ＣＰＬＤ嵌入式防火墻原理設(shè)計與分析

何　燕

[摘要]闡述CPLD的嵌入式包過濾型硬件防火墻的原理,并使用MAX+PLUS II軟件進(jìn)行軟件的編譯和仿真,通過實例說明防火墻的實現(xiàn)方式,從實踐和理論結(jié)合的角度論述其存在的可行性。

[關(guān)鍵詞]嵌入式網(wǎng)絡(luò)硬件防火墻 CPLD Max+plus II

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1671-7597(2009)0810041-01

一、引言

防火墻的作用主要是保護(hù)系統(tǒng)不受未經(jīng)允許的,通過對它的各種規(guī)則設(shè)置,使得合法的鏈路得以建立;而非法的連接將被禁止。市面使用的防火墻大多是軟件防火墻,工作于系統(tǒng)接口與ndis之間,用于檢查過濾由ndis發(fā)送過來的數(shù)據(jù),在無需改動硬件的前提下便能實現(xiàn)一定強(qiáng)度的安全保障,但是由于軟件防火墻自身屬于運行于系統(tǒng)上的程序,不可避免的需要占用一部分cpu資源維持工作,而且由于數(shù)據(jù)判斷處理需要一定的時間,在一些數(shù)據(jù)流量大的網(wǎng)絡(luò)里,軟件防火墻會使整個系統(tǒng)工作效率和數(shù)據(jù)吞吐速度下降,甚至有些軟件防火墻會存在漏洞,導(dǎo)致有害數(shù)據(jù)可以繞過它的防御體系,給數(shù)據(jù)安全帶來損失,正是基于此,硬件防火墻被才越來越受人們的青睞。復(fù)雜可編程器件是隨半導(dǎo)體工藝不斷完善、用戶對器件集成度要求不斷提高的形式下所發(fā)展起來的產(chǎn)物,本文使用該器件來設(shè)計硬件級防火墻采用RJ45端口連接,支持橋模式下的透明接入,具有性價比高、安全可靠、在線可升級等諸多優(yōu)點。

二、防火墻的硬件實現(xiàn)原理

防火墻通常使用的安全控制手段主要有包過濾、應(yīng)用代理型兩大類,本文所討論的是基于包過濾型防火墻。包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。在IEEE802.3局域網(wǎng)協(xié)議集的標(biāo)準(zhǔn)以太網(wǎng)中,甚至是引入了載波擴(kuò)展技術(shù)千兆級以太網(wǎng)中,包過濾型防火墻以

處理運算速度快和性能安全等一系列特點一直備受個人和企業(yè)的青睞。

三、軟件實現(xiàn)

本設(shè)計運用自頂向下的設(shè)計方法,運用GDF圖形編輯法和VHDL語言混合編程,具體而言:頂層設(shè)計采用圖形輸入,便于直觀分析信號流程走向,底層則用VHDL進(jìn)行編程輸入,便于數(shù)據(jù)分析和處理。

(一)sep模塊

PLD芯片在接收到通訊芯片送來的信號后,首先利用SEP模塊對差分輸入信號進(jìn)行數(shù)據(jù)時鐘分離處理,該模塊中包含全數(shù)字鎖相環(huán),以實現(xiàn)從隨機(jī)的以太網(wǎng)信號中提取時鐘的方法。采用鑒頻、鑒相并置方法,同時把數(shù)字濾波器DFilter子模塊融入其中,采用小數(shù)分頻器FDiv構(gòu)成數(shù)控振蕩器,從隨機(jī)以太網(wǎng)信號中恢復(fù)E1時鐘信號。

(二)piden模塊

接下來的Piden模塊則對處理后的數(shù)據(jù)進(jìn)行數(shù)據(jù)包分離,采用了同步數(shù)據(jù)選擇過濾的手段,將不同的數(shù)據(jù)包送入不同的包代碼處理模塊進(jìn)行并行數(shù)據(jù)篩選。

(三)TCPfilter和ICMPfilter模塊

TCPfilter和ICMPfilter模塊負(fù)責(zé)對應(yīng)封包的安全過濾,并且每個模塊均有各自不同的敏感代碼。以TCPfilter為例,靜態(tài)包過濾算法可簡單根據(jù)TCP包頭的數(shù)據(jù)段建立敏感數(shù)據(jù)過濾機(jī)制。

(四)sync模塊

為保證數(shù)據(jù)過程中前后級之間的數(shù)據(jù)同步,設(shè)計中引入了sync模塊。以太網(wǎng)數(shù)字同步方式很多,本文采用指針調(diào)整算法,根據(jù)各filter模塊的延時最大值以及對來自初始NE的輸入VC與本地產(chǎn)生的輸出STM-N幀之間的相位波動進(jìn)行動態(tài)補(bǔ)償,確保后級輸入的信號與時鐘上的匹配。

(五)diff模塊

最后用diff模塊對過濾后的數(shù)據(jù)和時鐘進(jìn)行數(shù)據(jù)整合和差分調(diào)制輸出。

四、器件選擇和實現(xiàn)

核心芯片可采用EP1K100QC208-3為主芯片,它屬于Altera的ACEX1K系列芯片,ACEX1K系列其間的邏輯單元(LE)數(shù)從576~4992,采用2.5V低供電電壓(5),該芯片和專用配置器件EPC2,共同完成器件的初始化和在線更新,接口芯片采用CY7C64013,它能提供標(biāo)準(zhǔn)USB2.0接口,并且可以提供全速率的通訊服務(wù),網(wǎng)絡(luò)通訊芯片采用realtek公司的RTL8029AS它采用全雙工方式來進(jìn)行接收以太網(wǎng)數(shù)據(jù),非常容易和微處理器接口。該芯片集成了以太網(wǎng)的物理層以及以太網(wǎng)的收發(fā)器,數(shù)據(jù)封包形式完全符合IEEE802.3標(biāo)準(zhǔn)。

五、軟件仿真

在圖1中,軟件在模擬TCP封包特征碼數(shù)據(jù)方面進(jìn)行了次測試,一共發(fā)送了3個數(shù)據(jù)包,其中第一個封包的目的端口中包含敏感端口,其余2個為正常封包。由測試結(jié)果我們不難看出:在初始階段,防火墻有一個初始化過程,這個過程在80ns以內(nèi);系統(tǒng)的延時相應(yīng)在本例中控制在100ns以內(nèi);正常數(shù)據(jù)在經(jīng)歷了防火墻的最大延時后直接輸出,不影響其內(nèi)部任何數(shù)據(jù)和標(biāo)志位;在偵測到含有敏感數(shù)據(jù)的數(shù)據(jù)包后,防火墻立即對整個數(shù)據(jù)包做出丟棄處理,并利用網(wǎng)絡(luò)重發(fā)機(jī)制要求重發(fā)。系統(tǒng)的真實的延時,由各偵測模塊敏感庫的大小以及sep,piden,diff模塊延時之和共同決定。

六、結(jié)論

該硬件防火墻,通過仿真實踐證明,能有效的遏制對系統(tǒng)的攻擊行為,并通過在線更新保證其硬件數(shù)據(jù)庫的實時性,同時由CPLD器件部豐富LE資源確保其容量升級的可操作性,且其本身不受攻擊包影響,不消耗客戶系統(tǒng)資源,使用者只需進(jìn)行傻瓜式連接即可完成整套系統(tǒng)的安裝,極其方便可靠。用戶還可根據(jù)其實際需要將系統(tǒng)調(diào)整成動態(tài)包過濾型防火墻,其性能將更加優(yōu)越。

參考文獻(xiàn):

[1]張亞鵬,《防火墻須軟硬一體》,計算機(jī)安全,2004.6.11.

[2]《Securing Your Network with the Cisco Centri Firewall》,Cisco

Systems guide,1992-2008:13.

[3]譚會生、張昌凡編著,《EDA技術(shù)與應(yīng)用》,西安電子科技大學(xué),2001(9):19.

[4]cbinews,《防火墻技術(shù)》,http://www.cbismb.com/,2005.12.12.

[5]蔣璇、臧春華,《數(shù)字系統(tǒng)設(shè)計與PLD應(yīng)用》,電子工業(yè)出版社,2005(8):338.