摘 要：嵌入式防火墻（Embedded Firewall），亦為EFW，是計算機技術領域出現(xiàn)的一種新型防火墻技術，該技術以ARM處理器為載體，將現(xiàn)今計算機的安全策略延伸到網(wǎng)絡末端。其安全措施由計算機所配置的硬件系統(tǒng)實施，有效突破了以往傳統(tǒng)防火墻所存在的眾多弊端，為眾多企業(yè)的網(wǎng)絡信息安全提供保障的同時，更在現(xiàn)今的計算機安全領域建立了更完善的安全防護架構(gòu)。

關鍵詞：防火墻；EFW；嵌入式；計算機網(wǎng)絡安全技術

中圖分類號：TP316

1 研究內(nèi)容

本次研究設計的是一種以ARM處理器為基礎的嵌入式防火墻。在處理器的設計部分該防火墻采用了現(xiàn)今市場上最具高性能，且擁有低消耗特點的三星AMD的kanabi APU。該防火墻外接于用戶的計算機主機外的方式，通過計算機網(wǎng)絡末端主機的兩個RJ45接口實現(xiàn)用戶主機與網(wǎng)絡二者間通信連接，用戶的嵌入式防火墻則運行包過濾程序作為策略執(zhí)行部件。

2 EFW總體設計

2.1 EFW層次結(jié)構(gòu)設計

本次研究設計的嵌入式系統(tǒng)分為硬件層和軟件層兩個部分。在現(xiàn)今計算機網(wǎng)絡安全技術的應用中，除處理器及網(wǎng)絡末端的計算機基本外圍電路外的剩余電路都可據(jù)實際用戶的實際需求進行相應的剪輯和定做。EFW有設計有適合其自身的處理器以及相對應的存儲區(qū)，且該處理器及存儲區(qū)更是于主機操作系統(tǒng)外獨立工作。在設計中考慮到邊界防火墻可提高網(wǎng)絡末端計算機系統(tǒng)內(nèi)部網(wǎng)絡的數(shù)據(jù)流量以及EFW的工作效率，因而在本次研究中集合了兩者的優(yōu)勢進行設計，從而使網(wǎng)絡末端的計算機安全性能得到提高。

2.2 EFW的硬件總體設計

嵌入式防火墻的硬件被設計為三部分：處理器、外圍電路以及以太網(wǎng)接口模塊。而外圍電路則分別由電源電路、晶振電路和復位電路三個部分組成。

2.3 嵌入式防火墻的硬件模塊設計

ARM處理器是該防火墻的核心模塊。其結(jié)構(gòu)圖如下圖所示：

圖1

在模塊化設計方面，本次研究所設計的防火墻分別分為存儲模塊、調(diào)試電路模塊、外圍電路模塊及以太網(wǎng)接口模塊四大模塊。

該次設計采用的是第四代SDRAM存儲，因為其工作頻率較快，為了降低同步時鐘的干擾性，該次設計所采用的是差分時鐘，差分時鐘在降低干擾方面有很出色的表現(xiàn)，可以降低干擾，提高存儲效率。

以太網(wǎng)適配器采用的是Broadcom NetXtreme II5702 單口千兆以太網(wǎng)適配器，并帶有TOE功能，收發(fā)緩沖速度快，收發(fā)同時達到了300Mb/s。其中的一個塊Broadcom NetXtreme II5702則用于接收網(wǎng)絡發(fā)送到主機的數(shù)據(jù)包，并交給CPU進行處理，處理完成則再發(fā)送給另一塊以太網(wǎng)適配器，以太網(wǎng)適配器再發(fā)送給主機。當主機需要向外部發(fā)送數(shù)據(jù)時，也是依照該流程進行處理，SRAM用于收發(fā)緩沖。該種設計使用便捷，脫離了傳統(tǒng)網(wǎng)卡的連接模式，是的網(wǎng)絡拓撲結(jié)構(gòu)更加靈活，以太網(wǎng)接口模塊是嵌入式防火墻設計的核心。

2.4 EFW軟件總體設計

（1）EFW軟件總體框架設計

嵌入式防火墻的軟件總體框架設計以嵌入式操作系統(tǒng)為核心，Bootloader由flash啟動，負責硬件設備的初始化，網(wǎng)卡驅(qū)動程序?qū)崿F(xiàn)與物理傳輸介質(zhì)的交互，而應用程序?qū)崿F(xiàn)嵌入式防火墻的各種功能。Bootloader，操作系統(tǒng)和網(wǎng)卡驅(qū)動是嵌入式防火墻的基礎軟件，在此基礎上編寫或移植應用程序，實現(xiàn)防火墻的功能。

（2）EFW防火墻的軟件模塊設計

本次研究所設計的防火墻的核心是嵌入式操作系統(tǒng)。其Bootloader的啟動由flash負責，flash啟動后，該防火墻的硬件設備則逐步進行初始化，初始化完畢，用戶計算機的網(wǎng)卡驅(qū)動程序則與該計算機的屋里介質(zhì)實現(xiàn)交互，而防火墻的所有功能則交給應用程序進行實現(xiàn)。通過在防火墻的三個基礎軟件（Bootloader，操作系統(tǒng)和網(wǎng)卡驅(qū)動）上編寫或移植應用程序的方式，從而實現(xiàn)防火墻的功能。

3 EFW防火墻特點與優(yōu)勢

本次設計的防火墻軟件模塊分別包 Bootloader、嵌入式操作系統(tǒng)、網(wǎng)卡驅(qū)動以及應用程序四個模塊，且該四個模塊是彼此相互關聯(lián)的。在防火墻運行時，由Bootloader將硬件設備進行初始化，在初始化的同時并建立用戶計算機內(nèi)存空間的映射圖，為嵌入式操作系統(tǒng)內(nèi)核的啟動做好準備，接著操作系統(tǒng)則加載用戶計算機防火墻的驅(qū)動程序，加載完成或，防火墻可接收以及發(fā)送相應的數(shù)據(jù)包，然后，應用程序直接被操作系統(tǒng)進行調(diào)并對接收到的數(shù)據(jù)包進行相應處理，處理完畢后則返回處理結(jié)果，最后返回結(jié)果則被應用程序接收，操作系統(tǒng)哦過則根據(jù)其所接收的返回結(jié)果調(diào)用相應的驅(qū)動程序發(fā)送允許通過的數(shù)據(jù)包。

嵌入式防火墻特點與優(yōu)勢：

本文中的設計采用ARM微處理器可以達到以下目標：

高效率運作、體積小、功耗低、高性能；

支持雙指令集、8位或16位器件的高度兼容性；

執(zhí)行指令效率高、速度快；

在寄存器中可快速完成大量指令；

靈活簡單的尋址方式，提高執(zhí)行效率；

該設計大大的提升了ARM微處理器及技術，極大的提高了網(wǎng)絡末端的安全性，也將是ARM微處理器及技術的一次進步。

參考文獻：

[1]Bellovin S，Smith J，Keromytis A D，et al.Implementing a Distributed Firewall[C]//Proc.of the 7th ACM Conference on Computer and Communications Security.Athens，Greece：ACM Press，2000.

[2]Payne C，Markham T.Architecture and Applications for a Distributed Embedded Firewall[C]//Proceedings of the 17th Annual Conference on Computer Security Applications.[S.l.]：IEEE Press，2001.

[3]Fulp E W.Parallel Firewall Designs for High-speed Networks[C]//Proc. of the 25th IEEE International Conference on Computer Communications.Barcelona，Spain：[s.n.]，2006.

[4]Farley R J.Parallel Firewall Designs for High-speed Networks[D].North Carolina，USA：Wake Forest University，2005.

作者簡介：黃偉（1981.10-），男，瑤族，湖南花垣人，講師，主要研究方向：計算機科學；馮均浩（1991.10-），男，廣東廣州人，本科在校學生，主要研究方向：算法設計與分析。

作者單位：吉首大學 軟件服務外包學院，湖南張家界 427000

基金項目：吉首大學科研論文項目。