CN101483649A - 一种基于fpga的网络安全内容处理卡 - Google Patents
一种基于fpga的网络安全内容处理卡 Download PDFInfo
- Publication number
- CN101483649A CN101483649A CNA2009100136960A CN200910013696A CN101483649A CN 101483649 A CN101483649 A CN 101483649A CN A2009100136960 A CNA2009100136960 A CN A2009100136960A CN 200910013696 A CN200910013696 A CN 200910013696A CN 101483649 A CN101483649 A CN 101483649A
- Authority
- CN
- China
- Prior art keywords
- network
- fpga
- rule
- data
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 title claims abstract description 22
- 230000006870 function Effects 0.000 claims abstract description 17
- 238000004891 communication Methods 0.000 claims abstract description 11
- 238000001514 detection method Methods 0.000 claims abstract description 9
- 230000009471 action Effects 0.000 claims description 8
- 230000008878 coupling Effects 0.000 claims description 8
- 238000010168 coupling process Methods 0.000 claims description 8
- 238000005859 coupling reaction Methods 0.000 claims description 8
- 238000007726 management method Methods 0.000 claims description 8
- 238000001914 filtration Methods 0.000 claims description 7
- 238000007689 inspection Methods 0.000 claims description 6
- 238000012550 audit Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000008521 reorganization Effects 0.000 claims description 3
- 241000409886 Acion Species 0.000 claims description 2
- 238000006243 chemical reaction Methods 0.000 claims description 2
- 238000012544 monitoring process Methods 0.000 claims description 2
- 230000002265 prevention Effects 0.000 claims description 2
- 238000003672 processing method Methods 0.000 claims 3
- 239000000203 mixture Substances 0.000 claims 1
- 238000000034 method Methods 0.000 abstract description 3
- 230000000903 blocking effect Effects 0.000 abstract 1
- 238000002372 labelling Methods 0.000 abstract 1
- 230000006855 networking Effects 0.000 abstract 1
- 238000005215 recombination Methods 0.000 abstract 1
- 230000006798 recombination Effects 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 7
- 241000700605 Viruses Species 0.000 description 5
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 4
- 230000008093 supporting effect Effects 0.000 description 4
- 230000001133 acceleration Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000000116 mitigating effect Effects 0.000 description 2
- 230000035939 shock Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于FPGA的网络安全内容处理卡。本发明提供一种解决日益严重的网络安全与网络速度、网络管理与网络成本的矛盾的方法。该方法是以FPGA安全芯片为主,采用PCI板卡的形式插在服务器PCI插槽中,通过PCI Express接口协议的方式与服务器进行数据通信,通过千兆网口与外网连接,完成数据的接受、发送功能,实现千兆线速下服务器数据包逐字节的内容检查、内容标签以及流重组,同时实现网络流量实时控制、阻断、入侵检测和日志审计功能,采用本发明可以减少组网费用,节省服务器CPU资源,使CPU专注完成其他功能,提高系统整体性能。
Description
技术领域
本发明涉及一种网络安全内容处理技术领域,具体而言,涉及一种基于专用FPGA安全芯片的服务器网络安全的内容处理PCI板卡。
背景技术
随着网络技术的飞速发展,网络安全问题越发凸显重要。病毒、蠕虫、黑客攻击、网上的有害信息等安全事件频繁发生。病毒技术在不断的发展,病毒利用操作系统和应用程序的漏洞传播,同时集黑客、木马等技术为一身,传播速度快、破坏力强、智能程度高,导致现在病毒防护不能依靠单一的防病毒系统。黑客的攻击手段也是融合多种技术和利用多种方式,有些网络攻击,覆盖的内容非常广泛,当针对内容或者系统漏洞的黑客和病毒攻击的时候,单一功能的防火墙和防病毒系统显得无能为力,需要跟其它安全设备配套使用,比如IDS系统。IDS作为旁路系统,在处理及时攻击时很难阻止正在进行的网络攻击,采用联动方式也只能关闭少数服务和端口,有可能影响其它正常用户的使用,缺乏更有效的响应处理机制。比如在爆发冲击波病毒的时候,IDS和防火墙联动还是阻挡不住冲击波。同时在千兆网环境或者大流量冲击、多IP分片情况下,IDS自身的处理能力都成问题,不能适应新的交换技术和高带宽环境的发展。
针对内容和应用处理的安全产品(比如网关防病毒产品、IDS、关键字过滤等产品)来说,数据的采集和安全事件的处理是相当耗费资源的,一旦在大流量的网络上工作的时候,都会严重的消耗整个网络带宽和系统自身的资源。同时,如果处理能力不够,将有可能导致漏报,使得极端情况下的数据内容检测风险大大增加。当安全产品在用户网络中的不断发展和广泛使用的同时,产生了网络安全产品和网络应用的矛盾,特别是针对应用和内容的网络安全产品。随着企事业单位的应用也日趋复杂,内部的应用也越来越多样化,都会占用有限的带宽,如何在相同的物理线路上,优先保障重要的服务质量和内容,同时又能解决安全问题?
这需要面对以下两对矛盾:
1)网络安全与网络速度的矛盾;
2)网络管理和网络成本的矛盾;
在带宽正常使用与网络的安全保护对带宽的消耗这一对矛盾的解决中,呼唤出具备高速、深入地分析和处理大量网络数据包的功能的产品。而基于FPGA芯片的网络安全内容处理卡正是解决以上矛盾的安全产品。
发明内容
本发明的目的在于提供一种基于FPGA安全芯片的服务器网络安全内容处理卡,为实现上述目的,
本发明的技术方案是按以下方式实现的,以专用FPGA安全芯片为主,采用PCI板卡的形式插在服务器PCI插槽中,通过PCI Express接口协议与服务器进行数据通信。不占用服务器系统资源,与服务器硬件平台、操作系统无关。该处理卡通过千兆网口与以太网连接,完成数据的接受、发送功能。所述千兆网口,以1000baseT接口方式完成对以太网数据包的接受和发送。同时,可以与远端的计算机进行以太网网络连接通讯,接收安全策略管理命令,完成远程管理。所有内容处理算法载入在自主知识产权的FPGA专用芯片内,该芯片查找CORE在接口上具有高兼容性,能对不同的数据来源进行处理。无论数据流的输入是来自网络上的数据包和流,还是内存中的数据,都能够被CORE进行高效的处理。
对于来自网络上的数据包和流,核心查找CORE能够对数据包和整流进行深度检查,以字节为比较单元,核心查找CORE将数据包和流分解为以字节为单位的字节流与规则库中的字节逐一比对,对于命中规则的数据包和流按照预定的安全策略进行丢弃、转发、记日志等配套动作。
本发明支持两类查找方式两类方式的级联使用,进行更深入准确的内容查找和处理。对于来自以太网接口的以太数据包进行全包整流内容检测方式处理。在该方式下,支持基于数据包和流的深度内容检测、分流和流量控制,对匹配规则的数据包和流执行相关的配套动作,能减轻系统进一步处理的负担;对于来自CPU的数据进行基于内存的内容查找方式处理,该数据既可以是软件发送过来的单个数据包,也可以是内存中的一片数据。该方式能给CPU的查找提供加速功能,尤其是在大数据量,多规则的情况下,效果非常明显。本发明的技术解决方案是,以FPGA安全芯片为基础,采用PCI板卡的形式插在服务器PCI插槽中,通过PCIExpress接口协议与服务器进行数据通信,实现千兆线速下服务器数据包逐字节的内容检查、内容标签以及流重组。同时可以实现网络流量实时控制、阻断和入侵检测、日志审计等功能。
本发明的有益效果:FPGA芯片查找CORE具备高达2G数据的内容处理能力,算法可平滑过渡到更高性能,在对数据进行内容查找和处理的同时,不影响系统效率。
支持两类查找方式,两类方式的级联使用,进行更深入准确的内容查找和处理。对于来自以太网接口的以太数据包进行全包整流内容检测方式处理。在该方式下,支持基于数据包和流的深度内容检测、分流和流量控制,对匹配规则的数据包和流执行相关的配套动作,能减轻系统进一步处理的负担;对于来自CPU的数据进行基于内存的内容查找方式处理,该数据既可以是软件发送过来的单个数据包,也可以是内存中的一片数据。该方式能给CPU的查找提供加速功能,尤其是在大数据量,多规则的情况下,效果非常明显。不占用服务器系统资源,与服务器硬件平台、操作系统无关,
附图说明
图1为板卡系统结构图;
图2为数据流程图。
附图标记:MMU:包调度模块;ACL:接入控制模块;SEACHCORE:安全策略查找核心模块
具体实施方式:
下面结合附图对本发明板卡的功能实现作以下详细的描述。
如图1所示,本发明由专用FPGA安全芯片、千兆网口模块(88E1145)、PCI接口(PEX8311)、电源模块、SRAM等组成。本发明主要模块功能如下:
FPGA芯片:主要实现入侵防御、内容过滤、流量监控,安全审计、安全策略调度等逻辑功能。
千兆网口模块(88E1145):以1000baseT接口方式完成对以太网数据包的接受和发送。同时,可以与远端的计算机进行以太网网络连接通讯,接收安全策略管理命令,完成远程管理。
PCI接口(PEX8311):完成板卡通过PCI Express接口协议与本地CPU进行数据通信。
电源模块:完成板卡各个模块所需不同电压的转换及管理。
如图2所示,将本发明板卡插入服务器PCI插槽中,通过网线与交换机连接到以太网,通过管理平台下发安全策略后,即可实现千兆线速下服务器数据包逐字节的内容检查、内容标签、流重组、入侵检测、流量控制、日志审计等功能。
详细的数据流程如下:如附图2所示
1)数据从GEO口输入,经过88E1145进入FPGA的ACL模块,
如果匹配上ACL规则,则按照ACL规则定义的动作执行;如果动作为DROP,则该包丢弃;如果动作需要记日志,则把该包发送到88E1145;如果动作为PASS,则送到PLX8311然后通过PCIE送到安全服务器。如果未匹配上ACL规则,则送到SEARCHCORE做基于RULE规则的过滤,然后根据匹配结果送PCIE或GEO。
数据从PCIE输入,经过PLX8311再到SEARCHCORE;如果未匹配上RULE规则,则数据包经过88E1145到GEO;如果匹配上RULE规则,则根据RULE的ACION做相应的处理。
总的来说,从GEO输入的网络数据包需要经过ACL和SEARCHCORE两级安全过滤;从PCIE输入的数据包只经过SEARCHCORE过滤;日志信息和管理信息都通过GEO发送到管理平台。
本发明板卡可以在单个服务器中使用,也可以在多个服务器集群使用。该板卡核心功能通过专用FPGA芯片组实现,可达到千兆线速的数据包的处理速度,并且不占用服务器CPU资源,不会降低服务器的性能。因此本发明在提高了服务器对网络数据流的处理性能的同时,又保留了灵活的处理方式。
所述千兆网口,以1000baseT接口方式完成对以太网数据摆的接受和发送,同时,与远端的计算机进行以太网网络连接通讯,接收安全策略管理命令,完成远程管理。
所有内容处理算法载入在FPGA专用芯片内,FPGA芯片查找CORE在接口上具有高兼容性,能对来自包括来自网络和内存的数据包和数据流进行高效的处理。
对于来自网络上的数据包和流,FPGA芯片查找CORE对数据包和整流进行深度检查,处理到内容级。
Claims (4)
1、一种基于FPGA的网络安全内容处理卡,其特征在于:以FPGA安全芯片为主,采用PCI板卡的形式插在服务器PCI插槽中,通过PCI Express接口协议的方式与服务器进行数据通信,通过千兆网口与外网连接,完成数据的接受、发送功能,实现千兆线速下服务器数据包逐字节的内容检查、内容标签以及流重组,同时实现网络流量实时控制、阻断、入侵检测和日志审计功能,网络安全内容处理卡是由FPGA安全芯片、千兆网口模块、PCI接口、电源模块、SRAM等组成,各模块的功能如下:
FPGA芯片:主要实现入侵防御、内容过滤、流量监控,安全审计、安全策略调度的等逻辑功能;
千兆网口模块,型号是88E1145:以1000baseT接口方式完成对以太网数据包的接受和发送,同时,与远端的计算机进行以太网网络连接通讯,接收安全策略管理命令,完成远程管理;
PCI接口,型号是PEX8311:功能是完成板卡通过PCI Express接口协议与本地CPU进行数据通信;
电源模块:完成板卡各个模块所需不同电压的转换及管理;
详细的数据流程如下:
1)数据从GEO口输入,经过千兆网口模块进入FPGA的ACL模块,匹配上使用ACL规则,则按照ACL规则定义的动作执行;动作为DROP,则该包丢弃;动作需要记日志,则把该包发送到88E1145;动作为PASS,则送到PLX8311然后通过PCIE送到安全服务器;未匹配上ACL规则,则送到SEARCHCORE做基于RULE规则的过滤,然后根据匹配结果送PCIE或GEO;
数据从PCIE输入,经过PLX8311再到SEARCHCORE;未匹配上RULE规则,则数据包经过88E1145到GEO;匹配上RULE规则,则根据RULE的ACION做相应的处理;
从GEO输入的网络数据包需要经过ACL和SEARCHCORE两级安全过滤;从PCIE输入的数据包只经过SEARCHCORE过滤;口志信息和管理信息都通过GEO发送到管理平台。
2、根据权利要求1所述的网络安全处理方法,其特征在于:所述千兆网口,以1000baseT接口方式完成对以太网数据摆的接受和发送,同时,与远端的计算机进行以太网网络连接通讯,接收安全策略管理命令,完成远程管理。
3、根据权利要求1所述的网络安全处理方法,其特征在于:所有内容处理算法载入在FPGA专用芯片内,FPGA芯片查找CORE在接口上具有高兼容性,能对来自包括来自网络和内存的数据包和数据流进行高效的处理。
4、根据权利要求3所述的网络安全处理方法,其特征在于:对于来自网络上的数据包和流,FPGA芯片查找CORE对数据包和整流进行深度检查,处理到内容级。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009100136960A CN101483649A (zh) | 2009-02-10 | 2009-02-10 | 一种基于fpga的网络安全内容处理卡 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009100136960A CN101483649A (zh) | 2009-02-10 | 2009-02-10 | 一种基于fpga的网络安全内容处理卡 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101483649A true CN101483649A (zh) | 2009-07-15 |
Family
ID=40880576
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2009100136960A Pending CN101483649A (zh) | 2009-02-10 | 2009-02-10 | 一种基于fpga的网络安全内容处理卡 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101483649A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102098291A (zh) * | 2010-12-17 | 2011-06-15 | 天津曙光计算机产业有限公司 | 一种基于fpga的网络安全日志处理方法和装置 |
| CN102404169A (zh) * | 2011-11-15 | 2012-04-04 | 北京天融信科技有限公司 | 一种利用内容加速卡实现内容检测的装置和方法 |
| CN102624726A (zh) * | 2012-03-07 | 2012-08-01 | 上海盖奇信息科技有限公司 | 基于智能网卡多核平台的超高带宽网络安全审计方法 |
| CN102646177A (zh) * | 2012-02-27 | 2012-08-22 | 李予温 | 一种基于卫星系统的单主机安全保密计算机 |
| CN103209169A (zh) * | 2013-02-23 | 2013-07-17 | 北京工业大学 | 一种基于fpga的网络流量过滤系统与方法 |
| CN104219242A (zh) * | 2014-09-09 | 2014-12-17 | 天津大学 | 一种基于硬件的网络数据包的过滤结构 |
| CN105099572A (zh) * | 2014-05-22 | 2015-11-25 | 中国科学院声学研究所 | 一种声纳信号处理机内控制型通信系统 |
| CN107579877A (zh) * | 2017-09-18 | 2018-01-12 | 南京国电南自电网自动化有限公司 | 一种基于fpga的电力交换机流量监控系统及监控方法 |
| CN112769785A (zh) * | 2020-12-29 | 2021-05-07 | 深圳市风云实业有限公司 | 基于机架交换机设备的网络一体化深度检测装置及方法 |
| CN112910932A (zh) * | 2021-04-30 | 2021-06-04 | 北京数盾信息科技有限公司 | 一种数据处理方法、装置及系统 |
-
2009
- 2009-02-10 CN CNA2009100136960A patent/CN101483649A/zh active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102098291A (zh) * | 2010-12-17 | 2011-06-15 | 天津曙光计算机产业有限公司 | 一种基于fpga的网络安全日志处理方法和装置 |
| CN102098291B (zh) * | 2010-12-17 | 2015-08-19 | 曙光信息产业股份有限公司 | 一种基于fpga的网络安全日志处理方法和装置 |
| CN102404169A (zh) * | 2011-11-15 | 2012-04-04 | 北京天融信科技有限公司 | 一种利用内容加速卡实现内容检测的装置和方法 |
| CN102646177B (zh) * | 2012-02-27 | 2015-04-08 | 李予温 | 一种基于卫星系统的单主机安全保密计算机 |
| CN102646177A (zh) * | 2012-02-27 | 2012-08-22 | 李予温 | 一种基于卫星系统的单主机安全保密计算机 |
| CN102624726A (zh) * | 2012-03-07 | 2012-08-01 | 上海盖奇信息科技有限公司 | 基于智能网卡多核平台的超高带宽网络安全审计方法 |
| CN103209169A (zh) * | 2013-02-23 | 2013-07-17 | 北京工业大学 | 一种基于fpga的网络流量过滤系统与方法 |
| CN103209169B (zh) * | 2013-02-23 | 2016-03-09 | 北京工业大学 | 一种基于fpga的网络流量过滤系统与方法 |
| CN105099572A (zh) * | 2014-05-22 | 2015-11-25 | 中国科学院声学研究所 | 一种声纳信号处理机内控制型通信系统 |
| CN104219242A (zh) * | 2014-09-09 | 2014-12-17 | 天津大学 | 一种基于硬件的网络数据包的过滤结构 |
| CN107579877A (zh) * | 2017-09-18 | 2018-01-12 | 南京国电南自电网自动化有限公司 | 一种基于fpga的电力交换机流量监控系统及监控方法 |
| CN107579877B (zh) * | 2017-09-18 | 2020-09-25 | 南京国电南自电网自动化有限公司 | 一种基于fpga的电力交换机流量监控系统及监控方法 |
| CN112769785A (zh) * | 2020-12-29 | 2021-05-07 | 深圳市风云实业有限公司 | 基于机架交换机设备的网络一体化深度检测装置及方法 |
| CN112769785B (zh) * | 2020-12-29 | 2023-06-27 | 深圳市风云实业有限公司 | 基于机架交换机设备的网络一体化深度检测装置及方法 |
| CN112910932A (zh) * | 2021-04-30 | 2021-06-04 | 北京数盾信息科技有限公司 | 一种数据处理方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101483649A (zh) | 一种基于fpga的网络安全内容处理卡 | |
| KR100609170B1 (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| CN101547187B (zh) | 宽带接入设备的网络攻击防护方法 | |
| CN107016284A (zh) | 一种数据通信设备cpu前端动态防护方法及系统 | |
| CN101505219B (zh) | 一种防御拒绝服务攻击的方法和防护装置 | |
| CN101465855B (zh) | 一种同步泛洪攻击的过滤方法及系统 | |
| CN105991637B (zh) | 网络攻击的防护方法和装置 | |
| CN1794661A (zh) | 一种基于IPv6的网络性能分析报告系统及实现方法 | |
| CN105282169A (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 | |
| CN104104558B (zh) | 一种智能变电站过程层通信中网络风暴抑制的方法 | |
| CN101127761A (zh) | 网络中单向协议隔离方法及其装置 | |
| CN111797371A (zh) | 一种交换机加密系统 | |
| CN105516189A (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| CN101127760A (zh) | 网络中双向协议隔离方法及其装置 | |
| CN109657463A (zh) | 一种报文洪泛攻击的防御方法及装置 | |
| CN103618720B (zh) | 一种木马网络通信检测与取证方法和系统 | |
| CN109165508A (zh) | 一种外部设备访问安全控制系统及其控制方法 | |
| CN101426014A (zh) | 防止组播源攻击的方法及系统 | |
| CN202979014U (zh) | 网络隔离装置 | |
| CN101582880B (zh) | 一种基于被审计对象的报文过滤方法及系统 | |
| CN206820776U (zh) | 一种基于网络流量的综合安全监测分析设备 | |
| CN101714958B (zh) | 多功能综合安全网关系统 | |
| CN103957128A (zh) | 云计算环境下监控数据流向的方法及系统 | |
| CN102970186A (zh) | 设备的性能检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090715 |