天清漢馬USG防火墻技術白皮書V.

天清漢馬USG防火墻 技術白皮書二零一一年十一月版 權 聲 明北京啟明星辰信息安全技術版權所有，并保留對本文檔及本聲明的最終解釋權和修改權。本文檔中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外，其著作權或其他相關權利均屬于北京啟明星辰信息安全技術。未經(jīng)北京啟明星辰信息安全技術書面同意，任何人不得以任何方式或形式對本手冊內(nèi)的任何部分進行復制、摘錄、備份、修改、傳播、翻譯成其它語言、將其全部或部分用于商業(yè)用途?！疤烨鍧h馬”為啟明星辰信息技術的注冊商標，不得侵犯。免責條款本文檔依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。北京啟明星辰信息安全技術在編寫該文檔的時候已盡最大努力保證其內(nèi)容準確可靠，但北京啟明星辰信息安全技術不對本文檔中的遺漏、不準確、或錯誤導致的損失和損害承擔責任。信息反饋如有任何寶貴意見，請反饋：信箱：北京市海淀區(qū)東北旺西路8號中關村軟件園21號樓啟明星辰大廈 ：100094 ：010-82779088 ：010-82779000您可以訪問啟明星辰網(wǎng)站：獲得最新技術和產(chǎn)品信息。目 錄1概述32產(chǎn)品綜述42.1產(chǎn)品綜述42.2特點說明43體系架構說明63.1產(chǎn)品構成63.2硬件結構63.3軟件結構83.4管理結構94關鍵技術114.1多核智能駕馭技術114.2事件關聯(lián)分析技術與歸并處理機制124.3高速深層檢測技術124.4智能內(nèi)容過濾技術154.5數(shù)據(jù)監(jiān)控NetFlow技術174.6非法連接過濾技術185典型組網(wǎng)195.1政府行業(yè)19電子政務網(wǎng)19政府專網(wǎng)205.2教育行業(yè)22高教校園網(wǎng)22中/基教教育城域網(wǎng)235.3企業(yè)市場24中小企業(yè)24大型企業(yè)251 概述誕生20多年來，網(wǎng)絡已經(jīng)在全球經(jīng)濟中扎根發(fā)芽，蓬勃成長為參天大樹，對各個行業(yè)的發(fā)展起著舉足輕重的作用。隨著時間的推移，網(wǎng)絡的安全問題也日益嚴重，在開放的網(wǎng)絡環(huán)境中，網(wǎng)絡邊界安全成為網(wǎng)絡安全的重要組成部分。在網(wǎng)絡安全的術語里，有一個名詞叫做“安全域”，其主要作用就是將網(wǎng)絡按照業(yè)務、保護等級、行為等方面劃分出不同的邊界，定義出各自的安全領域。舉個簡單的例子，在PC上安裝了相關的殺毒軟件，PC本身就是一個最簡單的安全域。對于單位用戶，安全域往往由若干網(wǎng)絡設備和用戶主機構成，其邊界安全主要在于與互聯(lián)網(wǎng)的邊界、與其他業(yè)務網(wǎng)絡的邊界等。防火墻是解決網(wǎng)絡邊界安全的重要設備，它主要工作在網(wǎng)絡層之下，通過對協(xié)議、地址和服務端口的識別和控制達到防范入侵的目的，可以有效的防范基于業(yè)務端口的攻擊。天清漢馬USG防火墻是北京啟明星辰信息安全技術憑借在信息安全領域多年的經(jīng)驗積累，總結分析用戶的切身需求，推出新一代的防火墻產(chǎn)品。天清漢馬USG防火墻采用高性能的硬件架構和一體化的軟件設計，除了實現(xiàn)了狀態(tài)檢測防火墻功能，還同時支持VPN、外聯(lián)控制、抗拒絕服務攻擊（Anti-DoS）、內(nèi)容過濾、NetFlow、虛擬防火墻等多種安全技術，同時全面支持QoS、高可用性（HA）、日志審計等功能，為網(wǎng)絡邊界提供了全面實時的安全防護。天清漢馬USG防火墻可通過軟件升級的方式，獲得對完整的UTM特性的支持，包括防病毒（AV）、入侵防御（IPS）、防垃圾郵件（Anti-Spam）和內(nèi)網(wǎng)安全功能。天清漢馬USG防火墻產(chǎn)品線豐富，可以為政府、教育、金融、企業(yè)、能源、運營商等用戶提供所需要的全系列的安全防護產(chǎn)品。2 產(chǎn)品綜述2.1 產(chǎn)品綜述天清漢馬USG防火墻采用了業(yè)界最先進的基于MIPS64的多核硬件架構和一體化的軟件設計，集防火墻、VPN、上網(wǎng)行為管理、抗拒絕服務攻擊（Anti-DoS）、內(nèi)容過濾、NetFlow、虛擬防火墻等多種安全技術于一身，高性能、綠色低碳，同時全面支持各種路由協(xié)議、QoS、高可用性（HA）、日志審計等功能，為網(wǎng)絡邊界提供了全面實時的安全防護，幫助用戶抵御日益復雜的安全威脅。天清漢馬USG防火墻采用了一體化的設計方案，在一個產(chǎn)品中協(xié)調(diào)統(tǒng)一地實現(xiàn)了接入安全需要考慮的方方面面。采用天清漢馬USG防火墻，可以從整體上解決了接入安全的問題。用戶可不必考慮產(chǎn)品部署、兼容性等困惑，也不再因為多個產(chǎn)品難于維護管理而苦惱，天清漢馬USG防火墻是低成本、高效率、易管理的理想解決方案。天清漢馬USG防火墻產(chǎn)品線豐富，可以為政府、教育、金融、企業(yè)、能源、運營商等用戶提供所需要的全系列的安全防護產(chǎn)品。自從天清漢馬USG防火墻推向市場以來，很快就憑借其強大的功能和在實際應用中優(yōu)異表現(xiàn)，贏得了眾多機構和用戶的廣泛贊譽。2.2 特點說明天清漢馬USG防火墻具有如下特點：l 完善的防火墻特性² 支持基于源IP、目的IP、源端口、目的端口、時間、服務、用戶、文件、網(wǎng)址、關鍵字、郵件地址、腳本、MAC地址等方式進行訪問控制² 支持流量管理、連接數(shù)控制、IP+MAC綁定、用戶認證等² 支持虛擬防火墻：可以將接口劃分給不同的虛擬防火墻，每個虛擬防火墻具有獨立的管理員、安全域、資源對象、安全策略、NAT規(guī)則、靜態(tài)路由等配置² 同終端無縫結合：支持同天珣內(nèi)網(wǎng)安全管理系統(tǒng)聯(lián)動，將防火墻防御能力推進到桌面終端l 高網(wǎng)絡適用性² 支持透明、路由和NAT模式部署² 支持靜態(tài)路由、策略路由、RIP/OSPF/BGP動態(tài)路由，支持等價路由ECMP和加權路由WCMP，支持組播路由² 支持STP，可以同二層網(wǎng)絡設備進行生成樹計算² 支持IGMP Snooping，優(yōu)化在橋模式下的組播流量² 支持私有HA和VRRP² 支持IPv6：支持IPv4、IPv6雙棧運行、靜態(tài)IPv6路由、手工隧道、6to4隧道和ISATAP隧道。² 支持鏈路聚合，可通過手動方式、IEEE802.3ad 靜態(tài)LACP方式創(chuàng)建聚合鏈路；通過鏈路聚合可以增加鏈路帶寬，并起到負載均衡和鏈路備份的作用l 高穩(wěn)定性和可靠性² 采用多核MIPS架構，產(chǎn)品具有高性能，同時多核之間互為備份，可靠性高² 支持私有協(xié)議HA和VRRP，實現(xiàn)雙機熱備和冗余² 支持雙操作系統(tǒng)和多配置文件，最大支持10個配置文件備份l 全面的VPN支持² 多VPN支持：IPSec、L2TP、SSL VPN、GRE² 豐富的應用：專用VPN客戶端、USBKEY、動態(tài)口令卡、圖形認證碼² 靈活的部署：Hub-Spoken、Full-Mesh、DVPN、網(wǎng)關網(wǎng)關的SSL VPN² 支持對IPAD、IPHONE等移動終端的VPN接入l 完善的上網(wǎng)行為管理功能² 采用獨立的上網(wǎng)行為管理庫，通過互聯(lián)網(wǎng)實現(xiàn)每周更新。 ² P2P控制：對Emule、BitTorrent、Maze、Kazaa等進行阻斷、限速² IM控制：基于黑白名單的IM登錄控制、文件傳輸阻止、查毒；支持主流IM軟件如QQ、MSN、雅虎通、Gtalk、Skype² 流媒體控制：對流媒體應用進行阻斷或限速，支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸點網(wǎng)絡電視、貓撲播霸等² 網(wǎng)絡游戲控制：對常見網(wǎng)絡游戲如魔獸世界、征途、QQ游戲大廳、聯(lián)眾游戲大廳等的阻斷² 股票軟件控制：對常用股票軟件如同花順、大參考、大智慧等的阻斷l(xiāng) 強大的日志報表功能² 記錄內(nèi)容豐富：可對防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問日志、Mail發(fā)送日志、關鍵資產(chǎn)訪問日志、用戶登錄日志等進行記錄² 日志快速查詢：可對IP地址、端口、時間、危急程度、日志內(nèi)容關鍵字等進行查詢² 報表貼近需求：根據(jù)用戶具體需求，定制報表內(nèi)容、定制報名名稱、定制企業(yè)LOGO，并可形成多種格式的報表文件。l 方便的集中管理功能² 通過集中管理與數(shù)據(jù)分析中心實現(xiàn)對多臺設備的統(tǒng)一管理、實時監(jiān)控、集中升級和拓撲展示。3 體系架構說明3.1 產(chǎn)品構成天清漢馬USG防火墻主要由兩部分組成：USG防火墻設備和天清集中管理與數(shù)據(jù)分析中心。USG防火墻設備：即部署在網(wǎng)絡出口，融合多種安全能力，針對惡意攻擊、非法活動和網(wǎng)絡資源濫用等威脅，實現(xiàn)精確防控的高可靠、高性能、易管理的網(wǎng)關安全設備。天清集中管理與數(shù)據(jù)分析中心：主要功能分為集中管理功能與數(shù)據(jù)分析功能，集中管理是對USG防火墻設備的集中管理、統(tǒng)一監(jiān)控和升級中心，通過它可以集中配置、監(jiān)控和管理所管轄的多臺USG防火墻設備，并按照一定的規(guī)則組織成層次結構，方便管理員對于整網(wǎng)USG防火墻設備的監(jiān)控維護工作；數(shù)據(jù)分析中心是USG防火墻設備海量信息的后臺處理中心。主要完成USG防火墻設備日志和流量信息的存儲、分析、審計和處理功能。3.2 硬件結構隨著Internet的迅速普及，一方面全球范圍內(nèi)的網(wǎng)絡病毒、黑客攻擊、操作系統(tǒng)漏洞、垃圾郵件等網(wǎng)絡安全問題層出不窮，且變化越來越快，危害越來越大；另一方面，隨著網(wǎng)絡應用的增加，對網(wǎng)絡帶寬提出了更高的要求。那么安全網(wǎng)關作為保障網(wǎng)絡安全的第一道防線，究竟何種硬件架構最適合防火墻產(chǎn)品？要滿足未來信息安全產(chǎn)品適應信息高速膨脹的發(fā)展趨勢，提升開放平臺的硬件性能，即是必然趨勢也是滿足未來應用需求的關鍵要素。在這樣一個開放性平臺應用需求的驅動力下，多核技術應運而生。這里所說的多核并不是基于X86的2核、4核這樣的CPU，而是在網(wǎng)絡、安全設備上最新使用的基于MIPS64的多核SoC（System on Chip）處理器，此類多核SoC處理器目前可支持到16核，并隨著安全計算需求的不斷增加而繼續(xù)提升。相比X86、NP、ASIC硬件平臺，SoC多核平臺的最大優(yōu)勢是保留了X86平臺的高靈活性（這一點對于安全設備的應用層檢測非常關鍵），同時具備與ASIC平臺相當?shù)母咛幚硇阅?。同時，通過增加核數(shù)，使線性提升硬件計算能力成為了可能，更重要的是功耗也隨之得到了控制（圖2）。圖1. 不同硬件架構比較多核架構在支撐靈活性和高性能的同時，帶來的另一個卓有成效的經(jīng)濟效益是低碳、節(jié)能。對信息安全產(chǎn)品而言，減排、低功耗是實現(xiàn)“低碳經(jīng)濟”最主要的節(jié)能目標。多核架構的主要優(yōu)勢為一顆芯片上集成了多個核，核與核之間可以協(xié)同工作，同時在各個核周邊還集成了豐富的安全協(xié)處理硬件，如硬件加密、正則匹配和應用加速等，高集成度的特點簡化了整體硬件板卡的復雜度和能耗。同樣的應用，對于X86通用硬件平臺，需要1顆甚至多顆高頻率CPU，同時需要南北橋芯片組、通過PCI擴展的硬件加速板卡或應用加速卡等，一系列配套芯片設計使能耗遠遠高于同檔次多核SoC專用硬件平臺。根據(jù)功耗對比測試，多核SoC硬件平臺實際功耗僅為同檔次X86平臺的1/3左右。在高效能、低炭排放的同時，多核架構帶給信息安全產(chǎn)業(yè)的另一個優(yōu)勢為高質量。高度集成的SoC處理器降低了硬件平臺的整體復雜度，硬件的簡化促使故障率可以降低到1以下（X86平臺故障率通常為5以上），達到電信級標準。圖2. 天清漢馬USG基于MIPS64的多核硬件架構為了滿足云計算的安全趨勢，2010年啟明星辰USG防火墻產(chǎn)品全面切換為基于MIPS64的多核SoC硬件架構，為用戶網(wǎng)絡提供更加安全、高效、可靠、環(huán)保和節(jié)能的安全網(wǎng)關產(chǎn)品。3.3 軟件結構防火墻作為網(wǎng)關類產(chǎn)品，究竟什么樣的軟件結構更有利于提升整體性能？那么首先需要知道什么是性能消耗的關鍵業(yè)務單元。啟明星辰通過對網(wǎng)關類產(chǎn)品單一分析處理引擎的詳細分析和試驗驗證，得出網(wǎng)關類產(chǎn)品性能消耗50來自于模式匹配，25來自于協(xié)議重組、25來自于報文重組的結論。圖3. 網(wǎng)關分析處理引擎性能消耗分析如何融合分析處理引擎，合并性能消耗關鍵業(yè)務單元成為防火墻產(chǎn)品軟件結構設計首要考慮的問題?；谘芯繑?shù)據(jù)，啟明星辰在天清漢馬USG防火墻的軟件結構設計上引入了一體化的設計理念。即將防火墻、VPN、內(nèi)容過濾和流量管理等各項功能的分析處理引擎進行一體化設計，以達到性能最優(yōu)的目的。天清漢馬USG防火墻本著安全高效原則，采用“檢測與控制相分離，引擎特征相統(tǒng)一”的一體化設計思想：人機界面、報文接收模塊、報文處理模塊、報文發(fā)送模塊和支撐庫。網(wǎng)絡報文首先通過報文接收模塊進行預處理后進入報文處理模塊，在報文處理模塊，防火墻進行23層過濾，VPN負責接入控制；其次模塊匹配引擎和行為分析引擎分別根據(jù)統(tǒng)一特征庫和行為知識庫進行匹配查找；最后，對于合法報文直接交由報文發(fā)送模塊進行報文轉發(fā)，對于非法報文，送交相應的處理引擎進行處理。整個過程的日志信息和數(shù)據(jù)流量信息送集中管理與數(shù)據(jù)分析中心監(jiān)控和備案，管理中心負責整體的配置和調(diào)整。3.4 管理結構優(yōu)秀的管理系統(tǒng)是產(chǎn)品能否有效利用的關鍵，天清漢馬USG防火墻提供了靈活且豐富的管理系統(tǒng)。包括簡潔的單機管理器，也包括適合網(wǎng)關批量部署的分布式的集中統(tǒng)一管理中心；既提供了設備配置管理能力，又提供了強大的數(shù)據(jù)分析能力。產(chǎn)品的管理結構具體如下圖：圖4. 天清漢馬USG管理結構示意圖天清漢馬USG防火墻提供集中管理和單機管理相結合的雙重管理機制。在USG防火墻設備軟件中集成了Web Server和Manage agent功能，Web Server提供本地單機方式的Web管理；Manage agent提供集中管理和數(shù)據(jù)分析中心的信息采集和發(fā)送任務。整個傳輸過程采用SSL加密機制。天清漢馬USG防火墻的雙重管理結構實現(xiàn)了“管理分層，功能分級”的管理思想，一方面USG防火墻設備自身的Web Server提供了單機的Web管理機制，用于進行詳細的功能設置；集中管理功能通過內(nèi)置在USG防火墻設備中的Manage agent獲取系統(tǒng)狀態(tài)信息、流量信息和版本信息，用于進行整體的設備狀態(tài)顯示。同時以分組的方式管理設備，以組為單位進行遠程統(tǒng)一配置、升級等操作，并可以將管理的USG防火墻設備按照一定的規(guī)則進行組織成層次結構，便于用戶邏輯的標識所管理的設備。4 關鍵技術天清漢馬USG防火墻采用了多種專利技術和創(chuàng)新技術，為確保多種安全能力的融合，性能的持續(xù)恒定起到了重要作用。4.1 多核智能駕馭技術新一代的防火墻產(chǎn)品具有3大技術特點：吞吐密集、運算密集、應用層特性匹配密集。這3大特點對硬件平臺提出了極大的挑戰(zhàn)，也正是基于此，防火墻過去飽嘗性能瓶頸之苦。目前，X86平臺常見的多核處理器是4核，而SoC多核平臺已最高可達16核，單從CPU內(nèi)核的數(shù)量上就已經(jīng)高出4倍。不僅如此，Cavium多核芯片專為信息安全產(chǎn)品應用量身內(nèi)置了一系列專用硬件，使得最終構建出的產(chǎn)品在性能、穩(wěn)定性上很易于達到電信級標準。吞吐密集：針對信息安全產(chǎn)品應用特點，Cavium多核CPU設計了高達640Gbps的內(nèi)部總線帶寬，是目前4核 X86CPU最高總線帶寬的6倍，充分保障高性能的可實現(xiàn)。片內(nèi)集成了收發(fā)包模塊，千兆、萬兆等的線速接口器件，與總線直連，充分保障各業(yè)務接口的線速性能和系統(tǒng)并行度，并最大限度的減少CPU在此方面的開銷。不同于X86架構下需要用北橋、內(nèi)存控制器實現(xiàn)內(nèi)存操作，Cavium多核CPU片內(nèi)集成了DDR2/RLDRAM2內(nèi)存控制器，避免了內(nèi)存成為平臺性能的瓶頸。運算密集：Cavium多核CPU可支持高達16個CPU核，每CPU核既可用于處理不同的業(yè)務又可統(tǒng)一調(diào)度協(xié)同運算，共同為運算提供澎湃動力。每CPU核集成了一個專門針對包處理應用特點而開發(fā)的指令集，可通過指令直接進行位域操作、面向字節(jié)的操作等，不必再向X86架構下的多條指令實現(xiàn)一個功能，結合RISC CPU短指令集對于多分支執(zhí)行的優(yōu)勢，設備對于面向包處理的復雜應用層業(yè)務的運算效率提高了2-3倍。雖然SOC多核硬件平臺具備強大的性能優(yōu)勢，但X86平臺屬于通用硬件平臺，具有開發(fā)難度小的優(yōu)勢，而SoC多核平臺屬于專用硬件平臺，駕馭難度相當高。尤其是計算性能的提升，是否能隨核數(shù)的增多而達到線性的增長。這其中需要在多核硬件的基礎上作大量的原創(chuàng)性設計。啟明星辰從2006年開始踏入多核領域，從平臺選型、平臺預研到最終的產(chǎn)品化交付，共經(jīng)歷了兩年半的時間。在此過程中經(jīng)過不斷的摸索與嘗試終攻克了一系列難題，最終成功駕馭了多核計算。4.2 事件關聯(lián)分析技術與歸并處理機制對用戶的多個網(wǎng)絡行為進行關聯(lián)，是提高檢測精度的有效手段。比如一個用戶首先對 服務進行了慢速CGI掃描，服務端反饋的結果證明其運行了可能含有漏洞的某個CGI，之后該用戶又發(fā)送了包含ShellCode的請求，從這兩次行為分別看，每個都不能絕對的將其界定為惡意行為，如果將兩個行為聯(lián)系起來，則基本可以確定該行為的高風險等級。針對大規(guī)模的監(jiān)測系統(tǒng)應用中可能出現(xiàn)一個網(wǎng)絡異常行為在多個監(jiān)測點作為事件報告而形成事件洪流的問題，數(shù)據(jù)關聯(lián)性分析模塊首次提出并采用了基于統(tǒng)計分析的二次事件分析技術，能夠對不同時間、不同地點、不同事件的大量信息進行統(tǒng)一處理，簡潔、準確地報告出正確的網(wǎng)絡安全事件。4.3 高速深層檢測技術n 高精度應用層協(xié)議分析協(xié)議分析是深度檢測必不可少的環(huán)節(jié)，它可以減少特征匹配的計算量，提高匹配精度。但是深度的協(xié)議分析本身也需要相當大的計算量，如何既保證特征匹配和文件還原所需的分析精確度，又不占用過多的資源，是高速環(huán)境下必須面對的課題。我們將主要通過以下兩方面來解決這一問題，1) 基于攻擊研究和特征知識庫選擇分析深度。協(xié)議分析不需要的無限制的精細，否則入侵防御系統(tǒng)將變成一個低效的應用代理系統(tǒng)，協(xié)議分析應該建立在對網(wǎng)絡攻擊研究的基礎上，對特征知識庫中需要的協(xié)議信息進行分析，這點的實現(xiàn)關鍵集中在攻擊研究上，軟件實現(xiàn)中可通過編譯時的條件控制和運行時對特征庫進行掃描設置相應開關完成；2) 高效協(xié)議自識別算法。對于非周知端口的通信，需要通過內(nèi)容識別其所屬的協(xié)議類型。這一內(nèi)容識別的過程類似于攻擊檢測的特征識別過程，可以通過多階段分析和匹配算法的選擇降低計算開銷。n 多模匹配算法選擇由于在一個報文的匹配中，最為耗時的匹配運算是在報文中匹配多個串模式。過去的幾十年中學術界提出了若干的多模匹配算法，并且在工業(yè)界得到了很好的應用，比如AC算法、WM算法在軟件檢測系統(tǒng)中證明了其優(yōu)秀的性能。在以往的多模匹配算法通常是在理論分析的基礎上，在IA32架構和隨機數(shù)據(jù)源上進行實驗選擇，且算法一經(jīng)確定就固化在軟件中。實際這樣得出的算法不能保證在所有的處理器架構和數(shù)據(jù)源條件下都保證是已知算法中最優(yōu)的?，F(xiàn)在在學術界存在多種多串并行匹配的算法，在商業(yè)產(chǎn)品中應用較多有Aho-Corasick、Wu-Manber和ExB算法或它們的變種。根據(jù)研究發(fā)現(xiàn)，所有這些算法的性能分析全部是基于理想的存儲模型，忽略訪存的性能開銷。由于存儲器速度遠低于處理器速度，兩者相差一個數(shù)量級以上，為避免存儲器效能低造成系統(tǒng)整體的效能低下，絕大多數(shù)系統(tǒng)采用多級存儲結構，增加少量的高速緩存隱藏存儲器的性能瓶頸。但是在多串匹配算法中，數(shù)據(jù)結構非常龐大，并且匹配過程中不斷在非連續(xù)的地址間跳轉，此時高速緩存的命中率大幅下降，不考慮訪存開銷顯然已不能反映各算法在實際應用中的效能。實際上不存在一種普適的算法能夠在各種情況下都有最佳表現(xiàn)，同樣的算法可能在不同的數(shù)據(jù)源、特征集、處理器結構上性能相差甚遠。我們將結合具體的硬件（處理器）架構和匹配規(guī)則的分布類型，將其抽象為與匹配算法效能相關的若干關鍵參數(shù)，計算出當前適用的最優(yōu)算法。具體采用動態(tài)和靜態(tài)兩種方式實現(xiàn)自適應選擇。如下圖，圖5. 自適應示意圖靜態(tài)自適應在系統(tǒng)初始化時進行，統(tǒng)計各協(xié)議變量特征及相關匹配模式特征，結合備選多模式匹配算法的性能特征，為規(guī)則匹配樹節(jié)點選擇最優(yōu)的多模式匹配算法?？刂茀?shù)包括處理器類型、主頻、Cache Line長度、L2Cache容量、存儲器時延、最短模式長度、次短模式長度、模式數(shù)量、模式字符集大小、同前綴模式數(shù)量等等。動態(tài)自適應在系統(tǒng)運行過程中采樣統(tǒng)計影響算法效率的網(wǎng)絡數(shù)據(jù)，如果統(tǒng)計值顯示當前網(wǎng)絡數(shù)據(jù)趨勢穩(wěn)定，則進行動態(tài)算法選擇，確定是否有大幅超過當前算法效率的算法模塊存在，并進行調(diào)用。n 最優(yōu)規(guī)則樹特征匹配的過程不僅包括串匹配，還有對諸如地址、端口、協(xié)議類型等等許多協(xié)議字段的匹配。為了方便，我們將多個協(xié)議字段構成的模式稱為多數(shù)據(jù)類型模式，與上面提到的串模式進行區(qū)分，串模式可以認為是多數(shù)據(jù)類型模式的一個子集。在以往的工作中，我們受AC算法的啟發(fā)，將其擴展到多數(shù)據(jù)類型模式匹配，即將多個模式中的相同協(xié)議字段歸并，構建一個或多個樹型模式結構，達到一次匹配多個模式的目的。與串匹配不同的是，多數(shù)據(jù)類型模式中，每種數(shù)據(jù)類型的單次匹配開銷是不同的，在實際運行中的命中幾率也是不同的。同樣是樹型數(shù)據(jù)結構，其最佳效率和最差效率相差可能在一個數(shù)量級以上，如果能將低命中率、低匹配開銷的工作盡可能提前，將會接近最佳的匹配效率。4.4 智能內(nèi)容過濾技術內(nèi)容分析子系統(tǒng)要充分發(fā)揮當前處理器所具備的多核能力。一個大的原則就是數(shù)據(jù)交換過程中盡量避免核間和核內(nèi)的臨界鎖以及字符串拷貝，所以數(shù)據(jù)的生產(chǎn)者和消費者應該使用一個大的緩沖區(qū)來交換數(shù)據(jù)。傳統(tǒng)的做法就是把這個緩沖區(qū)變成一個環(huán)形隊列，捕包程序和協(xié)議棧程序分別持有一個寫指針和讀指針，只要兩個指針不互相超越就可以。在協(xié)議棧單線程的情況下這種方法沒有問題，但是在多核以及SMP情況下，為了充分發(fā)揮硬件的計算能力，必須把內(nèi)容分析過濾子系統(tǒng)多線程化（并行化）。但是上述數(shù)據(jù)交換方式在內(nèi)容分析多線程的情況下就出現(xiàn)了問題。當協(xié)議棧多線程的時候，必須使用專門的線程實現(xiàn)捕包程序捕獲的數(shù)據(jù)包的分發(fā)，也就是把數(shù)據(jù)包分發(fā)到相應的線程進行處理。這樣問題也就出現(xiàn)了：那個環(huán)形緩沖區(qū)的讀指針不再正確。這是因為，為了避免拷貝操作，分發(fā)線程并沒有將捕包程序捕獲的數(shù)據(jù)進行拷貝以后再分發(fā)，而是直接對其指針進行操作，在這種情況下，分發(fā)程序是不知道協(xié)議棧什么時候能夠分析完成并釋放緩沖區(qū)的，因而分發(fā)程序不可以直接簡單增加環(huán)形隊列的讀指針來申明當前緩沖區(qū)以消費完成，可以寫入新的數(shù)據(jù)。又由于協(xié)議棧分析時多線程同時進行，沒有辦法確定每一數(shù)據(jù)包分析完成的時間，這樣很難確定環(huán)形緩沖區(qū)的讀指針了。為此，天清漢馬USG防火墻采用了如下的解決方法：依然遵循數(shù)據(jù)交換的大原則，依然采用大的緩沖區(qū)來交換數(shù)據(jù)，但是對緩沖區(qū)的形式作一個變換。最初定義的是直接在緩沖區(qū)上定義讀寫指針將緩沖區(qū)當成環(huán)形隊列使用，現(xiàn)在不同是緩沖區(qū)不再是一個環(huán)形隊列，而被分成了獨立的兩部分：空閑緩沖區(qū)隊列和已使用緩沖區(qū)隊列。注意這里提到的兩個緩沖區(qū)不是具體的數(shù)據(jù)緩沖區(qū)，而是保存數(shù)據(jù)緩沖區(qū)數(shù)據(jù)單元指針的指針列表。捕包程序在捕獲一個數(shù)據(jù)包之前，從空閑緩沖區(qū)隊列的頭部取下一個空的存儲單元（為了提高訪問速度，采用內(nèi)存邊界對齊的數(shù)據(jù)單元，比如說2k字節(jié)一個單元），將從網(wǎng)卡讀入的數(shù)據(jù)拷貝到這個緩沖區(qū)以后，捕包程序將這個緩沖單元掛到已使用緩沖隊列的尾部。分析線程在從緩沖區(qū)取數(shù)據(jù)的時候從已使用緩沖隊列的頭部取下一個數(shù)據(jù)單元進行消費，消費完成以后直接將這個數(shù)據(jù)單元掛到待發(fā)送緩沖區(qū)隊列就可以了，這樣既避免的鎖定，也避免了內(nèi)存拷貝。而且可以充分利用緩沖區(qū)的空間。上述過程構成了本方案的多目標分發(fā)機制?；诙嗄繕朔职l(fā)的多線程連接級并行的內(nèi)容分析子系統(tǒng)本質上是同時運行多個邏輯上獨立的并行內(nèi)容分析協(xié)議棧，結構框如圖示。圖6. 并行內(nèi)容分析協(xié)議棧并行協(xié)議棧通過一個數(shù)據(jù)分發(fā)器將捕包系統(tǒng)捕獲的網(wǎng)絡數(shù)據(jù)包按照IP包首的源地址和目的地址對分發(fā)到相應的線程進行處理，并通過一個發(fā)送單元收集器完成數(shù)據(jù)單元的發(fā)送，數(shù)據(jù)發(fā)送完畢以后將發(fā)送單元占用的數(shù)據(jù)單元返回給空閑存儲單元隊列供數(shù)據(jù)捕獲系統(tǒng)使用，讓捕包系統(tǒng)重復利用這些單元，實現(xiàn)捕包到分析的零拷貝過程。每一個內(nèi)容分析線程均有一個私有的協(xié)議棧狀態(tài)表和兩個數(shù)據(jù)隊列索引，其中協(xié)議棧狀態(tài)表是協(xié)議棧在進行IP協(xié)議、TCP協(xié)議已經(jīng)上層應用協(xié)議還原的時候用來保存上下文信息和暫存數(shù)據(jù)使用，而兩個數(shù)據(jù)隊列索引則分別用來存儲待分析的數(shù)據(jù)塊和已分析塊。這樣，任何一個協(xié)議棧線程在進行數(shù)據(jù)操作的時候都不會和其他協(xié)議棧線程共享數(shù)據(jù)塊，避免協(xié)分析線程間的臨界鎖，提供整個系統(tǒng)的計算吞吐量。此處的多目標分發(fā)機制具有如下特點：l 實現(xiàn)了內(nèi)容分析子模塊從數(shù)據(jù)分析過濾的零拷貝過程l 避免了核間和核內(nèi)的臨界鎖，極大的提高了內(nèi)容分析子系統(tǒng)的計算資源利用率4.5 數(shù)據(jù)監(jiān)控NetFlow技術在對網(wǎng)絡數(shù)據(jù)進行分析統(tǒng)計方面，NetFlow是一項關鍵技術，它能根據(jù)客戶的要求總結流量統(tǒng)計數(shù)據(jù)，而這些數(shù)據(jù)對網(wǎng)絡安全的管理、規(guī)劃是非常有用的。它的價值在于：u 無需探針（probe）就能進行IP流量的流分析，而且對設備的性能影響很?。籾 提供極為豐富和寶貴的數(shù)據(jù)，這些數(shù)據(jù)可用于網(wǎng)絡安全的管理和規(guī)劃；u 將網(wǎng)絡中的數(shù)據(jù)包識別為網(wǎng)絡流的形式，從而無需再單獨處理每個數(shù)據(jù)包，僅僅處理網(wǎng)絡流中的第一個包即可。后面的包都作為該網(wǎng)絡流的一部分。這種流線型的包處理方式提高了網(wǎng)絡服務的能力。NetFlow系統(tǒng)由流采集器、流收集器、NetFlow數(shù)據(jù)分析器三個部分組成，由于流采集器僅僅采集IP數(shù)據(jù)流的統(tǒng)計信息，更深入的分析由NetFlow數(shù)據(jù)分析器來完成，所以在網(wǎng)絡上啟用流采集功能后，對設備轉發(fā)數(shù)據(jù)包的性能影響不大，在網(wǎng)絡流量較大時，流采集器也能正常工作。例如啟明星辰的天清漢馬USG防火墻支持流采集器的功能，而安全管理平臺則集成了流收集器和NetFlow數(shù)據(jù)分析器的功能，因此，利用啟明星辰的天清漢馬USG防火墻和安全管理平臺，就能構建一個完整的NetFlow系統(tǒng)（以下簡稱“啟明星辰NetFlow系統(tǒng)”）。天清漢馬USG防火墻輸出報文主要由兩部分組成：報頭和Flowset。Flowset是輸出報文中緊隨報頭的部分，包含著收集器必須解析和翻譯的信息。 Flowset有兩種類型：模版Flowset和數(shù)據(jù)Flowset。模版Flowset描述了數(shù)據(jù)Flowset中使用的字段。每個數(shù)據(jù)Flowset則包含了一個或多個流的統(tǒng)計數(shù)據(jù)。當一個NetFlow收集器接收到一個模版Flowset，它會存儲這個Flowset和輸出源地址，這樣當它收到后繼的數(shù)據(jù)Flowset時，如果數(shù)據(jù)Flowset對應于此模版Flowset ID和源地址，那么它就能根據(jù)此模版Flowset定義的字段解析出這些數(shù)據(jù)。圖7. 數(shù)據(jù)字段分析圖上圖最左邊是輸出報文的結構框架，右邊則詳細描述了各部分的內(nèi)容（通過不同顏色來標識）。不難看出，NetFlow輸出報文中包含許多有價值的流量統(tǒng)計數(shù)據(jù)，這些流信息充分揭示了有關網(wǎng)絡使用的“4W”問題：Which：哪一個用戶（IP）使用了網(wǎng)絡？What：網(wǎng)絡流量的類型是什么？When：在什么時間使用網(wǎng)絡，使用了多長時間？Where：網(wǎng)絡流量流向何處？利用NetFlow數(shù)據(jù)分析器對這些數(shù)據(jù)進行統(tǒng)計分析，就能從中提取出網(wǎng)絡流量特征，從而為網(wǎng)絡管理員提供一張豐富而詳盡的網(wǎng)絡利用視圖，為做網(wǎng)絡安全管理與規(guī)劃提供了事實依據(jù)。4.6 非法連接過濾技術將系統(tǒng)獲取的網(wǎng)絡數(shù)據(jù)按標準的以太數(shù)據(jù)結構、IP數(shù)據(jù)結構、TCP/UDP數(shù)據(jù)結構，并進行TCP的會話查找，每條會話相對應源和目的MAC地址、源和目的IP地址、源和目的端口地址、連接次數(shù)等。將上述所獲的網(wǎng)絡連接信息放入網(wǎng)絡連接知識庫中，該緩沖區(qū)按照索引標識、源和目的地址進行合并存放，即相同的源和目的地址將該連接的發(fā)生次數(shù)進行累計計算。當某一連接被釋放，主動要求釋放連接的一端發(fā)送TCP FIN數(shù)據(jù)包，監(jiān)視整個連接的釋放過程，如釋放正常完成，在知識庫中找到相對應的TCP會話，將連接發(fā)生的次數(shù)減1。這樣可以始終保證知識庫中存放的是發(fā)生頻率最高的連接。該算法會以1秒鐘為單位時間，進行流量的統(tǒng)計，如果上1秒鐘的流量大于事先約定的閥值，那么立即進入流量識別模式，如果連接請求可以在知識庫搜索到，則直接放行，并記錄放行的數(shù)據(jù)包數(shù)，否則以上1秒鐘的流量作為樣本，計算放行的概率。作為拒絕服務攻擊的主要手段SYN Flood攻擊效果尤為顯著，通常SYN Flood的防范方式為應用SYN Cookie機制。它的原理是:在TCP服務器收到TCP SYN包時，不分配一個專門的數(shù)據(jù)區(qū)，而是根據(jù)這個SYN包計算出一個cookie值，并加載在所回應的SYN/ACK包中，在收到TCP ACK包時，TCP服務器在根據(jù)那個cookie值檢查這個TCP ACK包的合法性。如果合法，再分配專門的數(shù)據(jù)區(qū)進行處理未來的TCP連接。5 典型組網(wǎng)5.1 政府行業(yè)5.1.1 電子政務網(wǎng)電子政務網(wǎng)是各級政府為了加強信息化建設，通過互聯(lián)網(wǎng)或者租用專線的方式把下屬委、辦、局以及下一級政府單位的局域網(wǎng)進行互聯(lián)的網(wǎng)絡。不同地區(qū)電子政務網(wǎng)在組網(wǎng)模式和建設思路上存在一定的差異化，但總體的網(wǎng)絡結構如下：圖8. 電子政務網(wǎng)總體結構圖電子政務網(wǎng)分為內(nèi)網(wǎng)和外網(wǎng)。天清漢馬USG防火墻部署在各單位與外單位互聯(lián)的出口，防止來自其他單位的入侵攻擊等威脅，同時對電子政務內(nèi)網(wǎng)用戶相互間訪問進行控制與日志審計，可有效檢測和控制內(nèi)部員工越權行為，并向管理員發(fā)出告警。電子政務外網(wǎng)在建設模型上與內(nèi)網(wǎng)相似，多數(shù)也是采用專線或裸光纖的方式建網(wǎng)，外網(wǎng)與Internet邏輯隔離。天清漢馬USG防火墻部署在各單位與互聯(lián)網(wǎng)的出口，用于防止來自互聯(lián)網(wǎng)的入侵威脅，并且可以作為邊緣接入路由器部署。天清漢馬USG提供統(tǒng)一管理平臺，可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設備，并提供詳盡直觀的報表，能夠讓管理員迅速了解到整個網(wǎng)絡的存在的安全風險和趨勢，為決定如何制定安全策略提供依據(jù)。5.1.2 政府專網(wǎng)政府專網(wǎng)是各部委與下屬單位信息互聯(lián)的網(wǎng)絡。政府專網(wǎng)全部采用專線或裸光纖的方式構建。專網(wǎng)的安全系統(tǒng)一般采用下級信任上級的方式來建設，即只需要考慮上級單位對下級單位訪問的安全防護。專網(wǎng)系統(tǒng)一般來說，只在一級單位設互聯(lián)網(wǎng)出口，各下屬單位的互聯(lián)網(wǎng)訪問都從總部出口。在互聯(lián)網(wǎng)出口部署USG防火墻設備能夠對所有從互聯(lián)網(wǎng)的進出的流量進行過濾，防止來之互聯(lián)網(wǎng)的入侵，并且對專網(wǎng)內(nèi)用戶訪問互聯(lián)網(wǎng)的內(nèi)容進行過濾和審計。在每個政府單位和下級單位的接口部署USG防火墻設備，可以有效防范來自下級單位的越權訪問和惡意攻擊。天清漢馬同時可以作為邊緣路由器接入網(wǎng)絡。天清漢馬USG防火墻提供統(tǒng)一管理平臺，可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設備，并提供詳盡直觀的報表，能夠讓管理員迅速了解到整個網(wǎng)絡的存在的安全風險和趨勢，為決定如何制定安全策略提供依據(jù)。圖9. 政府專網(wǎng)結構示意圖5.2 教育行業(yè)5.2.1 高教校園網(wǎng)高校校園網(wǎng)出口一般會和多個ISP互聯(lián)，同時和CERNET互聯(lián)。USG防火墻設備部署在高校網(wǎng)絡出口，可以抵御來自互聯(lián)網(wǎng)的威脅，保護DMZ區(qū)服務器免受攻擊，以及學生對學校重要服務器的攻擊。同時，開啟策略路由功能，網(wǎng)絡流量進行分流處理。對于高校出口帶寬占用率一直高居不下是一直困擾網(wǎng)管人員的問題，天清漢馬USG防火墻可以提供完整的帶寬管理解決方案。天清漢馬USG防火墻通過Netflow功能對網(wǎng)絡出口的流量進行統(tǒng)計，分析帶寬使用趨勢，同時對帶寬占用較大的P2P流量進行限制和封鎖，讓校園網(wǎng)出口的帶寬得到充分的利用。 對于校園網(wǎng)內(nèi)的各學生宿舍、圖書館、教學樓等單位，與學校網(wǎng)絡中心的接口通過透明模式接入天清漢馬USG防火墻，同時開啟網(wǎng)頁內(nèi)容過濾功能，防止學生訪問不良網(wǎng)站。圖10. 高教校園網(wǎng)結構示意圖5.2.2 中/基教教育城域網(wǎng)中基市場中，連接Internet通常有兩種方式，一種為通過ISP與 Internet直接連接，另外一種為通過教育城域網(wǎng)與Internet統(tǒng)一連接。對于前者，學校通常在網(wǎng)絡出口處部署一臺USG防火墻設備，防御來自互聯(lián)網(wǎng)的攻擊，同時開啟Web內(nèi)容過濾功能，防止學生利用利用網(wǎng)絡瀏覽不良網(wǎng)站。對于后者，只需要在地區(qū)教委的Internet出口部署USG防火墻設備既可以防御來自互聯(lián)網(wǎng)的威脅，又可以做到對所轄區(qū)域學校訪問互聯(lián)網(wǎng)的流量進行統(tǒng)一管理，統(tǒng)一過濾各學校訪問不良網(wǎng)站的流量。圖11. 中/基教校園網(wǎng)結構示意圖5.3 企業(yè)市場5.3.1 中小企業(yè)在全國范圍內(nèi)擁有分支機構的中小企業(yè)網(wǎng)絡，大都通過互聯(lián)網(wǎng)來實現(xiàn)總部與分支機構的互聯(lián)互通。圖12. 中小企業(yè)網(wǎng)絡結構示意圖部署USG防火墻設備讓中小企業(yè)用戶可以在一個統(tǒng)一的架構上建立自己的安全基礎設施，而以往困擾用戶的安全產(chǎn)品協(xié)調(diào)性、資金和技術匱乏和缺乏中小企業(yè)級安全解決方案等問題也能夠得到完全解決。USG防火墻設備產(chǎn)品部署在總部和分支機構網(wǎng)絡Internet出口，抵御來自互聯(lián)網(wǎng)攻擊威脅。同時可作為VPN網(wǎng)關，各分支機構與總部之間開啟VPN隧道，保證相互間通信的保密性。SOHO員工和在外出差的員工可以在任何時候通過VPN客戶端與總部的天清漢馬USG防火墻建立VPN隧道，訪問公司內(nèi)部的資源，實現(xiàn)高效安全的網(wǎng)絡應用。5.3.2 大型企業(yè)對于大型企業(yè)，網(wǎng)絡規(guī)模較大、用戶數(shù)量多、業(yè)務系統(tǒng)較多，網(wǎng)絡建設類似于城域網(wǎng)。在安全建設方面也存在多點建設，除去在集團總部的互聯(lián)網(wǎng)出口需要安全防控外，各下屬單位也有安全防護需求。圖13. 大型企業(yè)網(wǎng)絡結構示意圖在總部互聯(lián)網(wǎng)出口部署的天清漢馬USG防火墻能夠抵御來自互聯(lián)網(wǎng)的入侵攻擊，同時為出差員工提供VPN接入，確保通信的保密性。在各單位出口部署USG防火墻設備，可以有效控制不同部門之間的越權訪問。天清漢馬USG防火墻提供統(tǒng)一管理平臺，可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設備，并提供詳盡直觀的報表，能夠讓管理員迅速了解到整個網(wǎng)絡的存在的安全風險和趨勢，為決定如何制定安全策略提供依據(jù)。