網絡處理器(Network Processor)建置新一代網絡安全應用

2019-11-03 19:24:49

字體：大中小

來源：轉載

供稿：網友

　　高斐政凌華科技通訊暨計算機產品事業部

　　網絡安全的需求

　　據統計，2000年企業及政府部門遭受駭客(Hacker)攻擊的概率高達85%，而網絡安全的漏洞不是防堵駭客入侵就解決了，其它像遭窺探者竊取機密性數據，或是心懷不滿的員工蓄意破壞系統內重要檔案，警覺性不足的員工外泄重要密碼、不小心由Email引入計算機病毒等，都是威脅網絡安全的幾個危險因子。

　　為了讓區域內網絡維持安全運作，建立一套安全防護網才是根本解決之道，較完整的防衛機制大概分為三大類：

　?。ㄒ唬㎞etwork Security (網絡安全)

　　(Firewalls, Intrusion detection system, Intrusion PRevention System, Wireless security, Mail security, E-commerce security, Load balancer /High Availability)

　　（二）Content Filtering (內容過濾)

　　(Antivirus, Internet /Web / URL filters, Spam filtering, Content security)

　?。ㄈ〦ncryption (加密)

　　(Virtual Private Network, Public Key Infrastructure Certification Architecture)

　　三種市場應用各有不同的系統規格需求，VPN 的系統需將訊息全數打亂再丟到網絡上，透過加密機制在公開的網絡里建立起加密通道(Encrypted Tunnel)，接收端再解密取得真實訊息，在浩瀚的因特網內建立起安全私密的虛擬局域網絡；Firewall則像大樓管理員，檢查來訪封包的通行許可證，包含檢查封包的來源、目的地、連接埠等字段，但是防火墻并沒有辦法擋掉所有的入侵者，此時就須要另一道防線IDS；IDS 就像網絡上的監控攝影機，可以分析流經的封包數據，偵測未經授權的行為，IDS大致區分為「網絡系統」跟「主機系統」兩類?；旧螴DS需求的系統處理能力可以涵蓋VPN及Firewall的需求.

　　入侵偵測系統的應用

　　防火墻與IDP的差異在于, 防火墻僅能就網絡封包做到2到4層的檢測，就來源地址/端口號以及目的地址/服務進行控管；而IDP可以做到4到7層(也就是應用層)的檢測，因此IDP可以發覺包藏在應用層里的惡意攻擊碼(譬如蠕蟲攻擊、緩沖溢位攻擊便藏匿于此)，并予以狙擊。IDP內建龐大的攻擊特征數據庫，可以有效阻絕已知的攻擊；IDP也透過「異常協議偵測」的方式，實時檢查并將不符合RFC規范的網絡封包丟棄。所以在「攻擊防御」方面，IDP遠勝于防火墻之上。

　　由于IDP一般僅能就ip以及IP群組決定封包放行權限，所以在「資源存取權限管理」方面，防火墻較優于IDP。然而，防火墻并無法有效管控企業內部使用者使用P2P、實時通訊(Instant Messenger、Yahoo Messenger)等軟件、也無法杜絕利用Web-Mail或者Web-Post等方式將機密外泄，這些問題需要能監控4到7層的IDP設備才能控管。目前已經有少部分的IDP產品采用IXP2xxx芯片利用其「深層檢測」的優勢，有效地解決上述問題。

　　IDP可以防止蠕蟲由外入侵至企業網絡內部，而如果防火墻要防止蠕蟲攻擊，僅能消極地關閉某些Port。但一般的檔案型病毒，則不在IDP及防火墻的防護范圍內。因此資安的最后一層防護網便是在使用者端安裝防毒軟件。

　　各項資安產品皆有其擅長與不足之處，因此建議企業資安負責人員深入了解以及比較這些資安產品的差異，并依據企業的實際需要充分搭配使用，加強資安防護網的縱深，以確保企業的網絡安全。后面我們就以較復雜的IDS為例做IXP-2400的應用說明。

　　網絡處理器的時代已經來臨，它可有效解決網絡交通擁塞的問題，也可處理復雜的封包運算。不論如何，Inetel IXA架構已經正確的跨出第一步，接下來就須要更多的平臺設計者投入開發工作，以及更多的應用開發者投入資源，發展軟件程序，逐步建立完整的可攜式Microblocks。網絡興起、頻寬加速拓展，使整個網絡通訊的市場板塊不斷的在調整、挪動，凌華科技與Intel合作，共同推廣IXP-2XXX網絡處理器的應用，針對網絡安全其中封包處理過程以下進一步來討論。

　　何謂封包與功能：

　　在網絡安全論述中,所有傳輸動作是經由封包完成的, 封包就很像我們在郵寄信件的時候那個郵件的模樣了！信紙內容總是得放入信封吧？而信封上面會寫上發信人住址，收信人住址與姓名. 所以，一封郵件主要會有兩個部分，分別是：『信封表面的信息部分、與信封內部的信件內容！』。同樣的，網絡的信息封包主要也是分為兩個部分，一個是表頭 ( Header ) 的部分，另一個則是內容 ( messages ) 的部分！而一個封包要傳送到哪里去，都是通過 Header 的訊息部分進行分析而傳送的！那么 Header 有哪些重要的信息呢？主要就如同上面提到的，至少會有來源與目標 IP 、來源與目標 Port等等！封包是怎么在兩部主機之間進行傳送的呢？事實上，封包的傳送是相當復雜的，而且封包的狀態不同 (TCP/UDP) 也會有不一樣的傳送機制。這里舉一個『相對比較可靠的封包傳送方式』來介紹。如下圖所示：

　　當發送封包者發送出一個封包給接受者后，接受者在『正確的接到』這個封包之后，會回復一個響應封包 ( Acknowledgment ) 給發送者，告訴他接受者已經收到了！當發送端收到這個響應封包后，才會繼續發送下一個封包出去，否則就會將剛剛的封包重新發送一次！這種封包的傳遞方式因為考慮到對方接到的封包的狀態，所以算是比較可靠的一種方式。目前因特網上面常見的封包是 TCP 與 UDP ，其中 TCP 的聯機方式中，會考慮到較多的參數，他是一種聯機模式(Connection Oriented)的可靠傳輸，至于 UDP 則省略了響應封包的步驟，所以是一種非聯機導向的非可靠傳輸。在一個 TCP 封包的傳送過程中，因為至少需要傳送與響應等封包來確定傳送出去的數據沒有問題，所以他是相當可靠的一種傳輸方式，不過就是傳輸與響應之間的時間可能會拖比較久一點。至于 UDP 封包就因為少了那個確認的動作，所以雖然他是較不可靠一點，但是速度上就比 TCP 封包要來的快！底下我們將繼續介紹 TCP, UDP 以及 ICMP 等封包信息的內容. TCP 與 UDP 封包的建立是有差異存在的！針對TCP封包Header的內容作個簡單的介紹！ TCP 封包的 Header 內容主要如下：

　　Source Port & Destination Port ( 來源端口口 & 目標端口口 )：來源與目標的端口，這個容易了解吧！上面剛剛提過那個埠口的觀念。再次的強調一下，小于 1024 以下的 Port 只有 root 身份才能啟用，至于一般 Client 發起的聯機，通常是使用大于 1024 以上的埠口！

　　Sequence Number ( 封包序號 )：在OSI 七層協定里面提到過，由于種種的限制，所以一次傳送的封包大小大約僅有數千 bytes ，但是我們的資料可能大于這個封包所允許的最大容量，所以就得將我們的數據拆成數個封包來進行傳送到目的地主機的動作。那么對方主機怎么知道這些封包是有關連性的呢？就得通過這個 Sequence Number 來輔助了。當發送端要發送封包時，會為這個封包設定一個序號，然后再依據要傳送的數據長度，依序的增加序號。也就是說，我們可以使用遞增的值來替下一個封包作為它序號的設定！

　　Acknowledgment Number ( 回應序號 ) ：封包傳輸過程中，我們知道在接受端接收了封包之后，會響應發送端一個響應封包，那個響應的信息就是在這里。當接收端收到 TCP 封包并且通過檢驗確認接收該封包后，就會依照原 TCP 封包的發送序號再加上數據長度以產生一個響應的序號，而附在回應給發送端的響應封包上面，這樣發送端就可以知道接收端已經正確的接收成功該 TCP 封包了！所以說， Sequence 與 Acknowledgment number 是 TCP 封包之所以可靠的保證！因為他可以用來檢測封包是否正確的被接受者所接收！

　　Data Offset (資料補償)：這是用來記錄表頭長度用的一個字段。

　　Reserved (保留)：未使用的保留字段。

　　Control Flag (控制標志碼)：控制標志碼在 TCP 封包的聯機過程當中，是相當重要的一個標志，先來說一說這六個句柄，然后再來討論吧：

　　- Urgent data ：如果 URG 為 1 時，表示這是一個緊急的封包數據，接收端應該優先處理；

　　- Acknowledge field significant ：當 ACK 這個 Flag 為 1 時，表示這個封包的 Acknowledge Number 是有效的，也就是我們上面提到的那個回應封包。

　　- Push function ：如果 PSH 為 1 的時候，該封包連同傳送緩沖區的其它封包應立即進行傳送，而無需等待緩沖區滿了才送。接收端必須盡快將此數據交給程序處理。

　　- Reset ：如果 RST 為 1 的時候，表示聯機會被馬上結束，而無需等待終止確認手續。

　　- Synchronize sequence number ：這就是 SYN 標志啦！當 SYN 為 1 時，那就表示發送端要求雙方進行同步處理，也就是要求建立聯機的意思，這個 SYN 是相當重要的一個 Flag 喔！

　　- No more data fro sender (Finish) ：如果封包的 FIN 為 1 的時候，就表示傳送結束，然后雙方發出結束響應，進而正式進入 TCP 傳送的終止流程。

　　Window (滑動窗口)：與接收者的緩沖區大小有關的一個參數。

　　Checksum(確認)：當數據要由發送端送出前，會進行一個檢驗的動作，并將該動作的檢驗值標注在這個字段上；而接收者收到這個封包之后，會再次的對封包進行驗證，并且比對原發送的 Checksum 值是否相符，如果相符就接受，若不符就會假設該封包已經損毀，進而要求對方重新發送此封包！

　　Urgent Pointer：指示緊急數據所在位置的字段。

　　Option：當需要 client 與 Server 同步動作的程序，例如 Telnet ，那么要處理好兩端的交互模式，就會用到這個字段來指定數據封包的大小，不過，這個字段還是比較少用的！

　　為什么需要用到 Intel IXP-2XXX 網絡處理器

　　因特網、企業網絡等網絡應用的頻寬需求急劇上升，傳輸、檢查、拆解、組合、搜尋、內容比對、轉遞等IP封包運算處理動作，以往可以靠軟件程序在一般X86微處理器上運行，搭配以網絡卡做封包出入口。但是近年來這些封包的運算處理越來越復雜，將數據輸入處理單元，完后再將結果送往輸出單元，慢速處理造成的時間延遲會嚴重影響到數據吞吐量，無法滿足Line Rate Operation的需求。Intel 公司提供的網絡處理器系列產品專門用來解決這樣的問題，IXP-4XX屬于較低階的系列，IXP-2XXX系列高階網絡處理器，文中將以IXP-2400處理器在凌華科技cPCI-6240系列產品的設計為例做說明。

　　以下將先介紹IXP-2XXX處理器的功能特性，再探討處理器的平臺設計、應用開發，最后探討它在網絡安全領域的應用，以入侵偵測系統為實例做說明。

　　Intel XP-2XXX系列網絡處理器大致包含：IXP-2400、Westport, IXP-2800及IXP-2850，請參考表一的性能差異。除此之外，Intel并考慮比照IXP-42X系列做法，高度整合MACs等功能區塊進來，建造優異的性價比產品，使這一系列處理器的應用更普及化。

　　全系列IXP-2XXX網絡處理器都可拆解為『控制管道』(Control Plane)及『數據管道』(Data Plane)兩大部分。參考圖一 IXP-2400網絡處理器，它內建一個600MHz 32-bit XScale來負責Control Plane的處理工作，XScale執行相當底層的控制工作，包括信息傳送，還有跟系統內其它處理器的溝通。Data Plane則由內建的八個微處理引擎(Micro-Engine Version 2, MEv2)來做平行處理，MEv2是XScale精簡下來的 (Reduced) 可程序處理器，使用者可用Micro-Code匯編語言或是高階Micro-C語言撰寫應用程序，透過指令告訴這八個MEv2怎樣去處理封包運算，達到應用目的。

　　圖一是IXP-2400示意圖外觀，它有兩個信道的QDR SRAM接口，存放重要的數據結構，比如：Route Tables， Free Buffer Pools，Flow State Tables，Queue Descriptors等等重要的訊息，其中一個信道還可以接一個協處理器，做TCP/IP封包比對時的內存搜尋引擎，加速決定封包的協議屬性跟流向(Flow)。DDR DRAM則用來儲存封包以及大量的State tables，另外C-bus接口可以連接第二個處理器，這是采用一進一出架構的雙處理器設計時用的。

　　另兩個重要接口，一個是64-bit/66MHz PCI 2.2接口，作為Control Plane連通的Bus，可以透過此接口外掛控制處理器，像是PrPMC控制卡；另一個是Flash界面，是存取RedBoot韌體的通道，Redboot相當于X86系統的BIOS；媒體及切換接口(Media and Switch Fabric Interface, MSF)是網絡封包進出處理器的主要途徑，視應用可以規劃為SPI-3、CSIX或是UTOPIA Level2接口。

　　圖二是IXP-2400內部示意圖，內部的SHaC 是一個多功能控制單元，內含Hash單元，可以建立48-,64-或是128-bit寬的 Hash indices，XScale與MEv2可存取Hash來幫助Table的搜尋，特別是要搜尋的Keys很大時；第二個單元是16KB的Scratch Pad memory，這是處理器內第三個內存資源，XScale與MEv2可共同存取，三種內存資源可以讓海量存儲器存取同時間平行發生；第三個單元是Control and Status Register (CSR)，提供9個處理器（1 * XScale + 8* MEv2）互相之間溝通用途。

　　除此之外，還有 XScale 外圍，包含中斷控制器、Timers, UART、GPIO等單元。在處理器內部，XScale、MEv2、DRAM Controller、SRAM Controller、T/R-Buffer之間透過 Chassis Bus，將 Data Plane 的路徑在處理器內部連通起來，這些控制單元可以共享 SRAM、DRAM 等內存資源做數據交換。

　　網絡處理器的『平臺設計』、『應用開發』

　　(一) 平臺規劃、開發

　　平臺規劃設計IXP-2XXX平臺首先要先為產品做準確的定位，定義平臺最終應用、頻寬需求、封包處理效能等級。若是想一半接到ATM網絡，則MSF接口有一半要規劃成Utopia Level 2接口，連接的ASIC像是Intel IXF-6012/6048 Cell/Packet Framer；若是要直接連IP網絡，則MSF接口規劃成SPI-3或是CSIX，連接像Intel IXF-1104 (Quad Giga-E MACs的ASIC)；或是接FIC(Fabric Interface Controller) 的ASIC。另外規劃時要全面考慮：Control Plane的處理效能、是否外掛輔助處理器、開機影像文件下載速度；Data Plane則須考慮SRAM大小、DRAM資源使用、是否須加密功能 (IXP-2850有)、是否外掛網絡搜尋加速器、是否外掛內容檢查加速器等、要多少個網絡接口。這些硬件規格要根據功能應用，做整體效能評估才行，在開案初期要審慎評估。

　　平臺開發包括硬件、韌體(Redboot)、系統支持套件(Board Supporting Package, BSP)，BSP內含組件驅動程序。其中硬件設計跟一般X86運算平臺沒什么兩樣，記得要預留軟件除錯端口，就像X86-CPU的 ITP Port一樣；Redboot韌體則相當于X86 BIOS，系統初始化、自我測試、Boot Loader都包在Redboot內；Redboot及BSP可以通過Intel IXA SDK得到幫忙，建立以XScale為處理核心的操作系統平臺，最后這三大要素即可建立一個完整的網絡處理器平臺。

　　(二) 應用程序開發

　　Intel 建立了IXA 軟件可攜式架構，讓今天花力氣辛辛苦苦在IXP-2400建立起來的軟件，明天在下一代IXP-2XXX仍然適用，而這個軟件架構可以簡單用圖三表示。

　　應用程序的開發也可以通過Intel IXA SDK得到幫忙，考慮到投資杠桿效應，Intel IXA軟件程序架構采模塊化，SDK提供一些基本的microblocks，開發者再開發自有的microblocks，將這些microblocks視為基礎組件(Building Blocks)，去組合實現實際的功能應用，讓開發者的工作簡單化，也縮短TTM時間。

　　圖四是采用IXP-2400為核心建立的IDS系統結構圖，凌華采用IXP-2400內建的XScale去控制管理Control Plane的組件，內建的八個MicroEngine去收送處理封包的分類及內容比對，處理Data Plane的運算。IXP-2400的QDR SRAM通道0也叫做LA-1(Look Aside Interface)接口，可以選擇接市面上現有的TCAM(Ternary Content Addressable Memory) 輔助處理器，幫忙做第三層以下封包數據搜尋比對的工作，幫IXP-2400處理器卸載(offload)一些運算負擔。

　　網絡安全系統內最關鍵性的功能可以說是封包表頭辨識(Classification)及內容檢查(Content Inspection)，表頭辨識系針對其流向、連結、輸入端口及目的地址等做比對；內容檢查則有復雜的算法，處理頻寬及內存容量需求極高，很顯然內容檢查即將是此系統非常嚴重的交通瓶頸所在，這個運算將耗用大量IXP-2400網絡處理器的運算資源。因此必須采用另一個處理器卸載此運算，有兩種方法可行，其一是如圖四：加入一個可程序內容檢查引擎(Programmable CIE, Content Inspection Engine)，比如IDT PAX.port 2500 CIE；或是在封包經網絡處理器集結成較大封包后，進入一張專屬內容檢查的高速運算服務器，比如ADLINK cPCI-6860 Dual-Xeon Server Blade。加CIE的做法可以卸載95% 的MicroEngine資源使用量，刪除掉85%的MicroCode，同時削減75%內存頻寬使用量，成本可大大節省，TTM(Time to Market)時間可以顯著縮減。加一張專屬服務器則維持舊有軟件延續使用，節省軟件開發的時間及人力成本，兩者各有優點，但是CIE是純硬件運算所以效率較好，長期來看應會成為較受歡迎的選擇。

　　批注

　　TCP/IP 與 OSI 比較和說明

　　在網絡世界中計算機與計算機之間是透過特種協議來傳輸和溝通, 當今此協議是以TCP/IP (Transmission Control Protocol / Internet Protocol) 是由IETF (Internet Society's Internet Engineering Task Force) 根據 DoD (Department Of Defense) 模型所制定的標準和 OSI (Open System Interconnection ) 是由ISO (International Standard Organization)所制定的標準, 下面三層偏硬件，上面三層偏軟件，中間一層偏軟件硬件間的溝通。兩種標準協議圖(一)和圖(二)來作簡單說明.

　　TCP/IP各層的功能如下：

　　網絡存取層 (Network access Layer) 網絡存取層相當于 OSI 的實體層及數據鏈結層，主要負責網絡實體連接的部份。事實上，TCP/IP 并未定義這一層的協議，換言之，它可以架構在多種網絡存取接口上，如 Ethernet、Token-Rign、FDDI、…等，TCP/IP 只須提供這些接口的驅動程序即可。TCP/IP的網絡存取層涵蓋 OSI 的數據鏈結層 (Data Link Layer) 及實體層 (Physical Layer)。在這一層傳送的數據稱為數據框 (Frame)。

　　網際層 (Internet Layer) 網際層的主要任務是連接發送端到接收端之間的中繼節點，提供訊息送達的服務，如：辨識地址、數據傳送路徑選擇、…等。網際層主要協議為 IP (Internet Protocol)，及 ARP (Address Resolution Protocol)、RARP (Reverse Address Resolution Protocol)、ICMP (Internet Control Message Protocol) 等協定。TCP/IP 的網際層相當于 OSI 的網絡層 (Network Layer)。在這一層傳送的數據稱為數據包 (Datagram)。

　　傳輸層 (Transport Layer) 運輸層又稱為主機對主機層 (Host to Host Layer) ，任務是提供主機對主機的訊息送達服務。主要協議有 TCP (Transmission Control Protocol) 及 UDP (User Datagram Protocol)。TCP/IP 的運輸層也相當于 OSI 的運輸層 (Transport Layer)。在這一層傳送的數據，TCP 協議稱為 Segment，UDP 則稱為 Packet。

　　應用層 (application Layer) 應用層的任務提供各種應用程序協議，為使用者提供服務，這一層的協議相當多，著名的應用層協議包括：TELNET、FTP、SMTP、POP3、SNMP、NNTP、DNS、NIS、NFS、HTTP、…等。TCP/IP 的應用層涵蓋 OSI 的應用層 (Application Layer)、表現層 (Presentation Layer)、會議層 (session Layer) 的功能，事實上 TCP/IP 并未定義 Presentation Layer 及 Session Layer 的相關協議，相關功能是由應用程序自行處理。在這一層傳送的數據，TCP 的程序稱為 Stream，UDP 的程序則稱為 Message。

　　OSI各層的功能如下：

　　物理層 (Physical Layer) 定義數據在線路上的傳輸方法。主要是負責傳送信息，并將硬設備（如網絡卡，傳輸媒介）送來的訊息，轉換計算機認識的訊息，如 0, 1, ... 等。

　　數據鏈路層 (Data Link Layer) 定義單一傳輸在線點對點間之可靠性傳輸方法。將實體層傳來 0,1 訊息組成 Frame (資料框)，負責流量控制（通常接收方應比發送方快），定義 Token-Ring、Ethernet、…等。

　　網絡層 (Network Layer) 定義網絡上任意不相鄰兩點間之可靠性傳輸方法，規劃數據在網絡中最佳傳輸路徑，以便將 Packet 傳送到目的地。

　　傳輸層 (Transport Layer) 負責數據在兩點間傳輸之可靠性及透明性，將數據安全無誤送達目的地，尤其是來自上層的多樣傳輸的問題。包括檢查遺失、重復封包、…。

　　會話層 (Session Layer) 負責兩個節點間的聯機之建立，管理、終止及錯誤恢復。如：所用的通訊協議，通訊模式，如何結束通訊、…等。

　　表示層 (Presentation Layer) 數據格式的問題，主要是將數據轉成計算機或系統程序看得懂的模式，如：數據壓縮/解壓縮，資料加密/解密、…。

　　應用層 (Application Layer) 提供各種服務，做為應用程序與網絡間的溝通接口。