何　燕

[摘要]闡述CPLD的嵌入式包過(guò)濾型硬件防火墻的原理,并使用MAX+PLUS II軟件進(jìn)行軟件的編譯和仿真,通過(guò)實(shí)例說(shuō)明防火墻的實(shí)現(xiàn)方式,從實(shí)踐和理論結(jié)合的角度論述其存在的可行性。

[關(guān)鍵詞]嵌入式網(wǎng)絡(luò)硬件防火墻 CPLD Max+plus II

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0810041-01

一、引言

防火墻的作用主要是保護(hù)系統(tǒng)不受未經(jīng)允許的,通過(guò)對(duì)它的各種規(guī)則設(shè)置,使得合法的鏈路得以建立;而非法的連接將被禁止。市面使用的防火墻大多是軟件防火墻,工作于系統(tǒng)接口與ndis之間,用于檢查過(guò)濾由ndis發(fā)送過(guò)來(lái)的數(shù)據(jù),在無(wú)需改動(dòng)硬件的前提下便能實(shí)現(xiàn)一定強(qiáng)度的安全保障,但是由于軟件防火墻自身屬于運(yùn)行于系統(tǒng)上的程序,不可避免的需要占用一部分cpu資源維持工作,而且由于數(shù)據(jù)判斷處理需要一定的時(shí)間,在一些數(shù)據(jù)流量大的網(wǎng)絡(luò)里,軟件防火墻會(huì)使整個(gè)系統(tǒng)工作效率和數(shù)據(jù)吞吐速度下降,甚至有些軟件防火墻會(huì)存在漏洞,導(dǎo)致有害數(shù)據(jù)可以繞過(guò)它的防御體系,給數(shù)據(jù)安全帶來(lái)?yè)p失,正是基于此,硬件防火墻被才越來(lái)越受人們的青睞。復(fù)雜可編程器件是隨半導(dǎo)體工藝不斷完善、用戶對(duì)器件集成度要求不斷提高的形式下所發(fā)展起來(lái)的產(chǎn)物,本文使用該器件來(lái)設(shè)計(jì)硬件級(jí)防火墻采用RJ45端口連接,支持橋模式下的透明接入,具有性價(jià)比高、安全可靠、在線可升級(jí)等諸多優(yōu)點(diǎn)。

二、防火墻的硬件實(shí)現(xiàn)原理

防火墻通常使用的安全控制手段主要有包過(guò)濾、應(yīng)用代理型兩大類,本文所討論的是基于包過(guò)濾型防火墻。包過(guò)濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過(guò)。只有滿足過(guò)濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。在IEEE802.3局域網(wǎng)協(xié)議集的標(biāo)準(zhǔn)以太網(wǎng)中,甚至是引入了載波擴(kuò)展技術(shù)千兆級(jí)以太網(wǎng)中,包過(guò)濾型防火墻以

處理運(yùn)算速度快和性能安全等一系列特點(diǎn)一直備受個(gè)人和企業(yè)的青睞。

三、軟件實(shí)現(xiàn)

本設(shè)計(jì)運(yùn)用自頂向下的設(shè)計(jì)方法,運(yùn)用GDF圖形編輯法和VHDL語(yǔ)言混合編程,具體而言:頂層設(shè)計(jì)采用圖形輸入,便于直觀分析信號(hào)流程走向,底層則用VHDL進(jìn)行編程輸入,便于數(shù)據(jù)分析和處理。

(一)sep模塊

PLD芯片在接收到通訊芯片送來(lái)的信號(hào)后,首先利用SEP模塊對(duì)差分輸入信號(hào)進(jìn)行數(shù)據(jù)時(shí)鐘分離處理,該模塊中包含全數(shù)字鎖相環(huán),以實(shí)現(xiàn)從隨機(jī)的以太網(wǎng)信號(hào)中提取時(shí)鐘的方法。采用鑒頻、鑒相并置方法,同時(shí)把數(shù)字濾波器DFilter子模塊融入其中,采用小數(shù)分頻器FDiv構(gòu)成數(shù)控振蕩器,從隨機(jī)以太網(wǎng)信號(hào)中恢復(fù)E1時(shí)鐘信號(hào)。

(二)piden模塊

接下來(lái)的Piden模塊則對(duì)處理后的數(shù)據(jù)進(jìn)行數(shù)據(jù)包分離,采用了同步數(shù)據(jù)選擇過(guò)濾的手段,將不同的數(shù)據(jù)包送入不同的包代碼處理模塊進(jìn)行并行數(shù)據(jù)篩選。

(三)TCPfilter和ICMPfilter模塊

TCPfilter和ICMPfilter模塊負(fù)責(zé)對(duì)應(yīng)封包的安全過(guò)濾,并且每個(gè)模塊均有各自不同的敏感代碼。以TCPfilter為例,靜態(tài)包過(guò)濾算法可簡(jiǎn)單根據(jù)TCP包頭的數(shù)據(jù)段建立敏感數(shù)據(jù)過(guò)濾機(jī)制。

(四)sync模塊

為保證數(shù)據(jù)過(guò)程中前后級(jí)之間的數(shù)據(jù)同步,設(shè)計(jì)中引入了sync模塊。以太網(wǎng)數(shù)字同步方式很多,本文采用指針調(diào)整算法,根據(jù)各filter模塊的延時(shí)最大值以及對(duì)來(lái)自初始NE的輸入VC與本地產(chǎn)生的輸出STM-N幀之間的相位波動(dòng)進(jìn)行動(dòng)態(tài)補(bǔ)償,確保后級(jí)輸入的信號(hào)與時(shí)鐘上的匹配。

(五)diff模塊

最后用diff模塊對(duì)過(guò)濾后的數(shù)據(jù)和時(shí)鐘進(jìn)行數(shù)據(jù)整合和差分調(diào)制輸出。

四、器件選擇和實(shí)現(xiàn)

核心芯片可采用EP1K100QC208-3為主芯片,它屬于Altera的ACEX1K系列芯片,ACEX1K系列其間的邏輯單元(LE)數(shù)從576~4992,采用2.5V低供電電壓(5),該芯片和專用配置器件EPC2,共同完成器件的初始化和在線更新,接口芯片采用CY7C64013,它能提供標(biāo)準(zhǔn)USB2.0接口,并且可以提供全速率的通訊服務(wù),網(wǎng)絡(luò)通訊芯片采用realtek公司的RTL8029AS它采用全雙工方式來(lái)進(jìn)行接收以太網(wǎng)數(shù)據(jù),非常容易和微處理器接口。該芯片集成了以太網(wǎng)的物理層以及以太網(wǎng)的收發(fā)器,數(shù)據(jù)封包形式完全符合IEEE802.3標(biāo)準(zhǔn)。

五、軟件仿真

在圖1中,軟件在模擬TCP封包特征碼數(shù)據(jù)方面進(jìn)行了次測(cè)試,一共發(fā)送了3個(gè)數(shù)據(jù)包,其中第一個(gè)封包的目的端口中包含敏感端口,其余2個(gè)為正常封包。由測(cè)試結(jié)果我們不難看出:在初始階段,防火墻有一個(gè)初始化過(guò)程,這個(gè)過(guò)程在80ns以內(nèi);系統(tǒng)的延時(shí)相應(yīng)在本例中控制在100ns以內(nèi);正常數(shù)據(jù)在經(jīng)歷了防火墻的最大延時(shí)后直接輸出,不影響其內(nèi)部任何數(shù)據(jù)和標(biāo)志位;在偵測(cè)到含有敏感數(shù)據(jù)的數(shù)據(jù)包后,防火墻立即對(duì)整個(gè)數(shù)據(jù)包做出丟棄處理,并利用網(wǎng)絡(luò)重發(fā)機(jī)制要求重發(fā)。系統(tǒng)的真實(shí)的延時(shí),由各偵測(cè)模塊敏感庫(kù)的大小以及sep,piden,diff模塊延時(shí)之和共同決定。

六、結(jié)論

該硬件防火墻,通過(guò)仿真實(shí)踐證明,能有效的遏制對(duì)系統(tǒng)的攻擊行為,并通過(guò)在線更新保證其硬件數(shù)據(jù)庫(kù)的實(shí)時(shí)性,同時(shí)由CPLD器件部豐富LE資源確保其容量升級(jí)的可操作性,且其本身不受攻擊包影響,不消耗客戶系統(tǒng)資源,使用者只需進(jìn)行傻瓜式連接即可完成整套系統(tǒng)的安裝,極其方便可靠。用戶還可根據(jù)其實(shí)際需要將系統(tǒng)調(diào)整成動(dòng)態(tài)包過(guò)濾型防火墻,其性能將更加優(yōu)越。

參考文獻(xiàn):

[1]張亞鵬,《防火墻須軟硬一體》,計(jì)算機(jī)安全,2004.6.11.

[2]《Securing Your Network with the Cisco Centri Firewall》,Cisco

Systems guide,1992-2008:13.

[3]譚會(huì)生、張昌凡編著,《EDA技術(shù)與應(yīng)用》,西安電子科技大學(xué),2001(9):19.

[4]cbinews,《防火墻技術(shù)》,http://www.cbismb.com/,2005.12.12.

[5]蔣璇、臧春華,《數(shù)字系統(tǒng)設(shè)計(jì)與PLD應(yīng)用》,電子工業(yè)出版社,2005(8):338.