网络安全的需求
较可靠的封包传送状态
Source Port & Destination Port ( 来源端口口 & 目标端口口 ):来源与目标的端口,这个容易了解吧!上面刚刚提过那个埠口的观念。再次的强调一下,小于 1024 以下的 Port 只有 root 身份才能启用,至于一般 Client 发起的联机,通常是使用大于 1024 以上的埠口!
全系列IXP-2XXX网络处理器都可拆解为『控制管道』(Control Plane)及『数据管道』(Data Plane)两大部分。参考图一 IXP-2400网络处理器,它内建一颗个600MHz 32-bit XScale来负责Control Plane的处理工作,XScale执行相当底层的控制工作,包括信息传送,还有跟系统内其它处理器的沟通。Data Plane则由内建的八颗个微处理引擎(Micro-Engine Version 2, MEv2)来做平行处理,MEv2是XScale精简下来的 (Reduced) 可程序处理器,使用者可用Micro-Code汇编语言或是高阶Micro-C语言撰写应用程序,透过指令告诉这八颗个MEv2怎样去处理封包运算,达到应用目的。
图一是IXP-2400示意图外观,它有两个信道的QDR SRAM接口,存放重要的数据结构,比如:Route Tables, Free Buffer Pools,Flow State Tables,Queue Descriptors等等重要的讯息,其中一个信道还可以接一个协处理器,做TCP/IP封包比对时的内存搜寻引擎,加速决定封包的协议属性跟流向(Flow)。DDR DRAM则用来储存封包以及大量的State tables,另外C-bus接口可以连接第二个处理器,这是采用一进一出架构的双处理器设计时用的。
网络处理器的『平台设计』、『应用开发』
图四是采用IXP-2400为核心建立的IDS系统结构图,凌华采用IXP-2400内建的XScale去控制管理Control Plane的组件,内建的八个MicroEngine去收送处理封包的分类及内容比对,处理Data Plane的运算。IXP-2400的QDR SRAM通道0也叫做LA-1(Look Aside Interface)接口,可以选择接市面上现有的TCAM(Ternary Content Addressable Memory) 辅助处理器,帮忙做第三层以下封包数据搜寻比对的工作,帮IXP-2400处理器卸载(offload)一些运算负担。
图四 IXP-2400在网络安全的应用-『入侵侦测系统』方块图
图五 ADLINK cPCI-6240系列网络安全平台
网络安全系统内最关键性的功能可以说是封包表头辨识(Classification)及内容检查(Content Inspection),表头辨识系针对其流向、连结、输入端口及目的地址等做比对;内容检查则有复杂的算法,处理频宽及内存容量需求极高,很显然内容检查即将是此系统非常严重的交通瓶颈所在,这个运算将耗用大量IXP-2400网络处理器的运算资源。因此必须采用另一个处理器卸载此运算,有两种方法可行,其一是如图四:加入一颗个可程序内容检查引擎(Programmable CIE, Content Inspection Engine),比如IDT PAX.port 2500 CIE;或是在封包经网络处理器集结成较大封包后,进入一张专属内容检查的高速运算服务器,比如ADLINK cPCI-6860 Dual-Xeon Server Blade。加CIE的做法可以卸载95% 的MicroEngine资源使用量,删除掉85%的MicroCode,同时削减75%内存频宽使用量,成本可大大节省,TTM(Time to Market)时间可以显著缩减。加一张专属服务器则维持旧有软件延续使用,节省软件开发的时间及人力成本,两者各有优点,但是CIE是纯硬件运算所以效率较好,长期来看应会成为较受欢迎的选择。
凌华科技公司供稿 CTI论坛编辑
相关阅读:
