Invade Detect For a Small Embeded Safety Gateway——Implemental Way Using FPGA Based On IPv6
Abstract：This paper introduces the design of safety gateway ，the format of IPv6 datagram header and the solution of extended header ，mostly analyses dynamic regulation database used in datagram filter based on serve port，finally discusses several problems unsettled。
Key words：saftety gateway；IPv6；serve port；datagram filter；dynamic regulation database

摘要：本文介绍了安全网关的设计和IPv6报文头的格式以及扩展报文头的处理，着重分析了基于服务端口的报文过滤所使用的动态规则库，最后讨论了几个尚待解决的问题。
关键词：安全网关；IPv6；服务端口；报文过滤；动态规则库

随着“电子政务”以前所未有的速度发展, 如何保证内网和专网资源安全, 并实现民众到政府的网络畅通、资源共享、方便快捷是我国电子政务系统建设中必须解决的技术问题。Internet网络安全技术、嵌入式网络处理机技术、新型无线局域网应用技术的日益成熟为开发提供了比较成熟的技术基础。安全网关的关键是入侵检测, 为实现底层接收信号和入侵检测的无吞吐量损失的实时处理,采用FPGA线速硬件设计。本文先简要介绍了安全网关的设计和IPv6的体系结构,然后重点叙述了基于IPv6的外网报文过滤器入侵检测的基本方法：针对服务端口的报文过滤,最后讨论了几个正在思考的问题。
一、 安全网关设计简介
安全网关的核心思想是：切断内外网间的直接网络连接关系，采用轮渡形式转发服务层资料；提供由多级防火墙和代理机制保障的多纵深安全控制。 整体结构按照屏蔽子网的“应用级安全隔离网关”的思路进行配置（见图1），这个结构布局由“内部安全网段”、“外部不信任网段”、“非敏感区DMZ（含堡垒主机网关和公共信息服务器）”组成，这三个区域被三个报文过滤器（防火墙）互相隔开。我们姑且认为内网是安全的, 危险来自外网, 所以重点考虑外网报文过滤器。外网报文过滤器应具备NAT协议功能，即IP地址欺骗技术,包括: 基于IP数据报头关键字段（IP地址+协议类型+服务端口号）的复合IP报文过滤器功能模块；基于报文内容的关键性敏感字段的数据流内容匹配过滤功能模块。鉴于FPGA使用的局限性, 复合IP报文过滤器功能模块可由FPGA实现。
二、IPv6体系结构
    TCP/IP协议簇是Internet和全球各地网络互联的引擎, 成为当今世界网络协议中的唯一选择。伴随Internet以惊人的速度飞快地发展, 目前的IPv4编址方案面临IP地址耗尽等问题，于是推出了IPv6的规范，主要表现在IPv6报文头、扩展报文头格式（图2）和编址、安全方面的能力。结合IPv6报文格式，对IPv6扩展报文头按照路由、分段、ESP、

AH、目的选项报文头的先后次序逐次进行处理。提取IP地址、协议类型、服务端口号、路由、分段、认证和加密等字段信息，采用FPGA针对地址、协议服务端口进行入侵检测。由于ESP、AH的检测和认证需要一定的时间，为不影响FPGA接收、缓存、检测数据报文的速度，一旦出现ESP、AH扩展报文头，就把数据报暂存于SRAM中。遇到合适的时机，从SRAM中调出数据报，再进行处理。
三、入侵检测的关键问题
（一） 服务端口过滤
    涉及到双向通信的应用服务，相应的过滤规则总是成对的，一条控制客户端发送请求数据包，另一条控制服务器回送响应数据包。每一种服务都可通过协议类型、源地址、源端口、目的地址、目的端口和通信方向、连接状态等来进行过滤。因此建立关键字段的规则库，从首部提取相应的字段进行高速匹配。鉴于所设计的安全网关的用户是中小型企业或家庭，因此只允许本地网络（客户机）访问外部服务器(姑且认为内网安全)。采用排除法来定义包过滤规则：对于没有通过规则明确定义的数据包，为安全起见，采用默认拒绝规则。
——
…… /*内网发起连接*/
Packet_Sram[ ]<=fdat_request[ ]；/*请求数据报*/
……
SYN<=Packet_Sram[14]；/*TCP首部SYN字段*/
IF (SYN ’EVENT  AND  SYN=’1’) THEN ；/*三次握手，建立连接*/
……  /*设立Sram的控制 状态信号*/
Sram[579]<=0；/*写入关键字段信息,建立动态规则库*/
Sram[0]<=‘O’；/*IN OUT*/
Sram[1,128]<=Packet_Sram[4×32]；/*SourceAddr*/
Sram[129,144]<=Packet_Sram[0,15]；/*SourcePort_No*/
Sram[145,272]<=Packet_Sram[4×32]；/*DestinationAddr*/
Sram[273,288]<=Packet_Sram[16,31]；/*DestinationPort_No*/
Sram[289]<=Packet_Sram[11]；/*ACK*/
……  /*响应规则*/
……  /*外网返回数据*/
fdat_response[ ]   /*响应数据报*/
……  /*调出动态规则库*/
IF （Sram[291,418]=fdat_response[4×32]）THEN
    IF（……）THEN
……  /*关键字段信息进行匹配*/    
Sram_delete（ ）   /*如匹配成功，则通过响应数据报，删除相应的规则项*/ 
   （二）其它问题的思考       
     1﹚ NAT处理
     NAT将专用的IP地址翻译成Internet上唯一的IP地址。网络翻译功能对外部网络隐藏了内部网络的主机地址，对于黑客有防御功能。                                   
 
2﹚ 内容过滤：通过规则库检测的数据包将传送至网络处理机，基于报文内容（病毒、木马、色情、敏感政治）的检测将在网络处理机由软件处理，按照某些特征代码进行过滤。
3）动态规则库和NAT映射表由于地址、端口的字段长度问题，占用空间较多，且影响检索速度，拟考虑字典编码。
4）UDP数据报的检测通过动态规则库是不够的，易成为黑客攻击的目标，初步采用流量控制的办法。
四、结束语
    本文重点分析了服务过滤和NAT的处理，给出了相应的表格和流程图，为设计、开发同类产品提供了基本的方法。
 
        
参考文献
[1]《网络安全理论与技术》，杨义先，钮心忻 编著，人民邮电出版社
[2]《深入剖析网络边界安全》，（美）Stephen 等著，陈曙辉，李化 等译，机械工业出版社
[3]《网络安全实用指南》，（美）Eric  Maiwald  著，天宏工作室  译 ， 清华大学出版社
作者简介：
陈杨， 男 ，汉族,73年10月24日, 解放军信息工程大学通信与信息系统专业硕士研究生，研究方向为小型嵌入式安全代理网关研究与实现。
联系地址：郑州1001信箱825分箱       邮编：450002
E-mail: chenyang_ieu@126.com