网络安全丨网络处理器如何建置新网络安全应用

为了让区域内网络维持安全运作，建立一套安全防护网才是根本解决之道，较完整的防卫机制大概分为三大类：

（一）Network Security (网络安全)

(Firewalls, Intrusion detection system, Intrusion prevention System, Wireless security, Mail security, E-commerce security,

Load balancer /High Availability)

（二）Content Filtering (内容过滤)

(Antivirus, Internet /Web / URL filters, Spam filtering,

Content security)

（三）Encryption (加密)

(Virtual Private Network, Public Key Infrastructure

Certification Architecture,

三种市场应用各有不同的系统规格需求，VPN 的系统需将讯息全数打乱再丢到网络上，透过加密机制在公开的网络里建立起加密通道(Encrypted Tunnel)，接收端再解密取得真实讯息，在浩瀚的因特网内建立起安全私密的虚拟局域网络；Firewall则像大楼管理员，检查来访封包的通行许可证，包含检查封包的来源、目的地、连接埠等字段，但是防火墙并没有办法挡掉所有的入侵者，此时就须要另一道防线IDS；IDS 就像网络上的监控摄影机，可以分析流经的封包数据，侦测未经授权的行为，IDS大致区分为「网络系统」跟「主机系统」两类。基本上IDS需求的系统处理能力可以涵盖VPN及Firewall的需求.

入侵侦测系统的应用

防火墙与IDP的差异在于, 防火墙仅能就网络封包做到2到4层的检测，就来源地址/端口号以及目的地址/服务进行控管；而IDP可以做到4到7层(也就是应用层)的检测，因此IDP可以发觉包藏在应用层里的恶意攻击码(譬如蠕虫攻击、缓冲溢位攻击便藏匿于此)，并予以狙击。IDP内建庞大的攻击特征数据库，可以有效阻绝已知的攻击；IDP也透过「异常协议侦测」的方式，实时检查并将不符合RFC规范的网络封包丢弃。所以在「攻击防御」方面，IDP远胜于防火墙之上。

由于IDP一般仅能就IP以及IP群组决定封包放行权限，所以在「资源存取权限管理」方面，防火墙较优于IDP。然而，防火墙并无法有效管控企业内部使用者使用P2P、实时通讯(Instant Messenger、Yahoo Messenger)等软件、也无法杜绝利用Web-Mail或者Web-Post等方式将机密外泄，这些问题需要能监控4到7层的IDP设备才能控管。目前已经有少部分的IDP产品采用IXP2xxx芯片利用其「深层检测」的优势，有效地解决上述问题。

IDP可以防止蠕虫由外入侵至企业网络内部，而如果防火墙要防止蠕虫攻击，仅能消极地关闭某些Port。但一般的档案型病毒，则不在IDP及防火墙的防护范围内。因此资安的最后一层防护网便是在使用者端安装防毒软件。

各项资安产品皆有其擅长与不足之处，因此建议企业资安负责人员深入了解以及比较这些资安产品的差异，并依据企业的实际需要充分搭配使用，加强资安防护网的纵深，以确保企业的网络安全。 后面我们就以较复杂的IDS为例做IXP-2400的应用说明。

网络处理器的时代已经来临，它可有效解决网络交通拥塞的问题，也可处理复杂的封包运算。不论如何，Inetel IXA架构已经正确的跨出第一步，接下来就须要更多的平台设计者投入开发工作，以及更多的应用开发者投入资源，发展软件程序，逐步建立完整的可携式Microblocks。网络兴起、频宽加速拓展，使整个网络通讯的市场板块不断的在调整、挪动，凌华科技与Intel合作，共同推广IXP-2XXX网络处理器的应用，针对网络安全其中封包处理过程以下进一步来讨论。

何谓封包与功能：

在网络安全论述中,所有传输动作是经由封包完成的, 封包就很像我们在邮寄信件的时候那个邮件的模样了！信纸内容总是得放入信封吧？而信封上面会写上发信人住址，受收信人住址与姓名. 所以，一封邮件主要会有两个部分，分别是：『信封表面的信息部分、与信封内部的信件内容！』。同样的，网络的信息封包主要也是分为两个部分，一个是表头 ( Header ) 的部分，另一个则是内容 ( messages ) 的部分！而一个封包要传送到哪里去，都是通过 Header 的讯息部分进行分析而传送的！那么 Header 有哪些重要的信息呢？主要就如同上面提到的，至少会有来源与目标 IP 、来源与目标 Port等等！封包是怎么在两部主机之间进行传送的呢？事实上，封包的传送是相当复杂的，而且封包的状态不同 (TCP/UDP) 也会有不一样的传送机制。这里举一个『相对比较可靠的封包传送方式』来介绍。

较可靠的封包传送状态

当发送封包者发送出一个封包给接受者后，接受者在『正确的接到』这个封包之后，会回复一个响应封包 ( Acknowledgment ) 给发送者，告诉他接受者已经收到了！当发送端收到这个响应封包后，才会继续发送下一个封包出去，否则就会将刚刚的封包重新发送一次！这种封包的传递方式因为考虑到对方接到的封包的状态，所以算是比较可靠的一种方式。目前因特网上面常见的封包是 TCP 与 UDP ，其中 TCP 的联机方式中，会考虑到较多的参数，他是一种联机模式(Connection Oriented)的可靠传输，至于 UDP 则省略了响应封包的步骤，所以是一种非联机导向的非可靠传输。在一个 TCP 封包的传送过程中，因为至少需要传送与响应等封包来确定传送出去的数据没有问题，所以他是相当可靠的一种传输方式，不过就是传输与响应之间的时间可能会拖比较久一点。至于 UDP 封包就因为少了那个确认的动作，所以虽然他是较不可靠一点，但是速度上就比 TCP 封包要来的快！底下我们将继续介绍 TCP, UDP 以及 ICMP 等封包信息的内容. TCP 与 UDP 封包的建立是有差异存在的！针对TCP封包Header的内容作个简单的介绍！

TCP 封包的 Header 信息

Source Port & Destination Port ( 来源端口口 & 目标端口口 )：来源与目标的端口，这个容易了解吧！上面刚刚提过那个埠口的观念。再次的强调一下，小于 1024 以下的 Port 只有 root 身份才能启用，至于一般 Client 发起的联机，通常是使用大于 1024 以上的埠口！

Sequence Number ( 封包序号 )：在OSI 七层协定里面提到过，由于种种的限制，所以一次传送的封包大小大约仅有数千 bytes ，但是我们的资料可能大于这个封包所允许的最大容量，所以就得将我们的数据拆成数个封包来进行传送到目的地主机的动作。那么对方主机怎么知道这些封包是有关连性的呢？就得通过这个 Sequence Number 来辅助了。当发送端要发送封包时，会为这个封包设定一个序号，然后再依据要传送的数据长度，依序的增加序号。也就是说，我们可以使用递增的值来替下一个封包作为它序号的设定！

Acknowledgment Number ( 回应序号 ) ：封包传输过程中，我们知道在接受端接收了封包之后，会响应发送端一个响应封包，那个响应的信息就是在这里。当接收端收到 TCP 封包并且通过检验确认接收该封包后，就会依照原 TCP 封包的发送序号再加上数据长度以产生一个响应的序号，而附在回应给发送端的响应封包上面，这样发送端就可以知道接收端已经正确的接收成功该 TCP 封包了！所以说， Sequence 与 Acknowledgment number 是 TCP 封包之所以可靠的保证！因为他可以用来检测封包是否正确的被接受者所接收！

Data Offset (资料补偿)：这是用来记录表头长度用的一个字段。

Reserved (保留)：未使用的保留字段。

Control Flag (控制标志码)：控制标志码在 TCP 封包的联机过程当中，是相当重要的一个标志，先来说一说这六个句柄，然后再来讨论吧：

Urgent data ：如果 URG 为 1 时，表示这是一个紧急的封包数据，接收端应该优先处理；

Acknowledge field significant ：当 ACK 这个 Flag 为 1 时，表示这个封包的 Acknowledge Number 是有效的，也就是我们上面提到的那个回应封包。

Push function ：如果 PSH 为 1 的时候，该封包连同传送缓冲区的其它封包应立即进行传送，而无需等待缓冲区满了才送。接收端必须尽快将此数据交给程序处理。

Reset ：如果 RST 为 1 的时候，表示联机会被马上结束，而无需等待终止确认手续。

Synchronize sequence number ：这就是 SYN 标志啦！当 SYN 为 1 时，那就表示发送端要求双方进行同步处理，也就是要求建立联机的意思，这个 SYN 是相当重要的一个 Flag 喔！

No more data fro sender (Finish) ：如果封包的 FIN 为 1 的时候，就表示传送结束，然后双方发出结束响应，进而正式进入 TCP 传送的终止流程。

Window (滑动窗口)：与接收者的缓冲区大小有关的一个参数。

Checksum(确认)：当数据要由发送端送出前，会进行一个检验的动作，并将该动作的检验值标注在这个字段上；而接收者收到这个封包之后，会再次的对封包进行验证，并且比对原发送的 Checksum 值是否相符，如果相符就接受，若不符就会假设该封包已经损毁，进而要求对方重新发送此封包！

Urgent Pointer：指示紧急数据所在位置的字段。

Option：当需要 client 与 Server 同步动作的程序，例如 Telnet ，那么要处理好两端的交互模式，就会用到这个字段来指定数据封包的大小，不过，这个字段还是比较少用的！

为什么需要用到 Intel IXP-2XXX 网络处理器

因特网、企业网络等