基于IXP2800和VxWorks嵌入式病毒防火墙实现.docVIP

基于IXP2800和VxWorks嵌入式病毒防火墙实现 　　摘要：针对隐蔽在网络流量中的攻击，提出了基于Intel IXP2800网络处理器和VxWorks的嵌入式病毒防火墙（embedded anti－virus firewall）实现方案。该方案将硬件包过滤技术与应用层病毒实时防护相结合，底层数据包的实时响应、过滤转发等处理均由IXP2800的微引擎完成，而使XSCALE主处理器更专注于高层协议的病毒扫描过滤。实验数据表明，这种实现方案运行稳定，具有良好的性能指标。 　　关键词：嵌入式病毒防火墙； IXP2800； 硬件包过滤； 病毒防护 　　中图分类号：TP309.5文献标志码：A文章编号：1001-3695(2008)05-1560-03 　　 　　0引言?? 　　 　　随着互联网的发展和攻击者工具与手法的升级，如何保障内部网络计算机的安全性，是当前极其热点的问题。包过滤防火墙是用于保障内网安全的关键设备，它部署在网络层，可以禁止外部用户对内部网络的非法访问。然而，包过滤技术是一种基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意Java小程序以及电子邮件中附带的病毒。?? 　　对于隐蔽在网络流量中的攻击，国内的防火墙产品主要有x86架构和ASIC架构两种解决方案。基于x86平台开发的防火墙普遍采用“Intel x86+工控机+安全处理专用程序”的体系结构[1]，存在软件处理效率低、实时性能低下等缺点。而采用ASIC专用芯片的硬件防火墙，虽然性能得到了提升，却面临着灵活性差、开发周期长、费用高等问题。?? 　　针对目前国内防火墙设备存在的不足，同时综合考虑整个安全体系的功能协调性，本文设计并实现了一种基于IXP2800网络处理器和VxWorks实时操作系统的复合型嵌入式病毒防火墙方案。IXP2800网络处理器是专为网络数据处理而设计的芯片。对比x86通用处理器和ASIC，IXP2800既继承了x86的灵活性，又提供了类似ASIC的高速数据包处理能力，同时具有高度扩展性、研发成本低和研发周期短等优点。VxWorks是美国WindRiver公司设计开发的一种嵌入式实时操作系统(RTOS)，具有良好的持续发展能力、可裁减性和高可靠性，并且包含有高度优化、性能强大的IPv4/IPv6的双协议栈，适用于高带宽、高要求的网络设备。?? 　　本文提出的病毒防火墙采用上述实时嵌入式体系架构，综合了硬件包过滤技术和病毒防护、内容过滤等应用层服务措施，使其具备x86的灵活性和ASIC的高性能双重优点，体现了网络与信息安全的新理念。 　　 　　1系统整体结构?? 　　 　　系统整体结构如图1所示。 　　嵌入式病毒防火墙设计的核心思想是多级网络处理任务的独立协同工作，即利用IXP2800的ME层(micro engine，微引擎)与XScale层两层处理机制对病毒防火墙的网络处理任务进行划分。其中，ME层实现数据包的实时处理和响应，包括数据包的接收、转发以及包过滤等实时性要求高的数据处理操作。而对于病毒扫描过滤、过滤规则库及病毒特征库的配置管理等处理复杂、变化灵活的任务则交由XScale层完成。ME层和XScale层通过虚拟网卡驱动(virtual network driver)进行网络数据交互。?? 　　通过这种分层次的功能实现结构，保证了防火墙系统控制处理的安全性和高效性。?? 　　1．1硬件结构?? 　　嵌入式底板的稳定工作是实现高速网络数据处理的关键。嵌入式病毒防火墙是基于Intel IXP2800网络处理器设计，采用CompactPCI架构。嵌入式底板的硬件结构如图2所示。 　　?? 　　1)IXP2800网络处理器整个底板的核心，外部扩展QDR SRAM、Rambus DRAM、Flash、MAC等芯片；?? 　　2)媒体和交换架构接口(media and switch fabric interface，MSF)提供SPI-4接口，带有接收和发送缓冲器，控制网络数据的进出；?? 　　3)OC48接口提供3×2.5 GB的高速数据通道，分别配置成内网、外网及系统调试接口。?? 　　1．2软件设计?? 　　嵌入式病毒防火墙的操作系统是经过裁减的实时VxWorks。通过对操作系统内核的裁减和修改，去除了许多不必要的模块，只保留了实时TCP/IP网络协议及一些相关驱动支持，使系统性能有了很大的提高。软件结构如图3所示。 　　1)BSP模块(BSP module)包括BootRom、TFFS和虚拟网卡驱动等部分。BootRom用于实现系统的启动。TFFS提供各种特征库的安全存储管理。虚拟网卡驱动负责VxWorks协议栈和微引擎的数