◆付毅銘

(身份證號(hào)：410303200008270514 河南 471000)

一種基于龍芯平臺(tái)的安全防護(hù)網(wǎng)關(guān)設(shè)計(jì)與實(shí)現(xiàn)

◆付毅銘

(身份證號(hào)：410303200008270514 河南 471000)

本文針對(duì)一種基于龍芯平臺(tái)的安全防護(hù)網(wǎng)關(guān)設(shè)計(jì)與實(shí)現(xiàn)進(jìn)行研究，從龍芯平臺(tái)的安全防護(hù)網(wǎng)關(guān)設(shè)計(jì)原則入手，從系統(tǒng)組成、硬件架構(gòu)設(shè)計(jì)、軟件架構(gòu)設(shè)計(jì)等方面，對(duì)系統(tǒng)的整體設(shè)計(jì)進(jìn)行介紹，然后，對(duì)該平臺(tái)安全防護(hù)功能實(shí)現(xiàn)的關(guān)鍵技術(shù)展開論述，旨在能為提升我國(guó)安全防護(hù)網(wǎng)關(guān)設(shè)計(jì)水平提供參考性建議。

龍芯平臺(tái)；安全防護(hù)；網(wǎng)關(guān)設(shè)計(jì)；功能實(shí)現(xiàn)

0 前言

安全防護(hù)網(wǎng)關(guān)設(shè)計(jì)，能夠有效提升計(jì)算機(jī)運(yùn)行效率，保證計(jì)算機(jī)運(yùn)行的穩(wěn)定性和可維性。目前，我國(guó)安全防護(hù)網(wǎng)關(guān)的功能和可靠性，均達(dá)到了日常的使用要求。在龍芯處理器架構(gòu)不斷更新的情況下，為了降低硬件成本，提升其安全性能，加強(qiáng)龍芯平臺(tái)的安全防護(hù)網(wǎng)關(guān)設(shè)計(jì)與實(shí)現(xiàn)研究具有重要意義。

1 設(shè)計(jì)原則

為了進(jìn)一步保證網(wǎng)關(guān)設(shè)計(jì)的通用性能，需要根據(jù)模塊化、系列化、通用化的設(shè)計(jì)原則，提升網(wǎng)關(guān)內(nèi)部配件的靈活性。另外，網(wǎng)關(guān)的設(shè)計(jì)要求與外部的設(shè)備實(shí)現(xiàn)互通，保證設(shè)備管理模塊的監(jiān)控功能和可測(cè)試功能。對(duì)此，本文的網(wǎng)關(guān)擬采用龍芯處理單元集成設(shè)計(jì)，兼容ATCA構(gòu)架和標(biāo)準(zhǔn)，集成安全防護(hù)處理板，并選用3A處理器和國(guó)產(chǎn)交換板芯片，實(shí)現(xiàn)設(shè)備自主性檢測(cè)與管理。其中涉及到的以太網(wǎng)應(yīng)當(dāng)具有可用性和高適應(yīng)性，使其成為安全防護(hù)網(wǎng)關(guān)管理，以及支持用戶訪問的基礎(chǔ)結(jié)構(gòu)。機(jī)箱管理需要兼容IPMI協(xié)議，并采用同一系統(tǒng)總線，對(duì)網(wǎng)關(guān)功能進(jìn)行配置。

2 系統(tǒng)設(shè)計(jì)

2.1 系統(tǒng)組成

安全防護(hù)網(wǎng)關(guān)的硬件結(jié)構(gòu)，包括安全防護(hù)處理板、電源、背板、機(jī)箱等。其中，安全防護(hù)處理板用來集成處理單元，并由龍芯 3A處理器的HT連接而實(shí)現(xiàn)。北橋芯片通過連接Intel82576芯片，輸出兩路上千兆的網(wǎng)絡(luò)接口。通過南北橋的總線鏈接，輸出SATA等接口，每個(gè)龍芯存儲(chǔ)器可用于安裝操作軟件。另外，安全防護(hù)網(wǎng)關(guān)軟件的組成共分為七個(gè)模塊，分別為安全接入控制模塊、用戶接口模塊、支撐模塊、認(rèn)證授權(quán)模塊、網(wǎng)絡(luò)防護(hù)模塊、網(wǎng)絡(luò)處理模塊、應(yīng)用預(yù)防模塊等。

2.2 硬件架構(gòu)設(shè)計(jì)

安全防護(hù)網(wǎng)關(guān)的硬件架構(gòu)設(shè)計(jì)，需要在國(guó)產(chǎn)龍芯處理器的基礎(chǔ)上進(jìn)行設(shè)計(jì)。為了使龍芯處理器的網(wǎng)絡(luò)轉(zhuǎn)發(fā)能力滿足性能上的要求，網(wǎng)關(guān)應(yīng)根據(jù)ATCA架構(gòu)，采用并行處理方式，對(duì)龍芯處理器進(jìn)行集成。利用芯片的分流交換提高處理性能，實(shí)現(xiàn)處理器對(duì)報(bào)文的并行處理。設(shè)備利用網(wǎng)絡(luò)交換接口，在功能模塊之間建立聯(lián)接，并通過總線實(shí)現(xiàn)控制和認(rèn)證的分流。認(rèn)證目的是IP，目的端口是UDP相應(yīng)端口，應(yīng)用訪問認(rèn)證目的是設(shè)備IP，目的端口是 TCP端口。剩余的目的 IP，會(huì)被分配到不同的單元。同時(shí)，將配置管理子模塊的認(rèn)證結(jié)果，同步到剩余的處理單元中。

2.3 軟件架構(gòu)設(shè)計(jì)

安全防護(hù)網(wǎng)關(guān)軟件，是在自主操作系統(tǒng)，以及安全防護(hù)處理板的基礎(chǔ)上，實(shí)現(xiàn)應(yīng)用層訪問控制、雙擊熱備、Web應(yīng)用防護(hù)、網(wǎng)絡(luò)攻擊防御、DoS防御、用戶認(rèn)證、網(wǎng)絡(luò)訪問控制等。軟件系統(tǒng)的模塊之間，會(huì)結(jié)合其安全防護(hù)網(wǎng)關(guān)的功能，分為兩個(gè)子系統(tǒng)，即應(yīng)用層防護(hù)子系統(tǒng)，以及網(wǎng)絡(luò)層防護(hù)子系統(tǒng)。其安全防護(hù)網(wǎng)關(guān)的軟件構(gòu)架中，存在著不同的調(diào)用點(diǎn)，包括鏈路層出口點(diǎn)、應(yīng)用層出口點(diǎn)、網(wǎng)絡(luò)轉(zhuǎn)發(fā)點(diǎn)、鏈路層出口點(diǎn)等。每個(gè)調(diào)用點(diǎn)在實(shí)現(xiàn)特定的功能模塊后，可以實(shí)現(xiàn)調(diào)用功能。比如，應(yīng)用層入口點(diǎn)，可以實(shí)現(xiàn)認(rèn)證授權(quán)、安全接入、用戶接口等模塊功能。鏈路層出口點(diǎn)，可實(shí)現(xiàn)流量控制，以及網(wǎng)絡(luò)交換等。

3 關(guān)鍵技術(shù)實(shí)現(xiàn)

3.1 DDoS防御

DDoS防御技術(shù)的實(shí)現(xiàn)，來源于DDoS攻擊。通過系統(tǒng)對(duì)異常流量處理流程的構(gòu)建，將網(wǎng)絡(luò)流量分為高度、一般、正常的流量類別。流量的抽樣的目的，就是為流量協(xié)議分析的下一步處理提供聚集流量抽樣信息。協(xié)議分析通過分析這些可疑的數(shù)據(jù)，分析出其攻擊特性。進(jìn)而根據(jù)信息規(guī)律，制定出過濾規(guī)則，進(jìn)而進(jìn)入下一步的流量處理[1]。流量處理中，系統(tǒng)是根據(jù)不同高度的流量特性，對(duì)可疑的實(shí)體流量進(jìn)行直接處理。并根據(jù)當(dāng)前的有效信息規(guī)則，決定當(dāng)前流量的處理。做出正確的處理之后，將其處理過程向協(xié)議分析進(jìn)行反饋。DDoS防御是通過對(duì)異常包攻擊，以及統(tǒng)計(jì)性攻擊模式的構(gòu)建，根據(jù)用戶所需保護(hù)的服務(wù)器，對(duì)SYN、UDP、DNS、DHCP等多種DDoS攻擊行為進(jìn)行智能防御。

3.2 網(wǎng)絡(luò)攻擊防御

網(wǎng)絡(luò)攻擊，是在多重檢測(cè)的網(wǎng)絡(luò)攻擊防御技術(shù)基礎(chǔ)上，與數(shù)據(jù)報(bào)文內(nèi)容進(jìn)行匹配，進(jìn)而確定應(yīng)用層協(xié)議，判斷數(shù)據(jù)流類型[2]。通過對(duì)流量的跟蹤，獲取端口中報(bào)文體的變化情況。通知給過濾器后，獲取新的關(guān)聯(lián)流量。在過濾器中，會(huì)一直包含端口號(hào)，降低了報(bào)文捕獲的開銷。此外，系統(tǒng)需要將流量分析、含流產(chǎn)生、動(dòng)態(tài)會(huì)話等數(shù)據(jù)結(jié)構(gòu)進(jìn)行整合，在會(huì)話基礎(chǔ)上執(zhí)行動(dòng)態(tài)端口檢測(cè)，并反應(yīng)到索引流表中。

3.3 網(wǎng)絡(luò)報(bào)文并行處理

網(wǎng)絡(luò)的并行處理，可以有效解決IO QoS問題。為滿足網(wǎng)卡需求，網(wǎng)絡(luò)報(bào)文的并行可通過以下幾種渠道實(shí)現(xiàn)：（1）網(wǎng)絡(luò)報(bào)文并行處理硬件實(shí)現(xiàn)[3]。通過HASH包頭四元組，觸發(fā)與該列隊(duì)綁定中斷。（2）網(wǎng)絡(luò)驅(qū)動(dòng)實(shí)現(xiàn)。通過對(duì)多隊(duì)列網(wǎng)卡優(yōu)化驅(qū)動(dòng)，得出所要激活的網(wǎng)卡數(shù)量。申請(qǐng)中斷號(hào)后分配給不同網(wǎng)卡。（3）中斷綁定。對(duì)于不同核收取同一網(wǎng)卡報(bào)文的亂序情況，應(yīng)當(dāng)采用一個(gè)隊(duì)列的中斷綁定到固定核上，進(jìn)而避免亂序現(xiàn)象發(fā)生[4]。（4）中斷親合糾正。對(duì)于cache命中率低的問題，可采用中斷親合進(jìn)行糾正，通過檢索文件信息得出中斷MASK，再將其寫入到smp中，實(shí)現(xiàn)同一個(gè)隊(duì)列的同核綁定。

3.4 網(wǎng)絡(luò)快速轉(zhuǎn)發(fā)

網(wǎng)絡(luò)的快速轉(zhuǎn)發(fā)，是基于連接和包分類的網(wǎng)絡(luò)快速轉(zhuǎn)發(fā)。在網(wǎng)絡(luò)應(yīng)用中，不同類型報(bào)文會(huì)面臨不同風(fēng)險(xiǎn)。若采用了相同安全防護(hù)處理，不僅會(huì)影響設(shè)備處理功能，還會(huì)增加設(shè)備負(fù)擔(dān)。因此，可以采用不同流向、不同類型的分類處理，實(shí)現(xiàn)報(bào)文快速轉(zhuǎn)發(fā)。安全防護(hù)網(wǎng)關(guān)的報(bào)文處理，應(yīng)當(dāng)先找到連接，經(jīng)過相應(yīng)處理后，根據(jù)交換信息的轉(zhuǎn)發(fā)建立新連接。最后根據(jù)安全功能模塊，進(jìn)行相應(yīng)的規(guī)則匹配，以此確定連接處理方式。HASH表，可通過指針的組織提供報(bào)文匹配。按照客戶端與服務(wù)器的兩個(gè)方向的特征值，對(duì)報(bào)文的協(xié)議和傳輸進(jìn)行運(yùn)算。接收到合法報(bào)文后，計(jì)算出HASH值，查找出具體特征匹配后，就表示該報(bào)文屬于該連接方向上的報(bào)文。

3.5 國(guó)產(chǎn)化硬件平臺(tái)設(shè)計(jì)與優(yōu)化

國(guó)產(chǎn)化硬件平臺(tái)設(shè)計(jì)與優(yōu)化，可以通過固件與操作的適配優(yōu)化，發(fā)揮出處理器的性能，進(jìn)而滿足應(yīng)用需求?；邶埿咎幚砥鞯倪m配優(yōu)化，可以通過以下途徑進(jìn)行優(yōu)化：（1）合理配置固件參數(shù)，最大限度發(fā)揮硬件性能。根據(jù)計(jì)算機(jī)的硬件特性，對(duì)其資源分配進(jìn)行優(yōu)化。比如，可通過訪問雙通道訪問參數(shù)調(diào)整，提高訪問內(nèi)存效率。（2）優(yōu)化板卡設(shè)計(jì)，提升板卡芯片的工作頻率。在龍芯3A處理器集成內(nèi)存控制器的基礎(chǔ)上，需要對(duì)線間距、長(zhǎng)度、PCB層疊結(jié)構(gòu)進(jìn)行嚴(yán)格設(shè)計(jì)。同時(shí)，對(duì)仿真結(jié)果進(jìn)行改進(jìn)，以滿足高速信號(hào)要求。選用性能優(yōu)異的外圍控制芯片，以提升平臺(tái)的處理性能。

4 結(jié)論

在龍芯處理器架構(gòu)的更新升級(jí)背景下，本文基于龍芯平臺(tái)的安全防護(hù)網(wǎng)關(guān)進(jìn)行設(shè)計(jì)與實(shí)現(xiàn)研究，從龍芯平臺(tái)的安全防護(hù)網(wǎng)關(guān)設(shè)計(jì)原則入手，從系統(tǒng)組成、硬件架構(gòu)設(shè)計(jì)、軟件架構(gòu)設(shè)計(jì)等方面，對(duì)系統(tǒng)的整體設(shè)計(jì)進(jìn)行介紹。而后，本文對(duì)該平臺(tái)安全防護(hù)功能實(shí)現(xiàn)的幾項(xiàng)關(guān)鍵技術(shù)展開了論述，分別包括DDoS防御功能、基于多重檢測(cè)的網(wǎng)絡(luò)攻擊防御、網(wǎng)絡(luò)報(bào)文并行處理、基于連接和包分類的網(wǎng)絡(luò)快速轉(zhuǎn)發(fā)功能、國(guó)產(chǎn)化硬件平臺(tái)設(shè)計(jì)與優(yōu)化等重要內(nèi)容。希望本文的研究，能為提升我國(guó)安全防護(hù)網(wǎng)關(guān)設(shè)計(jì)水平提供一份借鑒，進(jìn)而提升安全防護(hù)網(wǎng)關(guān)的綜合性能。

[1]白志青.基于單片機(jī)的UV光安全防護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].工業(yè)控制計(jì)算機(jī)，2017.

[2]范力軍，孫曉斌，孫鵬.一種票務(wù)數(shù)據(jù)安全存儲(chǔ)及其防護(hù)機(jī)制設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代電影技術(shù)，2017.

[3]胡捷.電纜網(wǎng)運(yùn)行監(jiān)控系統(tǒng)整體安全防護(hù)方案的設(shè)計(jì)與實(shí)現(xiàn)[J].企業(yè)技術(shù)開發(fā)，2015.

[4]王燕清.北京電視臺(tái)云計(jì)算基礎(chǔ)支撐平臺(tái)安全防護(hù)設(shè)計(jì)與實(shí)現(xiàn)[J].電視工程，2016.