logo 基于ipv6的硬件防火墙设计汇报人.ppt

Company name LOGO 基于IPv6的硬件防火墙设计 汇报人：芦世雄 硬件防火墙研究背景 网络发展现状： 网络带宽迅速增长（处理器增速符合摩尔定律，18个月增长一倍，网络带宽增速符合gilder规则，每9-12个月增长一倍） 网络安全问题层出不穷（根据公安部公共信息网络安全监察局2007年的数据，65.7%的被调查单位发生过信息网络安全事件，因此网络安全领域的研究非常重要） IPv6正式启用（国际互联网协会宣布，全球主要互联网服务提供商、家庭网络设备制造商以及互联网公司于今年6月6日正式启用IPv6服务及产品。） 硬件防火墙研究背景 国家下一代互联网发展战略： 国务院：重点研发下一代互联网关键芯片、软件、设备和系统，加快产业化及现网装备—2011.12.23 我国正制定IPv6过渡期防火墙设备规范行业标准 防火墙分类： 包过滤防火墙（根据源地址、目的地址、端口号和协议类型进行过滤，速度快，只能进行初步的安全控制，对于复杂的攻击及病毒无能为力） 代理防火墙（安全性好，工作在应用层，主机上的每个应用程序都需要防火墙上有相应的软件支持，需要重新建立连接，速度低，应用范围窄） 状态检测防火墙（不仅对当前包进行检测，还考虑之前的包的状态，效率高） 防火墙实现机制 基于软件的实现机制： 基于OpenBSD UNIX的实现 基于Windows平台的实现 基于硬件的实现机制： ASIC FPGA NP ARM 性能（单向千兆环境） 代表厂商/单位 通用CPU 150M 天融信、联想等大多数国产厂商 ASIC 1000M 思科、Juniper网屏等国外公司 网络处理器（NP） 600M Intel、海信、天融信、电子科大 FPGA 1000M 长沙博华、中科院计算所 TCP/IP模型 应用层：Telnet、FTP、HTTP、SMTP 传输层：TCP、UDP 网络层：IP、ICMPv6 数据链路层 物理层 网卡 CPU ARM/x86 优点： 设计难度比较低，使用linux、windows自带的软件防火墙 面向低预算市场设计的防火墙，主要是国内的小的厂商在做 比较灵活，过滤规则易于更新； 缺点： 性能有限，不能实现高速的防火墙 ASIC 优点： 算法固化在硬件中，性能优越； 内嵌多个RISC处理器，可并行执行各种应用； 设计专门的数据处理流水线、优化存储器等资源的利用等。 缺点： 技术开发成本高 开发周期长 难度较大 风险高 NP 优点： 内含多个数据处理引擎，可并行处理数据； 快、慢通道，高性能，功能丰富 Intel IXP2400、IXP2800、IXP2850（750美元） 缺点：微代码开发复杂，资源有限。 FPGA 优点： 由存放在片内RAM中的程序来设置其工作状态，使用非常灵活； 支持每秒几千兆位的并行或串行的接口，适合于数据连结、传输管理和交换结构接口； 缺点： 在线更新策略规则困难。 基于FPGA硬件防火墙第一步方案 IP数据包 IPv6协议解析 安全 过滤规则： IP地址、 服务端口、 简单的数据挖掘 规则的表述 DES模块 LCD显示 显示拦截数目 硬件防火墙下一步方案 IPv6协议解析 高速过滤引擎 高速过滤引擎 高速过滤引擎 ARM9/Nios II内核 异常包的处理 状态检测连接的建立与维护 过滤规则的更新 初始化防火墙的配置 防火墙设置界面的实现 快速通道 慢速通道 CAM Wu-Manber算法 谢 谢 ！ 随着全球化、信息化的迅猛发展，网络带宽的增长和网络安全问题的层出不穷，对网络数据包的处理性能提出了新的要求。 防火墙作为一种网络和系统之间强制实行访问控制的机制，是确保网络安全的重要手段。防火墙最基本、最核心的技术是包过滤技术，它通过控制进出网络 的数据流量控制网络安全。随着网络用户的日益增多及新业务的不断推出，网络带宽的增长态势对网络处理能力提出了一个新的要求。对于新一代支持IPv6的防火墙产品，其转发能力要有明显的提高，对性能的要求也上升到一个前所未有的高度。 * 基于 OpenBSD UNIX 的实现： 该方案是Steven等人设计的原型。该系统是在OpenBSD UNIX操作系统上修改内核并利用KeyNote、IPSec等技术加以实现。OpenBSD是理想的安全应用开发的平台，因为它有一体化的安全特性和开发库（IPSec栈、KeyNote、SSL等）。该原型系统（主机部分）包括三个组件：①内核扩展程序，用于实施安全机制；②用户层后台处理程序，用于执行分布式防火墙策略；③设备驱动程序，为内核和策略后台程序之间的双向通信提供接口。 基于 Windows 平台的实现： CyberWallPLUS是Network-1（美国瑞安）公司提