基于网络处理器的安全网关研究与开发

摘 要：为了满足信息化建设不断前进以及信息化、网络化给人们带来工作和生活便利的同时越来越高的信息安全需要，给出了一种基于新技术的安全网关的开发方法，该方法对于保障信息网络的安全、提高信息网络的防护能力，都具有重要意义。

关键词：信息安全；NP处理器；安全网关；IP

中图分类号：TN915文献标识码：A文章编号：2095-1302(2011)08-0063-03

信息安全技术是实现网络信息安全的重要保障，网络犯罪是一种技术犯罪，必须有足够的技术手段才能防范。安全专用网关是保障网络信息安全的一种重要设备，它包括认证、审计、日志、网络监测、过滤以及安全性分析等功能。作为信息化建设和提高网络抗攻击能力的主要组成部分，安全网关一直受到世界各国的高度重视。特别是对于设备的稳定性以及适应各种复杂环境的能力提出了很高的要求。安全网关的主要作用是对接入信息专网的每个子网提供全面的网络防护，以抵御来自各方对于网络和网络内部主机以及服务器的攻击。

1 关键技术分析

1.1 NP技术优势

NP(Network Processer，网络处理器)是广泛应用于高端网络的设备。在安全网关中使用NP技术，其网络部分的处理可由NP芯片单独完成，以与CPU并行工作，可以大大提高安全网关的吞吐能力。同时，由于它具有硬件可编程能力，而且新功能的扩充和产品升级也很容易，因而弥补了使用纯硬件更新周期慢的不足。因此，NP技术代表了当今发展的最新趋势。同基于X86架构的网络安全设备相比，基于NP架构的芯片级硬件安全网关具有以下优势：

首先，SoC(System on Chip)的体系架构和纯硬件设计可以达到电信级的稳定性，其无故障运行时间和使用寿命大大增加，并可减少系统维护开销，节约成本。表1所列是几种结构体系的系统平均无故障时间对比表。

其次，其核心算法在NP芯片中完成，故可保护自有专利技术，提升了系统的安全等级和抗攻击能力；

另外，NP硬件加速完全可以达到分组包线速的过滤要求，可适应高速网络发展和接入网络用户数规模的高速增长需要。表2所列是NP结构与其它系统的性能比对。

1.2 NP架构安全网关的稳定性优势

基于X86系列架构的产品，又被称为工控机设备，属于第一代产品。与X86工控结构相比较，NP架构的安全网关的稳定性和可靠性大幅度提高。NP架构可以达到5个9电信级的可靠性。

由于安全网关通常部署在局域网关键出口位置，而且必须长年累月不停顿运行。因此，安全网关的可靠性，稳定性对用户来说至关重要，甚至是致命的。

大多使用X86结构的工控机系统，有些甚至直接使用PC系统，网络接口直接使用PCI网卡，有些选用的网卡还很低端。而PC系统、工控系统毕竟不是网络设备，在使用目标上存在很大的差别，一个是通用开放的，一个是专用固定的。X86架构的固有属性往往会给设备带来很多不可靠。同时，X86系统结构的设备运行开销较大，其CPU一般采用PC级通用CPU，功耗大，发热大，可靠运行时间一般都比较短，并且还要采用大功率风扇，不仅噪音大，而且由于风扇需要固定，很容易在运输和搬运的过程中脱落，从而损坏主板。NP架构的安全网关采用专用的设计和网络处理器加速，因此，CPU可以采用嵌入式、低功耗的CPU直接固化在PCB板上，而不用风扇散热，故可减少故障率。

X86架构的设备，除CPU外，其内存也是PC通用的插槽式内存，在运输过程中也易松动和产生虚接，从而造成系统运行的不稳定性。有些X86设备的运行系统厂商甚至直接采用硬盘形式，这当然是很不可靠的，因为硬盘的寿命一般很短，而且不宜长时间运行。同时，硬盘对运输要求很高，而且震动对硬盘损伤很大。一些X86设备尽管采用了DOM盘或者FLASH卡，但仍然是插卡形式，故障率仍然很高。

而NP架构的纯硬件结构采用专用的系统板卡设计，系统完全集成在一块PCB上(一般为10层以上的PCB板)，其使用的网络接口芯片也直接集成在PCB板上，而非PCI插卡形式，存储器也使用Flash直接贴片到PCB上，这样就自然提高了产品的可靠性。其存储器使用的是电子存储，而非机械式磁介质存储，其可靠性的提高显而易见。无论是抗震还是对温度和湿度的适应能力，以及长时期的运行，芯片级和采用贴片焊接都比接插方式要可靠得多。

1.3 NP架构的性能优势

网络的飞速发展，使得大型的ICP网站、电子商务站点、电信骨干交换网络以及校园骨干交换网络，都需要具有高性能和高数据处理能力的系统。X86体系的系统由于采用通用的PC架构，开销比较大，远远不能满足其速率上的要求，因而成为整个网络的瓶颈。在未来的网络环境下，传统的基于X86体系结构的工控机网关已不能满足宽带网络高吞吐量、低时延的要求，而网络处理器和纯硬件集成电路设计，由于采用专业的设计，并且通过网络处理芯片对网络层的处理进行加速，因此，NP技术被认为是未来网关的主要方向，芯片级纯硬件安全网关产品已逐渐成为历史发展的潮流。

由于X86架构的硬件并非为了网络数据传输而设计，它对数据包的转发性能相对较弱，稳定性较差。而在网关中使用网络处理器，其网络部分的处理由NP芯片单独完成，并可与CPU并行工作，可以大大提高安全网关的吞吐能力，与X86工控架构的系统相比，网络处理器加速为系统提供了更高的性能，其吞吐率为同类X86平台的2～3倍。

1.4 NP系统的安全优势

由于工控机的产业链条非常复杂，国内厂商在其中能发挥的影响力很有限，不利于国内信息安全产业的长期发展，安全隐患很多。同时，国内安全厂商并不掌握X86架构的核心技术，其BIOS中可能存在着隐藏的漏洞，严重影响系统的安全和可靠性。并且，由于系统核心代码通过软件实现，也存在软件的漏洞和核心代码泄密的可能性，因而其安全等级较弱。

而采用NP架构的安全网关，完全采用的是自主知识产权的硬件设计，无BIOS漏洞，其核心代码是固化在网络处理器芯片中的，具有代码不可逆性，无任何核心代码泄漏的可能，因而可保护知识产权，系统安全等级也很高。而由于系统采用支持专用功能的专用嵌入式操作系统(而非主流支持多种功能的通用版本)，因此，在操作系统一级也具有很高的安全性，漏洞较少。

2 系统总体设计

在设计NP安全网关时，可采用模块化设计方法。

2.1 包过滤模块设计

设计时可在操作系统内核中定义三条内置的访问链(input、forward、output)，以分别对应接收检测，转发检测和发送检测。每一条链都包含一系列过滤规则和链的缺省策略。

2.2 QOS带宽控制

针对每个IP地址分配相应的带宽流量，流量精度可精确到1 KB。可以设计出一个流量控制表，表中字段包括IP地址、分配的流量、定时保存文件的时间间隔等。对流量控制表的维护应具有增加、删除、修改等功能。对收到的数据流，累计数据包的长度(区分流入量和流出量)进行控制，当速率大于所设定的流量时，即可在系统的访问规则表中加入一条禁止该IP地址通过的规则，从而达到控制该IP使用的目的。

2.3 地址绑定

可以将IP地址与网卡MAC地址绑定。由于数据报文的源MAC地址信息在经过路由器设备之后会有相应的改变，所设计的地址绑定功能只针对系统在同一广播域内的IP地址。

在控制策略上应采用方便用户使用的原则，网关应具有学习的功能，可以把当前活动的IP地址及其MAC地址动态显示，用户只需选定是否绑定即可。除增设地址绑定功能外，还需有删除地址绑定、修改地址绑定等功能。

2.4 地址映射

由于网络地址的缺乏和出于安全等因素的考虑，设计时可采用私有的IP地址来建立自已的内部网络。为了实现与Internet的互连，必须对外表现为合法的IP。私有IP与合法IP之间是一一映射的关系，每一个内部IP都有一个外部IP与之对应，故可在系统中设定一个固定的地址映射表，通过维持这个地址映射表来实现合法IP访问私有IP的功能。

2.5 地址转换模块

由于私有IP与合法IP之间是一一映射关系，因此，系统通过维持一个固定的映射表就可实现地址转换功能。当IP层接收到信息确定数据准确无误后，查找路由表，伪装的包和去住设备的包的目的地址均是设备的对外地址，IP层将调用相关过程进行处理。解伪装会将真正的目的地址和端口恢复出来，经过再次查路由，如果是发住本地的包，则交给相应的上层去处理。否则，对此包进行转发。

2.6 透明接入方式

在两个网络之间，可根据一系列过滤规则，对经过系统的数据包进行判断，以决定包的处理。由于网关位于两个网络之间，因此要求网关具有数据包的转发功能。根据OSI网络七层体系结构，通常进行网络转发的方式有路由器(第三层)和网桥(第二层)两种，因此，网关接入也有路由器式和网桥式网关两种形式。

3 系统安全性分析

基于NP技术的安全网关在具有高性能的同时，也具有很好的安全性，其主要体现在以下几个方面：

(1) 系统体系结构的安全

由于系统采用纯硬件设计，NP技术和专用的嵌入式操作系统，从体系结构上保证了系统安全，可以防止针对系统的攻击。所有的核心代码都在NP中通过硬件指令运行，并与CPU并行工作，故可防止核心代码泄漏。

(2) 操作系统安全

操作系统采用专用硬件操作系统，其内部只开放最少量的服务，且内核紧凑，并烧入ROM，可防止盗用和泄漏。

(3) 管理通道安全

管理通道为加密的HTTPS方式和SSH方式，全部管理信息线路不可见。

(4) 防止误用

管理主机限制机制可以将管理主机限制在一个IP地址，可防止被人盗用或者误用。同时，用户管理有详细的日志记录，可以对历史事件进行审计。

4 结 语

网络安全的解决是一个综合性问题，涉及到诸多因素，包括技术、产品和管理等。目前国际上已有众多的网络安全解决方案和产品，但由于出口政策和自主性等问题，不能直接用于解决我国自己的网络安全，因此，我国的网络安全只能借鉴这些先进技术和产品来自行解决。目前，国内已有一些网络安全解决方案和产品，不过，这些解决方案和产品与国外同类产品相比尚有一定的差距。NP安全网关的研究与开发，可以为进一步研发具有自主知识产权的其它用途的网络设备奠定了基础。在我国积极推进信息化建设的大背景下，NP安全网关将会对信息化建设和保障信息网络安全产生积极的作用，并会取得良好的社会效益和经济效益。

参 考 文 献

［1］Intel Corp. Intel IXP2400 network processor\[M\]. \[S.l.\]: Intel, 2002.

［2］DAVE Dittrich. Distributed denial of service (DDoS) attacks/tools \[EB/OL\]. \[2003-07-23\]. Http://staff.washington.edu /dittrich/misc/ddos/.

［3］PENG Tao, LECKIE Christopher, RAMAMOHANARAO Kotagiri. Proactively detecting distributed denial of service attacks using source IP address monitoring \[C\]// Third International IFIP-TC6 Networking Conference. Berlin: Springer, 2004: 771-782.