Nghiên cứu ứng dụng một số giải pháp công nghệ trong thiết kế thiết bị điều khiển lưu lượng mạng SDN

Kỷ yếu Hội nghị Quốc gia lần thứ VIII về Nghiên cứu cơ bản và ứng dụng Công nghệ thông tin (FAIR); Hà Nội, ngày 9-10/7/2015<br /> DOI: 10.15625/vap.2015.000187<br /> <br /> NGHIÊN CỨU ỨNG DỤNG MỘT SỐ GIẢI PHÁP CÔNG NGHỆ TRONG<br /> THIẾT KẾ THIẾT BỊ ĐIỀU KHIỂN LƯU LƯỢNG MẠNG SDN<br /> Nguyễn Ái Việt, Lưu Thị Huy, Lâm Thị Sen và Nguyễn Văn Nghiệp<br /> Viện Công nghệ thông tin, Đại học Quốc gia Hà Nội và<br /> Trường Đại học CNTT&TT, Đại học Thái Nguyên<br /> June 16, 2015<br /> TÓM TẮT - Công nghệ SDN đã trở nên chín muồi và đang là cơ hội để xây dựng các thiết bị mạng mới. Trên cơ sở đó, thiết<br /> bị điều khiển lưu lượng mạng VNTC [1] được đề nghị thay thế các tường lửa thế hệ cũ nhằm bảo vệ các mạng LAN, trung tâm dữ<br /> liệu IDC và hạ tầng tính toán mây. Chúng tôi nghiên cứu phối hợp các công nghệ khác nhau được thiết kế tối ưu để tăng tốc độ xử<br /> lý với giá thành cho sản phẩm hợp lý.<br /> <br /> I. ĐẶT VẤN ĐỀ<br /> Công nghệ mạng nội bộ (LAN) truyền thống được xây dựng để chia sẻ dùng chung tài nguyên và thiết bị trong<br /> một tổ chức. Trước hết, LAN giảm đầu tư phần cứng, do chia sẻ các thiết bị ngoại vi như máy in, kết nối internet. Một<br /> số ứng dụng và dữ liệu dùng chung cũng được chia sẻ tại các máy chủ, cho phép không phải đầu tư nhiều lần và tiện<br /> lợi. Cuối cùng việc bảo hành bảo trì, cấu hình từ xa, được tiết kiệm tối đa. Tuy nhiên, ngay từ đầu, mạng LAN đã<br /> không được thiết kế để an toàn. Ngày nay, việc phơi nhiễm mạng LAN đối với các cuộc tấn công phá hoại từ internet<br /> là nguyên nhân chính gây ra tổng thiết hại hàng trăm tỷ đô la mỗi năm. Hầu như các tài nguyên quý của các tổ chức<br /> đều có trong mạng LAN. Bảo vệ an toàn mạng LAN là một trong những hướng nghiên cứu chính của Viện CNTT và<br /> VIEGRID JSC, trong khuôn khổ của dự án phát triển sản phẩm công nghệ cao quốc gia.<br /> Hiện nay, đa số mạng LAN sử dụng công nghệ máy chủ Windows trên thế giới được bảo vệ bằng tường lửa của<br /> Microsoft Forefront TMG 2010 và tiền thân của nó trước kia là tường lửa ISA. Tuy nhiên từ ngày 14 tháng 4 năm<br /> 2015, Microsoft đã tuyên bố ngừng hỗ trợ chung cho sản phẩm này (vốn đã ngừng bán từ năm 2012), mọi trách nhiệm<br /> hỗ trợ kỹ thuật mở rộng của Microsoft với sản phẩm này sẽ chấm dứt vào năm 2020. Thực tế này bắt buộc các tổ chức<br /> phải đi tìm cho mình một giải pháp mới. Đồng thời đây cũng là một cơ hội thị trường cho các sản phẩm tường lửa.<br /> Việc Microsoft rút lui ra khỏi thị trường tường lửa là việc thị trường này đang dịch chuyển sang tường lửa thế<br /> hệ tương lai NGF, mà các nhà sản xuất các thiết bị phát hiện và ngăn chặn xâm nhập (IDS và IPS) sẽ có ưu thế cạnh<br /> tranh hơn. Tuy nhiên, có lẽ lý do quan trọng trong việc Microsoft từ bỏ thị trường này là trong tương lai, các thiết bị<br /> mạng nói chung và thiết bị tường lửa nói riêng sẽ là một thành phần trong bộ điều khiển mạng trong mạng SDN.<br /> Bên cạnh đó, công nghệ mạng xác định bởi phần mềm SDN (Software Defined Network) cũng đang khởi động<br /> một cuộc cách mạng thực sự về công nghệ mạng trên nền tảng hạ tầng tính toán đám mây và xu hướng ảo hóa thiết bị.<br /> Trong bài báo [1], các tác giả đã đề xuất việc sản xuất thiết bị điều khiển lưu lượng mạng VNTC (Viegrid<br /> Network Traffic Controller) đáp ứng yêu cầu này của thị trường. Bên cạnh các chức năng tường lửa thế hệ mới, có khả<br /> năng phân tích các đợt tấn công hướng ứng dụng, thiết bị mới này có thêm các chức năng điều khiển lưu lượng hướng<br /> tới các máy chủ ứng dụng. Các công nghệ cốt lõi được nghiên cứu áp dụng và phát triển, cải tiến để phục vụ cho thiết<br /> bị này là:<br /> <br /> a. Phân tích dữ liệu lớn với tốc độ cao để phát hiện sớm các mẫu hình tấn công. Đồng thời, thu thập và khai thác<br /> các cơ sở dữ liệu lớn về mẫu hình tấn công.<br /> b. Tối ưu các chức năng của tường lửa thế hệ mới trong giải pháp truy cập internet an toàn cho các mạng LAN<br /> V-AZUR [2], trao quyền mã hóa và giải mã cho các giao thức an toàn như https.<br /> c. Bắt gói tin để xử lý tốc độ cao ngay tại card mạng.<br /> d. Tăng tốc tốc độ xử lý của thiết bị nhờ ứng dụng tính toán GPU, công nghệ nhúng FPGA và một số phần cứng.<br /> e. Thiết bị VNTC được thiết kế phù hợp với các chuẩn mới của mạng SDN, nhằm chuẩn bị cho việc thiết bị này<br /> tham gia vào cuộc cách mạng công nghệ mạng. Trong bài này chúng tôi báo cáo một số kết quả nghiên cứu các công<br /> nghệ liên quan tới việc phát triển thiết bị VNTC.<br /> II. TỔNG QUAN VỀ SDN<br /> 2.1. Xu hướng đổi mới công nghệ mạng<br /> Truyền thông xã hội, thiết bị di động, phân tích dữ liệu lớn và tính toán đám mây (SMAC) đang đòi hỏi thay đổi<br /> có tính chất cách mạng đối với công nghệ mạng truyền thống.<br /> <br /> 502<br /> 5<br /> <br /> NG<br /> GHIÊN CỨU ỨN DỤNG MỘT SỐ GIẢI PHÁP CÔNG NGHỆ TR<br /> NG<br /> RONG THIẾT K THIẾT BỊ ĐIỀ KHIỂN…<br /> KẾ<br /> ỀU<br /> <br /> Trên hạ tầng đám mâ việc tính t<br /> ạ<br /> ây,<br /> toán và lưu dữ liệu đã có rấ nhiều đổi m công nghệ trong việc ảo hóa và tự<br /> ữ<br /> ất<br /> mới<br /> ệ<br /> o<br /> động hóa. Tuy nhiên đã đến lúc việc đổi m này đã bị sự lạc hậu về công nghệ mạ cản trở.<br /> đ<br /> y<br /> n<br /> mới<br /> ạng<br /> Các nhà quản trị mạ có thể tạo ra và cấu hìn rất nhiều máy chủ, máy trạm ảo, tạo ra các cơ sở dữ liệu dự<br /> ạng<br /> o<br /> nh<br /> m<br /> y<br /> phòng, thậm c toàn bộ hạ tầng tính toá trong thời gian ngắn. Tuy nhiên, việc quản trị mạng vẫn phải làm bằng tay<br /> p<br /> chí<br /> ạ<br /> án<br /> g<br /> y<br /> g<br /> m<br /> tr các thiết b có khi mất n<br /> rên<br /> bị<br /> nhiều tuần cho một thay đổi<br /> o<br /> i.<br /> SDN ch phép làm m cuộc cách mạng đối với các trung tâm dữ liệu, cho phép việc đi khiển các mạng bằng<br /> ho<br /> một<br /> h<br /> m<br /> o<br /> iều<br /> m<br /> các thiết bị mạ và đặc biệ là bộ điều kh ảo giống như đối với máy chủ, máy trạm và cơ sở dữ liệu.<br /> c<br /> ạng<br /> ệt<br /> hiển<br /> m<br /> ở<br /> SDN th đổi công nghệ điều khiển lưu lượng mạng hiện tạ của Cisco b<br /> hay<br /> g<br /> ại<br /> bằng cách tác phần điều khiển khỏi<br /> ch<br /> phần chuyển d liệu. Phần điều khiển tr<br /> p<br /> dữ<br /> rong mạng SD được tập trung và tối ư hóa. Chính vì vậy hiệu năng được<br /> DN<br /> t<br /> ưu<br /> h<br /> nâng cao rất nh<br /> n<br /> hiều.<br /> 2.2. Kiến trúc SDN và Ope Flow<br /> 2<br /> c<br /> en<br /> Trong m mô hình SDN, bộ điều khiển SDN được tập trun hóa, đưa ra quyết định t ưu toàn cụ thay cho<br /> mọi<br /> u<br /> ng<br /> a<br /> tối<br /> ục<br /> th toán best<br /> huật<br /> t-effort tại mỗ thiết bị định tuyến. Bộ điề khiển SDN tập trung đượ gắn với ha giao diện lập trình ứng<br /> ỗi<br /> h<br /> ều<br /> N<br /> ợc<br /> ai<br /> p<br /> dụng (API) hư<br /> d<br /> ướng Nam và h<br /> hướng Bắc [3]<br /> ].<br /> <br /> a. Bộ A hướng Na Sử dụng một giao thứ riêng gọi là Open Flow để gửi thông tin điều khiể cho các<br /> API<br /> am:<br /> ức<br /> à<br /> g<br /> ển<br /> chuyển mạch v định tuyến.<br /> c<br /> và<br /> .<br /> b. Bộ A hướng Bắ Giao tiếp v các trình ứng dụng để xây dựng các ứng dụng gi các nhà qu trị cấu<br /> API<br /> ắc:<br /> với<br /> c<br /> iúp<br /> uản<br /> hình, thiết lập các quy tắc m<br /> h<br /> mạng.<br /> Ngày n việc chuy sang SDN cho phép các cơ quan và doanh nghiệp sang một hạ tầng mạng mới, với các<br /> nay,<br /> yển<br /> N<br /> c<br /> d<br /> chức năng mạn được ảo hó tối ưu và cu cấp theo nhu cầu.<br /> c<br /> ng<br /> óa,<br /> ung<br /> n<br /> 2.3. Ảo hóa ch năng mạn NFV<br /> 2<br /> hức<br /> ng<br /> NFV là phương pháp thiết kế, triể khai và quả trị các dịch vụ mạng mới trong các mạ SDN. NFV tách các<br /> à<br /> p<br /> ển<br /> ản<br /> i<br /> ạng<br /> chức năng mạ như dịch đ chỉ mạng (NAT), tường lửa, phát hiệ xâm nhập, dịch vụ tên m<br /> c<br /> ạng<br /> địa<br /> g<br /> ện<br /> miền (DNS) ra khỏi các<br /> r<br /> th bị mạng t<br /> hiết<br /> truyền thống v triển khai c<br /> và<br /> chúng bằng ph mềm [4].<br /> hần<br /> Như vậ với NFV ng<br /> ậy<br /> gười ta sẽ có m môi trườn hạ tầng đượ ảo hóa hoàn toàn từ máy chủ, lưu trữ và mạng ảo<br /> một<br /> ng<br /> ợc<br /> n<br /> v<br /> hóa. Hiện nay, NFV đã hình thành được m chuẩn côn nghiệp cho phép:<br /> h<br /> ,<br /> h<br /> một<br /> ng<br /> a. Giảm chi phí đầu tư: Không c phải mua các phần cứng có các chức năng định sẵ như trước, hỗ trợ mô<br /> m<br /> u<br /> cần<br /> g<br /> c<br /> ẵn<br /> hình chỉ triển k khi có nh cầu, tránh v đầu tư vào các chức năn chưa cần.<br /> h<br /> khai<br /> hu<br /> việc<br /> o<br /> ng<br /> b. Giảm chi phí vận hành: Giảm y cầu về ch năng lượng và làm lạnh, đơn giản hóa việc triển kh và quản<br /> m<br /> n<br /> yêu<br /> hỗ,<br /> g<br /> ,<br /> a<br /> hai<br /> tr mạng.<br /> rị<br /> c. Rút ngắn thời gia triển khai: T<br /> an<br /> Triển khai các dịch vụ mạn không mất thời gian, chớ thời cơ và giảm thiểu<br /> c<br /> ng<br /> ớp<br /> rủi ro khi thử n<br /> r<br /> nghiệm và triể khai công n<br /> ển<br /> nghệ mới.<br /> d. Linh hoạt: Có thể mở rộng hoặ thu hẹp các dịch vụ theo yêu cầu thay đ hỗ trợ các cải tiến mới về thiết bị,<br /> h<br /> ể<br /> ặc<br /> y<br /> đổi,<br /> c<br /> bớt sự phụ thu vào phần c<br /> b<br /> uộc<br /> cứng chuyên d<br /> dụng.<br /> <br /> Nguyễn Ái Việt, L Thị Huy, Lâm Thị Sen và Ngu<br /> N<br /> Lưu<br /> m<br /> uyễn Văn Nghiệp<br /> p<br /> <br /> 503<br /> <br /> 2.4. Vấn đề an ninh mạng trong SDN<br /> 2<br /> n<br /> Trong m<br /> mạng SDN, v đề an ninh là quan trọng ở mọi chỗ và cần được x dựng ngay trong kiến tr Do đó,<br /> vấn<br /> h<br /> g<br /> v<br /> xây<br /> y<br /> rúc.<br /> vấn đề an ninh có thể khắc p<br /> v<br /> h<br /> phục được các khó khăn về an ninh từ gố của mạng L<br /> c<br /> ề<br /> ốc<br /> LAN. An toàn an ninh mạng cần được<br /> n<br /> g<br /> xem như một d vụ bảo vệ tính sẵn sàng toàn vẹn và riêng tư đối với mọi tài ngu<br /> x<br /> dịch<br /> ệ<br /> g,<br /> à<br /> v<br /> uyên và thông tin được kết nối [5].<br /> g<br /> Truy cậ các bộ điề khiển tập t<br /> ập<br /> ều<br /> trung cần an toàn hơn. Kh bộ điều khi SDN bị tấ công (chẳn hạn bởi<br /> hi<br /> iển<br /> ấn<br /> ng<br /> DDoS), toàn b mạng sẽ bị đánh sập. Việ triển khai các quy định an toàn mạng sẽ thống nhất và đồng bộ. Khi xảy ra<br /> D<br /> bộ<br /> ệc<br /> c<br /> a<br /> t<br /> sự cố việc khắ phục sẽ dễ d<br /> s<br /> ắc<br /> dàng và chỉ m lần.<br /> một<br /> Cho đến nay vẫn có hai cách tiệm cận về việc bảo vệ an toàn trong mạng L<br /> m<br /> b<br /> n<br /> LAN: cách th nhất là bảo vệ an toàn<br /> hứ<br /> an ninh ngay tr<br /> a<br /> rong mạng, cá thứ hai là bảo vệ ngay trong các máy chủ và các th bị tính toán<br /> ách<br /> hiết<br /> n.<br /> Trong c hai trường hợp, môi trườ thế hệ tươ lai sẽ bảo vệ an ninh x định bằng phần mềm SD<br /> cả<br /> ờng<br /> ơng<br /> o<br /> xác<br /> DSec, tách<br /> việc điều khiển an toàn khỏi việc xử lý an toàn hoàn toàn tương tự với kiến trúc S DN. Do đó, c chức năng điều khiển<br /> v<br /> n<br /> i<br /> n<br /> các<br /> của các thiết bị an toàn truyề thống cũng sẽ được tách ra và tập trun hóa.<br /> c<br /> ền<br /> g<br /> ng<br /> Vấn đề là phải có nh<br /> ề<br /> hững thiết bị m được xây dựng để hướ tới giải qu<br /> mới<br /> ớng<br /> uyết vấn đề an ninh hiện tại của mạng<br /> n<br /> i<br /> LAN, trung tâm dữ liệu tích hợp (IDC) v hướng tới các hạ tầng đám mây với SD trong tươn lai đảm phải tính đơn<br /> L<br /> m<br /> h<br /> và<br /> m<br /> DN<br /> ng<br /> giản, tiết kiệm và an toàn.<br /> g<br /> m<br /> III. KIẾN TRÚC CỦA VNTC<br /> Tron tương lai V<br /> ng<br /> VNTC sẽ hướn tới một bộ điều khiển lư lượng mạng tập trung ba gồm nhiều chức năng<br /> ng<br /> ưu<br /> g<br /> ao<br /> với tốc độ cao có thể chạy trên bất cứ m trường nà Trước mắt, VNTC vẫn p<br /> v<br /> o,<br /> y<br /> môi<br /> ào.<br /> phải ứng dụn trong mạng LAN, các<br /> ng<br /> tr<br /> rung tâm tích hợp dữ liệu, p<br /> phòng máy ch Do đó, chú tôi đề ngh tập trung m số chức nă của tường lửa thế hệ<br /> hủ.<br /> úng<br /> hị<br /> một<br /> ăng<br /> mới, chuyển chức năng mã và giải mã ph<br /> m<br /> hiên trên máy chủ sang tườn lửa để tăng tính bảo mật và linh hoạt. Chúng tôi<br /> ng<br /> g<br /> t<br /> cũng đề nghị t<br /> c<br /> tách việc lọc, định tuyến g tin theo cá bộ luật ra khỏi việc phá hiện các mẫ hình tấn cô và xây<br /> ,<br /> gói<br /> ác<br /> k<br /> át<br /> ẫu<br /> ông<br /> dựng tập luật m Do đó, V<br /> d<br /> mới.<br /> VNTC là thiết bị bảo vệ các máy chủ ứng dụng, các mạ bên trong , bằng cách gi tải cho<br /> g<br /> ạng<br /> iảm<br /> các máy chủ bên trong, vừa có chức năng tường lửa thế hệ mới vừa lọc các gói tin theo ứng dụn<br /> c<br /> g<br /> ế<br /> l<br /> n<br /> ng.<br /> Trong t<br /> thực tế, VNTC sẽ được phố hợp với giả pháp V-AZU đang triển khai để thàn một bộ giả pháp bảo<br /> C<br /> ối<br /> ải<br /> UR<br /> n<br /> nh<br /> ải<br /> vệ các mạng L<br /> v<br /> LAN có chất l<br /> lượng và hiệu năng cao. Vì vậy, VNTC đã được đề n<br /> u<br /> V<br /> nghị triển kha theo kiến trúc thiết kế<br /> ai<br /> như trong hình vẽ sau [1].<br /> n<br /> h<br /> Việc ng chặn các đ tấn công v mạng cần được xử lý nh<br /> găn<br /> đợt<br /> vào<br /> hanh bằng các giải pháp có giá thành hợp lý. Do đó,<br /> chúng tôi tập t<br /> c<br /> trung vào việc sử dụng các g pháp tăng tốc, phù hợp.<br /> c<br /> giải<br /> g<br /> IV CHỌN CÔ<br /> V.<br /> ÔNG NGHỆ BẮT GÓI TIN TRÊN CAR MẠNG<br /> B<br /> N<br /> RD<br /> Việc ph tích các g tin có thể tiến hành bằn các ứng dụ cài đặt trê hệ điều hàn Do đó tốc độ có thể<br /> hân<br /> gói<br /> ng<br /> ụng<br /> ên<br /> nh.<br /> c<br /> tư<br /> ương đối chậm Intel đã phát triển một cô cụ bắt gói tin ngay trên card mạng là dpdk để tăng tốc độ xử lý các gói tin<br /> m.<br /> ông<br /> i<br /> n<br /> à<br /> g<br /> ở mức cao nhấ Chúng tôi đ tiến hành tr khai việc bắt các gói tin theo kiến trú như sau [6].<br /> ất.<br /> đã<br /> riển<br /> n<br /> úc<br /> <br /> Trên cù một máy, chúng tôi m phỏng tươn tác giữa máy và một tư<br /> ùng<br /> ,<br /> mô<br /> ng<br /> m<br /> ường lửa che chắn cho một máy chủ.<br /> t<br /> Chúng tôi tiến hành bắt gói tin trên tường lửa tại các cổ 0 và 1.<br /> C<br /> g<br /> ổng<br /> Chúng tôi sử dụng m máy chủ vớ cấu hình 16 core, 32 GB RAM, có 2 c ard mạng, chạ trên hệ điều hành tinh<br /> một<br /> ới<br /> 6<br /> ạy<br /> u<br /> giản TinyOS, đ đảm bảo tố ưu về tốc độ<br /> g<br /> để<br /> ối<br /> ộ.<br /> Mô hìn này có ưu đ<br /> nh<br /> điểm là bắt gó tin khá linh hoạt và có thể tùy biến theo các giao thứ ở các tầng khác nhau.<br /> ói<br /> ể<br /> o<br /> ức<br /> Các gói tin bắ được, một mặt sẽ được chuyển tiếp theo các luật của một tườn lửa thế hệ mới, mặt khá sẽ được<br /> C<br /> ắt<br /> t<br /> ng<br /> ác<br /> chuyển tới một bộ phân tích Khi phát hiệ ra mẫu hình tấn công, bộ phân tích sẽ c nhật lại cá bộ luật.<br /> c<br /> h.<br /> ện<br /> h<br /> cập<br /> ác<br /> V. CÁC C<br /> CHỨC NĂNG TƯỜNG LỬA VÀ MÃ HÓA<br /> G<br /> L<br /> Sau khi phân tích các chức năng củ bộ tường lử thế hệ mới mã nguồn mở Suricata [7] chúng tôi quy định sử<br /> i<br /> c<br /> ủa<br /> ửa<br /> ở<br /> yết<br /> dụng công ngh này làm cơ sở để phát triển các chức năng tường lửa của VNTC.<br /> d<br /> hệ<br /> a<br /> Trong g pháp V-A<br /> giải<br /> AZUR, mạng L<br /> LAN được chi làm mạng tr<br /> ia<br /> rong và mạng ngoài, do đó VNTC sẽ đượ áp dụng<br /> g<br /> ợc<br /> tại vị trí của tư<br /> ường lửa trong và tường lửa ngoài.<br /> g<br /> a<br /> <br /> 504<br /> 5<br /> <br /> NG<br /> GHIÊN CỨU ỨN DỤNG MỘT SỐ GIẢI PHÁP CÔNG NGHỆ TR<br /> NG<br /> RONG THIẾT K THIẾT BỊ ĐIỀ KHIỂN…<br /> KẾ<br /> ỀU<br /> <br /> Hiện tạ V-AZUR áp dụng một ch<br /> ại,<br /> p<br /> hính sách an toàn an ninh rất chặt chẽ do đó chỉ sử dụ các chức năng tường<br /> t<br /> o<br /> ụng<br /> n<br /> lử ở tầng thấp Tuy nhiên, trong một số trường hợp, chẳng hạn khi phát triển cá ứng dụng W<br /> ửa<br /> p.<br /> c<br /> i<br /> ác<br /> Web, hoặc các ứng dụng<br /> c<br /> cần có kết nối mạng, do đó c sử dụng c chức năng tường lửa ở tầ ứng dụng.<br /> c<br /> cần<br /> các<br /> ầng<br /> .<br /> Chúng tôi đã xem xé thiết kế VNT cho phù hợp với kiến tr của VAZU Thậm chí, việc chuyển chức năng<br /> TC<br /> ét<br /> h<br /> rúc<br /> UR.<br /> mã hóa cho cá giao thức a toàn như h<br /> m<br /> ác<br /> an<br /> https cũng đư chuyển về VNTC. VNT cũng có c<br /> ược<br /> ề<br /> TC<br /> chức năng phân tải, cho<br /> tr<br /> rường hợp cần nhiều máy c có hiệu nă lớn tham gia vào việc đi khiển lưu l<br /> n<br /> chủ<br /> ăng<br /> g<br /> iều<br /> lượng mạng.<br /> VI. CÁC GIẢ PHÁP TĂ<br /> ẢI<br /> ĂNG TỐC<br /> Trên th giới hiện n<br /> hế<br /> nay, việc xây dựng các bộ điều khiển hiệu năng cao đều sử dụng các phần mềm nhúng<br /> h<br /> o<br /> g<br /> m<br /> chuyên dụng, do đó giá thà khá cao (k<br /> c<br /> ành<br /> khoảng 1-2 tr<br /> riệu USD một bộ điều khiể Tuy nhiên trong hạ tần của các<br /> t<br /> ển).<br /> n,<br /> ng<br /> doanh nghiệp v tổ chức, đặ biệt tại Việt Nam, không tới 10% các chức năng của các bộ điều k<br /> d<br /> và<br /> ặc<br /> t<br /> c<br /> a<br /> khiển này là cần thiết và<br /> c<br /> được sử dụng.<br /> đ<br /> VNTC nhằm đáp ứn các nhu cầu cấp thiết của các hạ tầng mạng của cơ quan doanh n<br /> ng<br /> u<br /> a<br /> nghiệp, trước mắt là nhu<br /> cầu thay thế tư<br /> c<br /> ường lửa của M<br /> Microsoft và t<br /> tường lửa ASA của Cisco. Với mức giá t<br /> A<br /> V<br /> thành phù hợp chúng tôi sẽ phát triển<br /> p,<br /> ẽ<br /> các công nghệ tăng tốc VNT theo các hư<br /> c<br /> TC<br /> ướng sau đây:<br /> :<br /> a. Chọ một nhân h điều hành t thiểu và tối ưu hóa dần dần: Qua ngh<br /> ọn<br /> hệ<br /> tối<br /> hiên cứu chúng tôi đã chọn TinyOS là<br /> g<br /> hệ điều hành m nguồn mở gốc Linux đã được tối ưu hóa, với quy mô cực nhỏ gọn, tốc độ tố chạy ổn định, có khả<br /> h<br /> mã<br /> ở<br /> ã<br /> ốt,<br /> năng nhúng đư vào các ch chuyên dụ hoặc sử dụ FPGA.<br /> n<br /> ược<br /> hip<br /> ụng<br /> ụng<br /> b. Sử d<br /> dụng công ngh Hadoop, ph tích dữ liệ song song theo thuật toán Map&Reduc<br /> hệ<br /> hân<br /> ệu<br /> t<br /> n<br /> ce.<br /> c. Sử d<br /> dụng công ngh tính toán G<br /> hệ<br /> GPU để tăng tố tính toán tạ các thiết bị V<br /> ốc<br /> ại<br /> VNTC.<br /> d. Chu<br /> uyển một số ch năng lên x lý ngay trên card mạng được lập trình nhúng FPGA<br /> hức<br /> xử<br /> đ<br /> h<br /> A.<br /> Hiện na chúng tôi đã làm chủ đ<br /> ay,<br /> được công ngh Hadoop và đang tiếp tục phát triển vi phân tích dữ liệu lớn<br /> hệ<br /> c<br /> iệc<br /> d<br /> của các gói tin với tốc độ ca<br /> c<br /> n<br /> ao.<br /> Trong t<br /> thời gian qua, có một số kế quả trong vi tăng tốc nh ứng dụng t<br /> ết<br /> iệc<br /> hờ<br /> tính toán GPU có triển vọn áp dụng<br /> U,<br /> ng<br /> vào VNTC.<br /> v<br /> VII. ỨNG DỤNG CÔ<br /> G<br /> ÔNG NGHỆ TÍNH TOÁN GPU<br /> T<br /> Do việc mã hóa được chuyển về VN<br /> c<br /> c<br /> NTC để tiến hành kiểm soát lọc ở tầng ứn dụng đối vớ các gói tin sử dụng các<br /> h<br /> t<br /> ng<br /> ới<br /> giao thức an toà như https. C<br /> g<br /> àn<br /> Chúng tôi tiến h<br /> hành nghiên cứ việc sử dụn GPU để tăng tốc cho việc m hóa trên VN<br /> ứu<br /> ng<br /> g<br /> mã<br /> NTC.<br /> Chúng t thử nghiệm so sánh thời gian tính toán cho mã hóa và giải mã dùng thuật toán A trên CPU và GPU.<br /> tôi<br /> m<br /> v<br /> g<br /> AES<br /> Kết quả được trình bày trong các b<br /> ả<br /> bảng sau:<br /> Bảng 1. So sánh thời gian mã hó trên CPU và GPU<br /> óa<br /> à<br /> <br /> Nguyễn Ái Việt, L Thị Huy, Lâm Thị Sen và Ngu<br /> N<br /> Lưu<br /> m<br /> uyễn Văn Nghiệp<br /> p<br /> <br /> 505<br /> <br /> Bả 2. So sánh thời gian giải mã trên CPU và GPU<br /> ảng<br /> m<br /> à<br /> <br /> VIII KẾT LUẬN<br /> I.<br /> N<br /> VNTC là một thiết b cần thiết hiệ nay có khả năng thay th các tường l của Micro<br /> bị<br /> ện<br /> ả<br /> hế<br /> lửa<br /> osoft đã ngừng hỗ trợ và<br /> g<br /> của Cisco, bằn các bổ sung các tính năn của tường lử thế hệ tươn lai. Việc tă tốc bằng c giải pháp phù hợp có<br /> c<br /> ng<br /> g<br /> ng<br /> ửa<br /> ng<br /> ăng<br /> các<br /> p<br /> th giảm giá th<br /> hể<br /> hành của thiết bị.<br /> SDN cũ đem lại n<br /> ũng<br /> nhiều công cụ và tư tưởng thiết kế mới, để VNTC có t có tương l ứng dụng lâu dài khi<br /> t<br /> đ<br /> thể<br /> lai<br /> chuyển sang hạ tầng mạng v công nghệ mới.<br /> c<br /> với<br /> ệ<br /> ÀI<br /> AM<br /> IX. TÀ LIỆU THA KHẢO<br /> [1] Nguyen A Viet and N Doan Lap Application of SDN in th Information Security Pro<br /> Ai<br /> Ngo<br /> p,<br /> he<br /> n<br /> otection for th IDC and<br /> he<br /> the clou computing infrastructur in Procee<br /> ud<br /> g<br /> re,<br /> edings of In<br /> nternational S<br /> Symposium o GIS and Advanced<br /> on<br /> Technolo<br /> ogies 2014, Th Nguyen (2<br /> hai<br /> 2014).<br /> [2]<br /> <br /> Công ty VIEGRID, T liệu hướng dẫn sử dụng giải pháp V-A<br /> Tài<br /> g<br /> AZUR (2012) Bằng sáng c được bảo hộ do Cục<br /> ),<br /> chế<br /> Sở hữu tr tuệ cấp (201<br /> rí<br /> 15).<br /> <br /> [3]<br /> <br /> Open Ne<br /> etworking Fou<br /> undation Softw<br /> ware-Defined Networking: The New Nor for Networ White paper (2012).<br /> T<br /> rm<br /> rks<br /> <br /> [4]<br /> <br /> ETSI Ne<br /> etwork Functio Virtualisa<br /> ons<br /> ation - Introductory White Paper (2012).<br /> P<br /> <br /> [5]<br /> <br /> S.Scott-H<br /> Hayard, G.O-C<br /> Callaghan and S. Seizer, A survey: SDN security IEEE Communicat<br /> d<br /> s<br /> s<br /> E<br /> tion Magazine (2013).<br /> e<br /> <br /> [6]<br /> <br /> Nguyễn Văn Nghiệp, Nghiên cứu v ứng dụng phần mềm ng<br /> việc<br /> g<br /> guồn mở DPD để theo dõ lưu lượng mạng SDN<br /> DK<br /> õi<br /> m<br /> Luận án K sư CNTT, trường Đại học CNTT&TT Đại học Thá Nguyên (20<br /> Kỹ<br /> T,<br /> ái<br /> 015).<br /> <br /> [7]<br /> <br /> Lưu Thị Huy, "Nghiê cứu các chức năng của tường lửa thế hệ mới Suric<br /> ên<br /> ế<br /> cata và ứng d<br /> dụng trong mạ nội bộ<br /> ạng<br /> doanh ng<br /> ghiệp", Luận á Kỹ sư CNT trường Đại học CNTT&<br /> án<br /> TT,<br /> i<br /> &TT, Đại học T<br /> Thái Nguyên (<br /> (2015).<br /> <br /> [8]<br /> <br /> Giorgos Vasiliadis, S<br /> Spiros Antona<br /> atos, Michalis Polychronak Evangelo P, Sotiris Ioannidis, Gn<br /> s<br /> kis,<br /> os<br /> nort: High<br /> performa<br /> roceedings of the 11th International<br /> ance network intrusion det<br /> tection using graphics pro<br /> ocessors in Pr<br /> f<br /> Symposiu on Recent Advances in Intrusion Detection (2009).<br /> um<br /> t<br /> .<br /> <br /> [9]<br /> <br /> S. Singh and S. Sikala A Survey o Cyber Attack Detection Systems Intern<br /> h<br /> ari,<br /> of<br /> S<br /> national Journ of Comput Science<br /> nal<br /> ter<br /> and Netw<br /> work Security 9 (2009), 1.<br /> <br /> u<br /> mputing và ứn dụng, Luận án Kỹ sư CN<br /> ng<br /> NTT, Trường Đ học CNTT<br /> Đại<br /> T&TT, Đại<br /> [10] Lâm Thị Sen, Tìm hiểu về GPU Com<br /> học Thái Nguyên (2015).<br /> <br />