【文章內(nèi)容簡(jiǎn)介】 圖 2. 天清漢馬 USG 基于 MIPS64的多核硬件架構(gòu) 為了滿足云計(jì)算的 安全 趨勢(shì)， 2020 年啟明星辰 USG 防火墻 產(chǎn)品 全面切換為基于 MIPS64 的多核 SoC 硬件架構(gòu)，為用戶網(wǎng)絡(luò)提供更加安全、高效、可靠、環(huán)保和節(jié)能的安全網(wǎng)關(guān)產(chǎn)品。 軟件結(jié)構(gòu) 防火墻 作為網(wǎng)關(guān)類產(chǎn)品，究竟什么樣的軟件結(jié)構(gòu)更有利于提升整體性能？那么首先需要知道什么是性能消耗的關(guān)鍵業(yè)務(wù)單元。啟明星辰通過對(duì)網(wǎng)關(guān)類產(chǎn)品單一分析處理引擎的詳細(xì)分析和試驗(yàn)驗(yàn)證，得出網(wǎng)關(guān)類產(chǎn)品性能消耗 50％來自于模式匹配， 25％來自于協(xié)議重組、 25％來自于報(bào)文重組 的結(jié)論 。 天清漢馬 USG 防火墻 技術(shù)白皮書 北京啟明星辰信息 安全 技術(shù)有限公司 9 圖 3. 網(wǎng)關(guān)分析處理引擎性能消耗分析 如何融合分析處理引擎，合并性能消耗關(guān)鍵業(yè)務(wù)單元成為 防火墻 產(chǎn)品軟件結(jié)構(gòu)設(shè)計(jì)首要考慮的問題。 基于研究數(shù)據(jù)，啟明星辰在天清漢 馬 USG 防火墻 的軟件結(jié)構(gòu)設(shè)計(jì)上引入了一體化的設(shè)計(jì)理念。即將 防火墻 、 VPN、內(nèi)容過濾和流量管理等各項(xiàng)功能的分析處理引擎進(jìn)行一體化設(shè)計(jì)，以達(dá)到性能最優(yōu)的目的。 天清漢馬 USG 防火墻 本著安全高效原則， 采用 “檢測(cè)與控制相分離，引擎特征相統(tǒng)一 ”的一體化設(shè)計(jì)思想 ： 人機(jī)界面、報(bào)文接收模塊、報(bào)文處理模塊、報(bào)文發(fā)送模塊和支撐庫 。 網(wǎng)絡(luò)報(bào)文首先通過報(bào)文接收模塊進(jìn)行預(yù)處理后進(jìn)入報(bào)文處理模塊，在報(bào)文處理模塊，防火墻進(jìn)行 2－ 3 層過濾， VPN 負(fù)責(zé)接入控制；其次模塊匹配引擎和行為分析引擎分別根據(jù)統(tǒng)一特征庫和行為知識(shí)庫進(jìn)行匹配查找；最后， 對(duì)于合法報(bào)文直接交由報(bào)文發(fā)送模塊進(jìn)行報(bào)文轉(zhuǎn)發(fā)，對(duì)于非法報(bào)文，送交 相應(yīng) 的處理引擎進(jìn)行處理。整個(gè)過程的日志信息和數(shù)據(jù)流量信息送 集中管理與數(shù)據(jù)分析中心 監(jiān)控和備案，管理中心負(fù)責(zé)整體的配置和調(diào)整。 管理結(jié)構(gòu) 優(yōu)秀的管理系統(tǒng)是產(chǎn)品能否有效利用的關(guān)鍵，天清漢馬 USG 防火墻 提供了靈活且豐富的管理系統(tǒng)。包括簡(jiǎn)潔的單機(jī)管理器，也包括適合網(wǎng)關(guān)批量部署的分布式的集中統(tǒng)一管理中心；既提供了設(shè)備配置管理能力，又提供了強(qiáng)大的數(shù)據(jù)分析能力。產(chǎn)品的管理結(jié)構(gòu)具體如下圖： 天清漢馬 USG 防火墻 技術(shù)白皮書 北京啟明星辰信息 安全 技術(shù)有限公司 10 圖 4. 天清漢馬 USG 管理結(jié)構(gòu)示意圖 天清漢馬 USG 防火墻 提供集中管理和單 機(jī)管理相結(jié)合的雙重管理機(jī)制。在USG 防火墻設(shè)備 軟件中集成了 Web Server 和 Manage agent 功能， Web Server提供本地單機(jī)方式的 Web 管理； Manage agent 提供集中管理和數(shù)據(jù) 分析 中心的信息采集和發(fā)送任務(wù)。整個(gè)傳輸過程采用 SSL加密機(jī)制。 天清漢馬 USG 防火墻 的雙重管理結(jié)構(gòu)實(shí)現(xiàn)了 “ 管理分層，功能分級(jí) ” 的管理思想，一方面 USG 防火墻設(shè)備 自身的 Web Server 提供了單機(jī)的 Web 管理機(jī)制，用于進(jìn)行詳細(xì)的功能設(shè)置；集中管理 功能 通過內(nèi)置在 USG 防火墻設(shè)備 中的Manage agent 獲取系 統(tǒng)狀態(tài)信息、流量信息和版本信息，用于進(jìn)行整體的設(shè)備狀態(tài)顯示。同時(shí)以分組的方式管理設(shè)備，以組為單位進(jìn)行遠(yuǎn)程統(tǒng)一配置、升級(jí)等操作，并可以將管理的 USG 防火墻設(shè)備 按照一定的規(guī)則進(jìn)行組織成層次結(jié)構(gòu)，便于用戶邏輯的標(biāo)識(shí)所管理的設(shè)備。 天清漢馬 USG 防火墻 技術(shù)白皮書 北京啟明星辰信息 安全 技術(shù)有限公司 第 11 頁 4 關(guān)鍵技術(shù) 天清漢馬 USG 防火墻 采用了多種專利技術(shù)和創(chuàng)新技術(shù)，為確保多種安全能力的融合，性能的持續(xù) 恒定 起到了重要作用。 多核 智能駕馭技術(shù) 新一代的防火墻 產(chǎn)品具有 3 大技術(shù)特點(diǎn)：吞吐密集、運(yùn)算密集、應(yīng)用層特性匹配密集。這 3 大特點(diǎn)對(duì)硬件平臺(tái)提出了極大的挑戰(zhàn)，也正是基于此， 防火墻 過去飽嘗性能瓶 頸之苦。目前 ， X86 平臺(tái)常見的多核處理器是 4 核，而 SoC 多核平臺(tái)已最高可達(dá) 16 核，單從 CPU 內(nèi)核的數(shù)量上就已經(jīng)高出 4 倍。不僅如此，Cavium 多核芯片專為 信息 安全產(chǎn)品應(yīng)用量身內(nèi)置了一系列專用硬件，使得最終構(gòu)建出的產(chǎn)品在性能、穩(wěn)定性上很易于達(dá)到電信級(jí)標(biāo)準(zhǔn)。 吞吐密集：針對(duì) 信息安全產(chǎn)品 應(yīng)用特點(diǎn)， Cavium 多核 CPU 設(shè)計(jì)了高達(dá)640Gbps 的內(nèi)部總線帶寬，是目前 4 核 X86CPU 最高總線帶寬的 6 倍，充分保障高性能的可實(shí)現(xiàn)。片內(nèi)集成了收發(fā)包模塊，千兆、萬兆等的線速接口器件，與總線直連，充分保障各業(yè)務(wù)接口的線速性能 和系統(tǒng)并行度，并最大限度的減少CPU 在此方面的開銷。不同于 X86 架構(gòu)下需要用北橋、內(nèi)存控制器實(shí)現(xiàn)內(nèi)存操作， Cavium 多核 CPU 片內(nèi)集成了 DDR2/RLDRAM2 內(nèi)存控制器，避免了內(nèi)存成為平臺(tái)性能的瓶頸。 運(yùn)算密集： Cavium 多核 CPU 可支持高達(dá) 16 個(gè) CPU 核，每 CPU 核既可用于處理不同的業(yè)務(wù)又可統(tǒng)一調(diào)度協(xié)同運(yùn)算，共同為運(yùn)算提供澎湃動(dòng)力。每 CPU核集成了一個(gè)專門針對(duì)包處理應(yīng)用特點(diǎn)而開發(fā)的指令集，可通過指令直接進(jìn)行位域操作、面向字節(jié)的操作等，不必再向 X86 架構(gòu)下的多條指令實(shí)現(xiàn)一個(gè)功能，結(jié)合 RISC CPU 短指令集對(duì)于多分支執(zhí)行的優(yōu)勢(shì)，設(shè)備對(duì)于面向包處理的復(fù)雜應(yīng)用層業(yè)務(wù)的運(yùn)算效率提高了 23 倍。 雖然 SOC 多核硬件平臺(tái)具備強(qiáng)大的性能優(yōu)勢(shì)， 但 X86 平臺(tái)屬于通用 硬件平臺(tái)，具有開發(fā)難度小的優(yōu)勢(shì)，而 SoC 多核平臺(tái)屬于專用 硬件平臺(tái)， 駕馭難度相當(dāng)高 。 尤其是計(jì)算性能的提升，是否能隨核數(shù)的增多而達(dá)到線性的增長(zhǎng)。這其中需要在多核硬件的基礎(chǔ)上作大量的原創(chuàng)性設(shè)計(jì)。 天清漢馬 USG 防火墻 技術(shù)白皮書 北京啟明星辰信息 安全 技術(shù)有限公司 第 12 頁 啟明星辰從 2020 年開始踏入多核領(lǐng)域，從平臺(tái)選型、平臺(tái)預(yù)研到最終的產(chǎn)品化交付，共經(jīng)歷了兩年半的時(shí)間。在此過程中經(jīng)過不斷的摸索與嘗試終攻克了一系列 難題，最終成功駕馭了多核計(jì)算 。 事件關(guān)聯(lián)分析技術(shù)與歸并處理機(jī)制 對(duì)用戶的多個(gè)網(wǎng)絡(luò)行為進(jìn)行關(guān)聯(lián)，是提高檢測(cè)精度的有效手段。比如一個(gè)用戶首先對(duì) HTTP 服務(wù)進(jìn)行了慢速 CGI 掃描，服務(wù)端反饋的結(jié)果證明其運(yùn)行了可能含有漏洞的某個(gè) CGI，之后該用戶又發(fā)送了包含 ShellCode 的請(qǐng)求，從這兩次行為分別看，每個(gè)都不能絕對(duì)的將其界定為惡意行為，如果將兩個(gè)行為聯(lián)系起來，則基本可以確定該行為的高風(fēng)險(xiǎn)等級(jí)。 針對(duì)大規(guī)模的監(jiān)測(cè)系統(tǒng)應(yīng)用中可能出現(xiàn)一個(gè)網(wǎng)絡(luò)異常行為在多個(gè)監(jiān)測(cè)點(diǎn)作為事件報(bào)告而形成事件洪流的問題，數(shù)據(jù)關(guān)聯(lián)性分析模塊首次提出 并采用了基于統(tǒng)計(jì)分析的二次事件分析技術(shù)，能夠?qū)Σ煌瑫r(shí)間、不同地點(diǎn)、不同事件的大量信息進(jìn)行統(tǒng)一處理，簡(jiǎn)潔、準(zhǔn)確地報(bào)告出正確的網(wǎng)絡(luò)安全事件。 高速深層檢測(cè)技術(shù) ? 高精度應(yīng)用層協(xié)議分析 協(xié)議分析是深度檢測(cè)必不可少的環(huán)節(jié)，它可以減少特征匹配的計(jì)算量，提高匹配精度。但是深度的協(xié)議分析本身也需要相當(dāng)大的計(jì)算量，如何既保證特征匹配和文件還原所需的分析精確度，又不占用過多的資源，是高速環(huán)境下必須面對(duì)的課題。我們將主要通過以下兩方面來解決這一問題， 1) 基于攻擊研究和特征知識(shí)庫選擇分析深度。協(xié)議分析不需要的無限制的精細(xì)，否則入侵防 御系統(tǒng)將變成一個(gè)低效的應(yīng)用代理系統(tǒng)，協(xié)議分析應(yīng)該建立在對(duì)網(wǎng)絡(luò)攻擊研究的基礎(chǔ)上，對(duì)特征知識(shí)庫中需要的協(xié)議信息進(jìn)行分析，這點(diǎn)的實(shí)現(xiàn)關(guān)鍵集中在攻擊研究上，軟件實(shí)現(xiàn)中可通過編譯時(shí)的條件控制和運(yùn)行時(shí)對(duì)特征庫進(jìn)行掃描設(shè)置相應(yīng)開關(guān)完成； 2) 高效協(xié)議自識(shí)別算法。對(duì)于非周知端口的通信，需要通過內(nèi)容識(shí)別其所屬的協(xié)議類型。這一內(nèi)容識(shí)別的過程類似于攻擊檢測(cè)的特征識(shí)別過程，可以通過多階段分析和匹配算法的選擇降低計(jì)算開銷。 天清漢馬 USG 防火墻 技術(shù)白皮書 北京啟明星辰信息 安全 技術(shù)有限公司 第 13 頁 ? 多模匹配算法選擇 由于在一個(gè)報(bào)文的匹配中，最為耗時(shí)的匹配運(yùn)算是在報(bào)文中匹配多個(gè)串模式。過去的幾十年中學(xué)術(shù)界提出了若 干的多模匹配算法，并且在工業(yè)界得到了很好的應(yīng)用，比如 AC 算法、 WM 算法在軟件檢測(cè)系統(tǒng)中證明了其優(yōu)秀的性能。在以往的多模匹配算法通常是在理論分析的基礎(chǔ)上，在 IA32 架構(gòu)和隨機(jī)數(shù)據(jù)源上進(jìn)行實(shí)驗(yàn)選擇，且算法一經(jīng)確定就固化在軟件中。實(shí)際這樣得出的算法不能保證在所有的處理器架構(gòu)和數(shù)據(jù)源條件下都保證是已知算法中最優(yōu)的。 現(xiàn)在在學(xué)術(shù)界存在多種多串并行匹配的算法，在商業(yè)產(chǎn)品中應(yīng)用較多有AhoCorasick、 WuManber 和 ExB 算法或它們的變種。 根據(jù)研究發(fā)現(xiàn)，所有這些算法的性能分析全部是基于理想的存儲(chǔ)模型，忽略訪 存的性能開銷。由于存儲(chǔ)器速度遠(yuǎn)低于處理器速度，兩者相差一個(gè)數(shù)量級(jí)以上，為避免存儲(chǔ)