【基于多核MIPS64芯片的综合安全网关设计与实现】连载三:

( 4) 可优化整合的模块化软件子系统
面向下一代网络的高速安全网关的优势不仅仅体现在高速高效上, 而且表现在功能和应用的多样性上。随着网络应用的不断发展, 网络安全威胁也已经完全由单一方面的威胁转向多方面的综合威胁, 因此作为安全系统, 势必不能走单一功能的发展道路, 而必须在MIPS64 安全处理先进的硬件体系的基础上, 配以强大的安全软件引擎, 实现对全网的"一揽子"安全防护。

1

如图7 所示, 从下向上的层次看, 功能模块、资源调度管理模块、OS 模块等几大部分已经是非常成熟,在此基础上, 目前只需将整个系统迁移到MIPS64 安全处理类型Cavium OCTEON 处理器件平台。而Cavium OCTEON 的指令集是标准的, 因此迁移起来整个软件体系并不需要彻底重新编写代码, 而只需在现有的成功基础上完成针对性和兼容性工作。

2

5 基于MIPS64 的高速安全网关功能实现设计

功能设计目的是适应下一代高速网络的安全需要, 为各种规模网络提供一个全方位的硬件防护解决方案, 实现在大吞吐量环境下, 高速实现防火墙、IPS、内容过滤、病毒过滤、垃圾邮件过滤、机密信息过滤和VPN 等多项功能应用。

各模块的公用技术架构如图8 所示。

3

信息采集部分: 负责对数据包等来自网络层的基本信息进行收集。它与后级的分析调度和模式匹配实际上是不可分的, 这里单独分列, 主要是出于逻辑结构的明晰性需要。

分析调度部分: 根据收集到的信息, 进行前期分析并将之分类, 以便与不同的功能模块相对应地进行进一步处理。分析调度过程[ 4] 是多功能安全产品( 或称UT M) 区别于单一功能安全产品的关键特性之一, 由系统的软件和硬件就不须对来源数据进行100%完全的模式匹配, 而只需根据收集到的数据集的特征, 将它按一定规则进行分类处理。

模式匹配( Pat tern Matching ) [ 5] 部分: 多功能高速网关的模式匹配一方面有诸如CaviumOCTEON31xx30xx 系列高速处理器件的支持, 另一方面通过前级的分析调度处理, 其模式匹配操作在整个系统的规则库中并非需要100% 完全匹配[ 6] ,而是在分析调度系统指挥下只匹配与之相关的规则。因此其资源占用上远非完全匹配所能比, 而效果丝毫不打折扣。

如果与启发式检索( Heurist ics) 和模拟识别( Emulat ion) 技术相结合, 则可进一步保证安全检测引擎能够对新的、未知的、伪装的、变形的多态型网络行为有非常准确的检出能力。模拟识别的相关指令可内嵌在CAVIUM OCTEON 芯片硬件架构以内, 检测速度极快; 同时内嵌的协议模拟器是由硬件完成并运行在特定的内存空间, 因此即使是真正的网络行为, 在模拟器里接受其攻击不会导致对受保护网络的真正威胁。动作响应部分: 根据前级的分析和匹配结果, 确定对当前的网络请求或数据流作出某种响应。

6 结束语
基于MIPS64 安全处理的高速安全网关能够充分利用MIPS64 的硬件特性, 结合科学合理的构架设计, 实现高速率、高速度二者兼顾的高效处理, 从而支持更多的安全功能, 在解决多途径安全威胁的产品设计上提出了一种良好的解决方案。

参考文献:
[ 1] 北京市金典永恒公关顾问有限公司. Cavium OCTEON多核MIPS64 网络服务处理器为企业提供完整的服务和安全性能[ J] . 计算机安全, 2006( 4) : 62.

--电子创新网--
粤ICP备12070055号