一种基于龙芯平台的安全防护网关设计与实现
2017-03-09付毅铭
◆付毅铭
(身份证号:410303200008270514 河南 471000)
一种基于龙芯平台的安全防护网关设计与实现
◆付毅铭
(身份证号:410303200008270514 河南 471000)
本文针对一种基于龙芯平台的安全防护网关设计与实现进行研究,从龙芯平台的安全防护网关设计原则入手,从系统组成、硬件架构设计、软件架构设计等方面,对系统的整体设计进行介绍,然后,对该平台安全防护功能实现的关键技术展开论述,旨在能为提升我国安全防护网关设计水平提供参考性建议。
龙芯平台;安全防护;网关设计;功能实现
0 前言
安全防护网关设计,能够有效提升计算机运行效率,保证计算机运行的稳定性和可维性。目前,我国安全防护网关的功能和可靠性,均达到了日常的使用要求。在龙芯处理器架构不断更新的情况下,为了降低硬件成本,提升其安全性能,加强龙芯平台的安全防护网关设计与实现研究具有重要意义。
1 设计原则
为了进一步保证网关设计的通用性能,需要根据模块化、系列化、通用化的设计原则,提升网关内部配件的灵活性。另外,网关的设计要求与外部的设备实现互通,保证设备管理模块的监控功能和可测试功能。对此,本文的网关拟采用龙芯处理单元集成设计,兼容ATCA构架和标准,集成安全防护处理板,并选用3A处理器和国产交换板芯片,实现设备自主性检测与管理。其中涉及到的以太网应当具有可用性和高适应性,使其成为安全防护网关管理,以及支持用户访问的基础结构。机箱管理需要兼容IPMI协议,并采用同一系统总线,对网关功能进行配置。
2 系统设计
2.1 系统组成
安全防护网关的硬件结构,包括安全防护处理板、电源、背板、机箱等。其中,安全防护处理板用来集成处理单元,并由龙芯 3A处理器的HT连接而实现。北桥芯片通过连接Intel82576芯片,输出两路上千兆的网络接口。通过南北桥的总线链接,输出SATA等接口,每个龙芯存储器可用于安装操作软件。另外,安全防护网关软件的组成共分为七个模块,分别为安全接入控制模块、用户接口模块、支撑模块、认证授权模块、网络防护模块、网络处理模块、应用预防模块等。
2.2 硬件架构设计
安全防护网关的硬件架构设计,需要在国产龙芯处理器的基础上进行设计。为了使龙芯处理器的网络转发能力满足性能上的要求,网关应根据ATCA架构,采用并行处理方式,对龙芯处理器进行集成。利用芯片的分流交换提高处理性能,实现处理器对报文的并行处理。设备利用网络交换接口,在功能模块之间建立联接,并通过总线实现控制和认证的分流。认证目的是IP,目的端口是UDP相应端口,应用访问认证目的是设备IP,目的端口是 TCP端口。剩余的目的 IP,会被分配到不同的单元。同时,将配置管理子模块的认证结果,同步到剩余的处理单元中。
2.3 软件架构设计
安全防护网关软件,是在自主操作系统,以及安全防护处理板的基础上,实现应用层访问控制、双击热备、Web应用防护、网络攻击防御、DoS防御、用户认证、网络访问控制等。软件系统的模块之间,会结合其安全防护网关的功能,分为两个子系统,即应用层防护子系统,以及网络层防护子系统。其安全防护网关的软件构架中,存在着不同的调用点,包括链路层出口点、应用层出口点、网络转发点、链路层出口点等。每个调用点在实现特定的功能模块后,可以实现调用功能。比如,应用层入口点,可以实现认证授权、安全接入、用户接口等模块功能。链路层出口点,可实现流量控制,以及网络交换等。
3 关键技术实现
3.1 DDoS防御
DDoS防御技术的实现,来源于DDoS攻击。通过系统对异常流量处理流程的构建,将网络流量分为高度、一般、正常的流量类别。流量的抽样的目的,就是为流量协议分析的下一步处理提供聚集流量抽样信息。协议分析通过分析这些可疑的数据,分析出其攻击特性。进而根据信息规律,制定出过滤规则,进而进入下一步的流量处理[1]。流量处理中,系统是根据不同高度的流量特性,对可疑的实体流量进行直接处理。并根据当前的有效信息规则,决定当前流量的处理。做出正确的处理之后,将其处理过程向协议分析进行反馈。DDoS防御是通过对异常包攻击,以及统计性攻击模式的构建,根据用户所需保护的服务器,对SYN、UDP、DNS、DHCP等多种DDoS攻击行为进行智能防御。
3.2 网络攻击防御
网络攻击,是在多重检测的网络攻击防御技术基础上,与数据报文内容进行匹配,进而确定应用层协议,判断数据流类型[2]。通过对流量的跟踪,获取端口中报文体的变化情况。通知给过滤器后,获取新的关联流量。在过滤器中,会一直包含端口号,降低了报文捕获的开销。此外,系统需要将流量分析、含流产生、动态会话等数据结构进行整合,在会话基础上执行动态端口检测,并反应到索引流表中。
3.3 网络报文并行处理
网络的并行处理,可以有效解决IO QoS问题。为满足网卡需求,网络报文的并行可通过以下几种渠道实现:(1)网络报文并行处理硬件实现[3]。通过HASH包头四元组,触发与该列队绑定中断。(2)网络驱动实现。通过对多队列网卡优化驱动,得出所要激活的网卡数量。申请中断号后分配给不同网卡。(3)中断绑定。对于不同核收取同一网卡报文的乱序情况,应当采用一个队列的中断绑定到固定核上,进而避免乱序现象发生[4]。(4)中断亲合纠正。对于cache命中率低的问题,可采用中断亲合进行纠正,通过检索文件信息得出中断MASK,再将其写入到smp中,实现同一个队列的同核绑定。
3.4 网络快速转发
网络的快速转发,是基于连接和包分类的网络快速转发。在网络应用中,不同类型报文会面临不同风险。若采用了相同安全防护处理,不仅会影响设备处理功能,还会增加设备负担。因此,可以采用不同流向、不同类型的分类处理,实现报文快速转发。安全防护网关的报文处理,应当先找到连接,经过相应处理后,根据交换信息的转发建立新连接。最后根据安全功能模块,进行相应的规则匹配,以此确定连接处理方式。HASH表,可通过指针的组织提供报文匹配。按照客户端与服务器的两个方向的特征值,对报文的协议和传输进行运算。接收到合法报文后,计算出HASH值,查找出具体特征匹配后,就表示该报文属于该连接方向上的报文。
3.5 国产化硬件平台设计与优化
国产化硬件平台设计与优化,可以通过固件与操作的适配优化,发挥出处理器的性能,进而满足应用需求。基于龙芯处理器的适配优化,可以通过以下途径进行优化:(1)合理配置固件参数,最大限度发挥硬件性能。根据计算机的硬件特性,对其资源分配进行优化。比如,可通过访问双通道访问参数调整,提高访问内存效率。(2)优化板卡设计,提升板卡芯片的工作频率。在龙芯3A处理器集成内存控制器的基础上,需要对线间距、长度、PCB层叠结构进行严格设计。同时,对仿真结果进行改进,以满足高速信号要求。选用性能优异的外围控制芯片,以提升平台的处理性能。
4 结论
在龙芯处理器架构的更新升级背景下,本文基于龙芯平台的安全防护网关进行设计与实现研究,从龙芯平台的安全防护网关设计原则入手,从系统组成、硬件架构设计、软件架构设计等方面,对系统的整体设计进行介绍。而后,本文对该平台安全防护功能实现的几项关键技术展开了论述,分别包括DDoS防御功能、基于多重检测的网络攻击防御、网络报文并行处理、基于连接和包分类的网络快速转发功能、国产化硬件平台设计与优化等重要内容。希望本文的研究,能为提升我国安全防护网关设计水平提供一份借鉴,进而提升安全防护网关的综合性能。
[1]白志青.基于单片机的UV光安全防护系统的设计与实现[J].工业控制计算机,2017.
[2]范力军,孙晓斌,孙鹏.一种票务数据安全存储及其防护机制设计与实现[J].现代电影技术,2017.
[3]胡捷.电缆网运行监控系统整体安全防护方案的设计与实现[J].企业技术开发,2015.
[4]王燕清.北京电视台云计算基础支撑平台安全防护设计与实现[J].电视工程,2016.
