基于双网隔离的网络安全设备研究∗

2018-05-29 11:50许晓明
舰船电子工程 2018年5期
关键词:数据包端口网络安全

许晓明

(中冶交通建设集团有限公司 北京 100011)

1 引言

不同安全级别的网络之间的安全防护措施通常是物理隔离[1]。但是这种防护措施的灵活性不够,难以实现被隔离网络之间的信息实时交换。因此基于可信数据过滤的网络隔离技术逐渐受到重视,并成为研究热点[2~3]。

基于可信数据过滤的网络隔离是网络安全防护的一种新思路,部署在内外网之间的网络安全设备,将内外网内外的安全等级划分为不同的信任域,形成不同安全等级的网络通信系统,在实现网络隔离的基础上达到可信信息实时交换的目的[4~6]。

目前基于双网隔离的网络安全技术还处于发展过程中,在架构和功能上并无行业统一的规范,这也使得市场上此类网络安全设备的架构和功能上差别较大[7~8]。目前网络隔离技术主要有物理通道隔离,通过专用的通信硬件和专有的安全协议隔离,采用加密认证机制和认证技术等[9~10]。文献[11]提出一种基于智能卡的硬件隔离技术。该技术通过设计嵌入式安全模块为终端系统提供数据加密和解密的安全服务。文献[12]提出一种基于数据转发的网络隔离技术。该技术基于DES算法构建数据加密通信系统,实现隔离网络的动态、实时的数据安全转发。

通过对上述研究成果的分析,基于双网有效隔离情况下实现可信数据安全交换的考虑,本文设计开发了一种基于硬件隔离的网络安全设备。该设备采用基于硬件隔离技术和数据报文处理技术,通过信息内容过滤技术实现外部网络内部网络之间的安全通信。

2 总体设计

基于安全隔离和信息交换的网络安全设备主要由硬件隔离单元、内联网信息处理单元、外联网信息处理单元和逻辑控制单元组成。硬件隔离单元主要提供数据包分组过滤以及基于交换分区的硬件隔离功能。内联网信息处理单元和外联网信息处理单元主要是对网络中的三层数据包中负载数据进行还原,对数据包中的上层协议进行解析,并进行相关的安全审计和将审计数据传送给逻辑控制单元。网络连接的请求方所在的安全区域的信息处理单元负责相应的数据包处理。设备功能配置信息、审计服务主要由逻辑控制单元提供。逻辑控制单元还对设备各个单元数据流提供重定向服务。硬件隔离、内外网数据的高层协议转换以及重定向处理功能都是通过网络安全设备的不同控制接口实现的。网络安全设备还提供外部审计控制接口,外部终端可通过审计接口接入系统获取审计数据并进行相关配置。

网络安全设备的网络隔离的控制逻辑FPGA芯片实现。系统设计框架如图1所示。

图1 系统架构

本文所设计的网络安全设备具有如下优点。首先可以从网络外的多个硬件安全,硬件预处理与隔离单元的相互隔离一方面可以配置分区,不允许区域间交换;另一方面,可以记录数据包的来源。如果预先配置的过滤器被触发,将导致数据包被拒绝转发。其次该网络安全设备从硬件和软件两方面确保内部网络与外部网络之间数据交换的安全性,设备内部单元之间采用私有协议通信,使得内部通信的安全性得到可靠保证。此外,信息处理单元没有采用通用的协议栈路径,基于自主捕获和发送数据的路径,大大降低了数据在发送过程被劫持和控制的可能。最后基于模块化的设计保证了良好的系统可扩展性,为设备升级提供了空间[13]。

3 硬件隔离单元

基于硬件的信息隔离与交换的主要逻辑操作有消息过滤、网络隔离、访问控制和协议转换。其逻辑流程如图2所示。

图2 硬件隔离逻辑流程

图2中网络隔离是实现基于硬件的信息隔离与交换的主要逻辑操作,它由分布在不同信任域网络中的多个端口组成了网络之间数据缓存和信息交换的单独网络。数据缓存指的是对应发起网络通信方的隔离端口对所接受的数据进行阻塞和存储。外联网络和外联网络对应不同的交换端口,端口之间数据依据信任域之间的访问控制和数据包过滤规则进行交换。在硬件隔离单元中,端口的按照功能分为两类。第一类端口是内网与外网交换端口,此类端口的数据通信由包过滤模块控制,只有符合过滤规则的数据包才能在端口之间交换。第二类端口是控制模块和内外网端口之间的端口。这类端口传输的数据主要是数据交换的日志数据包,业务数据是不能在此类端口上进行交换的。隔离网络支持对所连接的内外网进行优先级配置,优先级低的网络在过滤规则中默认拒绝。

报文安全过滤处理是对于不同安全域之间的数据包,依据数据通信源接口的不同,进行过滤处理,包括依据基于ACL的转发策略、状态检测、关键字过滤,并决定是否进行转发[14~15]。数据报文的过滤处理逻辑主要有四个。首先是地址转换(NAT)逻辑。根据NAT规则进行对应的地址以及端口转换。其次是对连接状态进行检测,判断当前连接是否是处于正常协议状态,并依据状态检测的结果决定其包过滤与转发决策逻辑。如果判定当前连接状态异常则进行规则处理,并创建异常状态表项。随后是对数据报文进行规则处理。基于网络层数据分组的控制字节信息,与配置的ACL进行匹配,并安装匹配结果对数据分组进行相应处理。最后是包过滤与转发决策。前述逻辑处理对三层数据报文的处理结果有两个:非法报文则直接丢弃;要进行隔离交换的数据报文,则首先检测流量统计信息,如果超过配置流量则丢弃,如未超,则确定进行下一步转发处理。对确定转发的数据报文首先进行内部格式封装后发送至隔离交换单元,如果与隔离交换单元中接口配置有冲突,则丢弃,并将同时形成对应的审计日志。

4 基于网络层数据报文的信息处理

内联网信息处理单元和外联网信息处理单元都是基于网络层数据报文包压缩和私有协议封装处理机制的安全性,两个处理单元的数据处理逻辑都基于信息处理软件实现。信息处理软件由控制模块、安全策略模块,数据报文压缩和访问控制模模块,数据预处理和隔离交换接口模块以及网络协议栈和驱动模块组成,如图3所示。

图3 信息处理软件

控制模块提供对信息处理功能模块进行配置的服务,并将其配置信息写入对应的策略库。控制单元的配置信息包括管理初始化审计配置信息、数据包过滤规则配置信息以及安全审计策略等。安全策略模块的主要功能是接收控制模块发送的安全策略配置命令,对安全策略进行插入、删除、修改、查询等操作。日志管理模块接收控制模块发送的审计信息以及日志数据,并对日志数据进行调用、插入、删除操作。

基于数据包还原的ACL以及数据包处理模块、数据预处理和隔离交换接口模块模块以及协议栈和驱动模块完成数据处理逻辑流程上最重要功能。其中,单元之间共享信息和通信支持库支持两个内外网信息处理单元之间的通信,提供共享信息私有协议封装、解封装以及通信握手的需要。网络层数据包处理模块对接受的数据包进行IP层和TCP/UDP层的解析,剔除数据包的头部信息,取得业务层数据。根据访问控制规则和内容过滤策略对业务层数据进行检测,形成审计日志发送对应的处理模块。审计日志处理模块为每个检测线程保留数据缓存区。私有协议处理和检查在网络层数据包处理流程中实现,对可能存在承载业务层数据的私有协议进行检查,不同的协议对应不同的处理流程,并维护不同的数据缓冲区。对缓冲区分段的数据包,信息处理单元可判定数据段序列的最后一个数据段,如果非最后一个分段数据,则进行硬件隔离交换,否则对完整数据包进行安全检查,通过检查则进行对应的交换操作[16~17]。

5 逻辑控制单元

管理控制单元的主要功能由控制模块和审计模块实现,其中控制模块实现对设备各单元的数据同步和操作控制,为数据的隔离交换提供协调控制,对硬件隔离交换单元的数据流提供重定向服务,对硬件隔离交换单元内部的各种路由表、ACL、关键字过滤表等进行维护。逻辑控制单元的组成模块如图4所示。

图4 逻辑控制单元的模型组成

逻辑控制单元各个模块的的主要功能为命令处理模块对本地输入命令进行定义和解析;接口管理模块对以太网接口的工作模式进行管理和配置;配置管理模块对历史输入操作命令进行缓存,以供查询和快捷执行;规则管理模块对数据流规则匹配过程的策略进行配置管理;控制命令模块对接受到配置命令进行解码并将控制命令分配给对应的对象;本地预处理模块将不同的配置信息分别发送内外网信息处理单元,各个单元将处理结果返回给配置用户;私有协议处理模块对私有协议封装的数据包进行解包,对特殊协议进行协议转换处理;硬件表管理模块对硬件隔离交换单元相关的路由表、ACL、关键字过滤表等进行动态维护,并通过API向外部提供管理接口,为实现防火墙、IDS联动安全控制提供扩展空间[18~19]。

审计模块对审计网络安全设备的数据通信进行监控、配置管理,并对数据操作和系统维护进行日志级别的审计。审计模块提供C/S服务界面,其软件架构由用户端、服务器端和管理端组成。浏览器端给终端用户提供设备远程配置、实时管理和相关审计的服务。服务器端基于Liunx系统开发,对用户端的操作动作进行响应,提供相关的设备配置、数据控制的命令,实现用户的配置、管理和审计等功能。管理端通过管理接口通讯,对设备的物理接口、远程接入配置、日志信息、状态信息以及数据表等进行配置,使得设备能够处于最符合网络环境和用户需求的工作状态。

6 仿真测试

使用vhdl语言完成实现双网隔离的网络安全设备的设计。实现和设计测试在Altera的Quartus 8.1网络版环境中完成。另外,在Altera开发板DE2上进行了设计硬件验证,该开发板DE2包含FPGA芯片Cyclone II EP2C35F672C6,这是一种低成本的FPGA芯片。在硬件测试期间使用SDRAM 8MB内存作为缓冲区。

仿真功能测试分为两个部分。首先是对设备的数据交换能力进行测试。由于双网隔离的网络安全设备的数据交换建立在网络层数据包解析和重组的基础上,因此对数据包解析和重组功能进行仿真测试能够直接反映设备数据交换的效率。

在FPGA芯片中创建了简单的IP包生成器。它是通过使用FPGA芯片的内部ROM存储器实现的,其内容填充了向分段块发送的几个有效IP数据包的值。单元本身被放置在SDRAM内存中的适当位置。通过检查SDRAM位置的内容,并通过观察逻辑分析仪上的信号,验证硬件隔离单元的数据包解析的正确工作。测试数据如表1所示。

以类似的方式对数据包重组功能进行测试。在SDRAM存储器中写入了几个IP分组,并且重组块被认为是读取每个分组的单元并重构原始IP分组内容。将重建的内容与放置在FPGA芯片的内部ROM存储器中的期望值进行比较。这样我们验证了硬件隔离单元重组功能的正确工作。测试数据如表2所示。

表1 解析测试的数据

表2 重组测试的数据

由表1和表2可以看出,数据包分组长度有3个值:256、512和1024。从表1和表2可以看出,随着单元更小,所使用的FPGA工作频率更好。但是,分组越小,每个IP数据包传输的头部字节就越多,因此有效负载的使用量越来越小,会导致网络安全设备的性能下降。在决定网络安全设备的通信速度时,应该考虑这两个对立的要求之间的妥协。

其次是利用网络压力测试软件对网络安全设备的安全性能进行仿真测试。测试环境如图5所示。

图5 测试环境

利用外网的攻击终端对内网的被攻击主机发起网络压力测试软件模拟的网络攻击,检测网络安全设备的完全隔离能力。

安装在攻击终端上的网络压力测试软件配置为对被攻击终端进行基于TCP的半连接攻击,详细配置参数如图6所示。

启动攻击线程后,在被攻击终端上运行数据包抓取程序。程序的抓包结果如图7所示。

图6 网络压力测试软件的配置

由图7可以看出,攻击终端所发送的数据包被网络安全设备全部过滤了,被攻击终端上没有抓取到任何攻击数据。

7 结语

本文设计了一种基于双网隔离的网络安全设备。该设计基于硬件隔离和基于网络层数据包过滤的信息过滤技术,实现了内联网络和外联网络之间的安全通信。该设备的设计对相关的网络安全设备设计和开发具有借鉴价值。

参考文献

[1]王涛,陈鸿昶,程国振.软件定义网络及安全防御技术研究[J].通信学报,2017(11):133-160.

[2]王鹏,马锡坤,吴艳君.基于防火墙的网络安全技术在医院网络中的应用[J].电子设计工程,2017,25(21):189-193.

[3]海小娟.计算机网络安全入侵检测系统的设计与应用研究[J].自动化与仪器仪表,2017(10):142-143.

[4]贺晓春.CERNET网络安全管理成熟度模型的研究与构建[J].计算机系统应用,2017,26(07):24-29.

[5]陈滢生.计算机网络访问隔离控制方法研究[J].微电子学与计算机,2017,34(06):141-144.

[6]陶静,沈文,陈磊,邓辉.基于双PON口的光网络单元业务隔离设计[J].电子设计工程,2017,25(07):75-77,82.

[7]纪元,娄征.基于安全代理的数据交换在电力系统中的研究与应用[J].通信技术,2017,50(02):365-369.

[8]严立宇,祖立军,叶家炜,周雍恺,吴承荣.云计算网络中多租户虚拟网络隔离的分布式实现研究[J].计算机应用与软件,2016,33(11):93-98.

[9]郑显义,史岗,孟丹.系统安全隔离技术研究综述[J].计算机学报,2017,40(05):1057-1079.

[10]张凯,裘晓峰,朱新宁.基于SDN的网络虚拟化平台及其隔离性研究[J].电信科学,2016,32(09):125-131.

[11]何宁,石磊,王长周,晋世仲.发电企业内外网隔离技术研究与应用[J].电力信息与通信技术,2016,14(09):33-37.

[12]吴欢,詹静,赵勇,陶政,杨静.一种高效虚拟化多级网络安全互联机制[J].山东大学学报(理学版),2016,51(03):98-103,110.

[13]孙伟峰,张琳,林少锋,杨燕,陶波.一种增强型VPN安全隔离网关设计与实现[J].中国电子科学研究院学报,2015,10(06):628-631,651.

[14]汪强,徐小兰,张剑.一种新的智能变电站通信业务安全隔离技术的研究[J].电力系统保护与控制,2015,43(17):139-144.

[15]林苏蓉,黄秋岑,林靖颖.新型电力内外网视频安全隔离技术的研究[J].电力信息与通信技术,2014,12(10):120-123.

[16]赵钊.基于VPN技术的校园网络安全体系构建[J].自动化与仪器仪表,2014(01):158-160.

[17]宋庆帅,薛丽敏,陈涛.一种基于双单向传输通道的网络隔离方案[J].信息网络安全,2014(01):34-37.

[18]孙庆和,刘道群.网络隔离技术在3G移动办公中的应用探讨[J].计算机科学,2013,40(S1):381-383.

[19]赵毅.终端设备物理隔离技术策略研究[J].计算机与现代化,2013(01):149-152,157.

猜你喜欢
数据包端口网络安全
华为交换机端口Hybrid 模式的应用
二维隐蔽时间信道构建的研究*
一种有源二端口网络参数计算方法
一种端口故障的解决方案
民用飞机飞行模拟机数据包试飞任务优化结合方法研究
隔离型三端口变换器的H∞鲁棒控制
新量子通信线路保障网络安全
C#串口高效可靠的接收方案设计
上网时如何注意网络安全?
网络安全监测数据分析——2015年11月