导航菜单

基于网络处理器的安全路由器设计与实现

韩林

(北京首都国际机场股份有限公司,中国 北京 100621)

【摘要】随着信息技术和计算机网络的飞速发展,路由器的功能已经从简单的发送向提供灵活的集成服务和区分服务发展,这些都对路由器的硬件、软件体系结构提出了更高的要求。

教育期刊网 http://www.jyqkw.com
关键词 安全路由器;网络处理器;系统设计

0 前言

伴随着科学技术的发展,信息化建设已经成为推动社会发展的强大动力。在新的世纪,信息技术的竞争将是全球竞争焦点,而信息技术的竞争,主要取决于信息网络的建设水平,尤其是路由器技术作为网络的核心技术之一,将发挥越来越重要的作用。它是局域网与局域网、局域网和广域网之间的通信要塞,是实现网络互连的核心设备。

1 网络处理器的工作原理

为了增强网络处理器的处理能力,缓解链路带宽,且兼顾处理需要的编程性与灵活性,网络处理器本身要具有以下几个方面的功能:(1)具备网络分组并行处理的能力。(2)具有高效处理速度,可以实现分组的实时处理。(3)具有一定数量的专用网络协处理器。(4)具备高度可编程性以及可扩展性。(5)能够快速投向市场,尽量减小再开发周期。

总体来说,网络处理器采用的是以下几个硬件网络处理方法:

1)流水线与并行处理技术

网络处理器内部通常是多内核(multi-core)结构。此种内核通常可分两种:一是具备一般水平运算和存储能力的单元Pes(processing elements);另一种则是能够实现特定处理能力的性能模块Fus(function units),如CRC校验等等。现有商业网络处理器当中,以上两种单元通常采用流水线与并行处理这两种机制,当中流水线机制是每个内核被设计为具备特定功能的模块,此类模块以流水线的方式组织起来完成分组处理任务。

2)完善的内存管理与DMA单元

在普遍的多处理器系统当中,内存操作通常是系统开销的大瓶颈。而普通的网络处理器要对分组进行复制和存储等处理,要执行很大量存储操作。

2 网络处理器的体系结构

网络处理器将软件的灵活可定制性同硬件的性能有机的结合到一起,从而使系统设计者能够将主要精力集中在功能的开发上,模块化的设计有效的延长了产品的生命周期,避免了重复性的二次开发。网络处理器实现的典型功能包括:

1)分帧和组帧(SAR)

帧的分解、处理、然后转发而重装。

2)协议识别和分类

帧基于标识信息而被识别,例如协议类型,端口号,目的URL或其他应用或者特定协议信息等。

3)排队和存取控制

一旦帧被识别后,它们被置于适当的队列中以便实现进一步处理,譬如优先处理、流量整形。另外,根据安全存取政策规则对帧进行逐项核对,以便判断它们是否应该转发或丢弃。

4)流量工程

一些协议或应用需要被整形,以保证能达到所要求的延迟或者延时变化的要求,正如流量被释放到电缆或光纤中一样。同时根据其他要求指定不同的通道间流量的优先权,以及消息类型。

5)服务质量QoS

为了QoS而适当地进行流量整形,帧可能需要被加上标签,以便在整个网络的范围内实现后继快速处理。

3 安全路由器的系统设计

3.1 路由器安全结构

路由器安全系统主要有四部分:管理/日志服务器、CA认证服务器、路由器的主体及用户终端。其中CA系统主要有CA认证服务器、客户端软件及支撑PKI的服务系统。PKI开发应符合PKIS标准,其中,CA中心有通用中心的一切功能。管理/日志服务器通过专用管理的接口与SR连接,功能主要有:审计、管理界面以及警报机制。管理界面提供了基于GUT风格个远程与本地管理,提供对于路由器集中管理及访问列表的控制,有防火墙配置与监控。

3.2 安全路由器软件结构

安全路由器的主要功能都体现在安全路由器主体 (SR)的软件设计上,其中主要包括两个方面的功能:分组的转发和安全的处理。因为路由协议及第3层分组的通用性,在这里不再做详细的介绍,这里重点介绍了路由器安全处理内容中的设计及特点。根据IXP1200处理器的主要特点及软件的设计要求,整个网络系统运用模块化进行划分,这样实现了各模块的独立性,以有助于维护和扩展和。整个设计分为三层:控制平面、数据平面和通信子层。

设计分为三层:控制平面、数据平面和通信子层。

3.3 安全路由器硬件结构

为实现共享并行多处理器交换式体系结构,解决单处理器共享总线式体系结构、多处理器共享总线体系结构、多处理器交换式体系结构存在的问题,安全路由器基于网络处理器来进行设计,具体的硬件体系结构图如下所示:

3.4 重要功能及特点介绍

1)基于PKI的授机认证(用户管理):基于用户名和用户密码的认证系统很容易遭受密码截获、重放和暴力猜测等攻击,安全性能比较差。公开密钥体系和数字签名技术能提供良好的私有性、完整性和抗否认性安全服务,在安全路由器中,若使用公开密钥加密的身份认证,可在用户登录时确保高强度的安全性。

2)基于列表的包过滤(防火墙处理):安全路由器包过滤的功能是对指定IP包进行包过滤,并且按照设定策略对IP包进行统计和日志记录,主要根据IP包的如下信息进行过滤:源IP地址、目的IP地址、协议类型、TCP/UDP端口、ICMP报文类型域和代码域、碎片包以及其它标志位,如SYN、ACK位。

3)强大的IDS功能(策略处理):根据建立的攻击模式库侦察攻击行为,同时记录攻击行为的属性、特征和来源,提供统计分析;使用相应的各种防御措施,中断当前攻击行为,并按照配置的行为作出实时响应,维护系统和数据安全;同时结合带宽管理彻底的防止DDOS的攻击。

4 功能测试

对安全路由器的功能测试主要包括以下三个方面:路由转发功能测试、包过滤功能测试、加解密功能测试。

测试用的网络拓扑结构有两种。一种是单路由器网络,用于测试路由转发功能和包过滤功能,注意路由器不要开启IPSec功能;另一种是双路由网络,用于测试路由器的加解密通信功能,注意两个路由器的IPSec功能开启状态必须相同。测试结果表明,本研究实现了路由器内嵌式的加密功能,支持IPSec,摆脱了路由器外挂加密的传统路由器安全解决方案,保密性好,成本低,效率高。

5 结语

安全路由器基于网络处理器实现,使系统与硬件紧密结合,充分利用网络处理器处理分组快速高效的特点,大大突破了软件防火墙在速度方面的限制。对安全路由器功能的升级也只需要软件升级而不需要开发硬件设备,使用户对安全路由器功能的升级以及网络的维护大大简化。

教育期刊网 http://www.jyqkw.com
参考文献

[1]李福林.基于网络处理器的安全路由器设计与实现[D].中国人民解放军信息工程大学,2005.

[2]万玮.基于网络处理器开发环境编译器研究及实现[D].西北工业大学,2006.

[3]徐颖.基于网络处理器IXP2400的千兆防火墙设计与实现[D].清华大学,2005.

[4]石晶林,程胜.网络处理器原理、设计与应用[M].清华大学出版社,2006,12.

[责任编辑:曹明明]

下载文本