CN109558366B - 一种基于多处理器架构的防火墙 - Google Patents
一种基于多处理器架构的防火墙 Download PDFInfo
- Publication number
- CN109558366B CN109558366B CN201811359856.2A CN201811359856A CN109558366B CN 109558366 B CN109558366 B CN 109558366B CN 201811359856 A CN201811359856 A CN 201811359856A CN 109558366 B CN109558366 B CN 109558366B
- Authority
- CN
- China
- Prior art keywords
- coprocessor
- main processor
- state
- firewall
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/163—Interprocessor communication
- G06F15/17—Interprocessor communication using an input/output type connection, e.g. channel, I/O port
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于多处理器架构的防火墙,包括:对防火墙的管理流程进行处理的主处理器;对防火墙的业务流程进行并行处理的协处理器;主处理器与所述协处理器之间相互独立,通过通信接口进行通信。本发明的防火墙采用双处理器架构,两个处理器之间相互独立,通过通信接口进行有限通信,在主处理器遭受网络攻击或主处理器不能正常工作时,协处理器的业务处理单元仍能够正常处理业务流程。本发明的防火墙将报文深度解析、基础策略匹配、工控协议功能码匹配、工控协议参数匹配、告警信息上传等模块,与其他工控防火墙相比,减少的处理时间达到几个数量级,在千兆速率线速、64字节以太网报文情况下达到100%吞吐量。
Description
技术领域
本发明涉及防火墙技术领域,具体涉及一种基于多处理器架构的防火墙。
背景技术
基于硬件的传统工控防火墙在硬件方面一般采用了主流的几种架构:X86、ASIC、NP、MIPS和ARM。由于其常用操作系统采用的多是基于通用操作系统,而通用操作系统未充分考虑操作系统本身的安全性,安全机制不健全导致存在很多的安全漏洞和隐患,如,防火墙遭受到越来越多的基于操作系统漏洞、后门的病毒和木马的攻击。修改操作系统核心代码难度巨大,而在不修改操作系统核心代码仅在操作系统外围增加各种安全技术和防护措施,都不能从根本上解决安全问题。
工业网络环境中工控设备对于实时性传输反馈要求非常高,响应超时就可能导致某个开关停止响应,这就要求接入的工控防火墙也必须具备工业网络的实时性要求。而传统工控防火墙大多基于顺序执行的处理器,在经过对工业协议的数据包进行深度包解析,对报文中传输的工业协议指令和操作数据等信息进行合法性检查,工控防火墙处理延时将大大增加,甚至影响工控系统的正常运行。
因此,传统防火墙存在着下述缺陷:
(1)因通用操作系统未充分考虑操作系统本身的安全性,安全机制不健全导致存在很多的安全漏洞和隐患,当操作系统的安全漏洞、后门被利用将导致的防火墙设备异常、重启或安全机制失效等;
(2)因传统防火墙的处理器多为顺序执行,且工控防火墙需要对工业协议的数据包解析深度包解析、对工业协议指令和操作数进行合法性检查,造成防火墙处理延时的增加,不能在实时性传输反馈要求非常高的工控系统中应用。
发明内容
本申请提供一种基于多处理器架构的防火墙,包括:
对防火墙的管理流程进行处理的主处理器;
对防火墙的业务流程进行并行处理的协处理器;
所述主处理器与所述协处理器之间相互独立,通过并口进行通信。
一种实施例中,所述主处理器与所述协处理器之间具有相互检测的接口,使所述主处理器检测到所述协处理器异常时,自动控制所述协处理器恢复至正常工作状态,并记录异常码,及所述协处理器检测到所述主处理器异常时,自动控制所述主处理器恢复至正常工作状态,并记录异常码。
一种实施例中,所述主处理器与所述协处理器之间相互进行状态监测,具体的:
所述协处理器的共享RAM中设有心跳监测寄存器、主处理器状态寄存器和协处理器状态寄存器;
所述主处理器状态寄存器存储所述主处理器各进程、模块运行状态的状态码,且所述主处理器定时更新所述主处理器状态寄存器中存储的状态码;
所述协处理器状态寄存器存储所述协处理器各进程、模块运行状态的状态码,且所述协处理器定时更新所述协处理器状态寄存器中存储的状态码;
所述主处理器和协处理器定时轮流对所述心跳监测寄存器中的值进行翻转,若所述心跳监测寄存器中的值超时翻转或错误,则判定对方状态异常,并进入异常处理。
一种实施例中,所述异常处理分为三个等级:异常记录、异常记录和隔离、异常记录和复位。
一种实施例中,所述异常记录的处理方式为:
所述主处理器判定所述协处理器状态异常时,所述主处理器读取所述协处理器状态寄存器存储的状态码,并将读取的状态码储存到日志文件中;
及,所述协处理器判定所述主处理器状态异常时,所述协处理器读取所述主处理器状态寄存器存储的状态码,并将读取的状态码储存到日志文件中。
一种实施例中,所述异常记录和隔离的处理方式为:
所述主处理器判定所述协处理器状态异常时,所述主处理器读取所述协处理器状态寄存器存储的状态码,然后阻断与所述协处理器之间的通信接口,使所述主处理器与所述协处理器之间隔离,并将读取的状态码储存到日志文件中;
及,所述协处理器判定所述主处理器状态异常时,所述协处理器读取所述主处理器状态寄存器存储的状态码,然后阻断与所述主处理器之间的通信接口,使所述协处理器与所述主处理器之间隔离,并将读取的状态码储存到日志文件中。
一种实施例中,所述异常记录和复位的处理方式为:
所述主处理器判定所述协处理器状态异常时,所述主处理器读取所述协处理器状态寄存器存储的状态码,将读取的状态码存储到日志文件中,并控制所述协处理器的两个网络接口处于直通状态以正常通信,及向所述协处理器输出低电平复位信号,待所述协处理器复位完成后,所述协处理器重新加载安全策略,并控制两个网络接口处于安全控制状态;
及,所述协处理器判定所述主处理器异常时,所述协处理器读取对所述主处理器状态寄存器存储的状态码,将读取的状态码存储到日志文件中,及向所述主处理器输出低电平复位信号,待所述主处理器复位完成后,将所述日志文件发送至所述主处理器。
一种实施例中,所述主处理器对防火墙的管理流程进行处理,并将接收的安全策略发送至所述协处理器,所述协处理器接收并储存安全策略,根据安全策略对进入防火墙的报文进行深度安全检查,并对合法报文进行转发。
一种实施例中,所述主处理器为ARM处理器,所述协处理器为FPGA处理器。
一种实施例中,所述协处理器包括:
过滤匹配模块,对接收的以太网报文进行基础合法性检查、工控协议深度解析、工控协议指令合法性检查和工控协议参数合法性检查;
MAC模块,所述MAC模块接收到以太网报文头,并通过时间戳模块对报文进行时间标识,时间精度精确到微秒级,使每条报文具有精确的时间信息;且所述MAC模块接收到以太网报文头之后,及接收报文数据之前将以太网报文头发送给所述过滤匹配模块,使所述过滤匹配模块先行对以太网报文头进行安全检查;
存储转发模块,存储所述MAC模块发送的以太网报文,并根据所述过滤匹配模块的匹配结果,转发或阻断接收到的以太网报文。
一种实施例中,所述协处理器还包括策略管理模块,所述策略管理模块用于独立向所述过滤匹配模块提供安全策略,以使所述过滤匹配模块根据安全策略对进入防火墙的报文进行基础合法性检查、工控协议深度解析、工控协议指令合法性检查和工控协议参数合法性检查。
一种实施例中,所述基础合法性检查、工控协议深度解析、工控协议指令合法性检查、工控协议参数合法性检查为并行处理;且在安全检查过程中,只要有一个检查流程先行给出非法判定果时,其他检查流程将提前结束该以太网报文处理流程。
依据上述实施例的防火墙,能够达到以下的技术效果:
(1)本发明的防火墙采用双处理器架构。一个为ARM主处理器提供对用户的鉴别和权限控制以及防护策略的接收、告警日志的上传等,采用深度定制化的Linux操作系统提供最小化的服务,减少因操作系统安全漏洞带来的安全威胁;另一个采用FPGA协处理器提供高可靠的逻辑电路业务处理单元包括基础合法性检查、工控协议的深度解析、工业协议指令合法性检查和工控协议参数合法性检查,采用固定的处理流程和高效的并行处理能力能够有效的抵御来自业务口的网络攻击;两个处理器之间相互独立,通过并口进行有限通信,在ARM主处理器遭受网络攻击或ARM主处理器不能正常工作时,FPGA协处理器的业务处理单元仍能够正常处理业务流程。
(2)本发明的防火墙将工控协议深度解析、基础策略匹配、工控协议指令匹配、工控协议参数匹配、告警信息上传等模块并行处理。与主流的工控防火墙相比,减少的处理时间达到几个数量级,在千兆速率线速、64字节以太网报文情况下达到100%吞吐量。
附图说明
图1为防火墙原理框图;
图2为过滤匹配模块原理图;
图3为FPGA处理器与ARM处理器接口示意图;
图4为防火墙管理数据时序图;
图5为防火墙业务数据时序图;
图6为通信基本流程图。
具体实施方式
下面通过具体实施方式结合附图对本发明作进一步详细说明。
在本发明实施例中,提供多处理器架构的防火墙,以解决传统防火墙安全机制不健全、实时性差的问题。
本例以双处理器架构为例说明多处理器架构的防火墙工作原理,其原理图如图1所示,包括对防火墙的管理流程进行处理的主处理器和对防火墙的业务流程进行并行处理的协处理器,主处理器与协处理器之间相互独立,通过通信口进行通信。其中,防火墙的管理流程包括策略管理和告警日志管理等非实时流程,防火墙的业务流程包括协议解析、合法性检查、转发等实时流程。
本例通过主处理器与协处理器相互独立,以实现防火墙业务流程和管理流程物理隔离,具体的,主处理器与协处理器之间通过通信接口进行通信,主处理器对防火墙的管理流程进行处理,并将接收的安全策略发送至协处理器,协处理器接收并储存安全策略,根据安全策略对进入防火墙的报文进行深度安全检查,并对合法以太网报文进行转发,因此,即使主处理器在异常状态下,协处理器仍能够进行正常工作。
其中,主处理器优选为ARM处理器,且ARM处理器采用深度定制化linux最小系统,提供最小服务,协处理器优选为FPGA处理器,FPGA处理器采用逻辑电路提供稳定的业务处理单元,因此,即使在ARM处理器系统崩溃情况下,FPGA处理器的业务处理单元也能正常工作,有效解决由于防火墙的操作系统的安全漏洞、后门而导致的设备异常或者重启、安全策略失效等威胁事件,保证工控系统安全运行。
另外,针对业务数据协处理器利用FPGA硬件并行的优势,将以太网报文深度解析、基础策略匹配、工控协议指令码匹配、工控协议参数匹配实时并行处理,在1000M线速情况下处理延时10微秒,比其他工业防火墙100微秒的处理时间减少好几个数量级,在千兆速率线速、64字节以太网报文情况下达到100%吞吐量。
综上所述,本例提供的防火墙是双处理器架构,在工业控制网络中实现现场控制层与监控层业务流数据的合法性检查,根据检查结果阻断或转发以太网报文;工控防火墙响应来自管理软件客户端的认证信息、安全策略配置信息,工控防火墙根据安全策略对进入工控防火墙的报文进行深度安全检查,对合法报文进行转发,对非法报文进行阻断和威胁告警,告警信息包含报文的时间、MAC地址、IP地址、协议类型、威胁事件类型等发送给配置管理应用软件,配置管理应用软件进行记录,形成相关的事件、操作日志,并对其进行统计分析后以报表的形式显示给用户。
下面结合图1对本例的防火墙结构进行详细描述,具体的,本例的主处理器包括以下几个模块:
通信管理控制模块,包括认证管理单元、加解密单元、长连接心跳管理单元和用户管理单元;
策略管理模块,包括基础白名单策略、工控指令白名单策略(包括西门子S7、modbus、IEC104、DNP、OPC、profinet等十几种工控协议)、工控协议参数白名单(包括西门子S7、modbus、IEC104、DNP、OPC、profinet等十几种工控协议)、策略查询、策略修改、策略删除;
威胁上报模块,负责当有违反策略规则的报文通过业务口时,需要将非法报文的时间、MAC地址、IP地址、协议类型、威胁事件及时上报给管理软件供用户查看;
统计信息上报模块,接收FPGA处理器的流量统计模块发送的统计信息,定时向数据服务器发送统计信息报文。
协处理器包括:MAC模块、过滤匹配模块和存储转发模块,其中:
MAC模块实现PHY寄存器配置、数据报文的接收与发送,支持10/100/1000M自适应,具体的,MAC模块接收到以太网报文头,并通过时间戳模块对报文进行时间标识,时间精度精确到微秒级,使每条报文具有精确的时间信息;且MAC模块接收到以太网报文头之后,及接收报文数据之前将以太网报文头发送给过滤匹配模块,使过滤匹配模块先行对以太网报文头进行安全检查。
也即是,本例的MAC模块设计优化冗余的功能模块,达到效果为:1)减少延时、提高稳定性;2)增加时间戳功能,精准标识每条报文的时间戳。
1、低时延、高稳定
在MAC模块接收到以太网报文头之后,接收报文数据之前就将以太网报文头发送给报文解析模块,优于通用MAC核,在报文缓存完成后再通知报文读取方式,减少了数据缓存时间。
2、精准时间戳
当以太网报文头一进入MAC模块,时间戳模块标识时间,时间精度精确到微秒级。当进入防火墙的报文判定为非法报文时,精确的告警时间有利于综合统计分析以及告警事件定位。
过滤匹配模块,对接收的数据报文进行基础合法性检查、工控协议深度解析、工控协议指令合法性检查和工控协议参数合法性检查;且,基础合法性检查、工控协议深度解析、工控协议指令合法性检索、工控协议参数合法性检查为并行处理,且在安全检查过程中,只要有一个检查流程先行给出非法判定结果时,其他检查流程将提前结束该以太网报文处理流程。
其中,基础合法性检查包含PORT匹配、IP匹配、协议类型匹配、MAC匹配;工控协议深度解析包含西门子S7、modbus、IEC104、DNP、OPC、profinet等十几种工控协议深度解析,工控协议指令合法性检查包括西门子S7、modbus、IEC104、DNP、OPC、profinet等十几种工控协议指令合法性检查,工控协议参数合法性检查包括西门子S7、modbus、IEC104、DNP、OPC、profinet等十几种工控协议参数合法性检查。
进一步,协处理器还包括策略管理模块,策略管理模块用于独立向过滤匹配模块提供安全策略,具体的,策略管理模块包含配置策略解析子模块和配置策略存储子模块,策略管理模块接收解析主处理器下发的安全策略,将配置策略存储到内部RAM中,同时为基础合法性检查、工控协议指令合法性检查、工控协议参数合法性检查提供安全策略,以使过滤匹配模块根据安全策略对进入防火墙的以太网报文进行基础合法性检查、工控协议深度解析、工控协议指令合法性检查和工控协议参数合法性检查,配置策略未下发时,过滤匹配模块默认匹配结果为匹配失败。
存储转发模块,存储MAC模块发送的以太网报文,并根据过滤匹配模块的匹配结果,转发或阻断接收到的以太网报文。该模块能够同时接收、处理MAC_A、MAC_B两个方向的以太网报文数据。
另外,图1中所涉及的网络接口(PORT A):连接PLC或其他现场层网络设备,网络接口(PORT B):连接组态、监控计算机,网络接口(PORT D):连接数据服务器,经过PORT D的组态信息、威胁告警信息、统计信息等经过加密后发给服务器。
过滤匹配模块的匹配过滤流程如图2所示,报文深度解析模块先对接收的报文进行解析,基础合法性检查模块获取基础策略索引及基础策略,协议指令合法性检查模块获取指令索引及指令策略,协议参数合法性检查模块获得参数策略,结合基础合法性检查、协议指令合法性检查和协议参数合法性检查向存储转发模块输出相应的匹配结果,使存储转发模块根据匹配结果将报文转发。
如图3所示,协处理器(FPGA)与主处理器(ARM)之间的接口实现,其中,FPGA处理器内部为一个双口8192字的RAM,地址线为13bit,数据线宽度为16bit,具体的,双口8192字的RAM分为各2048两个缓冲区:缓冲区A和缓冲区B,其中,缓冲区A为FPGA处理器读ARM处理器写区,用于存储配置策略下发数据,缓冲区B为FPGA处理器写ARM处理器读区,用于存储告警信息上传数据。
进一步,为了实现防火墙设备自恢复功能,本例的主处理器与协处理器之间具有相互检测的接口,使主处理器检测到协处理器异常时,自动控制协处理器恢复至正常工作状态,并记录异常码,及协处理器检测到主处理器异常时,自动控制主处理器恢复至正常工作状态,并记录异常码;具体的,本例的FPGA处理器与ARM处理器之间具有相互检测的接口,使FPGA处理器检测到ARM处理器异常时,自动控制ARM处理器恢复至正常工作状态,及ARM处理器检测到FPGA处理器异常时,自动控制FPGA处理器恢复至正常工作状态,具体的,防火墙设备自恢复包含两块内容:1)FPGA处理器与ARM处理器运行状态监测与异常记录;2)异常处理(处理方式用户可设置)。
1、状态监测与记录的具体实施方式是:
防火墙设备在协处理器的共享RAM中设置有心跳监测寄存器、主处理器状态寄存器和协处理器状态寄存器,其中:
主处理器状态寄存器存储主处理器各进程、模块运行状态的状态码,且主处理器定时更新主处理器状态寄存器中存储的状态码;
协处理器状态寄存器存储协处理器各进程、模块运行状态的状态码,且协处理器定时更新协处理器状态寄存器中存储的状态码。
心跳监测寄存器:位宽为8bit,主处理器(ARM)设置初值后,主处理器和协处理器(FPGA)定时轮流对该值进行翻转,如超时翻转或寄存器值错误,则判定对方状态异常。
主处理器状态寄存器和协处理器状态寄存器的位宽都为16bit。
状态监测与记录运行过程:
1)防火墙设备上电后,ARM设置心跳监测寄存器初始值为0xaa,开始心跳超时计数,并定时更新主处理器状态寄存器中储存的状态码;
2)FPGA监测到心跳监测寄存器不为初始值0时,启动心跳监测功能,在设定时间内将心跳监测寄存器值从“0xaa”翻转为“0x55”,开始心跳超时计数,并定时更新协处理器状态寄存器中储存的状态码;
3)ARM和FPGA定时轮流对心跳监测寄存器值进行翻转,如超时翻转或寄存器值错误,则判定对方状态异常,进入异常处理。
2、异常处理的类型及处理方式
异常处理分为三个等级:一级异常记录,二级异常记录与CPU隔离,三级异常记录与CPU复位。用户可根据需求设置异常处理等级。
一级异常记录的处理方式为:主处理器判定协处理器状态异常时,主处理器读取所述协处理器状态寄存器存储的状态码,并将读取的状态码储存到日志文件中;
及,协处理器判定主处理器状态异常时,协处理器读取主处理器状态寄存器存储的状态码,并将读取的状态码储存到日志文件中。
具体的:异常处理机制触发后,读取对方CPU状态寄存器储存的状态码,并储存到日志文件中。
二级异常记录和隔离的处理方式为:主处理器判定协处理器状态异常时,主处理器读取协处理器状态寄存器存储的状态码,然后阻断与协处理器之间的通信接口,使主处理器与协处理器之间隔离,并将读取的状态码储存到日志文件中;
及,协处理器判定主处理器状态异常时,协处理器读取主处理器状态寄存器存储的状态码,然后阻断与主处理器之间的通信接口,使协处理器与所述主处理器之间隔离,并将读取的状态码储存到日志文件中。
具体的:异常处理机制触发后,读取对方CPU状态寄存器储存的状态码,然后阻断与对方CPU通信,与异常CPU进行隔离,并将读取到的状态码储存到日志文件中。
三级异常记录和复位的处理方式为:主处理器判定协处理器状态异常时,主处理器读取所述协处理器状态寄存器存储的状态码,将读取的状态码存储到日志文件中,并控制协处理器的两个网络接口处于直通状态以正常通信,及向协处理器输出低电平复位信号,待协处理器复位完成后,协处理器重新加载安全策略,并控制两个网络接口处于安全控制状态;
及,协处理器判定主处理器异常时,协处理器读取对所述主处理器状态寄存器存储的状态码,将读取的状态码存储到日志文件中,及向主处理器输出低电平复位信号,待主处理器复位完成后,将日志文件发送至主处理器。
具体的,①ARM判定FPGA异常时,读取对方CPU状态寄存器存储的状态码,存储到日志文件中,并控制两个业务口(PORT A和PORT B)处于直通状态,保证业务数据正常通信,输出业务CPU低电平复位信号,复位完成后,重新加载安全策略,撤销两处业务口(PORT A和PORT B)处于安全控制状态;②FPGA判定ARM异常时,读取对方CPU状态寄存器存储的状态码,存储到日志文件中,输出ARM低电平复位信号,ARM复位完成后,将日志文件发送给ARM。
本例的防火墙管理数据时序图如图4所示,具体包括以下过程:
1、报文接收:身份鉴别后,通信管理接收管理报文;
2、用户管理:用户管理模块接收用户管理数据;
3、策略管理:策略管理模块接收策略管理数据;
4、工控策略:策略管理模块向工控策略库存储后查询工控策略;
5、日志管理:日志管理模块提供日志查询、存储、修改;
6、报文响应:通信模块对接收的报文进行响应。
本例的防火墙业务数据时序图如图5所示,具体包括以下过程:
1、以太网报文:以太网收发模块接收到业务报文后,向报头解析模块和工控协议深度解析模块同时发送报文数据;
2、报文头数据:报头解析模块向数据交互模块发送报头数据;
3、报头数据:数据交互模块向基础匹配模块发送报头数据;
4、基础策略:基础匹配模块向基础策略库查询策略,基础策略库响应基础策略;
5、工控策略:工控协议深度解析匹配模块向工控策略库查询工控策略,工控策略库响应工控策略;
6、传统安全结果:传统安全控制模块根据策略配置产生传统安全结果发送给数据交互模块;
7、ARM匹配结果:数据交互模块将ARM匹配结果发送给存储转发控制模块;
8、工控匹配结果:工控协议深度解析匹配模块将工控匹配结果发送给存储转发控制模块;
9、综合匹配结果:存储转发控制模块将综合匹配结果发送给数据交互模块供日志记录;
10、报文转发:存储转发控制模块将报文转发给以太网收发模块。
客户端与防火墙通信流程如图6所示,大致可以分为以下几个阶段:
1、建立TCP连接:有客户端向服务器发起TCP连接。
2、身份认证:客户端向服务器发起身份认证请求,服务器进行身份认证,身份认证通过后,才能进行后续业务处理。
3、业务处理:客户端与服务器采用问答形式进行业务处理。
4、身份认证退出:客户端主动退出与服务器的认证。
5、断开TCP连接:客户端与服务器的TCP连接断开。
本例的防火墙采用双处理器架构,一个为ARM主处理器采用深度定制化的Linux操作系统提供最小化的服务,减少因操作系统安全漏洞带来的安全威胁;另一个采用FPGA协处理器提供高可靠的逻辑电路业务处理单元,采用固定的处理流程和高效的并行处理能力能够有效的抵御来自业务口的网络攻击;两个处理器之间相互独立,通过并口进行有限通信,在ARM主处理器遭受网络攻击或ARM主处理器不能正常工作时,FPGA协处理器的业务处理单元仍能够正常处理业务流程。
本例的防火墙采用并行业务处理单元大大减少处理时延,利用FPGA并行处理的特性,将报文深度解析、基础策略匹配、工控协议指令匹配、工控协议参数匹配、告警信息上传等模块并行处理,减少处理等待时间。与其他的工控防火墙相比,减少的处理时间相差几个数量级,并且在千兆速率线速、64字节以太网报文情况下达到100%吞吐量,丢包率和误码率都为0。
在本发明的基本构思上,本领域技术人员通过变换还可以采用以下替代方案实现:
1.主处理器+多个协处理器方案
主处理器与多个协处理器之间采用高速的接口技术和总线规范,主处理器负责协处理器的管理、任务的分发,多个协处理器并发进行报文深度解析、基础策略匹配、工控协议功能码匹配、工控协议参数匹配、告警信息上传、报文转发、策略管理等,这样基于主处理器+协处理器的工控防火墙的处理延时得到了很大的提升。
2.网络处理器方案
网络处理器内部包含多个片内微处理器,构成多处理器系统。片内处理器按任务分工大致可分为管理和转发匹配引擎两种类型。管理引擎用于系统维护和策略管理以及威胁告警、策略分发,转发匹配用于报文深度解析、基础策略匹配、工控协议功能码匹配、工控协议参数匹配等功能,多处理器的特性使工控防火墙具有良好的并行高速处理性能。
以上应用了具体个例对本发明进行阐述,只是用于帮助理解本发明,并不用以限制本发明。对于本发明所属技术领域的技术人员,依据本发明的思想,还可以做出若干简单推演、变形或替换。
Claims (11)
1.一种基于多处理器架构的防火墙,其特征在于,包括:
对防火墙的管理流程进行处理的主处理器;
对防火墙的业务流程进行并行处理的协处理器;
所述主处理器与所述协处理器之间相互独立,通过通信接口进行通信;
所述主处理器与所述协处理器之间具有相互检测的接口,
所述协处理器的共享RAM中设有心跳监测寄存器、主处理器状态寄存器和协处理器状态寄存器;
所述主处理器状态寄存器存储所述主处理器各进程、模块运行状态的状态码,且所述主处理器定时更新所述主处理器状态寄存器中存储的状态码;
所述协处理器状态寄存器存储所述协处理器各进程、模块运行状态的状态码,且所述协处理器定时更新所述协处理器状态寄存器中存储的状态码;
所述主处理器和协处理器定时轮流对所述心跳监测寄存器中的值进行翻转,若所述心跳监测寄存器中的值超时翻转或错误,则判定对方状态异常,并进入异常处理。
2.如权利要求1所述的防火墙,其特征在于,所述主处理器检测到所述协处理器异常时,自动控制所述协处理器恢复至正常工作状态,并记录异常码,及所述协处理器检测到所述主处理器异常时,自动控制所述主处理器恢复至正常工作状态,并记录异常码。
3.如权利要求2所述的防火墙,其特征在于,所述异常处理分为三个等级:异常记录、异常记录和隔离、异常记录和复位。
4.如权利要求3所述的防火墙,其特征在于,所述异常记录的处理方式为:
所述主处理器判定所述协处理器状态异常时,所述主处理器读取所述协处理器状态寄存器存储的状态码,并将读取的状态码储存到日志文件中;
及,所述协处理器判定所述主处理器状态异常时,所述协处理器读取所述主处理器状态寄存器存储的状态码,并将读取的状态码储存到日志文件中。
5.如权利要求3所述的防火墙,其特征在于,所述异常记录和隔离的处理方式为:
所述主处理器判定所述协处理器状态异常时,所述主处理器读取所述协处理器状态寄存器存储的状态码,然后阻断与所述协处理器之间的通信接口,使所述主处理器与所述协处理器之间隔离,并将读取的状态码储存到日志文件中;
及,所述协处理器判定所述主处理器状态异常时,所述协处理器读取所述主处理器状态寄存器存储的状态码,然后阻断与所述主处理器之间的通信接口,使所述协处理器与所述主处理器之间隔离,并将读取的状态码储存到日志文件中。
6.如权利要求3所述的防火墙,其特征在于,所述异常记录和复位的处理方式为:
所述主处理器判定所述协处理器状态异常时,所述主处理器读取所述协处理器状态寄存器存储的状态码,将读取的状态码存储到日志文件中,并控制所述协处理器的两个网络接口处于直通状态以正常通信,及向所述协处理器输出低电平复位信号,待所述协处理器复位完成后,所述协处理器重新加载安全策略,并控制两个网络接口处于安全控制状态;
及,所述协处理器判定所述主处理器异常时,所述协处理器读取对所述主处理器状态寄存器存储的状态码,将读取的状态码存储到日志文件中,及向所述主处理器输出低电平复位信号,待所述主处理器复位完成后,将所述日志文件发送至所述主处理器。
7.如权利要求1或2所述的防火墙,其特征在于,所述主处理器对防火墙的管理流程进行处理,并将接收的安全策略发送至所述协处理器,所述协处理器接收并储存安全策略,根据安全策略对进入防火墙的报文进行深度安全检查,并对合法报文进行转发。
8.如权利要求7所述的防火墙,其特征在于,所述主处理器为ARM处理器,所述协处理器为FPGA处理器。
9.如权利要求7所述的防火墙,其特征在于,所述协处理器包括:
过滤匹配模块,对接收的报文进行基础合法性检查、工控协议深度解析、工控协议指令合法性检查和工控协议参数合法性检查;
MAC模块,所述MAC模块接收到以太网报文头,并通过时间戳模块对报文进行时间标识,时间精度精确到微秒级,使每条报文具有精确的时间信息;且所述MAC模块接收到以太网报文头之后,及接收报文数据之前将以太网报文头发送给所述过滤匹配模块,使所述过滤匹配模块先行对以太网报文头进行安全检查;
存储转发模块,存储所述MAC模块发送的报文,并根据所述过滤匹配模块的匹配结果,转发或阻断接收到的报文。
10.如权利要求9所述的防火墙,其特征在于,所述协处理器还包括策略管理模块,所述策略管理模块用于独立向所述过滤匹配模块提供安全策略,以使所述过滤匹配模块根据安全策略对进入防火墙的报文进行基础合法性检查、工控协议深度解析、工控协议指令合法性检查和工控协议参数合法性检查。
11.如权利要求9所述的防火墙,其特征在于,所述基础合法性检查、工控协议深度解析、工控协议指令合法性查、工控协议参数合法性检查为并行处理;且在安全检查过程中,只要有一个检查流程先行给出非法判定结果时,其他检查流程将提前结束该以太网报文处理流程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811359856.2A CN109558366B (zh) | 2018-11-15 | 2018-11-15 | 一种基于多处理器架构的防火墙 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811359856.2A CN109558366B (zh) | 2018-11-15 | 2018-11-15 | 一种基于多处理器架构的防火墙 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109558366A CN109558366A (zh) | 2019-04-02 |
| CN109558366B true CN109558366B (zh) | 2023-03-31 |
Family
ID=65866507
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811359856.2A Active CN109558366B (zh) | 2018-11-15 | 2018-11-15 | 一种基于多处理器架构的防火墙 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109558366B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109922085B (zh) * | 2019-04-11 | 2021-12-24 | 江苏亨通工控安全研究院有限公司 | 一种基于plc中cip协议的安全防护系统及方法 |
| CN112558505B (zh) * | 2019-09-10 | 2024-10-15 | 阿里(四川)网络技术有限公司 | 工控系统的控制处理方法、装置、工控系统及电子设备 |
| CN110941862B (zh) * | 2019-12-11 | 2021-04-02 | 博依特(广州)工业互联网有限公司 | 一种基于fpga+arm的数据隔离系统 |
| CN110995726B (zh) * | 2019-12-11 | 2021-03-30 | 博依特(广州)工业互联网有限公司 | 一种基于内嵌arm的fpga芯片的网络隔离系统 |
| CN111190758B (zh) * | 2019-12-19 | 2022-01-14 | 江苏新质信息科技有限公司 | 基于fpga计算规则和rpc监控结合实现设备状态自恢复方法 |
| CN115150420B (zh) * | 2021-03-29 | 2024-04-09 | 中移(上海)信息通信科技有限公司 | 业务处理方法、装置及相关设备 |
| CN116015696A (zh) * | 2021-10-20 | 2023-04-25 | 中移系统集成有限公司 | 防火墙系统、恶意软件探测方法及装置 |
| CN114115099B (zh) * | 2021-11-08 | 2024-01-02 | 浙江高信技术股份有限公司 | 支持网络安全的plc系统 |
| CN115174219B (zh) * | 2022-07-06 | 2024-04-19 | 哈尔滨工业大学(威海) | 一种可适配多种工业防火墙的管理系统 |
| CN116684203B (zh) * | 2023-08-03 | 2023-12-22 | 南京南自华盾数字技术有限公司 | 一种无代码变动实现ModbusTCP协议安全保护的方法及系统 |
| CN118555147B (zh) * | 2024-07-30 | 2024-10-29 | 湖南博盛芯微电子科技有限公司 | 一种防护方法、防火墙系统及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101014048A (zh) * | 2007-02-12 | 2007-08-08 | 杭州华为三康技术有限公司 | 分布式防火墙系统及实现防火墙内容检测的方法 |
| CN106230771A (zh) * | 2016-07-07 | 2016-12-14 | 国网青海省电力公司 | 基于多核处理器的工业控制系统工业防火墙 |
| CN106576082A (zh) * | 2014-08-22 | 2017-04-19 | 霍尼韦尔国际公司 | 用于冗余以太网网络的硬件协助 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10038552B2 (en) * | 2015-11-30 | 2018-07-31 | Honeywell International Inc. | Embedded security architecture for process control systems |
-
2018
- 2018-11-15 CN CN201811359856.2A patent/CN109558366B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101014048A (zh) * | 2007-02-12 | 2007-08-08 | 杭州华为三康技术有限公司 | 分布式防火墙系统及实现防火墙内容检测的方法 |
| CN106576082A (zh) * | 2014-08-22 | 2017-04-19 | 霍尼韦尔国际公司 | 用于冗余以太网网络的硬件协助 |
| CN106230771A (zh) * | 2016-07-07 | 2016-12-14 | 国网青海省电力公司 | 基于多核处理器的工业控制系统工业防火墙 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109558366A (zh) | 2019-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109558366B (zh) | 一种基于多处理器架构的防火墙 | |
| US10917417B2 (en) | Method, apparatus, server, and storage medium for network security joint defense | |
| US11223639B2 (en) | Endpoint network traffic analysis | |
| JP3968724B2 (ja) | ネットワーク保安システム及びその動作方法 | |
| US11848947B2 (en) | System and method for providing security to in-vehicle network | |
| US9130983B2 (en) | Apparatus and method for detecting abnormality sign in control system | |
| EP3465987B1 (en) | Logging of traffic in a computer network | |
| CN109561091B (zh) | 一种用于人防工程的网络安全防护系统 | |
| CN109922048B (zh) | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 | |
| US20200167342A1 (en) | System for Secure Software Defined Networking Based on Block-Chain and Method Thereof | |
| US11349866B2 (en) | Hardware acceleration device for denial-of-service attack identification and mitigation | |
| CN114826880B (zh) | 一种数据安全运行在线监测系统 | |
| EP2790354A1 (en) | Security management system having multiple relay servers, and security management method | |
| CN1326365C (zh) | 使用基于硬件的模式匹配的蠕虫阻击系统和方法 | |
| RU2739864C1 (ru) | Система и способ корреляции событий для выявления инцидента информационной безопасности | |
| CN202979014U (zh) | 网络隔离装置 | |
| CN104660584A (zh) | 基于网络会话的木马病毒分析技术 | |
| KR20230156262A (ko) | 기계 학습 기반 멀웨어 검출을 위한 시스템 및 방법 | |
| JP2023519910A (ja) | 特に自動車におけるデータの異常を処理するための方法 | |
| CN106657087B (zh) | 一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法 | |
| CN113190364A (zh) | 远程调用管理方法、装置、计算机设备及可读存储介质 | |
| US11356471B2 (en) | System and method for defending a network against cyber-threats | |
| KR102352187B1 (ko) | 패시브 핑거프린트 방법 및 장치 | |
| CN117395082B (zh) | 业务处理方法、电子设备及存储介质 | |
| Liu et al. | A Secure and Efficient USB-based In-band Communication Interface between Host and BMC |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |