天清漢馬企業(yè)防火墻技術(shù)白皮書

1、天清漢馬USG一體化安全網(wǎng)關(guān)產(chǎn)品技術(shù)紅皮書北京啟明星辰信息技術(shù)有限公司 PAGE ii 天清漢馬USG企業(yè)防火墻 技術(shù)白皮書 目 錄 TOC o 2-4 h z t 標(biāo)題 1,1 HYPERLINK l _Toc528175538 1概 述 PAGEREF _Toc528175538 h 2 HYPERLINK l _Toc528175539 2產(chǎn)品綜述 PAGEREF _Toc528175539 h 3 HYPERLINK l _Toc528175540 2.1產(chǎn)品綜述 PAGEREF _Toc528175540 h 3 HYPERLINK l _Toc528175541 2.2特點說明 P

2、AGEREF _Toc528175541 h 3 HYPERLINK l _Toc528175542 3體系架構(gòu)說明 PAGEREF _Toc528175542 h 6 HYPERLINK l _Toc528175543 3.1產(chǎn)品構(gòu)成 PAGEREF _Toc528175543 h 6 HYPERLINK l _Toc528175544 3.2硬件結(jié)構(gòu) PAGEREF _Toc528175544 h 6 HYPERLINK l _Toc528175545 3.3軟件結(jié)構(gòu) PAGEREF _Toc528175545 h 8 HYPERLINK l _Toc528175546 3.4管理結(jié)構(gòu) P

3、AGEREF _Toc528175546 h 9 HYPERLINK l _Toc528175547 4關(guān)鍵技術(shù) PAGEREF _Toc528175547 h 11 HYPERLINK l _Toc528175548 4.1多核智能駕馭技術(shù) PAGEREF _Toc528175548 h 11 HYPERLINK l _Toc528175549 4.2事件關(guān)聯(lián)分析技術(shù)與歸并處理機(jī)制 PAGEREF _Toc528175549 h 12 HYPERLINK l _Toc528175550 4.3高速深層檢測技術(shù) PAGEREF _Toc528175550 h 12 HYPERLINK l _T

4、oc528175551 4.4智能內(nèi)容過濾技術(shù) PAGEREF _Toc528175551 h 14 HYPERLINK l _Toc528175552 4.5數(shù)據(jù)監(jiān)控NetFlow技術(shù) PAGEREF _Toc528175552 h 17 HYPERLINK l _Toc528175553 4.6非法連接過濾技術(shù) PAGEREF _Toc528175553 h 18 HYPERLINK l _Toc528175554 5典型組網(wǎng) PAGEREF _Toc528175554 h 19 HYPERLINK l _Toc528175555 5.1政府行業(yè) PAGEREF _Toc528175555

5、 h 19 HYPERLINK l _Toc528175556 5.1.1電子政務(wù)網(wǎng) PAGEREF _Toc528175556 h 19 HYPERLINK l _Toc528175557 5.1.2政府專網(wǎng) PAGEREF _Toc528175557 h 20 HYPERLINK l _Toc528175558 5.2教育行業(yè) PAGEREF _Toc528175558 h 22 HYPERLINK l _Toc528175559 5.2.1高教校園網(wǎng) PAGEREF _Toc528175559 h 22 HYPERLINK l _Toc528175560 5.2.2中/基教教育城域網(wǎng) P

6、AGEREF _Toc528175560 h 23 HYPERLINK l _Toc528175561 5.3企業(yè)市場 PAGEREF _Toc528175561 h 24 HYPERLINK l _Toc528175562 5.3.1中小企業(yè) PAGEREF _Toc528175562 h 24 HYPERLINK l _Toc528175563 5.3.2大型企業(yè) PAGEREF _Toc528175563 h 25概 述誕生20多年來，網(wǎng)絡(luò)已經(jīng)在全球經(jīng)濟(jì)中扎根發(fā)芽，蓬勃成長為參天大樹，對各個行業(yè)的發(fā)展起著舉足輕重的作用。隨著時間的推移，網(wǎng)絡(luò)的安全問題也日益嚴(yán)重，在開放的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)邊

7、界安全成為網(wǎng)絡(luò)安全的重要組成部分。在網(wǎng)絡(luò)安全的術(shù)語里，有一個名詞叫做“安全域”，其主要作用就是將網(wǎng)絡(luò)按照業(yè)務(wù)、保護(hù)等級、行為等方面劃分出不同的邊界，定義出各自的安全領(lǐng)域。舉個簡單的例子，在PC上安裝了相關(guān)的殺毒軟件，PC本身就是一個最簡單的安全域。對于單位用戶，安全域往往由若干網(wǎng)絡(luò)設(shè)備和用戶主機(jī)構(gòu)成，其邊界安全主要在于與互聯(lián)網(wǎng)的邊界、與其他業(yè)務(wù)網(wǎng)絡(luò)的邊界等。防火墻是解決網(wǎng)絡(luò)邊界安全的重要設(shè)備，它主要工作在網(wǎng)絡(luò)層之下，通過對協(xié)議、地址和服務(wù)端口的識別和控制達(dá)到防范入侵的目的，可以有效的防范基于業(yè)務(wù)端口的攻擊。天清漢馬USG防火墻是北京啟明星辰信息安全技術(shù)有限公司憑借在信息安全領(lǐng)域多年的經(jīng)驗積累，

8、總結(jié)分析用戶的切身需求，推出新一代的防火墻產(chǎn)品。天清漢馬USG防火墻采用高性能的硬件架構(gòu)和一體化的軟件設(shè)計，除了實現(xiàn)了狀態(tài)檢測防火墻功能，還同時支持VPN、外聯(lián)控制、抗拒絕服務(wù)攻擊（Anti-DoS）、內(nèi)容過濾、NetFlow、虛擬防火墻等多種安全技術(shù)，同時全面支持QoS、高可用性（HA）、日志審計等功能，為網(wǎng)絡(luò)邊界提供了全面實時的安全防護(hù)。天清漢馬USG防火墻可通過軟件升級的方式，獲得對完整的UTM特性的支持，包括防病毒（AV）、入侵防御（IPS）、防垃圾郵件（Anti-Spam）和內(nèi)網(wǎng)安全功能。天清漢馬USG防火墻產(chǎn)品線豐富，可以為政府、教育、金融、企業(yè)、能源、運營商等用戶提供所需要的全系

9、列的安全防護(hù)產(chǎn)品。產(chǎn)品綜述產(chǎn)品綜述天清漢馬USG防火墻采用了業(yè)界最先進(jìn)的基于MIPS64的多核硬件架構(gòu)和一體化的軟件設(shè)計，集防火墻、VPN、上網(wǎng)行為管理、抗拒絕服務(wù)攻擊（Anti-DoS）、內(nèi)容過濾、NetFlow、虛擬防火墻等多種安全技術(shù)于一身，高性能、綠色低碳，同時全面支持各種路由協(xié)議、QoS、高可用性（HA）、日志審計等功能，為網(wǎng)絡(luò)邊界提供了全面實時的安全防護(hù)，幫助用戶抵御日益復(fù)雜的安全威脅。天清漢馬USG防火墻采用了一體化的設(shè)計方案，在一個產(chǎn)品中協(xié)調(diào)統(tǒng)一地實現(xiàn)了接入安全需要考慮的方方面面。采用天清漢馬USG防火墻，可以從整體上解決了接入安全的問題。用戶可不必考慮產(chǎn)品部署、兼容性等困惑，

10、也不再因為多個產(chǎn)品難于維護(hù)管理而苦惱，天清漢馬USG防火墻是低成本、高效率、易管理的理想解決方案。天清漢馬USG防火墻產(chǎn)品線豐富，可以為政府、教育、金融、企業(yè)、能源、運營商等用戶提供所需要的全系列的安全防護(hù)產(chǎn)品。自從天清漢馬USG防火墻推向市場以來，很快就憑借其強(qiáng)大的功能和在實際應(yīng)用中優(yōu)異表現(xiàn)，贏得了眾多機(jī)構(gòu)和用戶的廣泛贊譽。特點說明天清漢馬USG防火墻具有如下特點：完善的防火墻特性支持基于源IP、目的IP、源端口、目的端口、時間、服務(wù)、用戶、文件、網(wǎng)址、關(guān)鍵字、郵件地址、腳本、MAC地址等方式進(jìn)行訪問控制支持流量管理、連接數(shù)控制、IP+MAC綁定、用戶認(rèn)證等支持虛擬防火墻：可以將接口劃分給不

11、同的虛擬防火墻，每個虛擬防火墻具有獨立的管理員、安全域、資源對象、安全策略、NAT規(guī)則、靜態(tài)路由等配置同終端無縫結(jié)合：支持同天珣內(nèi)網(wǎng)安全管理系統(tǒng)聯(lián)動，將防火墻防御能力推進(jìn)到桌面終端高網(wǎng)絡(luò)適用性支持透明、路由和NAT模式部署支持靜態(tài)路由、策略路由、RIP/OSPF/BGP動態(tài)路由，支持等價路由ECMP和加權(quán)路由WCMP，支持組播路由支持STP，可以同二層網(wǎng)絡(luò)設(shè)備進(jìn)行生成樹計算支持IGMP Snooping，優(yōu)化在橋模式下的組播流量支持私有HA和VRRP支持IPv6：支持IPv4、IPv6雙棧運行、靜態(tài)IPv6路由、手工隧道、6to4隧道和ISATAP隧道。支持鏈路聚合，可通過手動方式、IEEE8

12、02.3ad 靜態(tài)LACP方式創(chuàng)建聚合鏈路；通過鏈路聚合可以增加鏈路帶寬，并起到負(fù)載均衡和鏈路備份的作用高穩(wěn)定性和可靠性采用多核MIPS架構(gòu)，產(chǎn)品具有高性能，同時多核之間互為備份，可靠性高支持私有協(xié)議HA和VRRP，實現(xiàn)雙機(jī)熱備和冗余支持雙操作系統(tǒng)和多配置文件，最大支持10個配置文件備份全面的VPN支持多VPN支持： IPSec、L2TP、SSL VPN、GRE豐富的應(yīng)用：專用VPN客戶端、USBKEY、動態(tài)口令卡、圖形認(rèn)證碼靈活的部署：Hub-Spoken、Full-Mesh、DVPN、網(wǎng)關(guān)網(wǎng)關(guān)的SSL VPN支持對IPAD、IPHONE等移動終端的VPN接入完善的上網(wǎng)行為管理功能采用獨立的

13、上網(wǎng)行為管理庫，通過互聯(lián)網(wǎng)實現(xiàn)每周更新。 P2P控制：對Emule、BitTorrent、Maze、Kazaa等進(jìn)行阻斷、限速IM控制：基于黑白名單的IM登錄控制、文件傳輸阻止、查毒；支持主流IM軟件如QQ、MSN、雅虎通、Gtalk、Skype流媒體控制：對流媒體應(yīng)用進(jìn)行阻斷或限速，支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸點網(wǎng)絡(luò)電視、貓撲播霸等網(wǎng)絡(luò)游戲控制：對常見網(wǎng)絡(luò)游戲如魔獸世界、征途、QQ游戲大廳、聯(lián)眾游戲大廳等的阻斷股票軟件控制：對常用股票軟件如同花順、大參考、大智慧等的阻斷強(qiáng)大的日志報表功能記錄內(nèi)容豐富：可對防火墻日志、攻擊日志、病毒

14、日志、帶寬使用日志、Web訪問日志、Mail發(fā)送日志、關(guān)鍵資產(chǎn)訪問日志、用戶登錄日志等進(jìn)行記錄日志快速查詢：可對IP地址、端口、時間、危急程度、日志內(nèi)容關(guān)鍵字等進(jìn)行查詢報表貼近需求：根據(jù)用戶具體需求，定制報表內(nèi)容、定制報名名稱、定制企業(yè)LOGO，并可形成多種格式的報表文件。方便的集中管理功能通過集中管理與數(shù)據(jù)分析中心實現(xiàn)對多臺設(shè)備的統(tǒng)一管理、實時監(jiān)控、集中升級和拓?fù)湔故?。體系架構(gòu)說明產(chǎn)品構(gòu)成天清漢馬USG防火墻主要由兩部分組成：USG防火墻設(shè)備和天清集中管理與數(shù)據(jù)分析中心。USG防火墻設(shè)備：即部署在網(wǎng)絡(luò)出口，融合多種安全能力，針對惡意攻擊、非法活動和網(wǎng)絡(luò)資源濫用等威脅，實現(xiàn)精確防控的高可靠、高

15、性能、易管理的網(wǎng)關(guān)安全設(shè)備。天清集中管理與數(shù)據(jù)分析中心：主要功能分為集中管理功能與數(shù)據(jù)分析功能，集中管理是對USG防火墻設(shè)備的集中管理、統(tǒng)一監(jiān)控和升級中心，通過它可以集中配置、監(jiān)控和管理所管轄的多臺USG防火墻設(shè)備，并按照一定的規(guī)則組織成層次結(jié)構(gòu)，方便管理員對于整網(wǎng)USG防火墻設(shè)備的監(jiān)控維護(hù)工作；數(shù)據(jù)分析中心是USG防火墻設(shè)備海量信息的后臺處理中心。主要完成USG防火墻設(shè)備日志和流量信息的存儲、分析、審計和處理功能。硬件結(jié)構(gòu)隨著Internet的迅速普及，一方面全球范圍內(nèi)的網(wǎng)絡(luò)病毒、黑客攻擊、操作系統(tǒng)漏洞、垃圾郵件等網(wǎng)絡(luò)安全問題層出不窮，且變化越來越快，危害越來越大；另一方面，隨著網(wǎng)絡(luò)應(yīng)用的增

16、加，對網(wǎng)絡(luò)帶寬提出了更高的要求。那么安全網(wǎng)關(guān)作為保障網(wǎng)絡(luò)安全的第一道防線，究竟何種硬件架構(gòu)最適合防火墻產(chǎn)品？要滿足未來信息安全產(chǎn)品適應(yīng)信息高速膨脹的發(fā)展趨勢，提升開放平臺的硬件性能，即是必然趨勢也是滿足未來應(yīng)用需求的關(guān)鍵要素。在這樣一個開放性平臺應(yīng)用需求的驅(qū)動力下，多核技術(shù)應(yīng)運而生。這里所說的多核并不是基于X86的2核、4核這樣的CPU，而是在網(wǎng)絡(luò)、安全設(shè)備上最新使用的基于MIPS64的多核SoC（System on Chip）處理器，此類多核SoC處理器目前可支持到16核，并隨著安全計算需求的不斷增加而繼續(xù)提升。相比X86、NP、ASIC硬件平臺，SoC多核平臺的最大優(yōu)勢是保留了X86平臺的

17、高靈活性（這一點對于安全設(shè)備的應(yīng)用層檢測非常關(guān)鍵），同時具備與ASIC平臺相當(dāng)?shù)母咛幚硇阅?。同時，通過增加核數(shù)，使線性提升硬件計算能力成為了可能，更重要的是功耗也隨之得到了控制（圖2）。不同硬件架構(gòu)比較多核架構(gòu)在支撐靈活性和高性能的同時，帶來的另一個卓有成效的經(jīng)濟(jì)效益是低碳、節(jié)能。對信息安全產(chǎn)品而言，減排、低功耗是實現(xiàn)“低碳經(jīng)濟(jì)”最主要的節(jié)能目標(biāo)。多核架構(gòu)的主要優(yōu)勢為一顆芯片上集成了多個核，核與核之間可以協(xié)同工作，同時在各個核周邊還集成了豐富的安全協(xié)處理硬件，如硬件加密、正則匹配和應(yīng)用加速等，高集成度的特點簡化了整體硬件板卡的復(fù)雜度和能耗。同樣的應(yīng)用，對于X86通用硬件平臺，需要1顆甚至多顆高

18、頻率CPU，同時需要南北橋芯片組、通過PCI擴(kuò)展的硬件加速板卡或應(yīng)用加速卡等，一系列配套芯片設(shè)計使能耗遠(yuǎn)遠(yuǎn)高于同檔次多核SoC專用硬件平臺。根據(jù)功耗對比測試，多核SoC硬件平臺實際功耗僅為同檔次X86平臺的1/3左右。在高效能、低炭排放的同時，多核架構(gòu)帶給信息安全產(chǎn)業(yè)的另一個優(yōu)勢為高質(zhì)量。高度集成的SoC處理器降低了硬件平臺的整體復(fù)雜度，硬件的簡化促使故障率可以降低到1以下（X86平臺故障率通常為5以上），達(dá)到電信級標(biāo)準(zhǔn)。天清漢馬USG基于MIPS64的多核硬件架構(gòu)為了滿足云計算的安全趨勢，2010年啟明星辰USG防火墻產(chǎn)品全面切換為基于MIPS64的多核SoC硬件架構(gòu)，為用戶網(wǎng)絡(luò)提供更加安全

19、、高效、可靠、環(huán)保和節(jié)能的安全網(wǎng)關(guān)產(chǎn)品。軟件結(jié)構(gòu)防火墻作為網(wǎng)關(guān)類產(chǎn)品，究竟什么樣的軟件結(jié)構(gòu)更有利于提升整體性能？那么首先需要知道什么是性能消耗的關(guān)鍵業(yè)務(wù)單元。啟明星辰通過對網(wǎng)關(guān)類產(chǎn)品單一分析處理引擎的詳細(xì)分析和試驗驗證，得出網(wǎng)關(guān)類產(chǎn)品性能消耗50來自于模式匹配，25來自于協(xié)議重組、25來自于報文重組的結(jié)論。網(wǎng)關(guān)分析處理引擎性能消耗分析如何融合分析處理引擎，合并性能消耗關(guān)鍵業(yè)務(wù)單元成為防火墻產(chǎn)品軟件結(jié)構(gòu)設(shè)計首要考慮的問題?；谘芯繑?shù)據(jù)，啟明星辰在天清漢馬USG防火墻的軟件結(jié)構(gòu)設(shè)計上引入了一體化的設(shè)計理念。即將防火墻、VPN、內(nèi)容過濾和流量管理等各項功能的分析處理引擎進(jìn)行一體化設(shè)計，以達(dá)到性能最優(yōu)

20、的目的。天清漢馬USG防火墻本著安全高效原則，采用“檢測與控制相分離，引擎特征相統(tǒng)一”的一體化設(shè)計思想：人機(jī)界面、報文接收模塊、報文處理模塊、報文發(fā)送模塊和支撐庫。網(wǎng)絡(luò)報文首先通過報文接收模塊進(jìn)行預(yù)處理后進(jìn)入報文處理模塊，在報文處理模塊，防火墻進(jìn)行23層過濾，VPN負(fù)責(zé)接入控制；其次模塊匹配引擎和行為分析引擎分別根據(jù)統(tǒng)一特征庫和行為知識庫進(jìn)行匹配查找；最后，對于合法報文直接交由報文發(fā)送模塊進(jìn)行報文轉(zhuǎn)發(fā)，對于非法報文，送交相應(yīng)的處理引擎進(jìn)行處理。整個過程的日志信息和數(shù)據(jù)流量信息送集中管理與數(shù)據(jù)分析中心監(jiān)控和備案，管理中心負(fù)責(zé)整體的配置和調(diào)整。管理結(jié)構(gòu)優(yōu)秀的管理系統(tǒng)是產(chǎn)品能否有效利用的關(guān)鍵，天清漢

21、馬USG防火墻提供了靈活且豐富的管理系統(tǒng)。包括簡潔的單機(jī)管理器，也包括適合網(wǎng)關(guān)批量部署的分布式的集中統(tǒng)一管理中心；既提供了設(shè)備配置管理能力，又提供了強(qiáng)大的數(shù)據(jù)分析能力。產(chǎn)品的管理結(jié)構(gòu)具體如下圖： 天清漢馬USG管理結(jié)構(gòu)示意圖天清漢馬USG防火墻提供集中管理和單機(jī)管理相結(jié)合的雙重管理機(jī)制。在USG防火墻設(shè)備軟件中集成了Web Server和Manage agent功能，Web Server提供本地單機(jī)方式的Web管理；Manage agent提供集中管理和數(shù)據(jù)分析中心的信息采集和發(fā)送任務(wù)。整個傳輸過程采用SSL加密機(jī)制。天清漢馬USG防火墻的雙重管理結(jié)構(gòu)實現(xiàn)了“管理分層，功能分級”的管理思想，一

22、方面USG防火墻設(shè)備自身的Web Server提供了單機(jī)的Web管理機(jī)制，用于進(jìn)行詳細(xì)的功能設(shè)置；集中管理功能通過內(nèi)置在USG防火墻設(shè)備中的Manage agent獲取系統(tǒng)狀態(tài)信息、流量信息和版本信息，用于進(jìn)行整體的設(shè)備狀態(tài)顯示。同時以分組的方式管理設(shè)備，以組為單位進(jìn)行遠(yuǎn)程統(tǒng)一配置、升級等操作，并可以將管理的USG防火墻設(shè)備按照一定的規(guī)則進(jìn)行組織成層次結(jié)構(gòu)，便于用戶邏輯的標(biāo)識所管理的設(shè)備。 關(guān)鍵技術(shù)天清漢馬USG防火墻采用了多種專利技術(shù)和創(chuàng)新技術(shù)，為確保多種安全能力的融合，性能的持續(xù)恒定起到了重要作用。多核智能駕馭技術(shù)新一代的防火墻產(chǎn)品具有3大技術(shù)特點：吞吐密集、運算密集、應(yīng)用層特性匹配密集。

23、這3大特點對硬件平臺提出了極大的挑戰(zhàn)，也正是基于此，防火墻過去飽嘗性能瓶頸之苦。目前，X86平臺常見的多核處理器是4核，而SoC多核平臺已最高可達(dá)16核，單從CPU內(nèi)核的數(shù)量上就已經(jīng)高出4倍。不僅如此，Cavium多核芯片專為信息安全產(chǎn)品應(yīng)用量身內(nèi)置了一系列專用硬件，使得最終構(gòu)建出的產(chǎn)品在性能、穩(wěn)定性上很易于達(dá)到電信級標(biāo)準(zhǔn)。吞吐密集：針對信息安全產(chǎn)品應(yīng)用特點，Cavium多核CPU設(shè)計了高達(dá)640Gbps的內(nèi)部總線帶寬，是目前4核 X86CPU最高總線帶寬的6倍，充分保障高性能的可實現(xiàn)。片內(nèi)集成了收發(fā)包模塊，千兆、萬兆等的線速接口器件，與總線直連，充分保障各業(yè)務(wù)接口的線速性能和系統(tǒng)并行度，并最

24、大限度的減少CPU在此方面的開銷。不同于X86架構(gòu)下需要用北橋、內(nèi)存控制器實現(xiàn)內(nèi)存操作，Cavium多核CPU片內(nèi)集成了DDR2/RLDRAM2內(nèi)存控制器，避免了內(nèi)存成為平臺性能的瓶頸。運算密集： Cavium多核CPU可支持高達(dá)16個CPU核，每CPU核既可用于處理不同的業(yè)務(wù)又可統(tǒng)一調(diào)度協(xié)同運算，共同為運算提供澎湃動力。每CPU核集成了一個專門針對包處理應(yīng)用特點而開發(fā)的指令集，可通過指令直接進(jìn)行位域操作、面向字節(jié)的操作等，不必再向X86架構(gòu)下的多條指令實現(xiàn)一個功能，結(jié)合RISC CPU短指令集對于多分支執(zhí)行的優(yōu)勢，設(shè)備對于面向包處理的復(fù)雜應(yīng)用層業(yè)務(wù)的運算效率提高了2-3倍。雖然SOC多核硬件

25、平臺具備強(qiáng)大的性能優(yōu)勢，但X86平臺屬于通用硬件平臺，具有開發(fā)難度小的優(yōu)勢，而SoC多核平臺屬于專用硬件平臺，駕馭難度相當(dāng)高。尤其是計算性能的提升，是否能隨核數(shù)的增多而達(dá)到線性的增長。這其中需要在多核硬件的基礎(chǔ)上作大量的原創(chuàng)性設(shè)計。啟明星辰從2006年開始踏入多核領(lǐng)域，從平臺選型、平臺預(yù)研到最終的產(chǎn)品化交付，共經(jīng)歷了兩年半的時間。在此過程中經(jīng)過不斷的摸索與嘗試終攻克了一系列難題，最終成功駕馭了多核計算。事件關(guān)聯(lián)分析技術(shù)與歸并處理機(jī)制對用戶的多個網(wǎng)絡(luò)行為進(jìn)行關(guān)聯(lián)，是提高檢測精度的有效手段。比如一個用戶首先對HTTP服務(wù)進(jìn)行了慢速CGI掃描，服務(wù)端反饋的結(jié)果證明其運行了可能含有漏洞的某個CGI，之

26、后該用戶又發(fā)送了包含ShellCode的請求，從這兩次行為分別看，每個都不能絕對的將其界定為惡意行為，如果將兩個行為聯(lián)系起來，則基本可以確定該行為的高風(fēng)險等級。針對大規(guī)模的監(jiān)測系統(tǒng)應(yīng)用中可能出現(xiàn)一個網(wǎng)絡(luò)異常行為在多個監(jiān)測點作為事件報告而形成事件洪流的問題，數(shù)據(jù)關(guān)聯(lián)性分析模塊首次提出并采用了基于統(tǒng)計分析的二次事件分析技術(shù)，能夠?qū)Σ煌瑫r間、不同地點、不同事件的大量信息進(jìn)行統(tǒng)一處理，簡潔、準(zhǔn)確地報告出正確的網(wǎng)絡(luò)安全事件。高速深層檢測技術(shù)高精度應(yīng)用層協(xié)議分析協(xié)議分析是深度檢測必不可少的環(huán)節(jié)，它可以減少特征匹配的計算量，提高匹配精度。但是深度的協(xié)議分析本身也需要相當(dāng)大的計算量，如何既保證特征匹配和文件還

27、原所需的分析精確度，又不占用過多的資源，是高速環(huán)境下必須面對的課題。我們將主要通過以下兩方面來解決這一問題，基于攻擊研究和特征知識庫選擇分析深度。協(xié)議分析不需要的無限制的精細(xì)，否則入侵防御系統(tǒng)將變成一個低效的應(yīng)用代理系統(tǒng)，協(xié)議分析應(yīng)該建立在對網(wǎng)絡(luò)攻擊研究的基礎(chǔ)上，對特征知識庫中需要的協(xié)議信息進(jìn)行分析，這點的實現(xiàn)關(guān)鍵集中在攻擊研究上，軟件實現(xiàn)中可通過編譯時的條件控制和運行時對特征庫進(jìn)行掃描設(shè)置相應(yīng)開關(guān)完成；高效協(xié)議自識別算法。對于非周知端口的通信，需要通過內(nèi)容識別其所屬的協(xié)議類型。這一內(nèi)容識別的過程類似于攻擊檢測的特征識別過程，可以通過多階段分析和匹配算法的選擇降低計算開銷。多模匹配算法選擇由于

28、在一個報文的匹配中，最為耗時的匹配運算是在報文中匹配多個串模式。過去的幾十年中學(xué)術(shù)界提出了若干的多模匹配算法，并且在工業(yè)界得到了很好的應(yīng)用，比如AC算法、WM算法在軟件檢測系統(tǒng)中證明了其優(yōu)秀的性能。在以往的多模匹配算法通常是在理論分析的基礎(chǔ)上，在IA32架構(gòu)和隨機(jī)數(shù)據(jù)源上進(jìn)行實驗選擇，且算法一經(jīng)確定就固化在軟件中。實際這樣得出的算法不能保證在所有的處理器架構(gòu)和數(shù)據(jù)源條件下都保證是已知算法中最優(yōu)的?，F(xiàn)在在學(xué)術(shù)界存在多種多串并行匹配的算法，在商業(yè)產(chǎn)品中應(yīng)用較多有Aho-Corasick、Wu-Manber和ExB算法或它們的變種。根據(jù)研究發(fā)現(xiàn)，所有這些算法的性能分析全部是基于理想的存儲模型，忽略訪

29、存的性能開銷。由于存儲器速度遠(yuǎn)低于處理器速度，兩者相差一個數(shù)量級以上，為避免存儲器效能低造成系統(tǒng)整體的效能低下，絕大多數(shù)系統(tǒng)采用多級存儲結(jié)構(gòu)，增加少量的高速緩存隱藏存儲器的性能瓶頸。但是在多串匹配算法中，數(shù)據(jù)結(jié)構(gòu)非常龐大，并且匹配過程中不斷在非連續(xù)的地址間跳轉(zhuǎn)，此時高速緩存的命中率大幅下降，不考慮訪存開銷顯然已不能反映各算法在實際應(yīng)用中的效能。實際上不存在一種普適的算法能夠在各種情況下都有最佳表現(xiàn)，同樣的算法可能在不同的數(shù)據(jù)源、特征集、處理器結(jié)構(gòu)上性能相差甚遠(yuǎn)。我們將結(jié)合具體的硬件（處理器）架構(gòu)和匹配規(guī)則的分布類型，將其抽象為與匹配算法效能相關(guān)的若干關(guān)鍵參數(shù)，計算出當(dāng)前適用的最優(yōu)算法。具體采用

30、動態(tài)和靜態(tài)兩種方式實現(xiàn)自適應(yīng)選擇。如下圖，自適應(yīng)示意圖靜態(tài)自適應(yīng)在系統(tǒng)初始化時進(jìn)行，統(tǒng)計各協(xié)議變量特征及相關(guān)匹配模式特征，結(jié)合備選多模式匹配算法的性能特征，為規(guī)則匹配樹節(jié)點選擇最優(yōu)的多模式匹配算法?？刂茀?shù)包括處理器類型、主頻、Cache Line長度、L2Cache容量、存儲器時延、最短模式長度、次短模式長度、模式數(shù)量、模式字符集大小、同前綴模式數(shù)量等等。動態(tài)自適應(yīng)在系統(tǒng)運行過程中采樣統(tǒng)計影響算法效率的網(wǎng)絡(luò)數(shù)據(jù)，如果統(tǒng)計值顯示當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)趨勢穩(wěn)定，則進(jìn)行動態(tài)算法選擇，確定是否有大幅超過當(dāng)前算法效率的算法模塊存在，并進(jìn)行調(diào)用。最優(yōu)規(guī)則樹特征匹配的過程不僅包括串匹配，還有對諸如地址、端口、協(xié)議類

31、型等等許多協(xié)議字段的匹配。為了方便，我們將多個協(xié)議字段構(gòu)成的模式稱為多數(shù)據(jù)類型模式，與上面提到的串模式進(jìn)行區(qū)分，串模式可以認(rèn)為是多數(shù)據(jù)類型模式的一個子集。在以往的工作中，我們受AC算法的啟發(fā)，將其擴(kuò)展到多數(shù)據(jù)類型模式匹配，即將多個模式中的相同協(xié)議字段歸并，構(gòu)建一個或多個樹型模式結(jié)構(gòu)，達(dá)到一次匹配多個模式的目的。與串匹配不同的是，多數(shù)據(jù)類型模式中，每種數(shù)據(jù)類型的單次匹配開銷是不同的，在實際運行中的命中幾率也是不同的。同樣是樹型數(shù)據(jù)結(jié)構(gòu)，其最佳效率和最差效率相差可能在一個數(shù)量級以上，如果能將低命中率、低匹配開銷的工作盡可能提前，將會接近最佳的匹配效率。智能內(nèi)容過濾技術(shù)內(nèi)容分析子系統(tǒng)要充分發(fā)揮當(dāng)前處

32、理器所具備的多核能力。一個大的原則就是數(shù)據(jù)交換過程中盡量避免核間和核內(nèi)的臨界鎖以及字符串拷貝，所以數(shù)據(jù)的生產(chǎn)者和消費者應(yīng)該使用一個大的緩沖區(qū)來交換數(shù)據(jù)。傳統(tǒng)的做法就是把這個緩沖區(qū)變成一個環(huán)形隊列，捕包程序和協(xié)議棧程序分別持有一個寫指針和讀指針，只要兩個指針不互相超越就可以。在協(xié)議棧單線程的情況下這種方法沒有問題，但是在多核以及SMP情況下，為了充分發(fā)揮硬件的計算能力，必須把內(nèi)容分析過濾子系統(tǒng)多線程化（并行化）。但是上述數(shù)據(jù)交換方式在內(nèi)容分析多線程的情況下就出現(xiàn)了問題。當(dāng)協(xié)議棧多線程的時候，必須使用專門的線程實現(xiàn)捕包程序捕獲的數(shù)據(jù)包的分發(fā)，也就是把數(shù)據(jù)包分發(fā)到相應(yīng)的線程進(jìn)行處理。這樣問題也就出現(xiàn)

33、了：那個環(huán)形緩沖區(qū)的讀指針不再正確。這是因為，為了避免拷貝操作，分發(fā)線程并沒有將捕包程序捕獲的數(shù)據(jù)進(jìn)行拷貝以后再分發(fā)，而是直接對其指針進(jìn)行操作，在這種情況下，分發(fā)程序是不知道協(xié)議棧什么時候能夠分析完成并釋放緩沖區(qū)的，因而分發(fā)程序不可以直接簡單增加環(huán)形隊列的讀指針來申明當(dāng)前緩沖區(qū)以消費完成，可以寫入新的數(shù)據(jù)。又由于協(xié)議棧分析時多線程同時進(jìn)行，沒有辦法確定每一數(shù)據(jù)包分析完成的時間，這樣很難確定環(huán)形緩沖區(qū)的讀指針了。為此，天清漢馬USG防火墻采用了如下的解決方法：依然遵循數(shù)據(jù)交換的大原則，依然采用大的緩沖區(qū)來交換數(shù)據(jù)，但是對緩沖區(qū)的形式作一個變換。最初定義的是直接在緩沖區(qū)上定義讀寫指針將緩沖區(qū)當(dāng)成環(huán)

34、形隊列使用，現(xiàn)在不同是緩沖區(qū)不再是一個環(huán)形隊列，而被分成了獨立的兩部分：空閑緩沖區(qū)隊列和已使用緩沖區(qū)隊列。注意這里提到的兩個緩沖區(qū)不是具體的數(shù)據(jù)緩沖區(qū)，而是保存數(shù)據(jù)緩沖區(qū)數(shù)據(jù)單元指針的指針列表。捕包程序在捕獲一個數(shù)據(jù)包之前，從空閑緩沖區(qū)隊列的頭部取下一個空的存儲單元（為了提高訪問速度，采用內(nèi)存邊界對齊的數(shù)據(jù)單元，比如說2k字節(jié)一個單元），將從網(wǎng)卡讀入的數(shù)據(jù)拷貝到這個緩沖區(qū)以后，捕包程序?qū)⑦@個緩沖單元掛到已使用緩沖隊列的尾部。分析線程在從緩沖區(qū)取數(shù)據(jù)的時候從已使用緩沖隊列的頭部取下一個數(shù)據(jù)單元進(jìn)行消費，消費完成以后直接將這個數(shù)據(jù)單元掛到待發(fā)送緩沖區(qū)隊列就可以了，這樣既避免的鎖定，也避免了內(nèi)存拷貝

35、。而且可以充分利用緩沖區(qū)的空間。上述過程構(gòu)成了本方案的多目標(biāo)分發(fā)機(jī)制?；诙嗄繕?biāo)分發(fā)的多線程連接級并行的內(nèi)容分析子系統(tǒng)本質(zhì)上是同時運行多個邏輯上獨立的并行內(nèi)容分析協(xié)議棧，結(jié)構(gòu)框如圖示。并行內(nèi)容分析協(xié)議棧并行協(xié)議棧通過一個數(shù)據(jù)分發(fā)器將捕包系統(tǒng)捕獲的網(wǎng)絡(luò)數(shù)據(jù)包按照IP包首的源地址和目的地址對分發(fā)到相應(yīng)的線程進(jìn)行處理，并通過一個發(fā)送單元收集器完成數(shù)據(jù)單元的發(fā)送，數(shù)據(jù)發(fā)送完畢以后將發(fā)送單元占用的數(shù)據(jù)單元返回給空閑存儲單元隊列供數(shù)據(jù)捕獲系統(tǒng)使用，讓捕包系統(tǒng)重復(fù)利用這些單元，實現(xiàn)捕包到分析的零拷貝過程。每一個內(nèi)容分析線程均有一個私有的協(xié)議棧狀態(tài)表和兩個數(shù)據(jù)隊列索引，其中協(xié)議棧狀態(tài)表是協(xié)議棧在進(jìn)行IP協(xié)議、

36、TCP協(xié)議已經(jīng)上層應(yīng)用協(xié)議還原的時候用來保存上下文信息和暫存數(shù)據(jù)使用，而兩個數(shù)據(jù)隊列索引則分別用來存儲待分析的數(shù)據(jù)塊和已分析塊。這樣，任何一個協(xié)議棧線程在進(jìn)行數(shù)據(jù)操作的時候都不會和其他協(xié)議棧線程共享數(shù)據(jù)塊，避免協(xié)分析線程間的臨界鎖，提供整個系統(tǒng)的計算吞吐量。此處的多目標(biāo)分發(fā)機(jī)制具有如下特點：實現(xiàn)了內(nèi)容分析子模塊從數(shù)據(jù)分析過濾的零拷貝過程避免了核間和核內(nèi)的臨界鎖，極大的提高了內(nèi)容分析子系統(tǒng)的計算資源利用率數(shù)據(jù)監(jiān)控NetFlow技術(shù)在對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析統(tǒng)計方面，NetFlow是一項關(guān)鍵技術(shù)，它能根據(jù)客戶的要求總結(jié)流量統(tǒng)計數(shù)據(jù)，而這些數(shù)據(jù)對網(wǎng)絡(luò)安全的管理、規(guī)劃是非常有用的。它的價值在于：無需探針（p

37、robe）就能進(jìn)行IP流量的流分析，而且對設(shè)備的性能影響很??；提供極為豐富和寶貴的數(shù)據(jù)，這些數(shù)據(jù)可用于網(wǎng)絡(luò)安全的管理和規(guī)劃；將網(wǎng)絡(luò)中的數(shù)據(jù)包識別為網(wǎng)絡(luò)流的形式，從而無需再單獨處理每個數(shù)據(jù)包，僅僅處理網(wǎng)絡(luò)流中的第一個包即可。后面的包都作為該網(wǎng)絡(luò)流的一部分。這種流線型的包處理方式提高了網(wǎng)絡(luò)服務(wù)的能力。NetFlow系統(tǒng)由流采集器、流收集器、NetFlow數(shù)據(jù)分析器三個部分組成，由于流采集器僅僅采集IP數(shù)據(jù)流的統(tǒng)計信息，更深入的分析由NetFlow數(shù)據(jù)分析器來完成，所以在網(wǎng)絡(luò)上啟用流采集功能后，對設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)包的性能影響不大，在網(wǎng)絡(luò)流量較大時，流采集器也能正常工作。例如啟明星辰的天清漢馬USG防火墻

38、支持流采集器的功能，而安全管理平臺則集成了流收集器和NetFlow數(shù)據(jù)分析器的功能，因此，利用啟明星辰的天清漢馬USG防火墻和安全管理平臺，就能構(gòu)建一個完整的NetFlow系統(tǒng)（以下簡稱“啟明星辰NetFlow系統(tǒng)”）。天清漢馬USG防火墻輸出報文主要由兩部分組成：報頭和Flowset。Flowset是輸出報文中緊隨報頭的部分，包含著收集器必須解析和翻譯的信息。 Flowset有兩種類型：模版Flowset和數(shù)據(jù)Flowset。模版Flowset描述了數(shù)據(jù)Flowset中使用的字段。每個數(shù)據(jù)Flowset則包含了一個或多個流的統(tǒng)計數(shù)據(jù)。當(dāng)一個NetFlow收集器接收到一個模版Flowset，它

39、會存儲這個Flowset和輸出源地址，這樣當(dāng)它收到后繼的數(shù)據(jù)Flowset時，如果數(shù)據(jù)Flowset對應(yīng)于此模版Flowset ID和源地址，那么它就能根據(jù)此模版Flowset定義的字段解析出這些數(shù)據(jù)。數(shù)據(jù)字段分析圖上圖最左邊是輸出報文的結(jié)構(gòu)框架，右邊則詳細(xì)描述了各部分的內(nèi)容（通過不同顏色來標(biāo)識）。不難看出，NetFlow輸出報文中包含許多有價值的流量統(tǒng)計數(shù)據(jù)，這些流信息充分揭示了有關(guān)網(wǎng)絡(luò)使用的“4W”問題：Which：哪一個用戶（IP）使用了網(wǎng)絡(luò)？What：網(wǎng)絡(luò)流量的類型是什么？When：在什么時間使用網(wǎng)絡(luò)，使用了多長時間？Where：網(wǎng)絡(luò)流量流向何處？利用NetFlow數(shù)據(jù)分析器對這些數(shù)據(jù)

40、進(jìn)行統(tǒng)計分析，就能從中提取出網(wǎng)絡(luò)流量特征，從而為網(wǎng)絡(luò)管理員提供一張豐富而詳盡的網(wǎng)絡(luò)利用視圖，為做網(wǎng)絡(luò)安全管理與規(guī)劃提供了事實依據(jù)。非法連接過濾技術(shù)將系統(tǒng)獲取的網(wǎng)絡(luò)數(shù)據(jù)按標(biāo)準(zhǔn)的以太數(shù)據(jù)結(jié)構(gòu)、IP數(shù)據(jù)結(jié)構(gòu)、TCP/UDP數(shù)據(jù)結(jié)構(gòu)，并進(jìn)行TCP的會話查找，每條會話相對應(yīng)源和目的MAC地址、源和目的IP地址、源和目的端口地址、連接次數(shù)等。將上述所獲的網(wǎng)絡(luò)連接信息放入網(wǎng)絡(luò)連接知識庫中，該緩沖區(qū)按照索引標(biāo)識、源和目的地址進(jìn)行合并存放，即相同的源和目的地址將該連接的發(fā)生次數(shù)進(jìn)行累計計算。當(dāng)某一連接被釋放，主動要求釋放連接的一端發(fā)送TCP FIN數(shù)據(jù)包，監(jiān)視整個連接的釋放過程，如釋放正常完成，在知識庫中找到相

41、對應(yīng)的TCP會話，將連接發(fā)生的次數(shù)減1。這樣可以始終保證知識庫中存放的是發(fā)生頻率最高的連接。該算法會以1秒鐘為單位時間，進(jìn)行流量的統(tǒng)計，如果上1秒鐘的流量大于事先約定的閥值，那么立即進(jìn)入流量識別模式，如果連接請求可以在知識庫搜索到，則直接放行，并記錄放行的數(shù)據(jù)包數(shù)，否則以上1秒鐘的流量作為樣本，計算放行的概率。作為拒絕服務(wù)攻擊的主要手段SYN Flood攻擊效果尤為顯著，通常SYN Flood的防范方式為應(yīng)用SYN Cookie機(jī)制。它的原理是:在TCP服務(wù)器收到TCP SYN包時，不分配一個專門的數(shù)據(jù)區(qū)，而是根據(jù)這個SYN包計算出一個cookie值，并加載在所回應(yīng)的SYN/ACK包中，在收到

42、TCP ACK包時，TCP服務(wù)器在根據(jù)那個cookie值檢查這個TCP ACK包的合法性。如果合法，再分配專門的數(shù)據(jù)區(qū)進(jìn)行處理未來的TCP連接。典型組網(wǎng)政府行業(yè)電子政務(wù)網(wǎng)電子政務(wù)網(wǎng)是各級政府為了加強(qiáng)信息化建設(shè)，通過互聯(lián)網(wǎng)或者租用專線的方式把下屬委、辦、局以及下一級政府單位的局域網(wǎng)進(jìn)行互聯(lián)的網(wǎng)絡(luò)。不同地區(qū)電子政務(wù)網(wǎng)在組網(wǎng)模式和建設(shè)思路上存在一定的差異化，但總體的網(wǎng)絡(luò)結(jié)構(gòu)如下：電子政務(wù)網(wǎng)總體結(jié)構(gòu)圖電子政務(wù)網(wǎng)分為內(nèi)網(wǎng)和外網(wǎng)。天清漢馬USG防火墻部署在各單位與外單位互聯(lián)的出口，防止來自其他單位的入侵攻擊等威脅，同時對電子政務(wù)內(nèi)網(wǎng)用戶相互間訪問進(jìn)行控制與日志審計，可有效檢測和控制內(nèi)部員工越權(quán)行為，并向管

43、理員發(fā)出告警。電子政務(wù)外網(wǎng)在建設(shè)模型上與內(nèi)網(wǎng)相似，多數(shù)也是采用專線或裸光纖的方式建網(wǎng)，外網(wǎng)與Internet邏輯隔離。天清漢馬USG防火墻部署在各單位與互聯(lián)網(wǎng)的出口，用于防止來自互聯(lián)網(wǎng)的入侵威脅，并且可以作為邊緣接入路由器部署。天清漢馬USG提供統(tǒng)一管理平臺，可以通過信息中心統(tǒng)一管理全網(wǎng)的USG防火墻設(shè)備，并提供詳盡直觀的報表，能夠讓管理員迅速了解到整個網(wǎng)絡(luò)的存在的安全風(fēng)險和趨勢，為決定如何制定安全策略提供依據(jù)。政府專網(wǎng)政府專網(wǎng)是各部委與下屬單位信息互聯(lián)的網(wǎng)絡(luò)。政府專網(wǎng)全部采用專線或裸光纖的方式構(gòu)建。專網(wǎng)的安全系統(tǒng)一般采用下級信任上級的方式來建設(shè)，即只需要考慮上級單位對下級單位訪問的安全防護(hù)。專網(wǎng)系統(tǒng)一般來說，只在一級單位設(shè)互聯(lián)網(wǎng)出口，各下屬單位的互聯(lián)網(wǎng)訪問都從總部出口。在互聯(lián)網(wǎng)出口部署USG防火墻設(shè)備能夠?qū)λ?/p>