一种基于NP的深度检测防火墙新架构 An Novel Architecture of Deep Inspection Firewall Based on NP.pdfVIP

第23卷第4期 电 力 学 报 Vol·23No·4 OFEI，ECTRICPOWER 2008年8月 JOURNAL Aug．2008 文章编号l 1005—6548(2008)04．0314002 一种基于NP的深度检测防火墙新架构 王晓雯，尹少平 (山西大学工程学院，太原030013) 摘 要：深度检测防火墙(DIF)就是一种有效的解决网络供给方案。简-．Jt-讨论了DIF的特性的 基础上，通过分析DIF检测技术实现的处理要求，首先介绍并评估了一种基于ASlC的DIF架构 的设计机理及漏洞，作为改进，设计了一种基于NP的DrF新架构。理论分析说明基于NP的架构 在性能、灵活性和扩展能力方面更有优势，有利于DIF技术的进一步完善。 关键词：深度检测防火墙#入侵检测系统；串连模式，网络处理器#专用集成电路 中图分类号：TP309 文献标识码：A 今天的网管人员越来越关心网络的深度防御，以 等几个方面。要设计具有高可用性的DIF在技术上 应对蠕虫、特洛伊木马、邮件病毒和利用系统脆弱性的 需要面对很大的挑战。DIF的负荷主要是由它的深 攻击。深度检测防火墙(DIF)就是一种有效的解决方度检测功能所决定的，因为DIF不仅仅是检测数据 案。不像传统防火墙，DIF不仅要检测数据包头，还要 包头还要检测包的内容，必然是一个潜在的网络瓶 检测高层协议的数据包内容。对DIF而言要实现各种 颈，会增加数据包延迟，降低网络的效率。DIF必须 类型的检测技术就需要很高的处理能力。 与大容量的网络流量保持同步，尤其是当加载了数 量庞大的检测特征库时，设计不够完善的DIF无法 1 DIF功能特性 支持这种响应速度。误报率和漏报率也需要DIF认 DIF是为网络安全提供了一种新的解决方案。 真面对。在繁忙的网络当中，如果以每秒需要处理十 DIF是一种深入应用层进行主动积极的入侵检测防 条警报信息来计算，DIFlh至少需要处理36000条 范系统，它部署在网络的进出口处，当检测到攻击企 警报，一天就是864000条。如果系统的处理速度不 图后，它会自动地将攻击包丢掉或采取措施将攻击 够，就可能导致合法流量也被意外拦截。绝大多数高 源阻断。这样，在新漏洞出现后，只需要撰写一个过 端DIF产品供应商都通过使用自定义硬件平台，一 滤规则，就可以防止此类攻击的威胁，为那些未添加 般是网络处理器NP和专用集成电路ASIC芯片来 补丁或配置不当的服务器提供保护。 提高DIF的运行效率[1]。而在选择高性能硬件平台 的基础上，也要精心设计DIF的框架结构，这对改 DIF必备功能可以归纳为以下几方面[1]：(1)深 度包检测。DIF能够从网络层到应用层全面检测数 进DIF性能同样至关重要。 据包内容，从而能够检测到隐藏在应用层中的恶意 3基于ASIC的DIF架构 攻击代码。(2)串连模式。DIF必须串连安装在两个 网络的连接通道上，所有进出的数据包都要经过 基于ASIC的DIF架构[1]原理如图1所示。 DIF的检测，(3)实时检测。(4)主动防御。当以实时DIF数据包处理引擎是专业化定制的大规模并 深度检测到恶意攻击后直接阻断此连接。(5)线速 行处理集成电路ASIC。DIF设备利用过滤器对数据 运行。DIF有极高的执行效率。 流中的全部内容进行检查。所有数据包都被分类，每