基于FPGA的硬件防火墙内容过滤技术研究

【摘要】： 网络安全和信息内容安全问题一直伴随着Internet的发展。随着网络带宽的不断迅速提高和网络应用的不断扩展,防火墙作为访问控制最有效的手段,在性能不断提升的同时也有功能集成化的要求,如虚拟专用网(VPN)、入侵检测系统(IDS)、网络地址转换(NAT)等,特别是内容过滤技术可以有效的支持明文信息过滤和病毒特征码过滤。 基于现场可编程门阵列(FPGA)实现的网络硬件防火墙,不需要处理器和操作系统的参与,完全用FPGA实现对数据包的所有处理逻辑。防火墙的安全性与处理器及操作系统无关,免受硬件恶意后门和软件安全漏洞的影响。通过可配置的寄存器、可配置的存储器、可编程RISC专用处理单元和可重配置的FPGA四个方面保证硬件防火墙具有好的可编程性。在此系统上引入内容过滤技术,良好的可编程能力和合理的设计成本保证了基于FPGA的内容过滤防火墙的实用性和市场价值。 对已有的多模式匹配算法和硬件内容过滤方案的分析,结合基于FPGA的防火墙系统的特点提出了内容过滤设计的准则:低延迟,非定长模式匹配和正向匹配,防火墙的内容过滤性能是数据包存储调度的时间和多模式匹配算法的时间的综合评价。 针对适合FPGA硬件实现的状态机算法进行不同粒度下的并行层次分析,将状态机并行分为状态机间并行、匹配单元间并行和匹配单元内并行三个层次。提出了基于伺服器阵列的多状态机并行和基于匹配单元内并行的多子状态机两种改进策略,通过压缩状态指针宽度优化状态机的硬件存储。 针对TCP/IP协议的特点提出了基于FPGA硬件防火墙的多层内容过滤结构:通过访问控制加强协议的合法性检测以及辅助动态协议过滤,通过FPGA实现的RISC专用处理单元执行指令的方式高速过滤固定偏移信息,通过硬件状态机进行正文信息过滤。这种多层过滤结构减少了过滤数据包数量,加速数据包的转发。 内容过滤的实现方式直接影响防火墙自身的工作性能,通过硬件内容过滤单元不同的实现策略和部署方案,进行硬件防火墙数据包转发性能的研究和验证,数据链路层的内容过滤达到对防火墙数据转发性能无影响的最优模式,基于监测的内容过滤抽样能够准确匹配实际网络环境中的敏感关键字访问而对防火墙转发性能没有影响。 近似串匹配是用户主观意识较强的一种内容过滤方式,并且中文的近似串匹配存在很多如编码转换、字符替换、同音字转换等问题,复杂的查表操作降低了内容过滤的性能。提出了基于FPGA实现的硬件近似串匹配内容过滤算法,通过对状态机预处理和匹配的改进,有效支持面向网页和邮件应用的关键字近似串匹配。 日志是检验防火墙工作状态的主要手段,设计了基于FPGA的硬件防火墙的日志系统,硬件实现内容过滤日志的生成,软件实现驱动接口、数据库存储和日志分析和审计。针对内容过滤日志的小文本空间的特点,通过VSM方法和朴素贝叶斯分类进行日志审计网络对网络访问情况进行描述和衡量,作为用户策略的依据。 在多核处理器平台上对状态机算法并行化,提出兼容SPARC V8指令集、支持嵌入式实时多任务操作系统RTEMS的片上多核嵌入式处理器FPEP的结构,并在FPGA平台上进行验证。进行执行效率的加速比分析,可以获得接近0.7的平均加速比。