本发明涉及一种工业防火墙,尤其涉及一种基于多核处理器的工业防火墙。
背景技术:
工业控制系统是由多种自动化控制组件和过程控制组件共同构成,组件包括SCAD、DCS、PLC等。工业控制系统是整个工业系统的控制中枢和核心部件。
经过近几十年的发展,工业控制系统逐渐趋向于采用开放、透明的通信协议,日益广泛地采用以太网/IP/TCP网络作为通信基础设施,将工业控制协议迁移到TCP/IP协议栈的应用层;采用包括IWLAN、GPRS等在内的各种无线网络;广泛采用标准的Windows等商用操作系统、设备、中间件与各种通用技术。
工业自动化控制系统在享受开放、互联技术带来的进步、效率与利益的同时,也面临着日益严重的安全威胁。运维人员对于工业控制系统的安全隐患意识不足,而通用技术的采用无形中降低了攻击者的学习成本,传统以太网中的安全威胁也随之带入到工业网络中。类似震网事件的发生则从实际案例的角度给工业网络安全敲响了警钟。工业控制系统的安全直接威胁到员工的人身安全、企业的经济利益,乃至社会和国家的安全。
工业控制系统防火墙用于在网络边界对通过的工控网络流量进行解析、识别和控制。除了传统防火墙具备的访问控制、安全域管理、NAT转换等功能外,工业控制系统防火墙普遍采用深度报文检测技术,在对二层和三层协议进行解析的基础上,进一步解析应用层传输的工业控制协议网络报文内容,对OPC、ModBus、DNP3、IEC104、Profinet等普遍使用的工业控制协议进行深度解析,从而对工业协议内部的指令、内部寄存器等信息进行深度检查,保证工业协议通讯的可控性和准确性,防止应用层协议被篡改或破坏。通过配置过滤规则和安全控制策略,过滤非法访问,保证可信任的工业控制流量在网络中传输,为控制网与管理网之间的网络连接提供安全保障。工业控制系统防火墙在电力、烟草、石油石化等工业制造行业得到了广泛的应用。
当前工业控制系统防火墙产品的技术实现主要以模式匹配方式为主,即通过对正常操作流量的分析生成异常流量匹配规则,并对已知的攻击行为提取特征码,构建模式匹配规则库。当网络流量经过时,通过比对网络流量报文内容,发现异常行为或攻击行为,从而触发控制策略。随着工业网络流量规模的不断扩大和模式匹配规则库中规则条数的持续增加,网络数据的传输速度与模式匹配的检测速度之间的差距越来越大,在高速网络环境中出现分组丢失的情况。加之工业控制系统对于网络时延的要求很高,这对工业控制系统防火墙的性能提出了较高要求。
前工业控制系统硬件防火墙产品通常采用三种架构:X86通用处理器、ASIC专用集成电路和基于NP网络处理器的硬件架构。
传统的X86架构工业控制系统防火墙采用通用的CPU和PCI总线接口,产品主要功能由软件实现,可以基于用户需求灵活定制产品功能模块,因此架构的灵活性较高、可扩展性强。但是,受限于X86架构的通用性,架构层次较多且固定,不易优化。X86平台采用“中断”机制来实现捕获的网络报文内容从网卡硬件到CPU之间的传输,当高速网络流量经过时,频繁的“中断”控制导致CPU占用率迅速上升,防火墙吞吐速率受到严重影响。此外,受限于PCI总线的带宽限制,防火墙整体吞吐速率存在瓶颈。而防火墙产品自身的安全性很大程度上取决于通用操作系统自身的安全性,可能会存在安全漏洞。
NP架构的工业控制系统防火墙采用优化处理网络分组数据的可编程集成电路为硬件架构的核心部件,通过硬件和软件两个层面的模块化设计,实现高性能、高灵活性和高可靠性的特点。NP处理器能够直接完成网络数据处理的常用任务,例如TCP/IP数据二层和三层协议的校验和计算、包分类、路由查找等,同时,硬件体系结构采用高速的接口技术和总线规范,具有较高的I/O能力,包处理能力得到了很大提升。NP芯片采用多个RISC处理器及协处理器,实现了指令级、线程级和处理器级等不同等级的并行处理,可进行高速和复杂的数据处理,并且可以根据业务需求对于带宽和业务处理优先级进行定义,实现对不同网络报文的差异化处理。但是,NP架构在功能开发、应用扩展上需要在NP配套软件上进行,开发难度更高且功能内容受到限制,相比于X86架构,基于NP技术的防火墙的灵活性要差一些,而在性能方面不如ASIC架构。整体来说,基于NP架构的解决方案介于ASIC和X86构架之间。此外,当前NP产品主要着眼于数据处理和控制方面,在功能管理层面支持相对不足。
基于ASIC架构的工业控制系统防火墙通过专门设计的集成电路芯片逻辑进行硬件加速处理。ASIC将指令或计算逻辑固化到集成电路芯片中,架构稳定,获得了很高的处理能力,显著提升了防火墙的性能。而新一代的高可编程ASIC芯片能够通过软件改变应用逻辑,提升了整体架构的灵活性和可扩展性。但是,ASIC架构开发费用高,开发周期较长,对于产品的升级换代速度造成了限制。对于中小厂商来说,选用ASIC架构进行产品开发存在一定的风险。
综合考虑,三种硬件架构的工业控制系统硬件防火墙各有优劣。X86架构硬件防火墙灵活性好、开发周期短,功能模块可以灵活扩展,但是性能存在瓶颈;ASIC架构防火墙采用专用芯片,性能优异,但是开发周期长、灵活性较差;NP架构防火墙在性能和灵活性上均介于二者之间,综合能力较好,适用于中档防火墙产品的研发,但是开发难度较大,成本较高。
技术实现要素:
发明目的:为了应对工业控制系统防火墙的性能要求,除了在模式匹配算法、控制策略模式等软件层面进行优化外,通过提升防火墙设备的硬件架构来提升性能更为直接和有效。而网络处理器的使用对于提升防火墙硬件平台的性能具有显著效果。发明一种基于多核处理器的工业控制防火墙的系统架构和处理流程。应用多核处理器对防火墙处理性能进行优化和提升多核处理器是指在一枚处理器中集成两个或多个完整的计算引擎(内核)。计算引擎负责计算、接收/存储命令、处理数据。每个内核具有独立完整的逻辑结构,通过高速总线和内存进行数据通信和共享。单个芯片内的多个内核协同工作,从而提升整个处理器的性能。
本发明是这样实现的:基于多核处理器的工业控制系统工业防火墙,系统网络报文处理流程如下:
(1)网络报文首先经过报文处理模块进行检测:对于该报文所在的数据流,如果之前已经被判定为通过或者拒绝,则按照相同的操作结果处理该报文;若未判定过,则送往负载均衡处理模块;
(2)负载均衡模块对报文按照流量均衡算法进行拆分,送往不同的模式匹配模块进行匹配处理:
(3)模式匹配模块对报文内容进行模式匹配,包括协议内容过滤、攻击行为识别、访问策略控制,通过对报文内容进行识别、解析,提前关键字段,与特征库进行匹配,实现对异常行为的发现;
(4)对于匹配结果,生成控制策略,交由数据报文处理模块进行处理。
本发明相较于现有技术具有的积极效果在于:工业控制系统防火墙的业务需求需要在网络层和传输层协议解析的基础上对应用数据协议的具体内容进行深度解析,提取传输的工控指令操作内容,进行判定识别并对流量进行相应处理。
本方案针对该业务需求,综合分析了当前基于X86架构、ASIC架构和NP架构的硬件防火墙的优点和缺陷,提出采用多核处理器对工业控制防火墙的性能进行提升。多核处理器采用MIPS64体系,在一个多核处理器中同时支持多个独立构架的CPU。同时考虑到深度报文检测的应用需求,集成了硬件加速、正则匹配等硬件协处理器和网络应用加速器,实现高吞吐量、会话建立速度高、硬件支持多种高级安全功能等特性。
工业控制系统硬件防火墙采用嵌入式多核处理器芯片。嵌入式多核处理器芯片有别于Intel和AMD提供的通用芯片,在网络流量处理上对数据包处理进行定制化的优化设计,主流多核处理器均集成了硬件加密、正则匹配等硬件协处理器和网络应用加速器,从而提升数据包转发性能。此外,对于各层协议内容的解析处理能力进行了优化,有助于对工业控制协议进行内容解析。
由Cavium公司提供的OCTEON处理器芯片主要用于网络、无线、安全等应用领域,覆盖路由器、交换机、UTM、安全网关、防火墙等诸多网络产品。Cavium处理器芯片主要采用MIPS64架构,目前最高版本为48核。
OCTEON CN50xx和CN58xx处理器专门为网络和服务性能设计,每个处理器配备1个或者2个带有512KB L2缓存和接口的MIPS核心,处理器主频支持最高900MHz,性能范围最大支持4Gbps。处理器采用双指令超标量体系结构,具有成熟的预取和优化的缓存和内存延时,配备硬件加速选项,针对网络报文处理、队列和调度控制、QoS提供硬件加速功能。NSP版本特别提供了针对深度报文检测的加速功能,可以极大提升防火墙的处理能力。芯片主要特点包括:
(1)针对IPv4和IPv6数据报文的网络层、传输层和应用层数据采用基于硬件的包处理和缓冲区管理引擎;
(2)通过硬件加速支持对报文校验和、定时器和缓冲区进行管理;
(3)采用全新的队列调度和服务质量控制硬件,实现对输入报文基于端口或其他组合的队列调度、优先级处理等功能;
(4)采用安全硬件加速设备,针对IPSec、SSL等安全协议进行加速处理,支持包括DES/3DES、AES等算法在内的加密算法;
(5)采用压缩/解压缩硬件加速实现了GZIP、PKZIP和各种协议,提高对数据压缩和解压缩的速率;
(6)通过模式匹配硬件加速引擎实现对深度报文检测的支持,对数据的匹配分析进行优化。
附图说明
附图是本发明的系统架构示意图。
具体实施方式
在此系统中,为了提升工业控制防火墙的数据处理性能,防火墙架构中的报文处理模块和负载均衡处理模块采用多核处理器架构实现。
如附图是本发明的系统架构示意图所示。系统网络报文处理流程如下:
(1)网络报文首先经过报文处理模块进行检测:对于该报文所在的数据流,如果之前已经被判定为通过或者拒绝,则按照相同的操作结果处理该报文;若未判定过,则送往负载均衡处理模块;
(2)负载均衡模块对报文按照流量均衡算法进行拆分,送往不同的模式匹配模块进行匹配处理;
(3)模式匹配模块对报文内容进行模式匹配,包括协议内容过滤、攻击行为识别、访问策略控制等。通过对报文内容进行识别、解析,提前关键字段,与特征库进行匹配,实现对异常行为的发现;
(4)对于匹配结果,生成控制策略,交由数据报文处理模块进行处理,例如:通过或者丢弃。
通过采用多核处理器架构,基于硬件加速、正则匹配等硬件协处理器和网络应用加速器,可以有效提升工业控制系统防火墙的性能,并且易于功能的扩展。