可編程能力在新一代安全設(shè)備中的重要性
通過基于軟件的防火墻部署網(wǎng)絡(luò)安全的傳統(tǒng)方法,由于無法滿足時延與帶寬需求而無法擴(kuò)展。將賽靈思自適應(yīng)器件的靈活性及可配置性及其 IP 和工具產(chǎn)品相結(jié)合,能夠顯著提高安全處理性能。
本文引用地址:http://m.butianyuan.cn/article/202112/430462.htm概要
本白皮書探討了多種防火墻架構(gòu),其中包括基于軟件與 NPU 的架構(gòu),并且闡明了為什么新一代設(shè)計需要基于賽靈思自適應(yīng)器件的內(nèi)聯(lián)防火墻架構(gòu)。賽靈思 16nm FPGA 與 SoC以 及 7nm Versal?ACAP 能夠以硬化塊與軟 IP 的形式提供多種架構(gòu)組件,因此使其成為設(shè)計新一代安全設(shè)備的理想選擇。 這些 IP 包括高速 SerDes 和多速率接口 IP,例如硬化 MAC、PCIe ?接口與存儲器控制器。 此外,賽靈思器件還可以提供具備流分類軟搜索 IP 的業(yè)界一流存儲器架構(gòu),使其成為網(wǎng)絡(luò)安全和防火墻應(yīng)用的最佳選擇。
介紹
本白皮書介紹了在企業(yè)與電信數(shù)據(jù)中心網(wǎng)絡(luò)中用作新一代防火墻 (NGFW) 的安全設(shè)備的功能、部署與架構(gòu)。賽靈思器件的靈活性與可配置性與其 IP 與工具產(chǎn)品相結(jié)合,能夠顯著提高用于威脅檢測與預(yù)防的網(wǎng)絡(luò)安全設(shè)備的性能,同時可以實(shí)現(xiàn)性能擴(kuò)展。此外,這些器件還可以助力實(shí)現(xiàn)即將面世的新一代安全技術(shù),例如后量子加密 (PQC) 以及用于異常檢測的機(jī)器學(xué)習(xí) (ML) 技術(shù)。
由于企業(yè)網(wǎng)絡(luò)正在向基于策略與意圖的網(wǎng)絡(luò)轉(zhuǎn)型,因此流與策略可以定義有關(guān)流量的操作(路由、QoS、拋棄、標(biāo)記等)。此外,輸入流量所需的安全策略會根據(jù)網(wǎng)絡(luò)中流的性質(zhì)不斷變化。大多數(shù)流量需要根據(jù)狀態(tài)以動態(tài)方式處理網(wǎng)絡(luò)流量。
基于端口的傳統(tǒng)防火墻可以提供基于邊界的保護(hù),它可以根據(jù)數(shù)據(jù)包參數(shù)(如:IP 地址與 TCP/UDP 端口號)過濾流量,因?yàn)閼?yīng)用感知僅在軟件中進(jìn)行處理,其無法進(jìn)行性能擴(kuò)展。NGFW 應(yīng)當(dāng)不但能夠識別和處理特定類別的流量,而且還應(yīng)當(dāng)能夠識別與應(yīng)用內(nèi)容相關(guān)的威脅。企業(yè)使用的眾多應(yīng)用允許端口跳變,采用非標(biāo)準(zhǔn)端口或者隱藏 SSL 隧道中的威脅,因此傳統(tǒng)的基于靜態(tài)端口的防火墻無法檢測出威脅與惡意軟件。
企業(yè)網(wǎng)絡(luò)防火墻
為確保企業(yè)辦公室之間的安全性,歷代網(wǎng)絡(luò)防火墻都部署在網(wǎng)絡(luò)邊緣,其聯(lián)網(wǎng)絡(luò)采用多種傳輸網(wǎng)技術(shù),而且往往會采用同一個網(wǎng)絡(luò)流水線作為公共網(wǎng)。隨著基于策略的網(wǎng)絡(luò)的演進(jìn)發(fā)展以及軟件定義網(wǎng)絡(luò) (SDN) 與基于意圖的網(wǎng)絡(luò) (IBN) 的涌現(xiàn),具有不同吞吐量與功能的防火墻在逐步部署到企業(yè)網(wǎng)絡(luò)的眾多不同位置。參見圖 1。
圖1 企業(yè)網(wǎng)絡(luò)的新一代防火墻
如圖 1所示,防火墻的作用已經(jīng)從企業(yè)網(wǎng)邊界擴(kuò)展到企業(yè)中的多個位置,如:連接企業(yè)總部與分支機(jī)構(gòu),保護(hù)連接邊緣,或保護(hù)企業(yè)數(shù)據(jù)中心的流量不受企業(yè)訪問的影響。NGFW 能夠根據(jù)多種數(shù)據(jù)包參數(shù)(端口、 IP 地址、有效載荷內(nèi)容)或者根據(jù) L3-VPN 或 SSL/TLS 等加密技術(shù)檢測和阻止網(wǎng)段之間的威脅與惡意軟件。
防火墻部署與功能
安全設(shè)備負(fù)責(zé)檢查和分析來自企業(yè)網(wǎng)絡(luò)外部的所有流量。防火墻能夠部署到企業(yè)網(wǎng)絡(luò)的多個位置,如:企業(yè)不同部門之間的流量,或者通過由交換機(jī)和路由器組成的多個網(wǎng)絡(luò)節(jié)點(diǎn)從企業(yè)訪問進(jìn)入企業(yè)數(shù)據(jù)中心的流量。
安全設(shè)備 (NGFW) 可以內(nèi)聯(lián)部署,也能夠以旁路模式部署。這兩種模式的主要區(qū)別是內(nèi)聯(lián)模式直接連接到外部網(wǎng)絡(luò)端口,而旁路設(shè)備可以連接到交換機(jī)或路由器的分流器或鏡像端口。圖 2 顯示了網(wǎng)絡(luò)中的防火墻連接。雖然防火墻的功能大同小異,但是內(nèi)聯(lián)防火墻比旁路防火墻設(shè)備更復(fù)雜,同時性能也更強(qiáng)大。
部署到具體位置的防火墻的規(guī)模與功能在策略規(guī)則分配方面有所不同,但是某些基本功能(如:流量分類、緩沖等)保持不變。
圖2 企業(yè)的絡(luò)中的 NGFW
網(wǎng)絡(luò)節(jié)點(diǎn)或安全設(shè)備可以負(fù)責(zé)實(shí)現(xiàn)以下安全功能:
1.L2 安全 - 用于鏈路加密的 MACSec
2.L3 安全 - 來自用戶與其他網(wǎng)絡(luò)節(jié)點(diǎn)的 VPN 隧道
3.無效流量的阻斷與過濾(基于協(xié)議與端口的過濾)
4.傳入與傳流量的 TLS/SSL 加密/解密
5.跨多個流量的異常檢測
6.狀態(tài)模式匹配
7.統(tǒng)計異常檢測
8.IP 分片
9.TCP 重組與排序
10.基于正則表達(dá)式 (regex) 的簽名/內(nèi)容匹配
除了上述功能之外,新一代網(wǎng)絡(luò)安全產(chǎn)品也已經(jīng)開始實(shí)現(xiàn)用于網(wǎng)絡(luò)分析與惡意軟件預(yù)測的 ML 模型。此類模型不依賴基于簽名的傳統(tǒng)檢測功能。支持ML的防火墻可以收集遙測數(shù)據(jù),而且可以在威脅出現(xiàn)之前提前部署安全策略。
上述功能的其中一部分是基本功能,是所有網(wǎng)絡(luò)節(jié)點(diǎn)(安全交換機(jī)與路由器)的組成部分,而且是在采用 ASIC 或可編程器件創(chuàng)建的已部署網(wǎng)絡(luò)交換機(jī)和路由器中實(shí)現(xiàn);其他功能(L3 及更高級功能)更加復(fù)雜,需要大量流量分類與處理操作。網(wǎng)絡(luò)協(xié)議層越高,流量處理的復(fù)雜性就越高。例如,層1(L1) 安全只需要幀級加密(如:OTN 傳輸有效載荷幀),而且是采用批量加密協(xié)議 (AES-GCM) 在光網(wǎng)絡(luò)節(jié)點(diǎn)中實(shí)現(xiàn)。層 2(L2) 與層 3(L3) 需要在以太網(wǎng)與 IP 層面進(jìn)行數(shù)據(jù)包處理,其需要數(shù)據(jù)包級別的處理。層 4(L4) 與更高級別需要進(jìn)行內(nèi)容級安全處理,其中每個 TCP 或 UDP 會話都包括多個以太網(wǎng)與 IP 數(shù)據(jù)包。一些L2 與 L3 安全功能可以在硬件器件(ASIC、ASSP、FPGA、SoC、ACAP 與 NPU)中輕松實(shí)現(xiàn)。此外,更高層的安全處理(L3 及以上)也需要對傳入流量進(jìn)行基于軟件的內(nèi)容處理,才能實(shí)現(xiàn)威脅檢測與清除。
由于新的接入網(wǎng)技術(shù)(5G 前傳、PON 與電纜)在過去幾年已經(jīng)大幅提高了吞吐量與流量,因此僅僅基于軟件流量處理的防火墻設(shè)備不足以滿足預(yù)期吞吐量下的性能與時延要求。
新一代防火墻的硬件架構(gòu)
由于防火墻需要處理和檢查所有的傳入流量,因此它們需要執(zhí)行以下操作:
● L2/L3 數(shù)據(jù)包處理
● L2/L3 安全功能
o LinkSec/MACSec
o L3-VPN/IPSec
● L4–L7 數(shù)據(jù)包處理與安全
圖 3 顯示為防火墻設(shè)計選項(xiàng)。
圖3 防火墻的演進(jìn)發(fā)展:旁路與內(nèi)聯(lián)處理對比
低端防火墻設(shè)備(通常低于 10G)的設(shè)計可以采用網(wǎng)絡(luò)接口器件與 CPU。常見的網(wǎng)絡(luò)接口 (NIC) 器件(定制 ASIC、FPGA 或 ASSP)可以處理處理理傳入流量(以太網(wǎng)與 IP 數(shù)據(jù)包),并且能夠執(zhí)行眾所周知的 L2 與 L3 功能,而更高層 (L4–L7)功能是由在 CPU 中運(yùn)行的軟件執(zhí)行。
中端防火墻能夠處理更高的吞吐量 (10G–50G),其設(shè)計主要采用網(wǎng)絡(luò)接口器件與旁路安全處理器(安全 ASIC、NPU 或 FPGA)。由于只使用軟件的解決方案不能以更高的吞吐量對流量進(jìn)行分類和處理,因此旁路安全處理器可以用作 CPU 協(xié)處理器,以便卸載加密/解密、公開密鑰基礎(chǔ)設(shè)施(PKI)和/或狀態(tài)流量處理功能。雖然在這種架構(gòu)中可以將 ASIC 或 NPU 用作網(wǎng)絡(luò)接口,但是在中端防火墻中采用 FPGA 日漸流行,因?yàn)樗趦?nèi)聯(lián)模式下可以實(shí)現(xiàn)處理傳入流量所需的可擴(kuò)展性和靈活性,從而可以降低威脅檢測與預(yù)防方面的時延。
吞吐量達(dá)到 50G-400G 的新一代高端防火墻主要設(shè)計用于內(nèi)聯(lián)操作模式。在內(nèi)聯(lián)模式下,網(wǎng)絡(luò)接口器件需要更加智能,才能處理龐大流量,這涉及到對傳入和傳出數(shù)據(jù)包的更深入的檢查。此類接口器件也需要實(shí)現(xiàn)安全功能,如內(nèi)聯(lián) IPSec,其采用常用的加密協(xié)議與 TCP 級安全。這種架構(gòu)仍然采用 NPU 來實(shí)現(xiàn)具體的加密協(xié)議、PKI 和狀態(tài)處理。內(nèi)聯(lián)設(shè)備的流量分類需求在流量數(shù)量與復(fù)雜性以及針對高吞吐量流量采取的措施方面各不相同。因此,用于內(nèi)聯(lián)安全處理的可編程器件(如FPGA)是實(shí)現(xiàn)此類功能的理想選擇。與 NPU 相比,F(xiàn)PGA 在流量處理方面提供了顯著的時延降低和優(yōu)異的可擴(kuò)展性。此外,F(xiàn)PGA 目前還可以配置新一代存儲器接口和片上高帶寬存儲器 (HBM),這對于存儲器密集型流量處理應(yīng)用非常有用。
將 FPGA 用作網(wǎng)絡(luò)安全的流量處理器
進(jìn)出安全設(shè)備(防火墻)的流量進(jìn)行多級別加密。L2 加密/解密 (MACSec) 是在鏈路層 (L2) 網(wǎng)絡(luò)節(jié)點(diǎn)(交換機(jī)與路由器)進(jìn)行處理。超出 L2(MAC 層)的處理通常包括更深層的解析、L3 隧道解密 (IPSec) 以及加密 SSL 流量與 TCP/UDP 流量的處理。數(shù)據(jù)包處理涉及傳入數(shù)據(jù)包的解析與分類以及高吞吐量 (25–400Gb/s) 的龐大流量 (1–20M) 的處理。由于需要大量計算資源(核心),NPU 可以用于相對更高速率的數(shù)據(jù)包處理,但是無法實(shí)現(xiàn)低時延、高性能可擴(kuò)展流量處理,因?yàn)榱髁刻幚聿捎?MIPS/RISC 核心,而根據(jù)其可用性來調(diào)度此類核心難度很大。采用基于FPGA的安全設(shè)備可以有效消除基于 CPU 和 NPU 的架構(gòu)所帶來的上述限制。
安全設(shè)備的流量處理
流量處理是數(shù)據(jù)包處理的更高級別的抽象,因?yàn)橐粋€數(shù)據(jù)流是由類型相似的眾多數(shù)據(jù)包組成。流量處理包括以下主要組成部分:
● 數(shù)據(jù)包解析
● 數(shù)據(jù)包查找
o 路由查找
o 根據(jù)數(shù)據(jù)包字段采用通配符搜索的流量查找
● 數(shù)據(jù)包編輯
o 校驗(yàn)和計算
o 包頭封裝/解封
o 安全包頭封裝
賽靈思提供了采用高級抽象語言 P4 進(jìn)行數(shù)據(jù)包處理的工具,其可以實(shí)現(xiàn)數(shù)據(jù)包解析、分類、查找與數(shù)據(jù)包編輯功能。與基于 RTL 語言的實(shí)現(xiàn)相比,使用 P4 完成數(shù)據(jù)包處理可以在更高的抽象層實(shí)現(xiàn)。采用P4可以提高現(xiàn)有可編程FPGA架構(gòu)的靈活性,因?yàn)樗梢暂p松實(shí)現(xiàn)數(shù)據(jù)包解析、數(shù)據(jù)包編輯以及流量表?xiàng)l目的修改。
如圖 4 所示,P4 介紹可以采用 P4 編譯器編譯的并且映射在賽靈思 FPGA 中的數(shù)據(jù)包處理流水線架構(gòu),其中采用了基本架構(gòu)組件。P4 語言定義數(shù)據(jù)包解析、查找(IPv4、IPv6 和其他數(shù)據(jù)包字段)以及數(shù)據(jù)包的編輯(逆解析)。P4定義的架構(gòu)可以直接應(yīng)用于安全處理流水線,如:IPSec安全關(guān)聯(lián) (SA)、安全策略 (SP) 查找以及進(jìn)/出流量的隧道處理實(shí)現(xiàn)。
圖4 基于 P4 的數(shù)據(jù)包處理流量分類與查找
數(shù)據(jù)包處理的三個主要組成部分包括:
數(shù)據(jù)包解析:來自多個應(yīng)用,訪問企業(yè)網(wǎng)絡(luò)與數(shù)據(jù)中心網(wǎng)絡(luò)不同節(jié)點(diǎn)所產(chǎn)生的流量需要針對具體流量類型分類。解析過程涉及眾多數(shù)據(jù)包參數(shù)的提取,其中包括 L2 包頭、L3 包頭以及來自數(shù)據(jù)包已知偏移量的字段。這些解析需求隨應(yīng)用不同以及數(shù)據(jù)包不同位置的簽名不同而變化。FPGA 的靈活架構(gòu)加上 P4 定義的解析器能夠滿足這些不斷變化的分類需求。
數(shù)據(jù)包查找:完成解析之后,需要根據(jù)流量的類型對數(shù)據(jù)包進(jìn)行分類。加密的數(shù)據(jù)包根據(jù)協(xié)議與安全包頭字段進(jìn)行解密處理。匹配操作模塊對數(shù)據(jù)包解析器模塊生成的搜索密鑰進(jìn)行查找,以實(shí)現(xiàn)目的地/操作分配。對于加密流量,秘鑰搜索包括安全關(guān)聯(lián)與安全策略的確定,它可以決定應(yīng)用于加密數(shù)據(jù)包的解密密鑰信息和策略。L2 加密數(shù)據(jù)包 (MACSec) 需要更簡單直接的查找,而更高層的加密查找可能更加復(fù)雜,具有更寬泛的密鑰與結(jié)果值。圖5 介紹了 MACSec、IPSec 和 TCP 協(xié)議的查找示例。查找次數(shù)隨網(wǎng)絡(luò)節(jié)點(diǎn)變化,不過某些情況下一些流量類別需要多層查找。
圖5 L2/L3/L4 安全實(shí)現(xiàn)方案查找示例
上述查找特定于安全處理。此外,防火墻也可以針對路由器功能、網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 以及傳入流量的策略(或訪問控制)查找實(shí)現(xiàn)附加查找。
以下安全與網(wǎng)絡(luò)查找類別包括精確匹配、最長前綴匹配 (LPM) 和通配符搜索,其采用由包頭字段組成的密鑰:
● 路由查找
● NAT 查找
● 采用多個字段的流量分類
如圖 6 所示,數(shù)據(jù)包處理查找可分為三類,有各自的表和密鑰大小要求。
圖6 采用基于 FPGA 的安全設(shè)備進(jìn)行查找
賽靈思的 IP 產(chǎn)品組合包括用于二進(jìn)制匹配、通配符三元匹配和最長前綴匹配的搜索 IP。這些搜索 IP 可以靈活組合,以適應(yīng)所有采用片上 SRAM 與 DRAM (HBM) 的賽靈思 FPGA。這三類搜索 IP 全部支持 100Mb/s 至 400Gb/s 吞吐量。
秘鑰寬度、結(jié)果寬度和表內(nèi)的條目數(shù)量可以決定 FPGA 所用片上邏輯資源和存儲器 (SRAM/DRAM) 的數(shù)量。由于賽靈思擁有具有不同資源(邏輯/存儲器)數(shù)量的廣泛器件類別,因此用戶能夠針對其吞吐量與表大小要求選擇具有適當(dāng)資源的賽靈思器件。此外,查找 IP 配備用于修改和更新流量表?xiàng)l目的應(yīng)用層軟件 API。
評論