基于ＩＸＰ２８００和ＶｘＷｏｒｋｓ的嵌入式病毒防火墻實現

摘要：針對隱蔽在網絡流量中的攻擊，提出了基于Intel IXP2800網絡處理器和VxWorks的嵌入式病毒防火墻（embedded anti－virus firewall）實現方案。該方案將硬件包過濾技術與應用層病毒實時防護相結合，底層數據包的實時響應、過濾轉發等處理均由IXP2800的微引擎完成，而使XSCALE主處理器更專注于高層協議的病毒掃描過濾。實驗數據表明，這種實現方案運行穩定，具有良好的性能指標。

關鍵詞：嵌入式病毒防火墻； IXP2800； 硬件包過濾； 病毒防護

中圖分類號：TP309.5文獻標志碼：A文章編號：1001-3695(2008)05-1560-03

0引言

隨著互聯網的發展和攻擊者工具與手法的升級，如何保障內部網絡計算機的安全性，是當前極其熱點的問題。包過濾防火墻是用于保障內網安全的關鍵設備，它部署在網絡層，可以禁止外部用戶對內部網絡的非法訪問。然而，包過濾技術是一種基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵入，如惡意Java小程序以及電子郵件中附帶的病毒。

對于隱蔽在網絡流量中的攻擊，國內的防火墻產品主要有x86架構和ASIC架構兩種解決方案。基于x86平臺開發的防火墻普遍采用“Intel x86+工控機+安全處理專用程序”的體系結構[1]，存在軟件處理效率低、實時性能低下等缺點。而采用ASIC專用芯片的硬件防火墻，雖然性能得到了提升，卻面臨著靈活性差、開發周期長、費用高等問題。

針對目前國內防火墻設備存在的不足，同時綜合考慮整個安全體系的功能協調性，本文設計并實現了一種基于IXP2800網絡處理器和VxWorks實時操作系統的復合型嵌入式病毒防火墻方案。IXP2800網絡處理器是專為網絡數據處理而設計的芯片。對比x86通用處理器和ASIC，IXP2800既繼承了x86的靈活性，又提供了類似ASIC的高速數據包處理能力，同時具有高度擴展性、研發成本低和研發周期短等優點。VxWorks是美國WindRiver公司設計開發的一種嵌入式實時操作系統(RTOS)，具有良好的持續發展能力、可裁減性和高可靠性，并且包含有高度優化、性能強大的IPv4/IPv6的雙協議棧，適用于高帶寬、高要求的網絡設備。

本文提出的病毒防火墻采用上述實時嵌入式體系架構，綜合了硬件包過濾技術和病毒防護、內容過濾等應用層服務措施，使其具備x86的靈活性和ASIC的高性能雙重優點，體現了網絡與信息安全的新理念。

1系統整體結構

系統整體結構如圖1所示。

嵌入式病毒防火墻設計的核心思想是多級網絡處理任務的獨立協同工作，即利用IXP2800的ME層(micro engine，微引擎)與XScale層兩層處理機制對病毒防火墻的網絡處理任務進行劃分。其中，ME層實現數據包的實時處理和響應，包括數據包的接收、轉發以及包過濾等實時性要求高的數據處理操作。而對于病毒掃描過濾、過濾規則庫及病毒特征庫的配置管理等處理復雜、變化靈活的任務則交由XScale層完成。ME層和XScale層通過虛擬網卡驅動(virtual network driver)進行網絡數據交互。

通過這種分層次的功能實現結構，保證了防火墻系統控制處理的安全性和高效性。

1．1硬件結構

嵌入式底板的穩定工作是實現高速網絡數據處理的關鍵。嵌入式病毒防火墻是基于Intel IXP2800網絡處理器設計，采用CompactPCI架構。嵌入式底板的硬件結構如圖2所示。



1)IXP2800網絡處理器整個底板的核心，外部擴展QDR SRAM、Rambus DRAM、Flash、MAC等芯片；

2)媒體和交換架構接口(media and switch fabric interface，MSF)提供SPI-4接口，帶有接收和發送緩沖器，控制網絡數據的進出；

3)OC48接口提供3×2.5 GB的高速數據通道，分別配置成內網、外網及系統調試接口。

1．2軟件設計

嵌入式病毒防火墻的操作系統是經過裁減的實時VxWorks。通過對操作系統內核的裁減和修改，去除了許多不必要的模塊，只保留了實時TCP/IP網絡協議及一些相關驅動支持，使系統性能有了很大的提高。軟件結構如圖3所示。

1)BSP模塊(BSP module)包括BootRom、TFFS和虛擬網卡驅動等部分。BootRom用于實現系統的啟動。TFFS提供各種特征庫的安全存儲管理。虛擬網卡驅動負責VxWorks協議棧和微引擎的數據交互。

2)包過濾平面 (packet filtering platform)運行在IXP2800的ME層，可劃分為數據包接收、IP包頭檢查、數據包過濾、路由轉發等幾個子模塊，配合控制平面的狀態檢測功能，負責底層網絡數據的高速安全過濾。

3)病毒過濾平面(virus filtering platform)由XScale核執行，位于VxWorks協議棧的應用層，包括協議解析器、協議處理器、病毒掃描引擎、內容掃描引擎等部分，實現協議分流、病毒過濾和內容過濾等功能。

4)控制管理平面(control manage platform)由XScale核執行，用于實現系統配置，完成病毒特征庫、狀態檢測表及系統狀態的維護。

2關鍵技術實現

2．1包過濾平面

包過濾平面運行在ME層，由多個線程協同執行，分為接收和發送模塊。結構如圖4所示。

2．1．1接收模塊

接收模塊用于處理接收分組，查詢過濾規則，執行數據包過濾功能。為控制內部總線和接收隊列的使用，每個接收引擎維護兩個旗語，以保證線程對接收請求的互斥讀取。

具體執行流程如下：

a)接收線程從就緒的IX總線設備獲得接收旗語，創建一個接收請求并寫入接收寄存器(RCV_REQ)。由接收狀態機(RSM)負責將數據從MAC設備中移入到特定的RFIFO單元，并將控制信息(包括起始、結束包位置及MAC設備的錯誤信息)寫入狀態寄存器(RCV_CNTL)。

b)接收線程輪詢RCV_CNTL，讀取到控制信息后執行POP操作，分配一個空閑的包描述符和緩沖區，將數據包從RFIFO拷貝至SDRAM包緩沖區中。

c)將數據包進行解碼，根據IP頭信息依次查詢狀態連接表和過濾規則表，如果不存在對應的匹配規則，默認禁止包通過。查詢狀態連接表時，對于UDP包采用單向匹配，TCP包采用雙向匹配。如果是ICMP協議或IGMP協議的包，由于狀態連接表里沒有關于ICMP或IGMP信息，則直接查找過濾規則表，執行匹配的過濾規則。

d)檢查是否需要進行病毒過濾，如果是，則將數據經由虛擬網卡驅動轉發至VxWorks網絡緩沖池，由此進入上層協議棧進行病毒過濾處理。

e)對于通過檢查的數據包，基于路由查詢信息對包頭進行更新，將修改后的數據包頭加到SDRAM中的數據包載荷之前。

f)將數據包饋送至輸出端口排隊，解鎖包描述符所在隊列，設置狀態寄存器(SCRATCHPAD)，指示有數據包待發送。

2．1．2發送模塊

發送模塊主要由IXP2800的后兩個微引擎完成。每個微引擎包括一個發送調度線程和三個發送執行線程。其中，調度線程用于檢查發送端口和調度發送線程。發送線程負責執行數據發送功能。發送模塊執行的流程如下：

a)調度線程首先循環檢測端口，為待發送數據創建發送任務，分配發送端口號和TFIFO號(其中端口號等于TFIFO)，調度發送線程執行；

b)發送線程從調度線程中獲取發送任務，鎖定發送隊列，將待發送的數據包出列，將其從SDRAM拷貝至TFIFO，然后解鎖發送隊列；

c)發送線程在FIFO中寫入控制字段信息(包括MAC層信息、發送端口號、SOP或EOP)，等待發送狀態機將數據從TFIFO發送到MAC設備；

d)發送線程驗證已發送數據，釋放分組描述符和緩沖區，通知下一個發送線程。

2．2病毒過濾平面實現

2．2．1病毒過濾流程

病毒過濾平面部署在VxWorks網絡協議棧的應用層，采用透明代理工作方式，并整合了內容過濾病毒防范等功能。

當網絡數據流量進入病毒防火墻時，經由控制平面預先定義的過濾策略，被引導到TCP/IP棧中，如圖5所示。

內容過濾引擎基本處理流程分為五步：

a)在TCP/IP棧中，病毒過濾平面監聽用戶連接請求，并建立C/S的socket連接，將IP包轉換為基于會話的數據流(data stream)。

b)數據流被送至協議解析器中，按照協議類型進行分流。數據流主要被區分為Web流量、郵件流量及FTP流量等協議內容。

c)從協議解析器輸出的各種協議數據流，分別送至對應的協議掃描引擎進行二次分流處理。如上圖示例，Web數據流量被送到HTTP選擇器。如果數據流中包含上送／下載的文件或郵件附件，則被送入病毒掃描引擎。所有其他內容流則路由到內容過濾引擎。

d)病毒掃描引擎查詢病毒特征庫，對包含附件的數據流進行病毒掃描，根據規則進行隔離或清除，并返回警告信息。

e)內容掃描引擎配合行為知識庫和行為特征庫，過濾嵌入于網頁的惡意代碼或垃圾郵件。

2．2．2特征掃描技術實現 

數據流掃描分為病毒特征掃描和行為特征掃描兩種方式。

病毒特征掃描主要針對包含在數據流中的附件等內容。掃描時，首先分離出附含在數據流中的附件，將其復制到內部緩存區隊列，并提取出關鍵信息與病毒特征庫的病毒碼進行比較，匹配成功則向接收者發送病毒警告通知，根據規則進行隔離或清除。

行為分析主要針對網頁惡意代碼的檢測。由于惡意代碼在傳染破壞時有許多行為特征，如對可執行文件進行讀寫、復制自身、HookAPI、反跟蹤等，行為特征掃描時，首先查詢行為特征庫進行初步掃描。如果匹配，根據規則進行相應處理；否則，繼續根據惡意代碼的動作行為和病毒行為知識庫中的已知破壞行為進行加權式智能推理，分析多種可疑行為的嚴重程度并進行評估分級，若嚴重程度超過某個閾值就判定為惡意代碼，將文件隔離、刪除或清除，同時提取行為特征碼加入到行為特征庫。

3性能測試

性能測試平臺采用SmartBits 6000C和流量測試軟件SmartFlow 4.60組合。通過逐步增加傳輸帶寬，對防火墻的吞吐量、延遲時間、丟包率等指標進行了測試。測試幀封裝格式為UDP，大小分別為64、512、1 518 Byte。吞吐量的測試時間為60 s，允許的幀丟失率設置為0，延遲和丟包率的測試時間為120 s。基于兩種網絡流量來測試延遲時間，分別為10%線速(線速即該種幀長的最大吞吐量)和100%線速。為了評估安全規則和病毒過濾對防火墻性能的影響，筆者在防火墻上加載了多條規則并開啟了病毒過濾功能。性能測試結果如

4結束語

高速病毒防火墻是國家大力扶植的網絡安全設備，它的國產化對于保障國家的網絡信息安全具有重要意義。本文提出了基于IXP2800網絡處理器和VxWorks的病毒防火墻體系結構，并對其高效的數據包過濾及病毒過濾等技術的實現作了詳細闡述。性能測試表明，此體系結構能夠很好地實現病毒防火墻的功能，而且便于升級和擴展。鑒于防火墻技術的發展趨勢，提高病毒過濾的效率，并把VPN、負載均衡和網絡監控等功能添加到當前的病毒防火墻中將成為筆者下一階段的工作。

參考文獻：

[1]蔡一兵，石晶林. 下一代網絡設備核心單元——網絡處理器應用研究[J]. 電子技術應用， 2004，30（1）:1-4.

[2]Intel(R) IXP2800 network processor product brief[R].[S.l.]:Intel Corporation，2002.

[3]Intel(R) IXP2800 network processor datasheet[R].[S.l.]:Intel Corporation，2002.

[4]COMER D E.網絡處理器與網絡系統設計[M].張建忠，陶志華，等譯.北京：機械工業出版社，2004.

[5]馮美玉，張勖，崔丙峰，等.基于網絡處理器的硬件防火墻設計和分析[J]. 計算機應用研究，2004，21(7):191-193.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”