網(wǎng)絡(luò)處理器(Network Processor)建置新一代網(wǎng)絡(luò)安全應(yīng)用

網(wǎng)絡(luò)安全的需求 據(jù)統(tǒng)計，2000年企業(yè)及政府部門遭受駭客(Hacker)攻擊的概率高達85%，而網(wǎng)絡(luò)安全的漏洞不是防堵駭客入侵就解決了，其它像遭窺探者竊取機密性數(shù)據(jù)，或是心懷不滿的員工蓄意破壞系統(tǒng)內(nèi)重要檔案，警覺性不足的員工外泄重要密碼、不小心由Email引入計算機病毒等，都是威脅網(wǎng)絡(luò)安全的幾個危險因子。  為了讓區(qū)域內(nèi)網(wǎng)絡(luò)維持安全運作，建立一套安全防護網(wǎng)才是根本解決之道，較完整的防衛(wèi)機制大概分為三大類： （一）Network Security (網(wǎng)絡(luò)安全) (Firewalls, Intrusion detection system, Intrusion prevention System, Wireless security, Mail security, E-commerce security, Load balancer /High Availability) （二）Content Filtering (內(nèi)容過濾) (Antivirus, Internet /Web / URL filters, Spam filtering, Content security) （三）Encryption (加密) (Virtual Private Network, Public Key Infrastructure Certification Architecture, 三種市場應(yīng)用各有不同的系統(tǒng)規(guī)格需求，VPN 的系統(tǒng)需將訊息全數(shù)打亂再丟到網(wǎng)絡(luò)上，透過加密機制在公開的網(wǎng)絡(luò)里建立起加密通道(Encrypted Tunnel)，接收端再解密取得真實訊息，在浩瀚的因特網(wǎng)內(nèi)建立起安全私密的虛擬局域網(wǎng)絡(luò)；Firewall則像大樓管理員，檢查來訪封包的通行許可證，包含檢查封包的來源、目的地、連接埠等字段，但是防火墻并沒有辦法擋掉所有的入侵者，此時就須要另一道防線IDS；IDS 就像網(wǎng)絡(luò)上的監(jiān)控攝影機，可以分析流經(jīng)的封包數(shù)據(jù)，偵測未經(jīng)授權(quán)的行為，IDS大致區(qū)分為「網(wǎng)絡(luò)系統(tǒng)」跟「主機系統(tǒng)」兩類?；旧螴DS需求的系統(tǒng)處理能力可以涵蓋VPN及Firewall的需求. 入侵偵測系統(tǒng)的應(yīng)用 防火墻與IDP的差異在于, 防火墻僅能就網(wǎng)絡(luò)封包做到2到4層的檢測，就來源地址/端口號以及目的地址/服務(wù)進行控管；而IDP可以做到4到7層(也就是應(yīng)用層)的檢測，因此IDP可以發(fā)覺包藏在應(yīng)用層里的惡意攻擊碼(譬如蠕蟲攻擊、緩沖溢位攻擊便藏匿于此)，并予以狙擊。IDP內(nèi)建龐大的攻擊特征數(shù)據(jù)庫，可以有效阻絕已知的攻擊；IDP也透過「異常協(xié)議偵測」的方式，實時檢查并將不符合RFC規(guī)范的網(wǎng)絡(luò)封包丟棄。所以在「攻擊防御」方面，IDP遠勝于防火墻之上。 由于IDP一般僅能就IP以及IP群組決定封包放行權(quán)限，所以在「資源存取權(quán)限管理」方面，防火墻較優(yōu)于IDP。然而，防火墻并無法有效管控企業(yè)內(nèi)部使用者使用P2P、實時通訊(Instant Messenger、Yahoo Messenger)等軟件、也無法杜絕利用Web-Mail或者Web-Post等方式將機密外泄，這些問題需要能監(jiān)控4到7層的IDP設(shè)備才能控管。目前已經(jīng)有少部分的IDP產(chǎn)品采用IXP2xxx芯片利用其「深層檢測」的優(yōu)勢，有效地解決上述問題。 IDP可以防止蠕蟲由外入侵至企業(yè)網(wǎng)絡(luò)內(nèi)部，而如果防火墻要防止蠕蟲攻擊，僅能消極地關(guān)閉某些Port。但一般的檔案型病毒，則不在IDP及防火墻的防護范圍內(nèi)。因此資安的最后一層防護網(wǎng)便是在使用者端安裝防毒軟件。 各項資安產(chǎn)品皆有其擅長與不足之處，因此建議企業(yè)資安負責(zé)人員深入了解以及比較這些資安產(chǎn)品的差異，并依據(jù)企業(yè)的實際需要充分搭配使用，加強資安防護網(wǎng)的縱深，以確保企業(yè)的網(wǎng)絡(luò)安全。 后面我們就以較復(fù)雜的IDS為例做IXP-2400的應(yīng)用說明。 網(wǎng)絡(luò)處理器的時代已經(jīng)來臨，它可有效解決網(wǎng)絡(luò)交通擁塞的問題，也可處理復(fù)雜的封包運算。不論如何，Inetel IXA架構(gòu)已經(jīng)正確的跨出第一步，接下來就須要更多的平臺設(shè)計者投入開發(fā)工作，以及更多的應(yīng)用開發(fā)者投入資源，發(fā)展軟件程序，逐步建立完整的可攜式Microblocks。網(wǎng)絡(luò)興起、頻寬加速拓展，使整個網(wǎng)絡(luò)通訊的市場板塊不斷的在調(diào)整、挪動，凌華科技與Intel合作，共同推廣IXP-2XXX網(wǎng)絡(luò)處理器的應(yīng)用，針對網(wǎng)絡(luò)安全其中封包處理過程以下進一步來討論。 何謂封包與功能： 在網(wǎng)絡(luò)安全論述中,所有傳輸動作是經(jīng)由封包完成的, 封包就很像我們在郵寄信件的時候那個郵件的模樣了！信紙內(nèi)容總是得放入信封吧？而信封上面會寫上發(fā)信人住址，受收信人住址與姓名. 所以，一封郵件主要會有兩個部分，分別是：『信封表面的信息部分、與信封內(nèi)部的信件內(nèi)容！』。同樣的，網(wǎng)絡(luò)的信息封包主要也是分為兩個部分，一個是表頭 ( Header ) 的部分，另一個則是內(nèi)容 ( messages ) 的部分！而一個封包要傳送到哪里去，都是通過 Header 的訊息部分進行分析而傳送的！那么 Header 有哪些重要的信息呢？主要就如同上面提到的，至少會有來源與目標 IP 、來源與目標 Port等等！封包是怎么在兩部主機之間進行傳送的呢？事實上，封包的傳送是相當(dāng)復(fù)雜的，而且封包的狀態(tài)不同 (TCP/UDP) 也會有不一樣的傳送機制。這里舉一個『相對比較可靠的封包傳送方式』來介紹。如下圖所示：                    

較可靠的封包傳送狀態(tài)

當(dāng)發(fā)送封包者發(fā)送出一個封包給接受者后，接受者在『正確的接到』這個封包之后，會回復(fù)一個響應(yīng)封包 ( Acknowledgment ) 給發(fā)送者，告訴他接受者已經(jīng)收到了！當(dāng)發(fā)送端收到這個響應(yīng)封包后，才會繼續(xù)發(fā)送下一個封包出去，否則就會將剛剛的封包重新發(fā)送一次！這種封包的傳遞方式因為考慮到對方接到的封包的狀態(tài)，所以算是比較可靠的一種方式。目前因特網(wǎng)上面常見的封包是 TCP 與 UDP ，其中 TCP 的聯(lián)機方式中，會考慮到較多的參數(shù)，他是一種聯(lián)機模式(Connection Oriented)的可靠傳輸，至于 UDP 則省略了響應(yīng)封包的步驟，所以是一種非聯(lián)機導(dǎo)向的非可靠傳輸。在一個 TCP 封包的傳送過程中，因為至少需要傳送與響應(yīng)等封包來確定傳送出去的數(shù)據(jù)沒有問題，所以他是相當(dāng)可靠的一種傳輸方式，不過就是傳輸與響應(yīng)之間的時間可能會拖比較久一點。至于 UDP 封包就因為少了那個確認的動作，所以雖然他是較不可靠一點，但是速度上就比 TCP 封包要來的快！底下我們將繼續(xù)介紹 TCP, UDP 以及 ICMP 等封包信息的內(nèi)容. TCP 與 UDP 封包的建立是有差異存在的！針對TCP封包Header的內(nèi)容作個簡單的介紹！ TCP 封包的 Header 內(nèi)容主要如下：                    

TCP 封包的 Header 信息

Source Port & Destination Port ( 來源端口口 & 目標端口口 )：來源與目標的端口，這個容易了解吧！上面剛剛提過那個埠口的觀念。再次的強調(diào)一下，小于 1024 以下的 Port 只有 root 身份才能啟用，至于一般 Client 發(fā)起的聯(lián)機，通常是使用大于 1024 以上的埠口！ Sequence Number ( 封包序號 )：在OSI 七層協(xié)定里面提到過，由于種種的限制，所以一次傳送的封包大小大約僅有數(shù)千 bytes ，但是我們的資料可能大于這個封包所允許的最大容量，所以就得將我們的數(shù)據(jù)拆成數(shù)個封包來進行傳送到目的地主機的動作。那么對方主機怎么知道這些封包是有關(guān)連性的呢？就得通過這個 Sequence Number 來輔助了。當(dāng)發(fā)送端要發(fā)送封包時，會為這個封包設(shè)定一個序號，然后再依據(jù)要傳送的數(shù)據(jù)長度，依序的增加序號。也就是說，我們可以使用遞增的值來替下一個封包作為它序號的設(shè)定！ Acknowledgment Number ( 回應(yīng)序號 ) ：封包傳輸過程中，我們知道在接受端接收了封包之后，會響應(yīng)發(fā)送端一個響應(yīng)封包，那個響應(yīng)的信息就是在這里。當(dāng)接收端收到 TCP 封包并且通過檢驗確認接收該封包后，就會依照原 TCP 封包的發(fā)送序號再加上數(shù)據(jù)長度以產(chǎn)生一個響應(yīng)的序號，而附在回應(yīng)給發(fā)送端的響應(yīng)封包上面，這樣發(fā)送端就可以知道接收端已經(jīng)正確的接收成功該 TCP 封包了！所以說， Sequence 與 Acknowledgment number 是 TCP 封包之所以可靠的保證！因為他可以用來檢測封包是否正確的被接受者所接收！ 　 Data Offset (資料補償)：這是用來記錄表頭長度用的一個字段。 　 Reserved (保留)：未使用的保留字段。 　 Control Flag (控制標志碼)：控制標志碼在 TCP 封包的聯(lián)機過程當(dāng)中，是相當(dāng)重要的一個標志，先來說一說這六個句柄，然后再來討論吧： Urgent data ：如果 URG 為 1 時，表示這是一個緊急的封包數(shù)據(jù)，接收端應(yīng)該優(yōu)先處理； Acknowledge field significant ：當(dāng) ACK 這個 Flag 為 1 時，表示這個封包的 Acknowledge Number 是有效的，也就是我們上面提到的那個回應(yīng)封包。 Push function ：如果 PSH 為 1 的時候，該封包連同傳送緩沖區(qū)的其它封包應(yīng)立即進行傳送，而無需等待緩沖區(qū)滿了才送。接收端必須盡快將此數(shù)據(jù)交給程序處理。 Reset ：如果 RST 為 1 的時候，表示聯(lián)機會被馬上結(jié)束，而無需等待終止確認手續(xù)。 Synchronize sequence number ：這就是 SYN 標志啦！當(dāng) SYN 為 1 時，那就表示發(fā)送端要求雙方進行同步處理，也就是要求建立聯(lián)機的意思，這個 SYN 是相當(dāng)重要的一個 Flag 喔！ No more data fro sender (Finish) ：如果封包的 FIN 為 1 的時候，就表示傳送結(jié)束，然后雙方發(fā)出結(jié)束響應(yīng)，進而正式進入 TCP 傳送的終止流程。 　 Window (滑動窗口)：與接收者的緩沖區(qū)大小有關(guān)的一個參數(shù)。 Checksum(確認)：當(dāng)數(shù)據(jù)要由發(fā)送端送出前，會進行一個檢驗的動作，并將該動作的檢驗值標注在這個字段上；而接收者收到這個封包之后，會再次的對封包進行驗證，并且比對原發(fā)送的 Checksum 值是否相符，如果相符就接受，若不符就會假設(shè)該封包已經(jīng)損毀，進而要求對方重新發(fā)送此封包！ Urgent Pointer：指示緊急數(shù)據(jù)所在位置的字段。 Option：當(dāng)需要 client 與 Server 同步動作的程序，例如 Telnet ，那么要處理好兩端的交互模式，就會用到這個字段來指定數(shù)據(jù)封包的大小，不過，這個字段還是比較少用的！ 為什么需要用到 Intel IXP-2XXX 網(wǎng)絡(luò)處理器 因特網(wǎng)、企業(yè)網(wǎng)絡(luò)等