可編程能力在新一代安全設備中的重要性

通過(guò)基于軟件的防火墻部署網(wǎng)絡(luò )安全的傳統方法，由于無(wú)法滿(mǎn)足時(shí)延與帶寬需求而無(wú)法擴展。將賽靈思自適應器件的靈活性及可配置性及其 IP 和工具產(chǎn)品相結合，能夠顯著(zhù)提高安全處理性能。

概要

本白皮書(shū)探討了多種防火墻架構，其中包括基于軟件與 NPU 的架構，并且闡明了為什么新一代設計需要基于賽靈思自適應器件的內聯(lián)防火墻架構。賽靈思 16nm FPGA 與 SoC以 及 7nm Versal?ACAP 能夠以硬化塊與軟 IP 的形式提供多種架構組件，因此使其成為設計新一代安全設備的理想選擇。 這些 IP 包括高速 SerDes 和多速率接口 IP，例如硬化 MAC、PCIe ?接口與存儲器控制器。 此外，賽靈思器件還可以提供具備流分類(lèi)軟搜索 IP 的業(yè)界一流存儲器架構，使其成為網(wǎng)絡(luò )安全和防火墻應用的最佳選擇。

介紹

本白皮書(shū)介紹了在企業(yè)與電信數據中心網(wǎng)絡(luò )中用作新一代防火墻 (NGFW) 的安全設備的功能、部署與架構。賽靈思器件的靈活性與可配置性與其 IP 與工具產(chǎn)品相結合，能夠顯著(zhù)提高用于威脅檢測與預防的網(wǎng)絡(luò )安全設備的性能，同時(shí)可以實(shí)現性能擴展。此外，這些器件還可以助力實(shí)現即將面世的新一代安全技術(shù)，例如后量子加密 (PQC) 以及用于異常檢測的機器學(xué)習 (ML) 技術(shù)。

由于企業(yè)網(wǎng)絡(luò )正在向基于策略與意圖的網(wǎng)絡(luò )轉型，因此流與策略可以定義有關(guān)流量的操作（路由、QoS、拋棄、標記等）。此外，輸入流量所需的安全策略會(huì )根據網(wǎng)絡(luò )中流的性質(zhì)不斷變化。大多數流量需要根據狀態(tài)以動(dòng)態(tài)方式處理網(wǎng)絡(luò )流量。

基于端口的傳統防火墻可以提供基于邊界的保護，它可以根據數據包參數（如：IP 地址與 TCP/UDP 端口號）過(guò)濾流量，因為應用感知僅在軟件中進(jìn)行處理，其無(wú)法進(jìn)行性能擴展。NGFW 應當不但能夠識別和處理特定類(lèi)別的流量，而且還應當能夠識別與應用內容相關(guān)的威脅。企業(yè)使用的眾多應用允許端口跳變，采用非標準端口或者隱藏 SSL 隧道中的威脅，因此傳統的基于靜態(tài)端口的防火墻無(wú)法檢測出威脅與惡意軟件。

企業(yè)網(wǎng)絡(luò )防火墻

為確保企業(yè)辦公室之間的安全性，歷代網(wǎng)絡(luò )防火墻都部署在網(wǎng)絡(luò )邊緣，其聯(lián)網(wǎng)絡(luò )采用多種傳輸網(wǎng)技術(shù)，而且往往會(huì )采用同一個(gè)網(wǎng)絡(luò )流水線(xiàn)作為公共網(wǎng)。隨著(zhù)基于策略的網(wǎng)絡(luò )的演進(jìn)發(fā)展以及軟件定義網(wǎng)絡(luò ) (SDN) 與基于意圖的網(wǎng)絡(luò ) (IBN) 的涌現，具有不同吞吐量與功能的防火墻在逐步部署到企業(yè)網(wǎng)絡(luò )的眾多不同位置。參見(jiàn)圖 1。

圖1 企業(yè)網(wǎng)絡(luò )的新一代防火墻

如圖 1所示，防火墻的作用已經(jīng)從企業(yè)網(wǎng)邊界擴展到企業(yè)中的多個(gè)位置，如：連接企業(yè)總部與分支機構，保護連接邊緣，或保護企業(yè)數據中心的流量不受企業(yè)訪(fǎng)問(wèn)的影響。NGFW 能夠根據多種數據包參數（端口、 IP 地址、有效載荷內容）或者根據 L3-VPN 或 SSL/TLS 等加密技術(shù)檢測和阻止網(wǎng)段之間的威脅與惡意軟件。

防火墻部署與功能

安全設備負責檢查和分析來(lái)自企業(yè)網(wǎng)絡(luò )外部的所有流量。防火墻能夠部署到企業(yè)網(wǎng)絡(luò )的多個(gè)位置，如：企業(yè)不同部門(mén)之間的流量，或者通過(guò)由交換機和路由器組成的多個(gè)網(wǎng)絡(luò )節點(diǎn)從企業(yè)訪(fǎng)問(wèn)進(jìn)入企業(yè)數據中心的流量。

安全設備 (NGFW) 可以?xún)嚷?lián)部署，也能夠以旁路模式部署。這兩種模式的主要區別是內聯(lián)模式直接連接到外部網(wǎng)絡(luò )端口，而旁路設備可以連接到交換機或路由器的分流器或鏡像端口。圖 2 顯示了網(wǎng)絡(luò )中的防火墻連接。雖然防火墻的功能大同小異，但是內聯(lián)防火墻比旁路防火墻設備更復雜，同時(shí)性能也更強大。

部署到具體位置的防火墻的規模與功能在策略規則分配方面有所不同，但是某些基本功能（如：流量分類(lèi)、緩沖等）保持不變。

圖2 企業(yè)的絡(luò )中的 NGFW

網(wǎng)絡(luò )節點(diǎn)或安全設備可以負責實(shí)現以下安全功能：

1.L2 安全 - 用于鏈路加密的 MACSec

2.L3 安全 - 來(lái)自用戶(hù)與其他網(wǎng)絡(luò )節點(diǎn)的 VPN 隧道

3.無(wú)效流量的阻斷與過(guò)濾（基于協(xié)議與端口的過(guò)濾）

4.傳入與傳流量的 TLS/SSL 加密/解密

5.跨多個(gè)流量的異常檢測

6.狀態(tài)模式匹配

7.統計異常檢測

8.IP 分片

9.TCP 重組與排序

10.基于正則表達式 (regex) 的簽名/內容匹配

除了上述功能之外，新一代網(wǎng)絡(luò )安全產(chǎn)品也已經(jīng)開(kāi)始實(shí)現用于網(wǎng)絡(luò )分析與惡意軟件預測的 ML 模型。此類(lèi)模型不依賴(lài)基于簽名的傳統檢測功能。支持ML的防火墻可以收集遙測數據，而且可以在威脅出現之前提前部署安全策略。

上述功能的其中一部分是基本功能，是所有網(wǎng)絡(luò )節點(diǎn)（安全交換機與路由器）的組成部分，而且是在采用 ASIC 或可編程器件創(chuàng )建的已部署網(wǎng)絡(luò )交換機和路由器中實(shí)現；其他功能（L3 及更高級功能）更加復雜，需要大量流量分類(lèi)與處理操作。網(wǎng)絡(luò )協(xié)議層越高，流量處理的復雜性就越高。例如，層1(L1) 安全只需要幀級加密（如：OTN 傳輸有效載荷幀），而且是采用批量加密協(xié)議 (AES-GCM) 在光網(wǎng)絡(luò )節點(diǎn)中實(shí)現。層 2(L2) 與層 3(L3) 需要在以太網(wǎng)與 IP 層面進(jìn)行數據包處理，其需要數據包級別的處理。層 4(L4) 與更高級別需要進(jìn)行內容級安全處理，其中每個(gè) TCP 或 UDP 會(huì )話(huà)都包括多個(gè)以太網(wǎng)與 IP 數據包。一些L2 與 L3 安全功能可以在硬件器件（ASIC、ASSP、FPGA、SoC、ACAP 與 NPU）中輕松實(shí)現。此外，更高層的安全處理（L3 及以上）也需要對傳入流量進(jìn)行基于軟件的內容處理，才能實(shí)現威脅檢測與清除。

由于新的接入網(wǎng)技術(shù)（5G 前傳、PON 與電纜）在過(guò)去幾年已經(jīng)大幅提高了吞吐量與流量，因此僅僅基于軟件流量處理的防火墻設備不足以滿(mǎn)足預期吞吐量下的性能與時(shí)延要求。

新一代防火墻的硬件架構

由于防火墻需要處理和檢查所有的傳入流量，因此它們需要執行以下操作：

●   L2/L3 數據包處理

●   L2/L3 安全功能

o   LinkSec/MACSec

o   L3-VPN/IPSec

●   L4–L7 數據包處理與安全

圖 3 顯示為防火墻設計選項。

圖3 防火墻的演進(jìn)發(fā)展：旁路與內聯(lián)處理對比

低端防火墻設備（通常低于 10G）的設計可以采用網(wǎng)絡(luò )接口器件與 CPU。常見(jiàn)的網(wǎng)絡(luò )接口 (NIC) 器件（定制 ASIC、FPGA 或 ASSP）可以處理處理理傳入流量（以太網(wǎng)與 IP 數據包），并且能夠執行眾所周知的 L2 與 L3 功能，而更高層 (L4–L7)功能是由在 CPU 中運行的軟件執行。

中端防火墻能夠處理更高的吞吐量 (10G–50G)，其設計主要采用網(wǎng)絡(luò )接口器件與旁路安全處理器（安全 ASIC、NPU 或 FPGA）。由于只使用軟件的解決方案不能以更高的吞吐量對流量進(jìn)行分類(lèi)和處理，因此旁路安全處理器可以用作 CPU 協(xié)處理器，以便卸載加密/解密、公開(kāi)密鑰基礎設施（PKI）和/或狀態(tài)流量處理功能。雖然在這種架構中可以將 ASIC 或 NPU 用作網(wǎng)絡(luò )接口，但是在中端防火墻中采用 FPGA 日漸流行，因為它在內聯(lián)模式下可以實(shí)現處理傳入流量所需的可擴展性和靈活性，從而可以降低威脅檢測與預防方面的時(shí)延。

吞吐量達到 50G-400G 的新一代高端防火墻主要設計用于內聯(lián)操作模式。在內聯(lián)模式下，網(wǎng)絡(luò )接口器件需要更加智能，才能處理龐大流量，這涉及到對傳入和傳出數據包的更深入的檢查。此類(lèi)接口器件也需要實(shí)現安全功能，如內聯(lián) IPSec，其采用常用的加密協(xié)議與 TCP 級安全。這種架構仍然采用 NPU 來(lái)實(shí)現具體的加密協(xié)議、PKI 和狀態(tài)處理。內聯(lián)設備的流量分類(lèi)需求在流量數量與復雜性以及針對高吞吐量流量采取的措施方面各不相同。因此，用于內聯(lián)安全處理的可編程器件（如FPGA）是實(shí)現此類(lèi)功能的理想選擇。與 NPU 相比，FPGA 在流量處理方面提供了顯著(zhù)的時(shí)延降低和優(yōu)異的可擴展性。此外，FPGA 目前還可以配置新一代存儲器接口和片上高帶寬存儲器 (HBM)，這對于存儲器密集型流量處理應用非常有用。

將 FPGA 用作網(wǎng)絡(luò )安全的流量處理器

進(jìn)出安全設備（防火墻）的流量進(jìn)行多級別加密。L2 加密/解密 (MACSec) 是在鏈路層 (L2) 網(wǎng)絡(luò )節點(diǎn)（交換機與路由器）進(jìn)行處理。超出 L2（MAC 層）的處理通常包括更深層的解析、L3 隧道解密 (IPSec) 以及加密 SSL 流量與 TCP/UDP 流量的處理。數據包處理涉及傳入數據包的解析與分類(lèi)以及高吞吐量 (25–400Gb/s) 的龐大流量 (1–20M) 的處理。由于需要大量計算資源（核心），NPU 可以用于相對更高速率的數據包處理，但是無(wú)法實(shí)現低時(shí)延、高性能可擴展流量處理，因為流量處理采用 MIPS/RISC 核心，而根據其可用性來(lái)調度此類(lèi)核心難度很大。采用基于FPGA的安全設備可以有效消除基于 CPU 和 NPU 的架構所帶來(lái)的上述限制。

安全設備的流量處理

流量處理是數據包處理的更高級別的抽象，因為一個(gè)數據流是由類(lèi)型相似的眾多數據包組成。流量處理包括以下主要組成部分：

●   數據包解析

●   數據包查找

o   路由查找

o   根據數據包字段采用通配符搜索的流量查找

●   數據包編輯

o   校驗和計算

o   包頭封裝/解封

o   安全包頭封裝

賽靈思提供了采用高級抽象語(yǔ)言 P4 進(jìn)行數據包處理的工具，其可以實(shí)現數據包解析、分類(lèi)、查找與數據包編輯功能。與基于 RTL 語(yǔ)言的實(shí)現相比，使用 P4 完成數據包處理可以在更高的抽象層實(shí)現。采用P4可以提高現有可編程FPGA架構的靈活性，因為它可以輕松實(shí)現數據包解析、數據包編輯以及流量表條目的修改。

如圖 4 所示，P4 介紹可以采用 P4 編譯器編譯的并且映射在賽靈思 FPGA 中的數據包處理流水線(xiàn)架構，其中采用了基本架構組件。P4 語(yǔ)言定義數據包解析、查找（IPv4、IPv6 和其他數據包字段）以及數據包的編輯（逆解析）。P4定義的架構可以直接應用于安全處理流水線(xiàn)，如：IPSec安全關(guān)聯(lián) (SA)、安全策略 (SP) 查找以及進(jìn)/出流量的隧道處理實(shí)現。

圖4 基于 P4 的數據包處理流量分類(lèi)與查找

數據包處理的三個(gè)主要組成部分包括：

數據包解析：來(lái)自多個(gè)應用，訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò )與數據中心網(wǎng)絡(luò )不同節點(diǎn)所產(chǎn)生的流量需要針對具體流量類(lèi)型分類(lèi)。解析過(guò)程涉及眾多數據包參數的提取，其中包括 L2 包頭、L3 包頭以及來(lái)自數據包已知偏移量的字段。這些解析需求隨應用不同以及數據包不同位置的簽名不同而變化。FPGA 的靈活架構加上 P4 定義的解析器能夠滿(mǎn)足這些不斷變化的分類(lèi)需求。

數據包查找：完成解析之后，需要根據流量的類(lèi)型對數據包進(jìn)行分類(lèi)。加密的數據包根據協(xié)議與安全包頭字段進(jìn)行解密處理。匹配操作模塊對數據包解析器模塊生成的搜索密鑰進(jìn)行查找，以實(shí)現目的地/操作分配。對于加密流量，秘鑰搜索包括安全關(guān)聯(lián)與安全策略的確定，它可以決定應用于加密數據包的解密密鑰信息和策略。L2 加密數據包 (MACSec) 需要更簡(jiǎn)單直接的查找，而更高層的加密查找可能更加復雜，具有更寬泛的密鑰與結果值。圖5 介紹了 MACSec、IPSec 和 TCP 協(xié)議的查找示例。查找次數隨網(wǎng)絡(luò )節點(diǎn)變化，不過(guò)某些情況下一些流量類(lèi)別需要多層查找。

圖5 L2/L3/L4 安全實(shí)現方案查找示例

上述查找特定于安全處理。此外，防火墻也可以針對路由器功能、網(wǎng)絡(luò )地址轉換 (NAT) 以及傳入流量的策略（或訪(fǎng)問(wèn)控制）查找實(shí)現附加查找。

以下安全與網(wǎng)絡(luò )查找類(lèi)別包括精確匹配、最長(cháng)前綴匹配 (LPM) 和通配符搜索，其采用由包頭字段組成的密鑰：

●   路由查找

●   NAT 查找

●   采用多個(gè)字段的流量分類(lèi)

如圖 6 所示，數據包處理查找可分為三類(lèi)，有各自的表和密鑰大小要求。

圖6 采用基于 FPGA 的安全設備進(jìn)行查找

賽靈思的 IP 產(chǎn)品組合包括用于二進(jìn)制匹配、通配符三元匹配和最長(cháng)前綴匹配的搜索 IP。這些搜索 IP 可以靈活組合，以適應所有采用片上 SRAM 與 DRAM (HBM) 的賽靈思 FPGA。這三類(lèi)搜索 IP 全部支持 100Mb/s 至 400Gb/s 吞吐量。

秘鑰寬度、結果寬度和表內的條目數量可以決定 FPGA 所用片上邏輯資源和存儲器 (SRAM/DRAM) 的數量。由于賽靈思擁有具有不同資源（邏輯/存儲器）數量的廣泛器件類(lèi)別，因此用戶(hù)能夠針對其吞吐量與表大小要求選擇具有適當資源的賽靈思器件。此外，查找 IP 配備用于修改和更新流量表條目的應用層軟件 API。