利用硬件加速方法提高网络安全性能
发布时间:2008/5/29 0:00:00 访问次数:523
| 网络带宽消耗已经成为现代网络中的“瓶颈”问题。除了消耗网络带宽,垃圾邮件(spam)、蠕虫或病毒等引起的“代价”还包括在终端节点需花费大量时间去处理这些问题。随着mp3播放器和视频播放的普及,那些提供下载和点对点(p2p)服务的数据流已成为当前网络传送的主要数据。每秒数兆比特的p2p流量在快速以太网或吉比特以太网中也许不算是最重要的部分,但它们无疑会流经连通网络与外界的dsl/t1或其它链路。
在数字时代,同样会有大量恶意的数据流在网络上传输,其中包括计算机病毒、恶意软件、垃圾邮件以及拒绝服务攻击(dos)等。有关数据显示,网络病毒对经济的影响非常大,近几年来每年用米清理网络数据的费用高达数十亿美元,以保证安全设备、应用加速设备和其它网络设备的正常工作,并最终让用户更高效地利用带宽。 以上所有设备的一个共同点是,需要查找第三层(ip)协议头,(header)到应用协议层的开放系统互连(osi)栈。同时,所需性能水平的增长速度高于网络中有害流量的增长速度。那些目前在网络上提供这些服务的通用cpu能否继续提供必需的性能以阻止这些有害流量进入并通过网络传播吗?不论是将这一更高层处理称为“应用敏感”型还是“内容敏感”型,事实上,所有这些安全风险和最新低优先级流量都在使用与高优先级流量相同的第3层、第4层甚至第7层网络协议。无论是p2p数据流使用知名端口(例如80端口)伪装成wcb数据流以便顺利通过防火墙,还是垃圾邮件使用与用户急需业务以及私人电子邮件相同的简单邮件传送协议(smtp)连接,如果不深入分析应用层是无法识别出数据流的。 目前市场上已经存在许多解决方案可以处理这个问题,如采用确定的有限自动机(dfa)或非确定的有限自动机(nfa)算法的正规表达式引擎,连同表查找来确定连接层细节。或者可以使用专门处理方法来评估每种模式匹配以及从网络连接收集到的任何其它信息。不过,所有这些方法均在未针对上述类型操作优化的通用cpu上处理。 最难监测的应用层攻击包括针对协议栈及其缺陷而精心设计的攻击,它们会对网络以及存储在网络节点上的数据造成严重破坏。这类攻击的例子包括:病毒将自己附在电子邮件的一个可执行文件上,并对计算机造成严重破坏;蠕虫病毒利用用户自己的系统资源繁殖并扩散到其他用户;甚至还可以是特洛伊木马,它看起来像有用的软件工具,但一旦执行就会在计算机中建立后门,从而方便恶意行为的入侵。在网络节点处监测这些应用层攻击应首先监控该系统的每个连接,再决定是否需要进一步处理。 这种监控方法要求跟踪所有连接的协议状态,并对每个面向更深入应用层处理的连接的某些状态进行连续监视。每个连接必须基于逐包(packet-by-packet)处理机制来处理,对数据包进行详细分析以找出能够指示数据流类型的特征信息,藉以警告软件小心这一连接;或者寻找组合特征信息来检测某些特殊攻击,并阻止其向其它网络资源进一步扩散。目前许多设备是在通用cpu上用软件实现这些功能的。但是,这些设备并不具备足够的性能来处理流经该网络节点的所有数据流。为了能在网络节点中以处理一定数据流量(保证网络带宽安全所必需的流量)所要求的性能完成该任务,设计工程师需要采用硬件加速方法来实现大部分模式匹配数据包处理。这样cpu也能更有效地完成任务。 利用硬件加速方法解决问题 采用这种目标硬件加速方法可以将性能等级从每秒数百兆比特提升到每秒数吉比特。它还能释放通用cpu周期,使之更好地执行其它需要更多灵活性的功能。 与运行在cpu上的软件相比,目标硬件能以更高的性能水平更好地处理各种功能。只要软件能够容易地使用该硬件提供的特性和功能,那么只需要少量软件开发成本就能迅速提升性能。这种性能的提升允许网络系统以更高的吞吐量处理更高层的数据包,同时仍然保持全部性能水平。此外,更高性能将允许系统在网络的许多地方提供网络服务质量(qos)、应用协议加速、入侵防护、杀毒、恶意软件和垃圾邮件检测与阻止功能。 例如,在一个典型的网络中,每台pc机和服务器都有其杀毒软件。因此,如果没有中央网络杀毒(av)设备,在一个拥有两万以上员工的公司中,为全部两万多台pc机和服务器更新最新的操作系统补丁和新的特征数据就需花费数周或数天的时间。 56页图1所示提供了一种不同的解决方案。用户可以增加一个独立的隔离区(dmz),该区域带有一台运行av软件的服务器。av软件将与能够满足用户需要的防火墙/vpn以及正常邮件服务器一起工作。将来用户可以用增加了av支持的统一威胁管理/集成多业务路由器(utm/isr)来取代防火墙/vpn(虚拟专用网络)。采用这种架构仅需
|
公网安备44030402000607
