基于网络处理器高速深度检测防火墙的研究及设计.pdf

基于网络处理器高速深度检测防火墙的研究与设计 1,2 1,2 周 鹏 ，郑康锋 （1. 北京邮电大学信息安全中心，北京 100876； 2. 北京邮电大学灾备技术国家工程实验室， 北京 100876） 摘要：深度检测防火墙是当前应对复杂网络攻击的一种新的有效机制。针对基于x86 平台和基于ASIC 平台的两 种传统防火墙开发模型存在着固有的弊端，本文利用网络处理器NFP3200 支持异构平台，提出一种基于网络处理 器的深度检测防火墙的体系设计，在该体系结构下可以实现数据包深层检测和高速过滤异构并行，一方面性能上 满足高速网络，能够快速处理过滤网络数据包，另一方面功能上能够实现数据包的深层检测，在纵深防御上提高 了灵活性和扩展性，满足当前安全产品的高性能和灵活性的需求。 关键字：信息安全；网络处理器；深度包检测；入侵检测；防火墙 Research and Design of the High-speed Deep Inspection Firewall Based on Network Processor ZHOU Peng1,2, ZHENG Kangfeng1,2 (1. Information Security Center, Beijing University of Posts and Telecommunications, Beijing 100876, China; 2. National Engineering Laboratory for Disaster Backup and Recovery, Beijing University of Posts and Telecommunications, Beijing 100876, China) Abstract: Deep Inspection Firewall is a new effective mechanism for complex network attacks. Because of the inherent drawbacks of two traditional development models that X86-based platforms and ASIC-based platform, this paper present a Deep Inspection Firewall system design based on network processor which supports heterogeneous platforms. This architecture enables deep packet inspection and high-speed filtering heterogeneous parallel. On the one hand to meet the high-speed network performance to quickly filter network packets, on the other functions can be achieved on the deep packet inspection, improving the flexibility and scalability. Keywords: information security, network processor, DPI, IDS, firewall 1 引言 近年来，随着网络安全形式的日益严峻，传统防火墙从包过滤防火墙到应用网关防火墙再到状态检测 防火墙，由于自身固有的缺陷，越来越不能满足用户对于安全性的不断要求。深度检测防火墙有效的将状 基金项目：中央高校基本科研业务费专项资金资助(the Fundamental