和智能化。另一方面，需要研究進(jìn)一步對數(shù)據(jù)流執(zhí)行第二層防護(hù)，將網(wǎng)絡(luò)設(shè)備內(nèi)部的數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)發(fā)、安全檢測以及管理模塊進(jìn)行整合，實現(xiàn)數(shù)據(jù)包的快速深度安全檢查和轉(zhuǎn)發(fā)處理。本文的主要研究內(nèi)容如下：第一層防護(hù)：在網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)層，能夠分析報文流的關(guān)鍵字段，對這些關(guān)鍵字段的組合進(jìn)行判斷，看報文是否為非法報文。對于疑似攻擊報文的數(shù)據(jù)流，可通過策略配置將數(shù)據(jù)流進(jìn)行丟棄或轉(zhuǎn)發(fā)至第二層防護(hù)的模塊進(jìn)行分析和處理。第二層防護(hù)：在網(wǎng)絡(luò)設(shè)備安全防護(hù)模塊（多核處理器）上整合網(wǎng)絡(luò)、應(yīng)用和管理功能，以深度包檢測技術(shù)為核心，結(jié)合基于報文內(nèi)容及基于行為特征的技術(shù)，實現(xiàn)網(wǎng)絡(luò)中應(yīng)用的自動識別和智能分類，并根據(jù)識別結(jié)果采取不同的處理策略實現(xiàn)動態(tài)、主動防護(hù)。２網(wǎng)絡(luò)設(shè)備內(nèi)嵌分層次一體化安全防護(hù)的實施方案網(wǎng)絡(luò)設(shè)備內(nèi)嵌分層次一體化安全防護(hù)的設(shè)計，首先，需要兼顧考慮安全防護(hù)和網(wǎng)絡(luò)設(shè)備各自體系結(jié)構(gòu)的要求，將兩者進(jìn)行一體化融合設(shè)計。其次，由于網(wǎng)絡(luò)交換的吞吐能力通常大于安全防護(hù)的性能，為了進(jìn)一步提升安全防護(hù)的性能，需要突破高性能多核并行深度檢測等技術(shù)，充分發(fā)揮多核處理器的并行處理能力，實現(xiàn)數(shù)據(jù)包的快速深度安全檢查和轉(zhuǎn)發(fā)處理。圖1為該方案框架：圖1?內(nèi)嵌分層次一體化安全防護(hù)設(shè)計方案如圖1所示，第一層防護(hù)依托于業(yè)務(wù)模塊的硬件平臺（交換芯片或者FPGA），執(zhí)行規(guī)則匹配、ACL控制、策略匹配、數(shù)據(jù)包提取與分流等功能。該層次防護(hù)主要是針對原始大流量的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行初步檢測，將規(guī)則匹配符合判斷條件的數(shù)據(jù)包進(jìn)行過濾，并可按照上層策略配置，將特定流量或第一層無法匹配的異常包提交給第二層的防護(hù)模塊進(jìn)行深度檢測。該層次的檢測一般基于L2～L3層的網(wǎng)絡(luò)協(xié)議特征字段進(jìn)行匹配和統(tǒng)計，基于硬件處理，其轉(zhuǎn)發(fā)速度可達(dá)到線速，不影響網(wǎng)絡(luò)傳輸效率。第二層防護(hù)則在多核處理器中實現(xiàn)。網(wǎng)絡(luò)流量經(jīng)過第一層初步檢測和過濾后，存在部分規(guī)則無法匹配到的流量，或者根據(jù)上層需求需要對特定字段進(jìn)行檢測的數(shù)據(jù)報文，這些流量可通過策略配置，將其導(dǎo)流到第二層防護(hù)模塊中進(jìn)行處理。第二層防護(hù)包括三大安全功能模塊，分別是管理安全、網(wǎng)絡(luò)安全以及應(yīng)用安全處理模塊，運行在用戶空間。網(wǎng)絡(luò)安全處理模塊結(jié)合網(wǎng)絡(luò)并行處理技術(shù)及應(yīng)用加速技術(shù)等，可根據(jù)處理器的核數(shù)和端口隊列數(shù)，將多個實例分別綁定到不同的核上獨立運行，減少處理器間的競爭和上下文切換開銷，實現(xiàn)數(shù)據(jù)包的快速處理與轉(zhuǎn)發(fā)。同時根據(jù)安全策略的設(shè)置，網(wǎng)絡(luò)安全處理模塊將處理后的數(shù)據(jù)送到應(yīng)用安全處理模塊的實例，應(yīng)用安全處理模塊可以根據(jù)實際硬件情況和性能需求，運行一個或多個實例。第二層防護(hù)能夠?qū)崿F(xiàn)L4～L7的自定義字段的檢測。３關(guān)鍵技術(shù)分析本節(jié)將對網(wǎng)絡(luò)設(shè)備內(nèi)嵌分層次一體化安全防護(hù)所涉及的關(guān)鍵技術(shù)進(jìn)行分析。3.1?流狀態(tài)觸發(fā)的實時安全檢測技術(shù)基于硬件平臺（交換芯片或FPGA），通過ACL控制功能，可配置相應(yīng)的鍵值對報文流進(jìn)行匹配，并執(zhí)行相應(yīng)動作，從而實現(xiàn)相應(yīng)的報文檢測功能。通過策略配置，可執(zhí)行以下動作：（1）路由選擇L3報文；（2）轉(zhuǎn)發(fā)控制報文到CPU，例如OAM類型報文；（3）分配新的優(yōu)先級、VLANID、VRF，以選擇報文流；（4）計數(shù)或測量一個給定的穿過多個端口的報文流；（5）重定向一個報文流到新的出口或者端口組；（6）基于出口更改或鏡像重定向一個報文流。處理器可通過分析報文流的關(guān)鍵字段，對這些關(guān)鍵字段的組合進(jìn)行判斷，看報文是否為非法或攻擊報文，對疑似攻擊報文的數(shù)據(jù)流進(jìn)行統(tǒng)計，一定時間內(nèi)達(dá)到設(shè)定的閾值后，就認(rèn)為其是攻擊報文，然后通過下發(fā)策略配置，對該數(shù)據(jù)流進(jìn)行丟棄。圖2?報文統(tǒng)計設(shè)計如圖2所示，將時間軸分成間隔周期和統(tǒng)計周期，并為每種疑似攻擊報文設(shè)置一個計數(shù)器和閾值。在統(tǒng)計周期內(nèi)，對某種疑似報文的個數(shù)進(jìn)行統(tǒng)計，在統(tǒng)計周期結(jié)束時與配置的門限值進(jìn)行比較，如果超過門限值，則認(rèn)為是攻擊報文，在間隔周期內(nèi)對該類型的報文進(jìn)行丟棄；否則不丟棄。下一個統(tǒng)計周期和間隔周期重復(fù)以上動作。表1為部分非法報文判據(jù)及處理示例。表1?非法報文類型及處理方式示例序號判斷條件動作1源IP=目的IP丟棄2TCP源端口=TCP目的端口丟棄3分片中有不完整的TCP頭丟棄4UDP源端口=UDP目的端口丟棄5ICMP報文長度大于閾值丟棄6源MAC=目的MAC丟棄7TCP頭小于20字節(jié)丟棄8IPv6分片報文長度小于閾值丟棄3.2?安全模塊的整合一體化安全防護(hù)功能涉及三個安全模塊的整合，主要包括管理控制模塊、網(wǎng)絡(luò)安全處理模塊、應(yīng)用安全處理模塊。其功能結(jié)構(gòu)如圖3所示。圖3?整合后的安全模塊功能結(jié)構(gòu)網(wǎng)絡(luò)安全處理模塊在用戶空間提供網(wǎng)絡(luò)協(xié)議棧功能，提供各種網(wǎng)絡(luò)環(huán)境適配能力。同時，網(wǎng)絡(luò)安全處理模塊可綜合多種安全處理技術(shù)，功能模塊包括：網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、策略路由、流量統(tǒng)計、包過濾、IP/MAC綁定、應(yīng)用識別、用戶管控、會話管理、帶寬控制、抗拒絕服務(wù)攻擊、URL訪問控制等。應(yīng)用安全檢測模塊主要處理應(yīng)用層安全防護(hù)事務(wù)，其功能包括：入侵防御、內(nèi)容恢復(fù)、WEB攻擊防護(hù)、惡意代碼防護(hù)、信息防泄露、應(yīng)用訪問控制等功能模塊。管理控制模塊實現(xiàn)設(shè)備自身的配置管理和狀態(tài)監(jiān)控等功能，支持Web管理、SSH管理和Console管理方式，提供網(wǎng)絡(luò)接口設(shè)置、安全策略定義、路由拓?fù)渑渲?、系統(tǒng)狀態(tài)顯示、安全事件展示、知識庫更新（包括病毒特征庫、應(yīng)用識別庫、IDS特征庫、URL分類庫）、升級維護(hù)等管理控制功能。管理控制模塊可接受智能化管控系統(tǒng)的統(tǒng)一管理，并可提供相應(yīng)接口用于與其他安全系統(tǒng)或設(shè)備的協(xié)同聯(lián)動。3.3?單次解析多業(yè)務(wù)并行處理技術(shù)傳統(tǒng)檢測根據(jù)逐個報文進(jìn)行威脅特征匹配，這種方式對處理器性能消耗很大，不但造成性能瓶頸，而且容易造成攻擊者逃避檢測。圖4?一次解析多業(yè)務(wù)并行處理原理示意內(nèi)嵌的一體化安全防護(hù)摒棄了此種方式，采用全新架構(gòu)的智能識別機制（如圖4），將報文根據(jù)會話進(jìn)行重組，結(jié)合實時威脅防御、豐富的特征地址知識庫及應(yīng)用識別等核心組件，檢測各層協(xié)議中的威脅，實現(xiàn)應(yīng)用程序識別與控管、傳輸內(nèi)容檢測與防御能力，限制未經(jīng)授權(quán)的文件傳輸、檢測并阻擋各種的網(wǎng)絡(luò)安全威脅，以及控制和管理各種非工作相關(guān)的網(wǎng)絡(luò)瀏覽。在檢測過程中，基于多核處理器硬件平臺，采用一次解析，多業(yè)務(wù)并行處理的架構(gòu)。核心的應(yīng)用解析和特征匹配處理由硬件加速模塊高速處理，各個安全業(yè)務(wù)并行跟蹤處理結(jié)果并更新狀態(tài)，當(dāng)威脅特征的條件都符合時，立即根據(jù)安全策略觸發(fā)響應(yīng)動作，而當(dāng)條件不符合時，會自動調(diào)整跟蹤狀態(tài)，確保檢測安全的流量高速轉(zhuǎn)發(fā)。４結(jié)語網(wǎng)絡(luò)設(shè)備由于其自身的安全防護(hù)手段比較單一，對性能要求比較高，目前網(wǎng)絡(luò)體系中往往采用了網(wǎng)絡(luò)設(shè)備與安全設(shè)備分離部署的方式，這種部署方式不僅增加了設(shè)備數(shù)量，提高了部署成本，而且不利于實時監(jiān)測與處理策略的聯(lián)動。本專題擬采用分級防護(hù)體系架構(gòu)，將安全防護(hù)功能嵌入網(wǎng)絡(luò)設(shè)備中，能夠兼顧性能和安全性，達(dá)