一种基于多龙芯并行处理架构的安全防护网关的制作方法

本发明属于网络安全技术领域，是一种基于多龙芯并行处理架构的安全防护网关。

背景技术：

随着信息技术的发展，组织机构内部网络环境的安全状况越来越受到重视，目前使用多种网络安全设备建立多层网络安全防护体系是比较常见的做法，其中大多数采用安全接入控制网关、入侵防御系统、防火墙等设备，这些设备配置较为复杂，维护较为困难，设备成本较高。对于多数企事业单位和政府机关，部署这些复杂且价格昂贵的安全设备并不实用，性价比较低。因此，设计一体化的解决方案，实现对安全设备的一站式接入和配置管理是非常必要的。

同时，现有的防火墙、网关类安全防护产品为保障网络安全起到了重要作用，但缺乏针对网络和信息系统特定需求的专用安全防护设备。同时目前的安全防护产品基本都采用国外基础软硬件，如Intel处理器、Windows操作系统、Oracle数据库等研制开发，存在核心技术受制于人带来的安全隐患。尤其2013年斯诺登事件爆发后，核心软硬件的国产化倍受重视。另据2015年最新的报道，Intel x86处理器存在漏洞，黑客可以在计算机底层固件中安装rootkit恶意软件，发动毁灭性攻击，这一漏洞已存在近20年。

技术实现要素：

本发明的目的在于提供一种基于多龙芯并行处理架构的安全防护网关，用以解决上述问题。

本发明的一种基于多龙芯并行处理架构的安全防护网关结构，其中，包括：多个龙芯处理单元以及网络交换板，多个龙芯处理单元与网络交换板并行连接；该网络交换板包括一个对外网口以及一个对内网口，对外网口与多个龙芯处理单元的网络接口划分为一虚拟局域网，对内网孔与多个龙芯处理单元的另一网络接口划分为另一虚拟局域网；该网络交换板的聚合对应多个龙芯处理单元的网络接口，该网络交换板的另一聚合对应多个龙芯处理单元的另一网络接口；将不同聚合中的网络接口划分在不同的隔离组中；该网络交换板能够进行负载均衡。

根据本发明的基于多龙芯并行处理架构的安全防护网关结构的一实施例，其中，该负载均衡为根据源IP地址进行哈希分流。

根据本发明的基于多龙芯并行处理架构的安全防护网关结构的一实施例，其中，网络交换板能够将用户需要特殊处理的数据包重定向至任一龙芯处理单元。

根据本发明的基于多龙芯并行处理架构的安全防护网关结构的一实施例，其中，还包括：主控单元，分别连接多个龙芯处理单元，用于对安全规则的进行配置，配置完成后下发给各个龙芯处理单元，更新安全策略。

根据本发明的基于多龙芯并行处理架构的安全防护网关结构的一实施例，其中，还包括：该主控单元还用于对各该龙芯处理单元进行故障监控。

根据本发明的基于多龙芯并行处理架构的安全防护网关结构的一实施例，其中，该主控单元还用于对各该龙芯处理单元进行故障监控具体包括：当管理单元发现某一处理单元发生故障时，管理单元通知网络交换板出现故障的处理单元；网络交换板在收到通知后：将该处理单元所对应的业务网络接口从两个方向的虚拟局域网中去除，并加入专门划分的隔离虚拟局域网，以阻断业务流量流经该网络接口；将两个方向上的聚合及隔离组重新划分，去除故障单元的网络接口；重新进行哈希分流计算，将网络流量分配至剩余n-1个处理单元处理；当该龙芯处理单元从故障中恢复时，主控单元确认后通知网络交换板，重新将该龙芯处理单元加入分流；网络交换板执行以下操作：将该处理单元的业务网络接口重新加入两个方向的虚拟局域网；将两个方向上的聚合及隔离组重新划分，将处理单元重新加入；重新进行哈希分流计算，将网络流量分配至n个处理单元。

综上，本发明基于多龙芯并行处理架构的安全防护网关，利用多CPU并行处理的方式弥补了国产处理器性能的不足，集成了防火墙、网络攻击防御和安全接入等多个功能，满足了安全防护设备的集成需求和自主可控需求。

附图说明

图1所示为基于多龙芯并行处理架构的安全防护网关的模块图；

图2为基于多龙芯并行处理架构的安全防护网关的网络分流总体流程示意图；

图3为网络交换板9配置示意图；

图4为基于多龙芯并行处理架构的安全防护网关的各单元网络接口使用情况示意图。

具体实施方式

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

本发明提出了一种基于多龙芯CPU并行处理架构的安全网关，集成了防火墙、网络攻击防御和安全接入等多个功能，可部署于企业信息中心网络出口处，为网络和应用系统安全全防护提供保障，在提升自主可控水平的同时，更杜绝了因为对国外核心零部件依赖所导致的信息安全隐患，满足了核心领域高信息安全、高自主可控的服务需求。

由于网络边界出口处流量集中，需要串接在链路中的安全设备具备足够的性能以满足实际使用需要。由于目前龙芯CPU性能上的局限，本发明提出了以多CPU并行处理方式解决性能瓶颈问题。从设备形态上，采用ATCA架构设计，使用网络交换板9对进入的网络流量进行分流，使其尽可能平均地分配至各个处理单元并行处理；考虑到安全策略的一致性，设置主控单元实现对安全策略实施集中统一配置和下发。

图1所示为基于多龙芯并行处理架构的安全防护网关的模块图，如图1所示，基于多龙芯并行处理架构的安全防护网关包括：主控单元10，龙芯处理单元1-8(实际数量可以灵活调整)以及网络交换板9。龙芯处理单元1-8与网络交换板9并行连接。网络交换板9具有对内网口14以及对外网口13。

图2为基于多龙芯并行处理架构的安全防护网关的网络分流总体流程示意图，图3为网络交换板9配置示意图，图4为基于多龙芯并行处理架构的安全防护网关的各单元网络接口使用情况示意图，参考图1-4，对外网口13与龙芯处理单元1-8的网络接口划分为一虚拟局域网，对内网孔与龙芯处理单元1-8的另一网络接口划分为另一虚拟局域网。网络交换板9的聚合15对应龙芯处理单元1-8的一网络接口，该网络交换板9的聚合16对应龙芯处理单元1-8的另一网络接口。将聚合15对应龙芯处理单元1-8的一网络接口划分在一个隔离组，聚合16与龙芯处理单元1-8的另一网络接口划分在另一隔离组。网络交换板9能够进行负载均衡。主控单元10分别连接多个龙芯处理单元1-8，用于对安全规则的进行配置，配置完成后下发给各个龙芯处理单元1-8，更新安全策略。

参考图1-4，网络流量分流由网络交换板9完成，考虑到分流不均衡可能导致某些处理单元负载过高，而某些处理单元闲置的情况，需尽可能将网络流量平均分配至各个处理单元，等待下一步处理。通过各龙芯处理单元进行安全防护设备，包括防火墙、网络攻击防御等。规则允许的数据流量能够通过安全网关，访问内部网络资源。由处理单元1-8并行处理时，需保证各个处理单元1-8的安全策略的一致性，否则会出现同样的数据流分配至处理单元1时能够通过，而分配至处理单元2时被阻断的现象。而对安全规则的集中统一配置由主控单元10完成，配置完成后下发给各个处理单元1-8，更新安全策略。主控单元10能够监测各个处理单元1-8的状态，如果某一处理单元发生故障，由主控单元通知网络交换板9，修改分流策略，将原本分配至故障单元的流量分配至其余处理单元；反之，故障处理单元恢复后，应主动通知主控单元，由主控单元再次修改分流策略。

参考图1-4，对于网络流量分流，网络交换板9分流需要考虑以下两方面因素：

1.分流应尽可能平均，即设计的哈希分流算法应能够将流入的网络流量平均分配至后端的处理单元，避免出现某些处理单元负载过高的情况；

2.同一来源的网络流量应保证分配至同一处理单元。目前网络流量中80％以上为TCP流量，安全防护设备出于性能考虑，一般在规则中设置允许已建立的连接无条件通过。分流算法应保证同一来源的数据流量流经同一处理单元。针对以上两项需求，本发明基于多龙芯并行处理架构的安全防护网关以源IP地址作为哈希分流依据，以便能够将同一来源的网络流量分配至同一处理单元。

如图2所示，基于多龙芯CPU并行处理架构的安全网关内部分流的模式，图2只显示了一个方向的流量，反向流量与上图类似，也需经过分流的过程。

参考图1-图3，分流的实现关键在于网络交换板9的配置方式。为简单起见，假设基于多龙芯CPU并行处理架构的安全网关工作在桥模式，且对外的网络接口为一进一出，且内部处理单元暂不考虑策略同步以及主控单元，也为一进一出模式。网络交换板9的配置方式如下：将对外网口21与8个处理单元1-8的网络接口ethx-1(例如eth3-1表示处理单元3的1号网络接口)划分在同一虚拟局域网vlan中，对内网口22与8个处理单元的ethx-2划分为另一vlan中。这种划分方式保证了外部网络与内部网络之间的隔离；将8个ethx-1划分至同一聚合中，同理，将8个ethx-2划分为另一聚合，以保证进入的流量能够分配至8个处理单元，且经过8个处理单元流出的流量能够汇聚后从同一外部网口13流出；配置网络交换板9的负载均衡功能，根据源IP地址进行哈希分流；由于当前部署模式中，各个处理单元1-8并没有信息交互的需求，为防止处于同一vlan的各个处理单元之间的相互影响，应将ethx-1及ethx-2分别划分至两个隔离组，以达到抑制网络风暴的目的。

参考图1-4，实际上，对于处理单元1-8是多龙芯CPU，每一个龙芯处理单元都是一个独立的防火墙/入侵检测设备。上述分流并未针对网络数据包类型进行分流，因此各个处理单元是并列的关系，功能也完全相同。如果需要单独使用其中某些单元完成特定的操作，则需对网络交换板9进行配置。以安全接入网关功能为例，假设需要使用基于802.1x的网络接入控制，接入控制交换机需要明确后端Radius服务器的地址。这种情况下，不应对EAP认证请求进行分流操作，而是直接将认证请求发送至指定的认证服务器(某一处理单元)。具体到本发明的实现中，由于主控单元10与处理单元1-8实际上都是独立运行的，且主控单元10相对负载较小，因此将接入控制服务器架设在主控单元10，且将主控单元10配置固定的IP/MAC信息。网络交换板9中增加一项策略，即发现认证数据包(Dst Port:UDP-1812、UDP-1813)时，将数据包重定向至主控单元，以实现网络接入相关功能。认证通过后，业务数据包的流向与普通的数据包一致，经过分流后分配至各个处理单元1-8。

参考图1-4如前文所述，并行处理时，网络流量平均分配至各个处理单元，因而需保证各个处理单元的安全策略的一致性，否则会出现同样的数据流分配至处理单元A时能够通过，而分配至处理单元B时被阻断的现象。而对安全规则的集中统一配置由主控单元完成，配置完成后下发给各个处理单元，更新安全策略。

参考图1-4，管理信息的下发与业务信息采用不同的数据链路，可以依靠ATCA架构的背板建立独立的网段进行主控单元10与处理单元1-8息的互通。为实现这一功能，要求处理单元1-8各包含3个网络接口，其中，一对用于网络交换板9分流后处理业务流量；剩余1个网口用于与主控单元10形成局域网，收发管理数据。同理，主控单元需要至少2个网络接口，1个用于与各个处理单元1-8构建局域网，传递管理信息及状态信息；另1个用于对外通信，接收管理员的配置操作。

参考图1，基于多龙芯并行处理架构的安全防护网关的集中管理模式的优点在于无需对每个处理单元进行单独的配置工作，具体到本发明的使用情况，各个处理单元1-8之间是完全并行的关系，且安全规则一致，则安全配置信息通过主控单元0下发是可行的。安全管理员只需要连接到主控单元10，并配置相应的规则，规则生效后会自动下发至各个处理单元1-8，从而完成整体设备的规则配置。如果设备整体对外只有一进一出两个网络接口，则管理员下发的管理信息也必须通过业务流量口进行，这种情况与上文提及的基于802.1x的网络接入控制功能配置类似，需要采用特殊的TCP端口号(如TCP-4607)进行管理配置，并对使用此端口的数据流进行如802.1x认证使用的重定向操作。如果设备对外有多个网络接口，则可以单独划分出一个对外网络接口，作为管理口使用。

参考图1，对基于多龙芯并行处理架构的安全防护网关的并行处理系统中，出现某个(某些)处理单元异常的情况时，需要有相应的手段进行处理。否则，按照以上分流策略的设置，如果某一处理单元故障，所有经由交换板分流至该单元的流量将全部丢弃，造成网络故障。可以为处理单元1-8与主控单元10之间通过心跳信息通信，以检测处理单元1-8是否发生故障。心跳信息通过主控单元10与处理单元1-8之间的内部网络传递，对外部业务信息不构成影响。

参考图1，当主控单元10发现某一处理单元发生故障时(超过时间阈值没有收到某一处理单元的心跳报文)，主控单元10通知网络交换板9出现故障的处理单元；交换板在收到通知后，进行如下处理：将该处理单元所对应的业务网络接口从两个方向的vlan中去除，并加入隔离vlan，以阻断业务流量流经该网络接口；将两个方向上的聚合及隔离组重新划分，去除故障单元的网络接口；重新进行哈希分流计算，将网络流量分配至剩余n-1个处理单元处理。需要指出的是，以上操作中并未对故障处理单元用于和主控单元10通信的网络接口进行修改，则当该处理单元从故障中恢复时，能够主动告知主控单元10，主控单元10确认后通知网络交换板9，重新将该处理单元加入分流。交换板执行以下操作：将该处理单元的业务网络接口重新加入两个方向的vlan；将两个方向上的聚合及隔离组重新划分，将处理单元重新加入；重新进行哈希分流计算，将网络流量分配至各处理单元。由于处理单元故障期间，管理员可能对设备的安全规则进行了重新配置，因此主控单元10将主动对故障处理单元发起安全规则同步请求，更新原故障处理单元的安全规则。

综上，基于多龙芯并行处理架构的安全防护网关，具有如下优点：

1)处理性能高：将网络流量分配至多个网络处理单元，大大提高了网关的处理性能，解决了龙芯平台的性能问题；

2)单台设备能够完成多种网络安全防护功能，包括防火墙、入侵检测、安全接入控制等；需要指出，如果各个处理单元所完成的功能不同，需要对网络交换板9进行特殊的配置；

3)策略集中配置管理：安全策略能够进行集中配置管理，且集中管理使用与业务流量相隔离的网络通道，避免了相互之间的影响；

4)异常监测与处理：能够及时发现处理单元的故障，并进行相应处理，避免了处理单元故障而导致网络故障的问题。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。