硬件防火墻設(shè)計范文
本站小編為你精心準(zhǔn)備了硬件防火墻設(shè)計參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
摘要:描述了復(fù)雜CPLD的嵌入式包過濾型企業(yè)硬件防火墻的原理,并使用MAX+PLUSII軟件進行了軟件的編譯和仿真,通過實例說明了硬件防火墻的實現(xiàn)方式,從實踐和理論結(jié)合的角度論述了其存在的可行性。
關(guān)鍵詞:硬件防火墻;CPLD;Max+plusII
1防火墻的硬件實現(xiàn)原理
防火墻通常使用的安全控制手段主要有包過濾、應(yīng)用型兩大類,本文所討論的是基于包過濾型防火墻。包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄(4)。在IEEE802.3局域網(wǎng)協(xié)議集的標(biāo)準(zhǔn)以太網(wǎng)中,甚至是引入了載波擴展技術(shù)千兆級以太網(wǎng)中,包過濾型防火墻以處理運算速度快和性能安全等一系列特點一直倍受個人和企業(yè)的青睞。
2軟件實現(xiàn)
本設(shè)計運用自頂向下的設(shè)計方法,運用GDF圖形編輯法和VHDL語言混合編程,具體而言:頂層設(shè)計采用圖形輸入,便于直觀分析信號流程走向,底層則用VHDL進行編程輸入,便于數(shù)據(jù)分析和處理。
2.1sep模塊
PLD芯片在接收到通訊芯片送來的信號后,首先利用SEP模塊對差分輸入信號進行數(shù)據(jù)時鐘分離處理,該模塊中包含全數(shù)字鎖相環(huán),以實現(xiàn)從隨機的以太網(wǎng)信號中提取時鐘的方法.采用鑒頻、鑒相并置方法,同時把數(shù)字濾波器DFilter子模塊融入其中,采用小數(shù)分頻器FDiv構(gòu)成數(shù)控振蕩器,從隨機以太網(wǎng)信號中恢復(fù)E1時鐘信號;
2.2piden模塊
接下來的Piden模塊則對處理后的數(shù)據(jù)進行數(shù)據(jù)包分離,采用了同步數(shù)據(jù)選擇過濾的手段,將不同的數(shù)據(jù)包送入不同的包代碼處理模塊進行并行數(shù)據(jù)篩選;
2.3TCPfilter和ICMPfilter模塊
TCPfilter和ICMPfilter模塊負(fù)責(zé)對應(yīng)封包的安全過濾,并且每個模塊均有各自不同的敏感代碼。
2.4sync模塊
為保證數(shù)據(jù)過程中前后級之間的數(shù)據(jù)同步,設(shè)計中引入了sync模塊.以態(tài)網(wǎng)數(shù)字同步方式很多,本文采用指針調(diào)整算法,根據(jù)各filter模塊的延時最大值以及對來自初始NE的輸入VC與本地產(chǎn)生的輸出STM-N幀之間的相位波動進行動態(tài)補償,確保后級輸入的信號與時鐘上的匹配;
2.5diff模塊
最后用diff模塊對過濾后的數(shù)據(jù)和時鐘進行數(shù)據(jù)整合和差分調(diào)制輸出。
3器件選擇和實現(xiàn)
核心芯片可采用EP1K100QC208-3為主芯片,它屬于Altera的ACEX1K系列芯片,ACEX1K系列其間的邏輯單元(LE)數(shù)從576~4992,采用2.5V低供電電壓(5),該芯片和專用配置器件EPC2,共同完成器件的初始化和在線更新,接口芯片采用CY7C64013,它能提供標(biāo)準(zhǔn)USB2.0接口,并且可以提供全速率的通訊服務(wù),網(wǎng)絡(luò)通訊芯片采用realtek公司的RTL8029AS它采用全雙工方式來進行接收以太網(wǎng)數(shù)據(jù),非常容易和微處理器接口。該芯片集成了以太網(wǎng)的物理層以及以太網(wǎng)的收發(fā)器,數(shù)據(jù)封包形式完全符合IEEE802.3標(biāo)準(zhǔn)。
4軟件仿真
一共發(fā)送了3個數(shù)據(jù)包,其中第一個封包的目的端口中包含敏感端口,其余2個為正常封包.由測試結(jié)果我們不難看出:在初始階段,防火墻有一個初始化過程,這個過程在80ns以內(nèi);系統(tǒng)的延時相應(yīng)在本例中控制在100ns以內(nèi);正常數(shù)據(jù)在經(jīng)歷了防火墻的最大延時后直接輸出,不影響其內(nèi)部任何數(shù)據(jù)和標(biāo)志位;在偵測到含有敏感數(shù)據(jù)的數(shù)據(jù)包后,防火墻立即對整個數(shù)據(jù)包做出丟棄處理,并利用網(wǎng)絡(luò)重發(fā)機制要求重發(fā)。系統(tǒng)的真實的延時,由各偵測模塊敏感庫的大小以及sep,piden,diff模塊延時之和共同決定.
5結(jié)論
該硬件防火墻,通過仿真實踐證明,能有效的遏制對系統(tǒng)的攻擊行為,并通過在線更新保證其硬件數(shù)據(jù)庫的實時性,同時由CPLD器件部豐富LE資源確保其容量升級的可操作性,且其本身不受攻擊包影響,不消耗客戶系統(tǒng)資源,使用者只需進行傻瓜式連接即可完成整套系統(tǒng)的安裝,極其方便可靠。用戶還可根據(jù)其實際需要將系統(tǒng)調(diào)整成動態(tài)包過濾型防火墻,其性能將更加優(yōu)越。
參考文獻:
[1]張亞鵬.防火墻須軟硬一體.計算機安全,2004.
[2]譚會生,張昌凡.EDA技術(shù)與應(yīng)用.西安電子科技大學(xué),2001.
[3]蔣璇,臧春華.?dāng)?shù)字系統(tǒng)設(shè)計與PLD應(yīng)用.電子工業(yè)出版社,2005.
