天清汉马usg防火墙技术白皮书_v3

天清汉马usg防火墙技术白皮书_v3内容摘要：

图 2. 天清汉马 USG 基于 MIPS64的多核硬件架构 为了满足云计算的 安全 趋势， 2020 年启明星辰 USG 防火墙 产品 全面切换为基于 MIPS64 的多核 SoC 硬件架构，为用户网络提供更加安全、高效、可靠、环保和节能的安全网关产品。 软件结构 防火墙 作为网关类产品，究竟什么样的软件结构更有利于提升整体性能。 那么首先需要知道什么是性能消耗的关键业务单元。 启明星辰通过对网关类产品单一分析处理引擎的详细分析和试验验证，得出网关类产品性能消耗 50％来自于模式匹配， 25％来自于协议重组、 25％来自于报文重组 的结论。 天清汉马 USG 防火墙 技术白皮书 北京启明星辰信息 安全 技术有限公司 9 图 3. 网关分析处理引擎性能消耗分析 如何融合分析处理引擎，合并性能消耗关键业务单元成为 防火墙 产品软件结构设计首要考虑的问题。 基于研究数据，启明星辰在天清汉 马 USG 防火墙 的软件结构设计上引入了一体化的设计理念。 即将 防火墙 、 VPN、内容过滤和流量管理等各项功能的分析处理引擎进行一体化设计，以达到性能最优的目的。 天清汉马 USG 防火墙 本着安全高效原则， 采用 “检测与控制相分离，引擎特征相统一 ”的一体化设计思想 ： 人机界面、报文接收模块、报文处理模块、报文发送模块和支撑库。 网络报文首先通过报文接收模块进行预处理后进入报文处理模块，在报文处理模块，防火墙进行 2－ 3 层过滤， VPN 负责接入控制；其次模块匹配引擎和行为分析引擎分别根据统一特征库和行为知识库进行匹配查找；最后， 对于合法报文直接交由报文发送模块进行报文转发，对于非法报文，送交 相应 的处理引擎进行处理。 整个过程的日志信息和数据流量信息送 集中管理与数据分析中心 监控和备案，管理中心负责整体的配置和调整。 管理结构 优秀的管理系统是产品能否有效利用的关键，天清汉马 USG 防火墙 提供了灵活且丰富的管理系统。 包括简洁的单机管理器，也包括适合网关批量部署的分布式的集中统一管理中心；既提供了设备配置管理能力，又提供了强大的数据分析能力。 产品的管理结构具体如下图： 天清汉马 USG 防火墙 技术白皮书 北京启明星辰信息 安全 技术有限公司 10 图 4. 天清汉马 USG 管理结构示意图 天清汉马 USG 防火墙 提供集中管理和单 机管理相结合的双重管理机制。 在USG 防火墙设备 软件中集成了 Web Server 和 Manage agent 功能， Web Server提供本地单机方式的 Web 管理； Manage agent 提供集中管理和数据 分析 中心的信息采集和发送任务。 整个传输过程采用 SSL加密机制。 天清汉马 USG 防火墙 的双重管理结构实现了 “ 管理分层，功能分级 ” 的管理思想，一方面 USG 防火墙设备 自身的 Web Server 提供了单机的 Web 管理机制，用于进行详细的功能设置；集中管理 功能 通过内置在 USG 防火墙设备 中的Manage agent 获取系 统状态信息、流量信息和版本信息，用于进行整体的设备状态显示。 同时以分组的方式管理设备，以组为单位进行远程统一配置、升级等操作，并可以将管理的 USG 防火墙设备 按照一定的规则进行组织成层次结构，便于用户逻辑的标识所管理的设备。 天清汉马 USG 防火墙 技术白皮书 北京启明星辰信息 安全 技术有限公司 第 11 页 4 关键技术 天清汉马 USG 防火墙 采用了多种专利技术和创新技术，为确保多种安全能力的融合，性能的持续 恒定 起到了重要作用。 多核 智能驾驭技术 新一代的防火墙 产品具有 3 大技术特点：吞吐密集、运算密集、应用层特性匹配密集。 这 3 大特点对硬件平台提出了极大的挑战，也正是基于此， 防火墙 过去饱尝性能瓶 颈之苦。 目前 ， X86 平台常见的多核处理器是 4 核，而 SoC 多核平台已最高可达 16 核，单从 CPU 内核的数量上就已经高出 4 倍。 不仅如此，Cavium 多核芯片专为 信息 安全产品应用量身内置了一系列专用硬件，使得最终构建出的产品在性能、稳定性上很易于达到电信级标准。 吞吐密集：针对 信息安全产品 应用特点， Cavium 多核 CPU 设计了高达640Gbps 的内部总线带宽，是目前 4 核 X86CPU 最高总线带宽的 6 倍，充分保障高性能的可实现。 片内集成了收发包模块，千兆、万兆等的线速接口器件，与总线直连，充分保障各业务接口的线速性能 和系统并行度，并最大限度的减少CPU 在此方面的开销。 不同于 X86 架构下需要用北桥、内存控制器实现内存操作， Cavium 多核 CPU 片内集成了 DDR2/RLDRAM2 内存控制器，避免了内存成为平台性能的瓶颈。 运算密集： Cavium 多核 CPU 可支持高达 16 个 CPU 核，每 CPU 核既可用于处理不同的业务又可统一调度协同运算，共同为运算提供澎湃动力。 每 CPU核集成了一个专门针对包处理应用特点而开发的指令集，可通过指令直接进行位域操作、面向字节的操作等，不必再向 X86 架构下的多条指令实现一个功能，结合 RISC CPU 短指令集对于多分支执行的优势，设备对于面向包处理的复杂应用层业务的运算效率提高了 23 倍。 虽然 SOC 多核硬件平台具备强大的性能优势， 但 X86 平台属于通用 硬件平台，具有开发难度小的优势，而 SoC 多核平台属于专用 硬件平台， 驾驭难度相当高。 尤其是计算性能的提升，是否能随核数的增多而达到线性的增长。 这其中需要在多核硬件的基础上作大量的原创性设计。 天清汉马 USG 防火墙 技术白皮书 北京启明星辰信息 安全 技术有限公司 第 12 页 启明星辰从 2020 年开始踏入多核领域，从平台选型、平台预研到最终的产品化交付，共经历了两年半的时间。 在此过程中经过不断的摸索与尝试终攻克了一系列 难题，最终成功驾驭了多核计算。 事件关联分析技术与归并处理机制 对用户的多个网络行为进行关联，是提高检测精度的有效手段。 比如一个用户首先对 HTTP 服务进行了慢速 CGI 扫描，服务端反馈的结果证明其运行了可能含有漏洞的某个 CGI，之后该用户又发送了包含 ShellCode 的请求，从这两次行为分别看，每个都不能绝对的将其界定为恶意行为，如果将两个行为联系起来，则基本可以确定该行为的高风险等级。 针对大规模的监测系统应用中可能出现一个网络异常行为在多个监测点作为事件报告而形成事件洪流的问题，数据关联性分析模块首次提出 并采用了基于统计分析的二次事件分析技术，能够对不同时间、不同地点、不同事件的大量信息进行统一处理，简洁、准确地报告出正确的网络安全事件。 高速深层检测技术  高精度应用层协议分析 协议分析是深度检测必不可少的环节，它可以减少特征匹配的计算量，提高匹配精度。 但是深度的协议分析本身也需要相当大的计算量，如何既保证特征匹配和文件还原所需的分析精确度，又不占用过多的资源，是高速环境下必须面对的课题。 我们将主要通过以下两方面来解决这一问题， 1) 基于攻击研究和特征知识库选择分析深度。 协议分析不需要的无限制的精细，否则入侵防 御系统将变成一个低效的应用代理系统，协议分析应该建立在对网络攻击研究的基础上，对特征知识库中需要的协议信息进行分析，这点的实现关键集中在攻击研究上，软件实现中可通过编译时的条件控制和运行时对特征库进行扫描设置相应开关完成； 2) 高效协议自识别算法。 对于非周知端口的通信，需要通过内容识别其所属的协议类型。 这一内容识别的过程类似于攻击检测的特征识别过程，可以通过多阶段分析和匹配算法的选择降低计算开销。 天清汉马 USG 防火墙 技术白皮书 北京启明星辰信息 安全 技术有限公司 第 13 页  多模匹配算法选择 由于在一个报文的匹配中，最为耗时的匹配运算是在报文中匹配多个串模式。 过去的几十年中学术界提出了若 干的多模匹配算法，并且在工业界得到了很好的应用，比如 AC 算法、 WM 算法在软件检测系统中证明了其优秀的性能。 在以往的多模匹配算法通常是在理论分析的基础上，在 IA32 架构和随机数据源上进行实验选择，且算法一经确定就固化在软件中。 实际这样得出的算法不能保证在所有的处理器架构和数据源条件下都保证是已知算法中最优的。 现在在学术界存在多种多串并行匹配的算法，在商业产品中应用较多有AhoCorasick、 WuManber 和 ExB 算法或它们的变种。 根据研究发现，所有这些算法的性能分析全部是基于理想的存储模型，忽略访 存的性能开销。 由于存储器速度远低于处理器速度，两者相差一个数量级以上，为避免存储。