CN101958903A

CN101958903A - 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法

Info

Publication number: CN101958903A
Application number: CN 201010501170
Authority: CN
Inventors: 傅涛; 陈志军; 张敏
Original assignee: Nanjing Botong S & T Co Ltd
Current assignee: Yancheng sufute Software Technology Co. Ltd.
Priority date: 2010-10-09
Filing date: 2010-10-09
Publication date: 2011-01-26
Anticipated expiration: 2030-10-09
Also published as: CN101958903B

Abstract

本发明提出了一种新型的高性能防火墙实现方法，该方法采用带有SDRM接口的FPGA芯片，作为防火墙数据包的预处理器，实现基于硬件芯片的包过滤，从而有效地提高了防火墙的数据包吞吐性能，同时本技术采用虚拟机技术，实现多个并行的虚拟防火墙，可对所保护的网络空间进行划分，针对不同网段分别配置虚拟防火墙，进行独立的安全配置管理，提高了防火墙并行处理与检测能力，同时基于虚拟机的安全管理扩展功能，可以实现更多安全保护功能与更细粒度的安全保护能力。

Description

一种基于SOC及并行虚拟防火墙的高性能防火墙实现方法

技术领域：

本发明涉及到一种新型的高性能防火墙实现技术，本技术采用SOC技术及操作系统实现IPV6/IPV4双栈，实现对IPv6，IPv6/IPv4网络环境的支持；同时采用并行虚拟机的架构，实现对高速网络数据包处理的并行方式，提高防火墙的吞吐率，实现细粒度的状态检测；本技术支持多防火墙的协同，自动化的策略配置，实现防火墙策略的自动映射与冲突检测，实现更有效的安全保护功能。

背景技术：

随着我国网络建设发展，与下一代互联网协议IPv6技术的逐步应用。高速网络对防火墙的性能提出了更高的要求，防火墙放置在网络的进入点，监测进出目标网络的数据包，对数据包的取舍做出决定，因此防火墙的性能对于被保护网络与外界数据传输速率有着至关重要的作用。面向下一代的高速网络，防火墙在数据包监测方面的性能必须要对跨跃式的升级。

随着下一代IPv6网络的应用，使得将来很长的一段时间内，IPv6与IPv4网络会并存很长一段时间。因此下一代的防火墙必须要能实现对混合网络环境的安全保护。同时由于现在网络应用结构的复杂化，同一组织的网络可能会有多个进入点与边界保护点，为了实现组织的统一安全保障，一个组织可能要部署多个防火墙，从而带来了管理维护上的困难，增加了设备成本。

针对以上问题，本技术通过虚拟机技术，以单个物理服务器作为宿主机，使用宿主机的操作系统及其资源，通过软件的方式虚拟实现的防火墙。本技术可以在一台防火墙服务器中虚拟出多个防火墙，而每个防火墙通过配置实现对不同网段的安全保护，从而实现了购买一台物理防火墙，配置多个防火墙的功能，解决了上述的复杂网络应用环境给防火墙应用带来的维护、管理/成本问题。

为了面向高速网络提供防火墙保护，本技术基于FPGA实现了具备高速数据包分发、数据包预处理功能SOC芯片，一块FPGA芯片上实现了双栈的包协议解析、基于源/目标地址过滤、基于多字符串模式匹配过滤，会话队列缓冲与管理等功能，有效地提高了本技术的防火墙产品的数据包吞吐率，实现面向高速网络的防火墙产品。

发明内容

本发明的目的在于：

实现一种新型的高性能防火墙实现技术，该防火墙能适用下一代传输速率超过1Gb/s以上的高速网络环境，且本技术实现的防火墙产品依据硬件与操作系统的IPv4/IPv6双协议栈，可以同时适用IPv4网络，IPv6网络及IPv4/IPv6混合网络。本技术以SOC芯片实现的数据包分发处理器，包预处理器为基础，采用虚拟机技术实现并行多虚拟防火墙架构，适合多接入点，多网段的复杂的网络环境以及降低网络安全设备成本，从而实现了一种高性能的高速网络防火墙。

本发明的目的是这样实现的：

一种基于SOC及并行虚拟防火墙的高性能防火墙实现方法，包括步骤：

步骤1)采用SOC硬件芯片作为防火墙数据包的预处理器，先对网络数据包进行过滤；

步骤1.1)由含有IPv4/IPv6协议的高速网络数据包分发器，作为网络接口来接收的网络数据包，并根据包的源/目的地位、以及防火墙安全管理策略的配置，将数据包分发至各数据包预处理芯片的内存空间；

步骤1.2)由防火墙数据包预处理芯片根据防火墙用户的配置规则，对输入数据包的过滤；采用硬件匹配来对数据包预处理，这是本防火墙的第一道过滤功能节点；

步骤2)由并行虚拟防火墙对预处理的数据包进一步处理：

所述并行虚拟防火墙包括多个由虚拟机实现的防火墙；各个虚拟防火墙独立配置；所述并行虚拟防火墙设有安全操作系统；

虚拟防火墙接收预处理器发送来的数据包，进行独立的、基于状态的安全监测，保护各虚拟防火墙各自所辖范围内的网络资源安全；

各个虚拟防火墙之间根据网络的实时情况，进行协作进一步提供防火墙的保护能力。

所述并行虚拟防火墙还具有基于虚拟机的安全功能扩展：该安全功能扩展是在防火墙功能之外，基于虚拟机技术，实现VPN、IPSec、病毒、木马和垃圾邮件的过滤。

所述并行虚拟防火墙中，通过虚拟机的配置，以及服务质量管理，根据网络实时情况分配各个虚拟防火墙的处理任务。

对本防火墙的管理是基于网络实现的，管理的内容包括：

安全日志管理：实现防火墙的安全日志管理与数据备份；

防火墙策略的配置与管理：提供策略配置与冲突分析支持等功能；

警报与分析支持：主要提供多种安全警报与安全事件的分析支持。

所述防火墙策略的配置与管理中，防火墙策略制定与冲突消解：

先由用户从顶层开始对受保护的目标网络进行域划分得到的多个域，每个域对应一个虚拟防火墙，以及由用户再根据域中允许的服务定义服务对象，描述服务所对应的网络设备及其端口，以及其它相关属性来定义策略组；

再由以下算法直接将策略组映射成防火墙规则，同时执行冲突消解，再后自动配置到各虚拟防火墙与包预处理器中，该算法的步骤如下：

a.用户首先制定本组织的安全保护总目标；

b.用户划分与标识本组织内的安全域、信息资源、应用服务、以及用户角色分类，并根据总安全目标，确定以上各分类彼此的基本关联关系；

c.由各分类建立安全管理目标抽象类，包括安全域类、信息资源类、应用服务类、用户角色类；

d.由关联关系建立安全关联抽象类，表述各抽象类之间的条件关联；

e.针对以上建立的抽象类，由抽象到具体，自顶向下，建立具体类生成安全域对象、信息资源对象、应用服务对象、用户角色对象，以及安全关联对象；

f.由安全关联对象实现安全域对象、信息资源对象、应用服务对象、用户角色对象之间的条件关联对象；

g.由以上抽象类、安全关联抽象类，安全域对象等安全目标对象、安全关联对象映射生成由抽象规则及具体规则，实现防火墙规则的映射生成。

h.同时检查规则中可以出现的冲突，抽象规则优先级高于具体规则，实现防火墙规则的冲突消解。

所述步骤1)中，SOC硬件芯片是带有SDRM接口的FPGA芯片；所述各个预处理器采用硬件并行的处理方式。

与现有技术相比，本方法采用硬件芯片(带有SDRM接口的FPGA芯片)，作为防火墙数据包的预处理器，实现基于硬件芯片的包过滤，从而有效地提高了防火墙的数据包吞吐性能，同时本技术采用虚拟机技术，实现多个并行的虚拟防火墙，可对所保护的网络空间进行划分，针对不同网段分别配置虚拟防火墙，进行独立的安全配置管理，提高了防火墙并行处理与检测能力，同时基于虚拟机的安全管理扩展功能，可以实现更多安全保护功能与更细粒度的安全保护能力。

附图说明；

图1本发明的功能模块结构图

图2本发明的系统结构图

图3本发明的包预处理器结构图

具体实施方式：

下面结合附图与具体实施方式对本发明作进一步说明：

步骤1：实现高速网络数据包分发器：该芯片采用FPGA实现，包含IPv4/IPv6双协议栈，实现对数据包的初步解析，根据包的源/目的地位、以及防火墙安全管理策略的配置，将数据包分发至各数据包预处理芯片的内存空间；

步骤2：实现防火墙数据包预处理芯片：该芯片为基于FPGA设计的可重配置的数据包过滤器，主要包括协议分析器、数据包过滤器、数据包负载过滤器、可扩展模块、队列管理模块、流队列管理、虚拟防火墙内存映射模块，实现防火墙的第一道包过滤，提高防火墙数据包吞吐率；

步骤3：提供安全操作系统，作为虚拟机的安全运行支撑环境；作为虚拟防火墙所在的运行环境宿主，通过系统加密与内存安全管理，系统漏洞管理，虚拟机进程空间安全保护等技术手段实现的安全操作系统环境，以保障虚拟防火墙的自身安全；

步骤4：虚拟机防火墙的实现；采用虚拟机技术实现的防火墙功能模块，接收数据包预处理器发送的数据包，实现独立的、基于状态的安全监测，保护其所辖范围内的网络资源安全，且各个虚拟防火墙之间可以根据网络的实时情况，在统一的防火墙安全策略管理下，进行协作进一步提供防火墙的保护能力。

步骤5：基于虚拟机的安全功能扩展：该部分是在防火墙功能之外，基于虚拟机技术，实现诸如VPN，IPSec等其它安全功能模块，这些安全功能都可以通过本技术的虚拟机架构予以实现；

步骤6：虚拟机管理功能模拟的实现：该功能模块主要是用来实现防火墙中虚拟机的配置，以及必要的服务质量管理，根据网络实时情况分配虚拟防火墙的处理任务；

步骤7：防火墙管理功能模块的实现：该功能模块可基于网络实现对防火墙的系统管理，其中包括安全日志管理，实现防火墙的安全日志管理与数据备份；防火墙策略的配置与管理，提供图形化界面的策略配置与冲突分析支持等功能。警报与分析支持，主要提供多种安全警报与安全事件的分析支持。

本发明的改进还在于：

1.支持IPv6，IPv4/IPv6混合网络环境的通讯技术：实现了对IPV6，IPV4/IPV6混合网络应用环境的支持，适应网络技术升级趋势：作为下一代的互联网技术IPV6必将得到广泛应用，本技术培训创造性采用了混合网络协议栈的方式同时支持技术，使得本技术实现的防火墙产品能更好的适应未来的网络应用环境。

2.对高速网络的支持：本技术采用了带有SDRM接口的FPGA芯片，实现基于硬件芯片的包过滤，作为防火墙预处理数据包的加速器，从二个方面有效地提高了防火墙的整体性能。一是，预处理器采用硬件并行的处理方式，有效的提高了防火墙的整体数据处理能力，另一方面预处理器中包含流的管理，节省了虚拟防火墙的资源，也为虚拟防火墙实现细粒度的检测与多安全功能集成提供了有力的支持。

3.支持混合网络环境的安全保护：可以预见到IPv6网络即使成为网络的主流技术，在将来很长的一段时间内，IPv6与IPv4网络一定会因为网络软硬件升级过渡的原因，将会并存很长一段时间。因此下一代的防火墙必须要能实现对混合网络环境的安全保护。

4.支持分布式架构与协同保护功能：为了进一步提供防火墙的性能与处理速率，采用并行处理方式，可以有效地提高防火墙的整体吞吐率。此外，由于现在网络应用结构的复杂化，同一组织的网络可能会有多个进入点与边界保护点，为了实现组织的统一安全保障，分布在不同边界保护点的防火墙需要彼此协同，才能提供更有效的安全保护。因此下一代的防火墙需要支持分布式架构与协同保护功能。

5.可扩展的结构的与多安全功能集成：下一代防火墙系统应是一个可随意伸缩的模块化解决方案，从最为基本的包过滤器到带加密功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的防火墙体系。

在本方法使用中，首先用户要基于本技术所包含的防火安全策略配置图表工具来实现对防火墙的策略定制，具体的步骤包括；

2.分别针对网络设备的网络地址所组成逻辑单位域划分安全域，这些网络设备都有共同的安全策略与安全保护需求，在本项目中作为单一虚拟防火墙保护安全保护的基本单位。

3.针对网络设备上的具体应用定义服务，主要由一个网络协议与其一系列的属性来定义，每一个协议属性都是由一个谓词来定义，如协议包头的域、操作及其值等。这些谓词可以通过逻辑等式来进行扩展，进一步细化定义。

4.定义策略组，其是针对某个域中的网络设备相关的规则集合实现抽象表述，每个策略组由一系列的服务块组成，而每个服务块由都对该服务相关的规则组成。

5.当用户定义完策略组后，本项目提供算法直接将策略组映射成防火墙规则，同时执行冲突消解，再后自动配置到各虚拟防火墙与包预处理器中。

6.安装可选择的多类防火墙安全扩展功能模块，如VPN，IPSEC，垃圾邮件检测等；

7.将防火墙设备接入其所保护的网络，使其位于所保护网络的入口，启动防火墙服务器；

8.网络安全管理员通过防火墙人机交互界面，访问防火墙安全日志，审计各虚拟防火墙所保护的安全域安全态势判断与安全事件审计，以及安全策略的变更与维护管理。

Claims

1.一种基于SOC及并行虚拟防火墙的高性能防火墙实现方法，其特征包括步骤：

步骤2)由并行虚拟防火墙对预处理的数据包进一步处理：

2.根据权利要求1所述的基于SOC及并行虚拟防火墙的高性能防火墙实现方法，其特征是所述并行虚拟防火墙还具有基于虚拟机的安全功能扩展：该安全功能扩展是在防火墙功能之外，基于虚拟机技术，实现VPN、IPSec、病毒、木马和垃圾邮件的过滤。

3.根据权利要求1所述的基于SOC及并行虚拟防火墙的高性能防火墙实现方法，其特征是所述并行虚拟防火墙中，通过虚拟机的配置，以及服务质量管理，根据网络实时情况分配各个虚拟防火墙的处理任务。

4.根据权利要求1所述的基于SOC及并行虚拟防火墙的高性能防火墙实现方法，其特征是对本防火墙的管理是基于网络实现的，管理的内容包括：

安全日志管理：实现防火墙的安全日志管理与数据备份；

5.根据权利要求4所述的基于SOC及并行虚拟防火墙的高性能防火墙实现方法，其特征是所述防火墙策略的配置与管理中，防火墙策略制定与冲突消解：

a.用户首先制定本组织的安全保护总目标；

6.根据权利要求1所述的基于SOC及并行虚拟防火墙的高性能防火墙实现方法，其特征是所述步骤1)中，SOC硬件芯片是带有SDRM接口的FPGA芯片；所述各个预处理器采用硬件并行的处理方式。