網(wǎng)絡(luò)處理器(Network Processor)建置新一代網(wǎng)絡(luò)安全應(yīng)用
網(wǎng)絡(luò)安全的需求 據(jù)統(tǒng)計(jì),2000年企業(yè)及政府部門遭受駭客(Hacker)攻擊的概率高達(dá)85%,而網(wǎng)絡(luò)安全的漏洞不是防堵駭客入侵就解決了,其它像遭窺探者竊取機(jī)密性數(shù)據(jù),或是心懷不滿的員工蓄意破壞系統(tǒng)內(nèi)重要檔案,警覺性不足的員工外泄重要密碼、不小心由Email引入計(jì)算機(jī)病毒等,都是威脅網(wǎng)絡(luò)安全的幾個(gè)危險(xiǎn)因子。 為了讓區(qū)域內(nèi)網(wǎng)絡(luò)維持安全運(yùn)作,建立一套安全防護(hù)網(wǎng)才是根本解決之道,較完整的防衛(wèi)機(jī)制大概分為三大類: (一)Network Security (網(wǎng)絡(luò)安全) (Firewalls, Intrusion detection system, Intrusion prevention System, Wireless security, Mail security, E-commerce security, Load balancer /High Availability) (二)Content Filtering (內(nèi)容過濾) (Antivirus, Internet /Web / URL filters, Spam filtering, Content security) (三)Encryption (加密) (Virtual Private Network, Public Key Infrastructure Certification Architecture, 三種市場(chǎng)應(yīng)用各有不同的系統(tǒng)規(guī)格需求,VPN 的系統(tǒng)需將訊息全數(shù)打亂再丟到網(wǎng)絡(luò)上,透過加密機(jī)制在公開的網(wǎng)絡(luò)里建立起加密通道(Encrypted Tunnel),接收端再解密取得真實(shí)訊息,在浩瀚的因特網(wǎng)內(nèi)建立起安全私密的虛擬局域網(wǎng)絡(luò);Firewall則像大樓管理員,檢查來訪封包的通行許可證,包含檢查封包的來源、目的地、連接埠等字段,但是防火墻并沒有辦法擋掉所有的入侵者,此時(shí)就須要另一道防線IDS;IDS 就像網(wǎng)絡(luò)上的監(jiān)控?cái)z影機(jī),可以分析流經(jīng)的封包數(shù)據(jù),偵測(cè)未經(jīng)授權(quán)的行為,IDS大致區(qū)分為「網(wǎng)絡(luò)系統(tǒng)」跟「主機(jī)系統(tǒng)」兩類?;旧螴DS需求的系統(tǒng)處理能力可以涵蓋VPN及Firewall的需求. 入侵偵測(cè)系統(tǒng)的應(yīng)用 防火墻與IDP的差異在于, 防火墻僅能就網(wǎng)絡(luò)封包做到2到4層的檢測(cè),就來源地址/端口號(hào)以及目的地址/服務(wù)進(jìn)行控管;而IDP可以做到4到7層(也就是應(yīng)用層)的檢測(cè),因此IDP可以發(fā)覺包藏在應(yīng)用層里的惡意攻擊碼(譬如蠕蟲攻擊、緩沖溢位攻擊便藏匿于此),并予以狙擊。IDP內(nèi)建龐大的攻擊特征數(shù)據(jù)庫(kù),可以有效阻絕已知的攻擊;IDP也透過「異常協(xié)議偵測(cè)」的方式,實(shí)時(shí)檢查并將不符合RFC規(guī)范的網(wǎng)絡(luò)封包丟棄。所以在「攻擊防御」方面,IDP遠(yuǎn)勝于防火墻之上。 由于IDP一般僅能就IP以及IP群組決定封包放行權(quán)限,所以在「資源存取權(quán)限管理」方面,防火墻較優(yōu)于IDP。然而,防火墻并無法有效管控企業(yè)內(nèi)部使用者使用P2P、實(shí)時(shí)通訊(Instant Messenger、Yahoo Messenger)等軟件、也無法杜絕利用Web-Mail或者Web-Post等方式將機(jī)密外泄,這些問題需要能監(jiān)控4到7層的IDP設(shè)備才能控管。目前已經(jīng)有少部分的IDP產(chǎn)品采用IXP2xxx芯片利用其「深層檢測(cè)」的優(yōu)勢(shì),有效地解決上述問題。 IDP可以防止蠕蟲由外入侵至企業(yè)網(wǎng)絡(luò)內(nèi)部,而如果防火墻要防止蠕蟲攻擊,僅能消極地關(guān)閉某些Port。但一般的檔案型病毒,則不在IDP及防火墻的防護(hù)范圍內(nèi)。因此資安的最后一層防護(hù)網(wǎng)便是在使用者端安裝防毒軟件。 各項(xiàng)資安產(chǎn)品皆有其擅長(zhǎng)與不足之處,因此建議企業(yè)資安負(fù)責(zé)人員深入了解以及比較這些資安產(chǎn)品的差異,并依據(jù)企業(yè)的實(shí)際需要充分搭配使用,加強(qiáng)資安防護(hù)網(wǎng)的縱深,以確保企業(yè)的網(wǎng)絡(luò)安全。 后面我們就以較復(fù)雜的IDS為例做IXP-2400的應(yīng)用說明。 網(wǎng)絡(luò)處理器的時(shí)代已經(jīng)來臨,它可有效解決網(wǎng)絡(luò)交通擁塞的問題,也可處理復(fù)雜的封包運(yùn)算。不論如何,Inetel IXA架構(gòu)已經(jīng)正確的跨出第一步,接下來就須要更多的平臺(tái)設(shè)計(jì)者投入開發(fā)工作,以及更多的應(yīng)用開發(fā)者投入資源,發(fā)展軟件程序,逐步建立完整的可攜式Microblocks。網(wǎng)絡(luò)興起、頻寬加速拓展,使整個(gè)網(wǎng)絡(luò)通訊的市場(chǎng)板塊不斷的在調(diào)整、挪動(dòng),凌華科技與Intel合作,共同推廣IXP-2XXX網(wǎng)絡(luò)處理器的應(yīng)用,針對(duì)網(wǎng)絡(luò)安全其中封包處理過程以下進(jìn)一步來討論。 何謂封包與功能: 在網(wǎng)絡(luò)安全論述中,所有傳輸動(dòng)作是經(jīng)由封包完成的, 封包就很像我們?cè)卩]寄信件的時(shí)候那個(gè)郵件的模樣了!信紙內(nèi)容總是得放入信封吧?而信封上面會(huì)寫上發(fā)信人住址,受收信人住址與姓名. 所以,一封郵件主要會(huì)有兩個(gè)部分,分別是:『信封表面的信息部分、與信封內(nèi)部的信件內(nèi)容!』。同樣的,網(wǎng)絡(luò)的信息封包主要也是分為兩個(gè)部分,一個(gè)是表頭 ( Header ) 的部分,另一個(gè)則是內(nèi)容 ( messages ) 的部分!而一個(gè)封包要傳送到哪里去,都是通過 Header 的訊息部分進(jìn)行分析而傳送的!那么 Header 有哪些重要的信息呢?主要就如同上面提到的,至少會(huì)有來源與目標(biāo) IP 、來源與目標(biāo) Port等等!封包是怎么在兩部主機(jī)之間進(jìn)行傳送的呢?事實(shí)上,封包的傳送是相當(dāng)復(fù)雜的,而且封包的狀態(tài)不同 (TCP/UDP) 也會(huì)有不一樣的傳送機(jī)制。這里舉一個(gè)『相對(duì)比較可靠的封包傳送方式』來介紹。如下圖所示:
當(dāng)發(fā)送封包者發(fā)送出一個(gè)封包給接受者后,接受者在『正確的接到』這個(gè)封包之后,會(huì)回復(fù)一個(gè)響應(yīng)封包 ( Acknowledgment ) 給發(fā)送者,告訴他接受者已經(jīng)收到了!當(dāng)發(fā)送端收到這個(gè)響應(yīng)封包后,才會(huì)繼續(xù)發(fā)送下一個(gè)封包出去,否則就會(huì)將剛剛的封包重新發(fā)送一次!這種封包的傳遞方式因?yàn)榭紤]到對(duì)方接到的封包的狀態(tài),所以算是比較可靠的一種方式。目前因特網(wǎng)上面常見的封包是 TCP 與 UDP ,其中 TCP 的聯(lián)機(jī)方式中,會(huì)考慮到較多的參數(shù),他是一種聯(lián)機(jī)模式(Connection Oriented)的可靠傳輸,至于 UDP 則省略了響應(yīng)封包的步驟,所以是一種非聯(lián)機(jī)導(dǎo)向的非可靠傳輸。在一個(gè) TCP 封包的傳送過程中,因?yàn)橹辽傩枰獋魉团c響應(yīng)等封包來確定傳送出去的數(shù)據(jù)沒有問題,所以他是相當(dāng)可靠的一種傳輸方式,不過就是傳輸與響應(yīng)之間的時(shí)間可能會(huì)拖比較久一點(diǎn)。至于 UDP 封包就因?yàn)樯倭四莻€(gè)確認(rèn)的動(dòng)作,所以雖然他是較不可靠一點(diǎn),但是速度上就比 TCP 封包要來的快!底下我們將繼續(xù)介紹 TCP, UDP 以及 ICMP 等封包信息的內(nèi)容. TCP 與 UDP 封包的建立是有差異存在的!針對(duì)TCP封包Header的內(nèi)容作個(gè)簡(jiǎn)單的介紹! TCP 封包的 Header 內(nèi)容主要如下:
Source Port & Destination Port ( 來源端口口 & 目標(biāo)端口口 ):來源與目標(biāo)的端口,這個(gè)容易了解吧!上面剛剛提過那個(gè)埠口的觀念。再次的強(qiáng)調(diào)一下,小于 1024 以下的 Port 只有 root 身份才能啟用,至于一般 Client 發(fā)起的聯(lián)機(jī),通常是使用大于 1024 以上的埠口! Sequence Number ( 封包序號(hào) ):在OSI 七層協(xié)定里面提到過,由于種種的限制,所以一次傳送的封包大小大約僅有數(shù)千 bytes ,但是我們的資料可能大于這個(gè)封包所允許的最大容量,所以就得將我們的數(shù)據(jù)拆成數(shù)個(gè)封包來進(jìn)行傳送到目的地主機(jī)的動(dòng)作。那么對(duì)方主機(jī)怎么知道這些封包是有關(guān)連性的呢?就得通過這個(gè) Sequence Number 來輔助了。當(dāng)發(fā)送端要發(fā)送封包時(shí),會(huì)為這個(gè)封包設(shè)定一個(gè)序號(hào),然后再依據(jù)要傳送的數(shù)據(jù)長(zhǎng)度,依序的增加序號(hào)。也就是說,我們可以使用遞增的值來替下一個(gè)封包作為它序號(hào)的設(shè)定! Acknowledgment Number ( 回應(yīng)序號(hào) ) :封包傳輸過程中,我們知道在接受端接收了封包之后,會(huì)響應(yīng)發(fā)送端一個(gè)響應(yīng)封包,那個(gè)響應(yīng)的信息就是在這里。當(dāng)接收端收到 TCP 封包并且通過檢驗(yàn)確認(rèn)接收該封包后,就會(huì)依照原 TCP 封包的發(fā)送序號(hào)再加上數(shù)據(jù)長(zhǎng)度以產(chǎn)生一個(gè)響應(yīng)的序號(hào),而附在回應(yīng)給發(fā)送端的響應(yīng)封包上面,這樣發(fā)送端就可以知道接收端已經(jīng)正確的接收成功該 TCP 封包了!所以說, Sequence 與 Acknowledgment number 是 TCP 封包之所以可靠的保證!因?yàn)樗梢杂脕頇z測(cè)封包是否正確的被接受者所接收! Data Offset (資料補(bǔ)償):這是用來記錄表頭長(zhǎng)度用的一個(gè)字段。 Reserved (保留):未使用的保留字段。 Control Flag (控制標(biāo)志碼):控制標(biāo)志碼在 TCP 封包的聯(lián)機(jī)過程當(dāng)中,是相當(dāng)重要的一個(gè)標(biāo)志,先來說一說這六個(gè)句柄,然后再來討論吧: Urgent data :如果 URG 為 1 時(shí),表示這是一個(gè)緊急的封包數(shù)據(jù),接收端應(yīng)該優(yōu)先處理; Acknowledge field significant :當(dāng) ACK 這個(gè) Flag 為 1 時(shí),表示這個(gè)封包的 Acknowledge Number 是有效的,也就是我們上面提到的那個(gè)回應(yīng)封包。 Push function :如果 PSH 為 1 的時(shí)候,該封包連同傳送緩沖區(qū)的其它封包應(yīng)立即進(jìn)行傳送,而無需等待緩沖區(qū)滿了才送。接收端必須盡快將此數(shù)據(jù)交給程序處理。 Reset :如果 RST 為 1 的時(shí)候,表示聯(lián)機(jī)會(huì)被馬上結(jié)束,而無需等待終止確認(rèn)手續(xù)。 Synchronize sequence number :這就是 SYN 標(biāo)志啦!當(dāng) SYN 為 1 時(shí),那就表示發(fā)送端要求雙方進(jìn)行同步處理,也就是要求建立聯(lián)機(jī)的意思,這個(gè) SYN 是相當(dāng)重要的一個(gè) Flag 喔! No more data fro sender (Finish) :如果封包的 FIN 為 1 的時(shí)候,就表示傳送結(jié)束,然后雙方發(fā)出結(jié)束響應(yīng),進(jìn)而正式進(jìn)入 TCP 傳送的終止流程。 Window (滑動(dòng)窗口):與接收者的緩沖區(qū)大小有關(guān)的一個(gè)參數(shù)。 Checksum(確認(rèn)):當(dāng)數(shù)據(jù)要由發(fā)送端送出前,會(huì)進(jìn)行一個(gè)檢驗(yàn)的動(dòng)作,并將該動(dòng)作的檢驗(yàn)值標(biāo)注在這個(gè)字段上;而接收者收到這個(gè)封包之后,會(huì)再次的對(duì)封包進(jìn)行驗(yàn)證,并且比對(duì)原發(fā)送的 Checksum 值是否相符,如果相符就接受,若不符就會(huì)假設(shè)該封包已經(jīng)損毀,進(jìn)而要求對(duì)方重新發(fā)送此封包! Urgent Pointer:指示緊急數(shù)據(jù)所在位置的字段。 Option:當(dāng)需要 client 與 Server 同步動(dòng)作的程序,例如 Telnet ,那么要處理好兩端的交互模式,就會(huì)用到這個(gè)字段來指定數(shù)據(jù)封包的大小,不過,這個(gè)字段還是比較少用的! 為什么需要用到 Intel IXP-2XXX 網(wǎng)絡(luò)處理器 因特網(wǎng)、企業(yè)網(wǎng)絡(luò)等
提交
凌華科技推出AES-100系列AI邊緣服務(wù)器
凌華科技推出邊緣視覺分析軟件開發(fā)套件EVA SDK加速邊緣AI視覺
人工智能正在改變物流自動(dòng)化的方式,將為勞動(dòng)密集型產(chǎn)業(yè)帶來革新
凌華科技加入開放式無線接入網(wǎng)O-RAN聯(lián)盟 加速網(wǎng)絡(luò)互通性 助力企業(yè)邁向5G
凌華科技推出首款搭載NVIDIA Quadro P1000圖形處理功能的PC/104模塊