面向Web应用的安全服务器网卡的研究与设计

摘要

随着Web服务成为当今网络应用的主流，针对于此的恶意程序和黑客攻击越来越多，造成了巨大的危害。Web服务是一种应用层服务，同样Web攻击也属于应用层攻击的范畴，具备应用层攻击的一般特点，即攻击行为存在于数据包的应用层负载之中，同时它也体现了Web服务独有的特征，即传输协议简单而支撑功能复杂，这些都导致传统防火墙不能满足Web服务安全的特殊需求，迫切需要专门的Web安全防火墙，制定有针对性的安全策略与保护机制，执行完整的应用层数据扫描以有效提高Web服务的安全性。
　　 本文系统讨论了防火墙一般的体系架构和平台，分析基于通用处理器的软件实现在性能上的不足以及硬件实现的优势所在，并就FPGA在面向多样化的高速网络处理上体现出的灵活性与高性能，进一步设计了一种基于FPGA的安全网卡处理架构，为Web服务提供有效的安全防护。该架构在完成基本的网络数据接收与发送功能的同时，替代服务器CPU进行安全扫描与过滤，实现应用层安全防护的基本功能，将服务器从繁杂的安全操作中解脱出来，大大提高了系统整体的性能。在实现中，以纯硬件化的方式，对包头过滤和深度内容检测进行加速，有效降低了安全审查的操作延迟，适合高速网络环境下的数据处理。
　　 针对Web防火墙应用层防护的性能问题，对关键的深度内容检测提出优化措施，设计出一种基于FPGA实现的逆向并行比较移位匹配算法，该算法充分利用了FPGA丰富的可编程资源，构造多个并行匹配机构，以高并行性有效提高了匹配的速度，然后和Shift-or算法相结合在数据包的整个处理周期中实现对特征字符串的搜索，从而达到了快速模式匹配的目的。理论分析和结果表明，该算法原理简单，易于用FPGA实现，具有很高的模式匹配效率和实用价值，尤其适用于防火墙的深度内容检测等高速数据处理领域。
　　 基于以上研究，论文设计了面向Web服务安全网卡的整体结构，并详细介绍包过滤、内容检测、状态控制、事件报警等模块的具体实现，之后详细设计了基于安全网卡的Web防护架构及具体实现，使用控制软件对其进行有效的管理与配置，最后，对整个系统的性能做了评估。该系统在实现上采用硬件并行处理，使Web防火墙的整体性能得到很大的提高，能够满足在高速网络环境下，对数据包进行深度内容检测处理的需求。