基于NetFPGA的支持遠程可重配置的多功能硬件防火墻

摘要：

與軟件防火墻相比，硬件防火墻使用專(zhuān)用芯片，安全與速度兼顧，具有吞吐量高、不占用系統資源的優(yōu)點(diǎn)，適合于整個(gè)網(wǎng)段的安全防護。但是，隨著(zhù)網(wǎng)絡(luò )攻擊技術(shù)的綜合化和復雜化，硬件防火墻也暴露出了升級困難、配置不便的問(wèn)題，很難進(jìn)行靈活的修改和重配置來(lái)應對新型的攻擊。隨著(zhù)FPGA技術(shù)的發(fā)展，用FPGA技術(shù)實(shí)現基于IP地址、端口及協(xié)議的數據包過(guò)濾算法，對硬件防火墻系統進(jìn)行遠程軟硬件可重配置成為一個(gè)全新的研究領(lǐng)域。本設計結合FPGA的可重構設計思想，提出了硬件防火墻遠程可重配置的設計理念，為及時(shí)應對網(wǎng)絡(luò )攻擊的需要，添加支持遠程更新硬件防火墻安全策略，在NetFPGA平臺上實(shí)現了一個(gè)支持可重配置的硬件防火墻系統。此外，對于網(wǎng)絡(luò )硬件防火墻的研發(fā)，已經(jīng)經(jīng)歷過(guò)了一個(gè)階段，前期準備工作以及部分最終功能已經(jīng)完成，希望能夠利用這個(gè)機會(huì )在更加強大的平臺上實(shí)現與NetFPGA處理速率相匹配的高性能入侵檢測系統，實(shí)現對網(wǎng)絡(luò )安全狀態(tài)的正確判斷，反饋給網(wǎng)絡(luò )硬件防火墻，通過(guò)協(xié)同處理更加有效地進(jìn)行網(wǎng)絡(luò )安全防護。

該系統的主要特色功能有：

1． 運用硬件電路加速實(shí)現的基于IP地址的數據包過(guò)濾功能；

2． 運用硬件電路加速實(shí)現的基于端口的數據包過(guò)濾功能；

3． 運用硬件電路加速實(shí)現的基于網(wǎng)絡(luò )協(xié)議的數據包過(guò)濾功能；

4． 結合硬件實(shí)現ARP攻擊的防護；

5． 防火墻端口的流量統計，數據傳輸及流量數據的遠程顯示；

6． 系統的軟硬件遠程可重配置的功能；

7． 硬件加速實(shí)現的高性能網(wǎng)絡(luò )入侵檢測系統。

硬件防火墻系統原理和技術(shù)特點(diǎn)：

• 技術(shù)特點(diǎn)主要有：

1． 運用硬件電路加速實(shí)現的基于IP地址的數據包過(guò)濾功能；

2． 運用硬件電路加速實(shí)現的基于端口的數據包過(guò)濾功能；

3． 運用硬件電路加速實(shí)現的基于網(wǎng)絡(luò )協(xié)議的數據包過(guò)濾功能；

4． 結合硬件實(shí)現ARP攻擊的防護；

5． 結合硬件實(shí)現的防火墻端口的流量統計，數據傳輸及流量數據的遠程顯示；

6． 軟、硬件系統的遠程可重配置的功能；

7． 硬件加速實(shí)現的高性能網(wǎng)絡(luò )入侵檢測系統。

遠程可重配置（Remote configuration）是當前世界FPGA可重構設計領(lǐng)域的一個(gè)前沿研究方向。目前處于理論剛剛提出，尚未完善的階段，實(shí)際的實(shí)現上有著(zhù)一定難度。

本系統完成的遠程可重配置，是首次針對與NetFPGA平臺的一個(gè)探索性的實(shí)現，完成遠程可重配置的，能夠將它在本系統中實(shí)現，并添加進(jìn)硬件防火墻系統中，對于整個(gè)系統的先進(jìn)性和可靠性，都有著(zhù)明顯的價(jià)值和意義。

遠程可重配置的實(shí)現后，就可以允許管理員可以更加方便地對系統進(jìn)行維護以及將來(lái)與網(wǎng)絡(luò )入侵檢測系統聯(lián)動(dòng)后，能夠根據網(wǎng)絡(luò )入侵檢測結果在網(wǎng)絡(luò )遠端對硬件防火墻系統的硬件和軟件系統的重新配置，自動(dòng)更改硬件防火墻的硬件和軟件系統，更換硬件防火墻中的安全策略中的硬件模塊，增加了針對于NetFPGA平臺的遠程可重配置功能的設計與實(shí)現。

系統原理：

• 整個(gè)系統的原理是：

充分利用NetFPGA對于網(wǎng)絡(luò )數據的強大的處理能力，利用硬件電路將NetFPGA實(shí)現為一個(gè)支持遠程可重配置的網(wǎng)絡(luò )硬件防火墻系統。其主要功能也均是基于硬件來(lái)實(shí)現：

1. 硬件防火墻的最主要的功能基于IP地址（或基于端口，基于網(wǎng)絡(luò )協(xié)議）的網(wǎng)絡(luò )數據包過(guò)濾

即利用在NetFPGA上設計的硬件系統，將到來(lái)的網(wǎng)絡(luò )數據包解析到第三層后，得到需要的數據，然后，與事先存放在寄存器組中的非可信過(guò)濾列表進(jìn)行比較，如果符合其中的一個(gè)表項，即刻將該數據包過(guò)濾掉，從而高速、有效地保障了防護的整個(gè)安全網(wǎng)絡(luò )不會(huì )被網(wǎng)絡(luò )攻擊所威脅。當發(fā)生新的網(wǎng)絡(luò )攻擊時(shí)，從入侵檢測系統得到有效的入侵檢測數據，硬件防火墻系統中，上位機程序通過(guò)PCI總線(xiàn)，對硬件防火墻中硬件電路中過(guò)濾列表的修改，從而，有效地實(shí)現網(wǎng)絡(luò )安全防護。

系統框圖

系統框圖

2. 結合硬件來(lái)實(shí)現的ARP攻擊與欺騙的防護

原理是，利用ARP表在NetFPGA上的綁定和固化，使得所有到來(lái)的RARP數據包都不能夠對NetFPGA上的ARP表進(jìn)行修改，以及安全防護網(wǎng)絡(luò )中每個(gè)主機的IP-MAC的綁定相結合的方式來(lái)實(shí)現。NetFPGA上的固化，外加采用雙向綁定的方式，即可有效地實(shí)現對于A(yíng)RP攻擊與欺騙的防護。

3. 流量數據的獲取與傳輸

圖-硬件防火墻、上位機以及流量監測平臺的共同配合

如上圖所示，流量數據的獲取、傳輸與遠程顯示主要分為三個(gè)模塊：

(1) 硬件防火墻，主要負責動(dòng)態(tài)地隨著(zhù)網(wǎng)絡(luò )流量的改變而修改統計寄存器組中的數據；

(2) NetFPGA上位機，它的職責是通過(guò)PCI總線(xiàn)，讀取NetFPGA平臺的統計寄存器的數據，經(jīng)網(wǎng)絡(luò )接口，定時(shí)地發(fā)送給安全網(wǎng)絡(luò )內部的流量監測平臺；

(3) 流量監測平臺，接收到數據包統計數據后，經(jīng)過(guò)運算，并在GUI界面進(jìn)行動(dòng)態(tài)顯示。

4. 遠程可重配置

針對于NetFPGA平臺的系統硬件結構，提出一個(gè)相應的遠程可充配置的解決方案，具體的實(shí)現機制如下圖所示：

系統遠程可充配置實(shí)現原理示意圖

在本系統硬件防火墻系統遠程可重配置的過(guò)程中，系統硬件配置文件（bit文件）、軟件配置文件、用戶(hù)界面等配置文件的傳輸，大致需要經(jīng)歷以下幾個(gè)步驟：

1. 經(jīng)由遠程主機傳輸到硬件防火墻，在防火墻中，可對數據包的進(jìn)行檢查和分析，保障可重構系統的數據通道的安全；

2. 然后傳輸到網(wǎng)絡(luò )中的交換機，由交換機進(jìn)行轉發(fā)；

3. 接下來(lái)，遠程配置文件到由交換機到硬件防火墻系統的上位機；上位機刪除原硬件配置文件、軟件配置文件、GUI界面程序配置文件，將接受到新的遠程配置文件存儲下來(lái)。

4. 由上位機對可重配置的硬件防火墻進(jìn)行遠程配置文件的配置工作，配置完成后，重新運行全新的防火墻系統。

在此過(guò)程中，可重配置硬件防火墻進(jìn)行重配置的遠程配置文件的傳輸是在網(wǎng)絡(luò )正常通信的情況下進(jìn)行的，絲毫不影響防火墻系統的正常工作。在上位機接收到新的各個(gè)配置文件后，再對防火墻系統進(jìn)行配置。在此過(guò)程中，配置硬件系統的時(shí)間僅需短短的1秒鐘，加上運行和下載新的軟件系統以及重新運行的時(shí)間，總共的時(shí)間不超過(guò)5秒鐘，幾乎不影響正常的網(wǎng)絡(luò )通信。

5. 與入侵檢測系統聯(lián)動(dòng)

針對于NetFPGA平臺的系統硬件結構，將入侵檢測功能有效地集成到該防火墻系統中，實(shí)現聯(lián)動(dòng)，從而更加有效地進(jìn)行網(wǎng)絡(luò )安全防護。解決方案的具體實(shí)現機制如下圖所示：

• 入侵檢測系統的實(shí)現以及與硬件防火墻主體的聯(lián)動(dòng)，主要的原理是：

1． 通過(guò)NetFPGA將每一個(gè)經(jīng)過(guò)的數據包進(jìn)行復制，傳輸到硬件入侵檢測系統，經(jīng)過(guò)高性能FPGA平臺的硬件系統進(jìn)行加速，對數據包的解析；

2． 然后，通過(guò)在平臺上實(shí)現的入侵監測算法，分析檢測數據字段，從而得出相應的數據，反饋給網(wǎng)絡(luò )硬件防火墻；

3． 接下來(lái)，通過(guò)網(wǎng)絡(luò )硬件防火墻依據從入侵監測系統獲取到的數據，修改硬件過(guò)濾列表，在原有的硬件防火墻的防護性能不能滿(mǎn)足有效應對新的安全威脅，必要更新新的硬件配置文件來(lái)保證防護性能時(shí)，管理人員可以通過(guò)遠程可重配置更新防火墻的硬件系統和軟件系統，從而能夠更加有效地確保高效地應對網(wǎng)絡(luò )攻擊。

圖-入侵檢測系統與硬件防火墻的聯(lián)動(dòng)