專利名稱:一種基于fpga的網(wǎng)絡(luò)安全內(nèi)容處理卡的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)安全內(nèi)容處理技術(shù)領(lǐng)域��,具體而言���,涉及一種基于專用FPGA安全芯片的服務(wù)器網(wǎng)絡(luò)安全的內(nèi)容處理PCI板卡。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展�,網(wǎng)絡(luò)安全問題越發(fā)凸顯重要。病毒���、蠕蟲�����、黑客攻擊�、網(wǎng)上的有害信息等安全事件頻繁發(fā)生�����。病毒技術(shù)在不斷的發(fā)展,病毒利用操作系統(tǒng)和應(yīng)用程序的漏洞傳播�,同時(shí)集黑客、木馬等技術(shù)為一身��,傳播速度快�、破壞力強(qiáng)、智能程度高����,導(dǎo)致現(xiàn)在病毒防護(hù)不能依靠單一的防病毒系統(tǒng)。黑客的攻擊手段也是融合多種技術(shù)和利用多種方式����,有些網(wǎng)絡(luò)攻擊,覆蓋的內(nèi)容非常廣泛��,當(dāng)針對(duì)內(nèi)容或者系統(tǒng)漏洞的黑客和病毒攻擊的時(shí)候����,單一功能的防火墻和防病毒系統(tǒng)顯得無(wú)能為力��,需要跟其它安全設(shè)備配套使用����,比如IDS系統(tǒng)。IDS作為旁路系統(tǒng),在處理及時(shí)攻擊時(shí)很難阻止正在進(jìn)行的網(wǎng)絡(luò)攻擊�,采用聯(lián)動(dòng)方式也只能關(guān)閉少數(shù)服務(wù)和端口,有可能影響其它正常用戶的使用��,缺乏更有效的響應(yīng)處理機(jī)制����。比如在爆發(fā)沖擊波病毒的時(shí)候,IDS和防火墻聯(lián)動(dòng)還是阻擋不住沖擊波�����。同時(shí)在千兆網(wǎng)環(huán)境或者大流量沖擊�、多IP分片情況下,IDS自身的處理能力都成問題�����,不能適應(yīng)新的交換技術(shù)和高帶寬環(huán)境的發(fā)展�����。
針對(duì)內(nèi)容和應(yīng)用處理的安全產(chǎn)品(比如網(wǎng)關(guān)防病毒產(chǎn)品�、IDS、關(guān)鍵字過濾等產(chǎn)品)來(lái)說�,數(shù)據(jù)的采集和安全事件的處理是相當(dāng)耗費(fèi)資源的, 一旦在大流量的網(wǎng)絡(luò)上工作的時(shí)候,都會(huì)嚴(yán)重的消耗整個(gè)網(wǎng)絡(luò)帶寬和系統(tǒng)自身的資源����。同時(shí),如果處理能力不夠��,將有可能導(dǎo)致漏報(bào)�����,使得極端情況下的數(shù)據(jù)內(nèi)容檢測(cè)風(fēng)險(xiǎn)大大增加�����。當(dāng)安全產(chǎn)品在用戶網(wǎng)絡(luò)中的不斷發(fā)展和廣泛使用的同時(shí)�,產(chǎn)生了網(wǎng)絡(luò)安全產(chǎn)品和網(wǎng)絡(luò)應(yīng)用的矛盾����,特別是針對(duì)應(yīng)用和內(nèi)容的網(wǎng)絡(luò)安全產(chǎn)品����。隨著企事業(yè)單位的應(yīng)用也日趨復(fù)雜��,內(nèi)部的應(yīng)用也越來(lái)越多樣化,都會(huì)占用有限的帶寬,如何在相同的物理線路上,優(yōu)先保障重要的服務(wù)質(zhì)量和內(nèi)容����,同時(shí)又能解決安全問題�?
這需要面對(duì)以下兩對(duì)矛盾
1) 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)速度的矛盾��;
2) 網(wǎng)絡(luò)管理和網(wǎng)絡(luò)成本的矛盾�����;
在帶寬正常使用與網(wǎng)絡(luò)的安全保護(hù)對(duì)帶寬的消耗這一對(duì)矛盾的解決中,呼喚出
4具備高速、深入地分析和處理大量網(wǎng)絡(luò)數(shù)據(jù)包的功能的產(chǎn)品���。而基于FPGA芯片的網(wǎng)絡(luò)安全內(nèi)容處理卡正是解決以上矛盾的安全產(chǎn)品。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于FPGA安全芯片的服務(wù)器網(wǎng)絡(luò)安全內(nèi)容處理卡,為實(shí)現(xiàn)上述目的�����,
本發(fā)明的技術(shù)方案是按以下方式實(shí)現(xiàn)的����,以專用FPGA安全芯片為主,采用PCI板卡的形式插在服務(wù)器PCI插槽中�,通過PCI Express接口協(xié)議與服務(wù)器進(jìn)行數(shù)據(jù)通信。不占用服務(wù)器系統(tǒng)資源����,與服務(wù)器硬件平臺(tái)、操作系統(tǒng)無(wú)關(guān)����。該處理卡通過千兆網(wǎng)口與以太網(wǎng)連接��,完成數(shù)據(jù)的接受����、發(fā)送功能�����。所述千兆網(wǎng)口�,以lOOObaseT接口方式完成對(duì)以太網(wǎng)數(shù)據(jù)包的接受和發(fā)送�����。同時(shí)���,可以與遠(yuǎn)端的計(jì)算機(jī)進(jìn)行以太網(wǎng)網(wǎng)絡(luò)連接通訊����,接收安全策略管理命令�����,完成遠(yuǎn)程管理�。所有內(nèi)容處理算法載入在自主知識(shí)產(chǎn)權(quán)的FPGA專用芯片內(nèi),該芯片査找CORE在接口上具有高兼容性,能對(duì)不同的數(shù)據(jù)來(lái)源進(jìn)行處理����。無(wú)論數(shù)據(jù)流的輸入是來(lái)自網(wǎng)絡(luò)上的數(shù)據(jù)包和流�����,還是內(nèi)存中的數(shù)據(jù)���,都能夠被CORE進(jìn)行高效的處理。
對(duì)于來(lái)自網(wǎng)絡(luò)上的數(shù)據(jù)包和流,核心査找C 0 R E能夠?qū)?shù)據(jù)包和整流進(jìn)行深度檢查��,以字節(jié)為比較單元,核心査找CORE將數(shù)據(jù)包和流分解為以字節(jié)為單位的字節(jié)流與規(guī)則庫(kù)中的字節(jié)逐一比對(duì)����,對(duì)于命中規(guī)則的數(shù)據(jù)包和流按照預(yù)定的安全策略進(jìn)行丟棄���、轉(zhuǎn)發(fā)��、記日志等配套動(dòng)作�����。
本發(fā)明支持兩類査找方式兩類方式的級(jí)聯(lián)使用����,進(jìn)行更深入準(zhǔn)確的內(nèi)容査找和處理�。對(duì)于來(lái)自以太網(wǎng)接口的以太數(shù)據(jù)包進(jìn)行全包整流內(nèi)容檢測(cè)方式處理。在該方式下,支持基于數(shù)據(jù)包和流的深度內(nèi)容檢測(cè)�����、分流和流量控制���,對(duì)匹配規(guī)則的數(shù)據(jù)包和流執(zhí)行相關(guān)的配套動(dòng)作��,能減輕系統(tǒng)進(jìn)一步處理的負(fù)擔(dān)����;對(duì)于來(lái)自CPU的數(shù)據(jù)進(jìn)行基于內(nèi)存的內(nèi)容査找方式處理�,該數(shù)據(jù)既可以是軟件發(fā)送過來(lái)的單個(gè)數(shù)據(jù)包,也可以是內(nèi)存中的一片數(shù)據(jù)。該方式能給CPU的査找提供加速功能���,尤其是在大數(shù)據(jù)量�,多規(guī)則的情況下��,效果非常明顯���。本發(fā)明的技術(shù)解決方案是���,以FPGA安全芯片為基礎(chǔ),采用PCI板卡的形式插在服務(wù)器PCI插槽中���,通過PCIExpress接口協(xié)議與服務(wù)器進(jìn)行數(shù)據(jù)通信��,實(shí)現(xiàn)千兆線速下服務(wù)器數(shù)據(jù)包逐字節(jié)的內(nèi)容檢查�����、內(nèi)容標(biāo)簽以及流重組�。同時(shí)可以實(shí)現(xiàn)網(wǎng)絡(luò)流量實(shí)時(shí)控制、阻斷和入侵檢測(cè)���、日志審計(jì)等功能�。
本發(fā)明的有益效果FPGA芯片査找C0RE具備高達(dá)2 G數(shù)據(jù)的內(nèi)容處理能力����,算法可平滑過渡到更高性能,在對(duì)數(shù)據(jù)進(jìn)行內(nèi)容查找和處理的同時(shí)�����,不影響系統(tǒng)效率�����。
5支持兩類査找方式��,兩類方式的級(jí)聯(lián)使用����,進(jìn)行更深入準(zhǔn)確的內(nèi)容査找和處理���。 對(duì)于來(lái)自以太網(wǎng)接口的以太數(shù)據(jù)包進(jìn)行全包整流內(nèi)容檢測(cè)方式處理�����。在該方式下�����, 支持基于數(shù)據(jù)包和流的深度內(nèi)容檢測(cè)�����、分流和流量控制��,對(duì)匹配規(guī)則的數(shù)據(jù)包和 流執(zhí)行相關(guān)的配套動(dòng)作�,能減輕系統(tǒng)進(jìn)一步處理的負(fù)擔(dān);對(duì)于來(lái)自CPU的數(shù)據(jù) 進(jìn)行基于內(nèi)存的內(nèi)容査找方式處理��,該數(shù)據(jù)既可以是軟件發(fā)送過來(lái)的單個(gè)數(shù)據(jù)包���, 也可以是內(nèi)存中的一片數(shù)據(jù)����。該方式能給CPU的査找提供加速功能�,尤其是在 大數(shù)據(jù)量,多規(guī)則的情況下��,效果非常明顯。不占用服務(wù)器系統(tǒng)資源��,與服務(wù)器 硬件平臺(tái)���、操作系統(tǒng)無(wú)關(guān)���,
圖l為板卡系統(tǒng)結(jié)構(gòu)圖; 圖2為數(shù)據(jù)流程圖�。
附圖標(biāo)記醒U:包調(diào)度模塊;ACL:接入控制模塊���;SEACHCORE:安全策略
查找核心模塊
具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明板卡的功能實(shí)現(xiàn)作以下詳細(xì)的描述����。
如圖1所示�����,本發(fā)明由專用FPGA安全芯片���、千兆網(wǎng)口模塊(88E1145) 、 PCI 接口 (PEX8311)�����、電源模塊、SMM等組成�。本發(fā)明主要模塊功能如下
FPGA芯片主要實(shí)現(xiàn)入侵防御、內(nèi)容過濾��、流量監(jiān)控�����,安全審計(jì)�、安全策 略調(diào)度等邏輯功能。
千兆網(wǎng)口模塊(88E1145):以1000baseT接口方式完成對(duì)以太網(wǎng)數(shù)據(jù)包的接 受和發(fā)送�����。同時(shí)����,可以與遠(yuǎn)端的計(jì)算機(jī)進(jìn)行以太網(wǎng)網(wǎng)絡(luò)連接通訊,接收安全策略 管理命令�,完成遠(yuǎn)程管理。
PC I接口 (PEX8311):完成板卡通過PCI Express接口協(xié)議與本地C PU
進(jìn)行數(shù)據(jù)通信���。
電源模塊完成板卡各個(gè)模塊所需不同電壓的轉(zhuǎn)換及管理����。 如圖2所示,將本發(fā)明板卡插入服務(wù)器P C I插槽中��,通過網(wǎng)線與交換機(jī)連接 到以太網(wǎng)��,通過管理平臺(tái)下發(fā)安全策略后���,即可實(shí)現(xiàn)千兆線速下服務(wù)器數(shù)據(jù)包逐 字節(jié)的內(nèi)容檢査����、內(nèi)容標(biāo)簽����、流重組、入侵檢測(cè)����、流量控制、日志審計(jì)等功能��。 詳細(xì)的數(shù)據(jù)流程如下如附圖2所示
1) 數(shù)據(jù)從GEO口輸入�����,經(jīng)過88E1145進(jìn)入FPGA的ACL模塊����, 如果匹配上ACL規(guī)則,則按照ACL規(guī)則定義的動(dòng)作執(zhí)行�����;如果動(dòng)作為DR0P��,則 該包丟棄���;如果動(dòng)作需要記R志���,則把該包發(fā)送到88E1145;如果動(dòng)作為PASS,
6則送到PLX8311然后通過PCIE送到安全服務(wù)器�����。如果未匹配上ACL規(guī)則����,則送到 SEARCHCORE做基于RULE規(guī)則的過濾,然后根據(jù)匹配結(jié)果送PCIE或GE0。
數(shù)據(jù)從PCIE輸入�����,經(jīng)過PLX8311再到SEARCHCORE;如果未匹配—h RULE規(guī)則���, 則數(shù)據(jù)包經(jīng)過88E1145到GEO;如果匹配上RULE規(guī)則����,則根據(jù)RULE的ACI0N做相 應(yīng)的處理�����。
總的來(lái)說���,從GEO輸入的網(wǎng)絡(luò)數(shù)據(jù)包需要經(jīng)過ACL和SEARCHCORE兩級(jí)安全過 濾����;從PCIE輸入的數(shù)據(jù)包只經(jīng)過SEARCHCORE過濾����;日志信息和管理信息都通過 GEO發(fā)送到管理平臺(tái)。
本發(fā)明板卡可以在單個(gè)服務(wù)器中使用���,也可以在多個(gè)服務(wù)器集群使用����。該板卡 核心功能通過專用FPGA芯片組實(shí)現(xiàn)����,可達(dá)到千兆線速的數(shù)據(jù)包的處理速度,并且 不占用服務(wù)器CPU資源.不會(huì)降低服務(wù)器的性能�。因此本發(fā)明在提高了服務(wù)器對(duì) 網(wǎng)絡(luò)數(shù)據(jù)流的處理性能的同時(shí),又保留了靈活的處理方式�����。
所述千兆網(wǎng)口����,以lOOObaseT接口方式完成對(duì)以太網(wǎng)數(shù)據(jù)擺的接受和發(fā)送,同 時(shí)����,與遠(yuǎn)端的計(jì)算機(jī)進(jìn)行以太網(wǎng)網(wǎng)絡(luò)連接通訊,接收安全策略管理命令���,完成遠(yuǎn) 程管理����。
所有內(nèi)容處理算法載入在FPGA專用芯片內(nèi),F(xiàn)PGA芯片查找CORE在接口上具 有高兼容性�,能對(duì)來(lái)自包括來(lái)自網(wǎng)絡(luò)和內(nèi)存的數(shù)據(jù)包和數(shù)據(jù)流進(jìn)行高效的處理。
對(duì)于來(lái)自網(wǎng)絡(luò)上的數(shù)據(jù)包和流�����,F(xiàn)PGA芯片查找CORE對(duì)數(shù)據(jù)包和整流進(jìn)行深度 檢查�����,處理到內(nèi)容級(jí)��。
權(quán)利要求
1��、一種基于FPGA的網(wǎng)絡(luò)安全內(nèi)容處理卡����,其特征在于以FPGA安全芯片為主,采用PCI板卡的形式插在服務(wù)器PCI插槽中���,通過PCI Express接口協(xié)議的方式與服務(wù)器進(jìn)行數(shù)據(jù)通信��,通過千兆網(wǎng)口與外網(wǎng)連接�,完成數(shù)據(jù)的接受、發(fā)送功能�����,實(shí)現(xiàn)千兆線速下服務(wù)器數(shù)據(jù)包逐字節(jié)的內(nèi)容檢查���、內(nèi)容標(biāo)簽以及流重組���,同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)流量實(shí)時(shí)控制��、阻斷�����、入侵檢測(cè)和日志審計(jì)功能���,網(wǎng)絡(luò)安全內(nèi)容處理卡是由FPGA安全芯片���、千兆網(wǎng)口模塊、PCI接口�、電源模塊、SRAM等組成�,各模塊的功能如下FPGA芯片主要實(shí)現(xiàn)入侵防御��、內(nèi)容過濾��、流量監(jiān)控�����,安全審計(jì)�����、安全策略調(diào)度的等邏輯功能�����;千兆網(wǎng)口模塊�����,型號(hào)是88E1145以1000baseT接口方式完成對(duì)以太網(wǎng)數(shù)據(jù)包的接受和發(fā)送�,同時(shí)��,與遠(yuǎn)端的計(jì)算機(jī)進(jìn)行以太網(wǎng)網(wǎng)絡(luò)連接通訊��,接收安全策略管理命令����,完成遠(yuǎn)程管理����;PCI接口��,型號(hào)是PEX8311功能是完成板卡通過PCI Express接口協(xié)議與本地CPU進(jìn)行數(shù)據(jù)通信�����;電源模塊完成板卡各個(gè)模塊所需不同電壓的轉(zhuǎn)換及管理��;詳細(xì)的數(shù)據(jù)流程如下1)數(shù)據(jù)從GEO口輸入����,經(jīng)過千兆網(wǎng)口模塊進(jìn)入FPGA的ACL模塊��,匹配上使用ACL規(guī)則�,則按照ACL規(guī)則定義的動(dòng)作執(zhí)行;動(dòng)作為DROP��,則該包丟棄���;動(dòng)作需要記日志���,則把該包發(fā)送到88E1145�;動(dòng)作為PASS�,則送到PLX8311然后通過PCIE送到安全服務(wù)器;未匹配上ACL規(guī)則�,則送到SEARCHCORE做基于RULE規(guī)則的過濾,然后根據(jù)匹配結(jié)果送PCIE或GEO����;數(shù)據(jù)從PCIE輸入,經(jīng)過PLX8311再到SEARCHCORE���;未匹配上RULE規(guī)則�����,則數(shù)據(jù)包經(jīng)過88E1145到GEO����;匹配上RULE規(guī)則�����,則根據(jù)RULE的ACION做相應(yīng)的處理;從GEO輸入的網(wǎng)絡(luò)數(shù)據(jù)包需要經(jīng)過ACL和SEARCHCORE兩級(jí)安全過濾����;從PCIE輸入的數(shù)據(jù)包只經(jīng)過SEARCHCORE過濾;口志信息和管理信息都通過GEO發(fā)送到管理平臺(tái)�����。
2���、 根據(jù)權(quán)利要求l所述的網(wǎng)絡(luò)安全處理方法���,其特征在于所述千兆網(wǎng)口, 以lOOObaseT接口方式完成對(duì)以太網(wǎng)數(shù)據(jù)擺的接受和發(fā)送���,同時(shí)�,與遠(yuǎn)端的計(jì)算 機(jī)進(jìn)行以太網(wǎng)網(wǎng)絡(luò)連接通訊���,接收安全策略管理命令,完成遠(yuǎn)程管理�����。
3�����、 根據(jù)權(quán)利要求l所述的網(wǎng)絡(luò)安全處理方法,其特征在于所有內(nèi)容處理算法載入在FPGA專用芯片內(nèi)�����,F(xiàn)PGA芯片査找CORE在接口上具有高兼容性�����,能對(duì)來(lái)自包括來(lái)自網(wǎng)絡(luò)和內(nèi)存的數(shù)據(jù)包和數(shù)據(jù)流進(jìn)行高效的處理�����。
4�����、根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)安全處理方法��,其特征在于對(duì)于來(lái)自網(wǎng)絡(luò)上 的數(shù)據(jù)包和流���,F(xiàn)PGA芯片査找CORE對(duì)數(shù)據(jù)包和整流進(jìn)行深度檢查�����,處理到內(nèi)容級(jí)���。
全文摘要
本發(fā)明涉及一種基于FPGA的網(wǎng)絡(luò)安全內(nèi)容處理卡�。本發(fā)明提供一種解決日益嚴(yán)重的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)速度���、網(wǎng)絡(luò)管理與網(wǎng)絡(luò)成本的矛盾的方法��。該方法是以FPGA安全芯片為主�,采用PCI板卡的形式插在服務(wù)器PCI插槽中����,通過PCI Express接口協(xié)議的方式與服務(wù)器進(jìn)行數(shù)據(jù)通信,通過千兆網(wǎng)口與外網(wǎng)連接���,完成數(shù)據(jù)的接受�、發(fā)送功能����,實(shí)現(xiàn)千兆線速下服務(wù)器數(shù)據(jù)包逐字節(jié)的內(nèi)容檢查����、內(nèi)容標(biāo)簽以及流重組�����,同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)流量實(shí)時(shí)控制����、阻斷����、入侵檢測(cè)和日志審計(jì)功能,采用本發(fā)明可以減少組網(wǎng)費(fèi)用����,節(jié)省服務(wù)器CPU資源,使CPU專注完成其他功能�����,提高系統(tǒng)整體性能����。
文檔編號(hào)H04L29/06GK101483649SQ20091001369
公開日2009年7月15日 申請(qǐng)日期2009年2月10日 優(yōu)先權(quán)日2009年2月10日
發(fā)明者周海波, 支阿龍 申請(qǐng)人:浪潮電子信息產(chǎn)業(yè)股份有限公司