硬件防火墻設計范文

本站小編為你精心準備了硬件防火墻設計參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：描述了復雜CPLD的嵌入式包過濾型企業硬件防火墻的原理，并使用MAX+PLUSII軟件進行了軟件的編譯和仿真，通過實例說明了硬件防火墻的實現方式，從實踐和理論結合的角度論述了其存在的可行性。

關鍵詞：硬件防火墻；CPLD；Max+plusII

1防火墻的硬件實現原理

防火墻通常使用的安全控制手段主要有包過濾、應用型兩大類，本文所討論的是基于包過濾型防火墻。包過濾型防火墻工作在OSI網絡參考模型的網絡層和傳輸層，它根據數據包頭源地址，目的地址、端口號和協議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發到相應的目的地，其余數據包則被從數據流中丟棄（4）。在IEEE802.3局域網協議集的標準以太網中，甚至是引入了載波擴展技術千兆級以太網中，包過濾型防火墻以處理運算速度快和性能安全等一系列特點一直倍受個人和企業的青睞。

2軟件實現

本設計運用自頂向下的設計方法，運用GDF圖形編輯法和VHDL語言混合編程，具體而言：頂層設計采用圖形輸入，便于直觀分析信號流程走向，底層則用VHDL進行編程輸入，便于數據分析和處理。

2.1sep模塊

PLD芯片在接收到通訊芯片送來的信號后，首先利用SEP模塊對差分輸入信號進行數據時鐘分離處理，該模塊中包含全數字鎖相環，以實現從隨機的以太網信號中提取時鐘的方法.采用鑒頻、鑒相并置方法,同時把數字濾波器DFilter子模塊融入其中,采用小數分頻器FDiv構成數控振蕩器,從隨機以太網信號中恢復E1時鐘信號；

2.2piden模塊

接下來的Piden模塊則對處理后的數據進行數據包分離，采用了同步數據選擇過濾的手段,將不同的數據包送入不同的包代碼處理模塊進行并行數據篩選;

2.3TCPfilter和ICMPfilter模塊

TCPfilter和ICMPfilter模塊負責對應封包的安全過濾，并且每個模塊均有各自不同的敏感代碼。

2.4sync模塊

為保證數據過程中前后級之間的數據同步,設計中引入了sync模塊.以態網數字同步方式很多，本文采用指針調整算法,根據各filter模塊的延時最大值以及對來自初始NE的輸入VC與本地產生的輸出STM-N幀之間的相位波動進行動態補償,確保后級輸入的信號與時鐘上的匹配;

2.5diff模塊

最后用diff模塊對過濾后的數據和時鐘進行數據整合和差分調制輸出。

3器件選擇和實現

核心芯片可采用EP1K100QC208-3為主芯片，它屬于Altera的ACEX1K系列芯片，ACEX1K系列其間的邏輯單元（LE）數從576~4992，采用2.5V低供電電壓（5），該芯片和專用配置器件EPC2，共同完成器件的初始化和在線更新，接口芯片采用CY7C64013,它能提供標準USB2.0接口，并且可以提供全速率的通訊服務，網絡通訊芯片采用realtek公司的RTL8029AS它采用全雙工方式來進行接收以太網數據，非常容易和微處理器接口。該芯片集成了以太網的物理層以及以太網的收發器，數據封包形式完全符合IEEE802.3標準。

4軟件仿真

一共發送了3個數據包，其中第一個封包的目的端口中包含敏感端口，其余2個為正常封包.由測試結果我們不難看出:在初始階段,防火墻有一個初始化過程,這個過程在80ns以內;系統的延時相應在本例中控制在100ns以內;正常數據在經歷了防火墻的最大延時后直接輸出,不影響其內部任何數據和標志位;在偵測到含有敏感數據的數據包后,防火墻立即對整個數據包做出丟棄處理,并利用網絡重發機制要求重發。系統的真實的延時，由各偵測模塊敏感庫的大小以及sep,piden,diff模塊延時之和共同決定.

5結論

該硬件防火墻，通過仿真實踐證明，能有效的遏制對系統的攻擊行為，并通過在線更新保證其硬件數據庫的實時性，同時由CPLD器件部豐富LE資源確保其容量升級的可操作性，且其本身不受攻擊包影響，不消耗客戶系統資源，使用者只需進行傻瓜式連接即可完成整套系統的安裝，極其方便可靠。用戶還可根據其實際需要將系統調整成動態包過濾型防火墻，其性能將更加優越。

參考文獻：

［1］張亞鵬．防火墻須軟硬一體．計算機安全，2004．

［2］譚會生，張昌凡．EDA技術與應用．西安電子科技大學，2001．

［3］蔣璇，臧春華．數字系統設計與PLD應用．電子工業出版社，2005．