Global Sources
電子工程專輯
 
電子工程專輯 > 控制技術/MCU
 
 
控制技術/MCU  

利用網路處理器建置新一代網路安全應用

上網時間: 2005年04月25日     打印版  Bookmark and Share  字型大小:  

關鍵字:利用網路處理器建置新一代網路安全應用  網路安全應用  網路處理器  IXP-2XXX  Intel XP-2XXX 

據統計,2000年企業及政府部門遭受駭客攻擊的高達85%,而網路安全的漏洞不是防堵駭客入侵就解決了,其他像是遭窺探者竊取機密性資料,或是心懷不滿的員工蓄意破壞系統內重要檔案,警覺性不足的員工外洩重要密碼、不小心由Email引入電腦病毒等,都是威脅網路安全的幾個危險因子。

為了讓區域內網路維持安全運作,建立一套安全防護網才是根本解決之道,較完整的防衛機制大概分為三大類,第一項為網路安全,包含防火牆、入侵檢測系統、入侵預防系統、無線安全、郵件安全、電子商務安全、負載平衡等。第二項為內容過濾,包含Antivirus、Internet/Web/URL過濾器、垃圾郵件過濾、內容安全等。第三項為加密,包含虛擬私人網路(VPN)、公共金鑰基礎建設認證架構。

三種市場應用各有不同的系統規格需求,VPN的系統需將訊息全數打亂再丟到網路上,透過加密機制在公開的網路裡建立起加密通道(Encrypted Tunnel),接收端再解密取得真實訊息,在浩瀚的網際網路內建立起安全私密的虛擬區域網路;防火牆則像大樓管理員,檢查來訪封包的通行許可證,包含檢查封包的來源、目的地、連接埠等欄位,但是防火牆並沒有辦法擋掉所有的入侵者,此時就須要另一道防線IDS;IDS就像網路上的監控攝影機,可以分析流經的封包資料,偵測未經授權的行為,IDS大致區分為「網路系統」跟「主機系統」兩類。基本上IDS需求的系統處理能力可以涵蓋VPN及防火牆的需求。

圖1:IXP-2400的外部介面。

入侵偵測系統的應用

防火牆與IDP的差異在於,防火牆僅能就網路封包做到2到4層的檢測,就來源位址/埠號以及目的位址/服務進行控管;而IDP可以做到4到7層(也就是應用層)的檢測,因此IDP可以發覺包藏在應用層裡的惡意攻擊碼(譬如蠕蟲攻擊、緩衝溢位攻擊便藏匿於此),並予以狙擊。IDP內建龐大的攻擊特徵資料庫,可以有效阻絕已知的攻擊;IDP也透過「異常協定偵測」的方式,即時檢查並將不符合RFC規範的網路封包丟棄。所以在「攻擊防禦」方面,IDP遠勝於防火牆之上。

由於IDP一般僅能就IP以及IP群組決定封包放行權限,所以在「資源存取權限管理」方面,防火牆較優於IDP。然而,防火牆並無法有效管控企業內部使用者使用P2P、即時通訊等軟體、也無法杜絕利用Web-Mail或者Web-Post等方式將機密外洩,這些問題需要能監控4到7層的IDP設備才能控管。目前已經有少部分的IDP產品採用IXP2xxx晶片利用其「深層檢測」的優勢,有效地解決上述問題。

IDP可以防止蠕蟲由外入侵至企業網路內部,而如果防火牆要防止蠕蟲攻擊,僅能消極地關閉某些Port。但一般的檔案型病毒,則不在IDP及防火牆的防護範圍內。因此資安的最後一層防護網便是在使用者端安裝防毒軟體。

圖2:IXP-2400功能單元及資料通道。

各項資安產品皆有其擅長與不足之處,因此建議企業資安負責人員深入瞭解以及比較這些資安產品的差異,並依據企業的實際需要充分搭配使用,加強資安防護網的縱深,以確保企業的網路安全。後面我們就以較複雜的IDS為例做IXP-2400的應用說明。

網路處理器的時代已經來臨,它可有效解決網路交通擁塞的問題,也可處理複雜的封包運算。不論如何,Intel IXA架構已經正確的跨出第一步,接下來就須要更多的平台設計者投入開發工作,以及更多的應用開發者投入資源,發展軟體程式,逐步建立完整的可攜式Microblocks。網路興起、頻寬加速拓展,使整個網路通訊的市場板塊不斷的在調整、挪動,凌華科技與Intel合作,共同推廣IXP-2XXX網路處理器的應用,針對網路安全其中封包處理過程以下進一步來討論。

使用IXP-2XXX網路處理器

網際網路、企業網路等網路應用的頻寬需求急劇上升,傳輸、檢查、拆解、組合、搜尋、內容比對、轉遞等IP封包運算處理動作,以往可以靠軟體程式在一般X86微處理器上執行,搭配以網路卡做封包出入口。但是近年來這些封包的運算處理越來越複雜,將資料輸入處理單元,完後再將結果送往輸出單元,慢速處理造成的時間延遲會嚴重影響到資料吞吐量,無法滿足線速率的操作需求。Intel的網路處理器系列產品專門用來解決這樣的問題,IXP-4XX屬於較低階的系列,IXP-2XXX系列高階網路處理器,文中將以IXP-2400處理器在凌華的cPCI-6240系列產品的設計為例做說明。

以下將先介紹IXP-2XXX處理器的功能特性,再探討處理器的平台設計、應用開發,最後探討它在網路安全領域的應用,以入侵偵測系統為實例做說明。

Intel XP-2XXX系列網路處理器大致包含:IXP-2400、IXP-2350(Westport),IXP-2800及IXP-2850。除此之外,Intel並考慮比照IXP-42X系列做法,高度整合MACs等功能區塊進來,建造優異的性價比產品,使這一系列處理器的應用更普及化。

全系列IXP-2XXX網路處理器都可拆解為‘控制管道’(Control Plane)及‘資料管道’(Data Plane)兩大部分。圖1的IXP-2400網路處理器內建一顆600MHz

圖3:Intel IXA可攜式軟體架構

32位元XScale來負責控制管道的處理工作,XScale執行相當底層的控制工作,包括信息傳送,還有跟系統內其他處理器的溝通。資料管道則由內建的八顆微處理引擎(MEv2)來做平行處理,MEv2是XScale精簡下來的可程式處理器,使用者可用Micro-Code組合語言或是高階Micro-C語言撰寫應用程式,透過指令告訴這八顆MEv2怎樣去處理封包運算,達到應用目的。

IXP-2400具有兩個通道的QDR SRAM介面,存放重要的資料結構,如路由表,緩衝器(Free Buffer Pool),流量狀態表、佇列描述等重要訊息,其中一個通道還可連接一顆輔助運算器做為TCP/IP封包比對時的記憶體搜尋引擎,加速決定封包的協定屬性與流向。DDR DRAM則用來儲存封包以及大量的狀態表,另外C-bus介面可以連接第二顆處理器,這是採用一進一出架構的雙處理器設計時用的。

另兩個重要介面,一個是64位元的66MHz PCI 2.2介面,作為控制管道連通的匯流排,可以透過此介面外掛控制處理器,如PrPMC控制卡;另一個是快閃記憶體介面,是存取RedBoot韌體的通道,Redboot相當於X86系統的BIOS;媒體及切換介面(MSF)是網路封包進出處理器的主要途徑,視應用可以規劃為SPI-3、CSIX或是UTOPIA Level2介面。

圖2為IXP-2400內部示意圖,內部的SHaC是一個多功能控制單元,內含Hash單元,可以建立48、64或128位元寬的Hash indices,XScale與MEv2可存取Hash來幫助Table的搜尋,特別是要搜尋的Keys很大時;第二個單元是16KB的暫存(Scratch Pad)記憶體,這是處理器內第三個記憶體資源,XScale與MEv2可共同存取,三種記憶體資源可以讓大量記憶體存取同時間平行發生;第三個單元是配置狀態暫存器(CSR),做為9顆處理器(1個XScale+8個MEv2)相互溝通用。

除此之外,還有XScale週邊,包含中斷控制器、計時器、UART、GPIO等單元。在處理器內部,XScale、MEv2、DRAM控制器、SRAM控制器、T/R緩衝器之間透過機箱(Chassis)匯流排,將資料管道的路徑在處理器內部連通起來,這些控制單元可以共用SRAM、DRAM等記憶體資源做資料交換。

網路處理器的『平台設計』、『應用開發』

平台規劃、開發

平台規劃 設計IXP-2XXX平台首先要先為產品做準確的定位,定義平台最終應用、頻寬需求、封包處理效能等級。若是想一半接到ATM網路,則MSF介面有一半要規劃成Utopia Level 2介面,連接的ASIC像是Intel IXF-6012/6048 Cell/Packet Framer;若是要直接連IP網路,則MSF介面規劃成SPI-3或是CSIX,連接像Intel IXF-1104;或連接Fabric控制器ASIC。另外規劃時要全面考慮:控制管道的處理效能、是否外掛輔助處理器、開機影像檔下載速度;資料管道則須考慮SRAM大小、DRAM資源使用、是否須加密功能、是否外掛網路搜尋加速器、是否外掛內容檢查加速器等、要多少個網路接口。這些硬體規格要根據功能應用,做整體效能評估才行,在開案初期要審慎評估。

平台開發

包括硬體、韌體(Redboot)、系統支援套件(BSP),BSP內含元件驅動程式。其中硬體設計跟一般X86運算平台沒什麼兩樣,記得要預留軟體除錯埠,就像X86-CPU的ITP埠一樣;Redboot韌體則相當於X86 BIOS,系統初始化、自我測試、Boot Loader都包在Redboot內;Redboot及BSP可以藉由Intel IXA

圖4:入侵偵測系統方塊圖。

SDK得到幫忙,建立以XScale為處理核心的作業系統平台,最後這三大要素即可建立一個完整的網路處理器平台。

應用程式開發

Intel建立了IXA軟體可攜式架構,讓今天花力氣辛辛苦苦在IXP-2400建立起來的軟體,明天在下一代IXP-2XXX仍然適用,而這個軟體架構可以簡單用圖3表示。

應用程式的開發也可以藉由Intel IXA SDK獲得支援,考慮到投資效益,Intel IXA軟體程式架構採模組化,SDK提供一些基本的微功能塊,開發者再開發自有的功能塊,並將這些功能塊視為基礎組件以組合實現實際的功能應用,簡化開發工作並縮短上市時間。

圖4是採用IXP-2400為核心建立的IDS系統結構圖,凌華採用IXP-2400內建的XScale去控制管理控制管道的元件,內建的八顆微引擎去收送處理封包的分類及內容比對,處理資料管道的運算。IXP-2400的QDR SRAM通道0也叫做LA-1介面,可以選擇接市面上現有的TCAM輔助處理器,來幫忙做第三層以下封包資料搜尋比對的工作,幫IXP-2400處理器卸載一些運算負擔。

網路安全系統內最關鍵性的功能可以說是封包表頭辨識(Classification)及內容檢查,表頭辨識係針對其流向、連結、輸入埠及目的位址等做比對;內容檢查則有複雜的演算法,處理頻寬及記憶體容量需求極高,很顯然內容檢查即將是此系統非常嚴重的交通瓶頸所在,這個運算將耗用大量IXP-2400網路處理器的運算資源,因此必須採用另一顆處理器卸載此運算。

目前有兩種方法可行,其一是如圖4:加入一顆可程式內容檢查引擎(Programmable CIE),如IDT PAX.port 2500 CIE;或是在封包經網路處理器集結成較大封包後,進入一張專屬內容檢查的高速運算伺服器。加CIE的做法可以卸載95%的微引擎資源使用量,刪除掉85%的MicroCode,同時削減75%記憶體頻寬使用量,不僅節省成本,也縮短上市時間。加一張專屬伺服器則維持舊有軟體延續使用,節省軟體開發的時間及人力成本,兩者各有優點,但是CIE是純硬體運算所以效率較好,長期來看應會成為較受歡迎的選擇。

作者:高斐政


資深產品市場經理


凌華科技





投票數:   加入我的最愛
我來評論 - 利用網路處理器建置新一代網路安全應用
評論:  
*  您還能輸入[0]個字
*驗證碼:
 
論壇熱門主題 熱門下載
 •   將邁入40歲的你...存款多少了  •  深入電容觸控技術就從這個問題開始
 •  我有一個數位電源的專利...  •  磷酸鋰鐵電池一問
 •   關於設備商公司的工程師(廠商)薪資前景  •  計算諧振轉換器的同步整流MOSFET功耗損失
 •   Touch sensor & MEMS controller  •  針對智慧電表PLC通訊應用的線路驅動器
 •   下週 深圳 llC 2012 關於PCB免費工具的研討會  •  邏輯閘的應用


EE人生人氣排行
 
返回頁首