ＣＰＬＤ嵌入式防火墻原理設計與分析

何　燕

[摘要]闡述CPLD的嵌入式包過濾型硬件防火墻的原理,并使用MAX+PLUS II軟件進行軟件的編譯和仿真,通過實例說明防火墻的實現方式,從實踐和理論結合的角度論述其存在的可行性。

[關鍵詞]嵌入式網絡硬件防火墻 CPLD Max+plus II

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0810041-01

一、引言

防火墻的作用主要是保護系統不受未經允許的,通過對它的各種規則設置,使得合法的鏈路得以建立;而非法的連接將被禁止。市面使用的防火墻大多是軟件防火墻,工作于系統接口與ndis之間,用于檢查過濾由ndis發送過來的數據,在無需改動硬件的前提下便能實現一定強度的安全保障,但是由于軟件防火墻自身屬于運行于系統上的程序,不可避免的需要占用一部分cpu資源維持工作,而且由于數據判斷處理需要一定的時間,在一些數據流量大的網絡里,軟件防火墻會使整個系統工作效率和數據吞吐速度下降,甚至有些軟件防火墻會存在漏洞,導致有害數據可以繞過它的防御體系,給數據安全帶來損失,正是基于此,硬件防火墻被才越來越受人們的青睞。復雜可編程器件是隨半導體工藝不斷完善、用戶對器件集成度要求不斷提高的形式下所發展起來的產物,本文使用該器件來設計硬件級防火墻采用RJ45端口連接,支持橋模式下的透明接入,具有性價比高、安全可靠、在線可升級等諸多優點。

二、防火墻的硬件實現原理

防火墻通常使用的安全控制手段主要有包過濾、應用代理型兩大類,本文所討論的是基于包過濾型防火墻。包過濾型防火墻工作在OSI網絡參考模型的網絡層和傳輸層,它根據數據包頭源地址,目的地址、端口號和協議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發到相應的目的地,其余數據包則被從數據流中丟棄。在IEEE802.3局域網協議集的標準以太網中,甚至是引入了載波擴展技術千兆級以太網中,包過濾型防火墻以

處理運算速度快和性能安全等一系列特點一直備受個人和企業的青睞。

三、軟件實現

本設計運用自頂向下的設計方法,運用GDF圖形編輯法和VHDL語言混合編程,具體而言:頂層設計采用圖形輸入,便于直觀分析信號流程走向,底層則用VHDL進行編程輸入,便于數據分析和處理。

(一)sep模塊

PLD芯片在接收到通訊芯片送來的信號后,首先利用SEP模塊對差分輸入信號進行數據時鐘分離處理,該模塊中包含全數字鎖相環,以實現從隨機的以太網信號中提取時鐘的方法。采用鑒頻、鑒相并置方法,同時把數字濾波器DFilter子模塊融入其中,采用小數分頻器FDiv構成數控振蕩器,從隨機以太網信號中恢復E1時鐘信號。

(二)piden模塊

接下來的Piden模塊則對處理后的數據進行數據包分離,采用了同步數據選擇過濾的手段,將不同的數據包送入不同的包代碼處理模塊進行并行數據篩選。

(三)TCPfilter和ICMPfilter模塊

TCPfilter和ICMPfilter模塊負責對應封包的安全過濾,并且每個模塊均有各自不同的敏感代碼。以TCPfilter為例,靜態包過濾算法可簡單根據TCP包頭的數據段建立敏感數據過濾機制。

(四)sync模塊

為保證數據過程中前后級之間的數據同步,設計中引入了sync模塊。以太網數字同步方式很多,本文采用指針調整算法,根據各filter模塊的延時最大值以及對來自初始NE的輸入VC與本地產生的輸出STM-N幀之間的相位波動進行動態補償,確保后級輸入的信號與時鐘上的匹配。

(五)diff模塊

最后用diff模塊對過濾后的數據和時鐘進行數據整合和差分調制輸出。

四、器件選擇和實現

核心芯片可采用EP1K100QC208-3為主芯片,它屬于Altera的ACEX1K系列芯片,ACEX1K系列其間的邏輯單元(LE)數從576~4992,采用2.5V低供電電壓(5),該芯片和專用配置器件EPC2,共同完成器件的初始化和在線更新,接口芯片采用CY7C64013,它能提供標準USB2.0接口,并且可以提供全速率的通訊服務,網絡通訊芯片采用realtek公司的RTL8029AS它采用全雙工方式來進行接收以太網數據,非常容易和微處理器接口。該芯片集成了以太網的物理層以及以太網的收發器,數據封包形式完全符合IEEE802.3標準。

五、軟件仿真

在圖1中,軟件在模擬TCP封包特征碼數據方面進行了次測試,一共發送了3個數據包,其中第一個封包的目的端口中包含敏感端口,其余2個為正常封包。由測試結果我們不難看出:在初始階段,防火墻有一個初始化過程,這個過程在80ns以內;系統的延時相應在本例中控制在100ns以內;正常數據在經歷了防火墻的最大延時后直接輸出,不影響其內部任何數據和標志位;在偵測到含有敏感數據的數據包后,防火墻立即對整個數據包做出丟棄處理,并利用網絡重發機制要求重發。系統的真實的延時,由各偵測模塊敏感庫的大小以及sep,piden,diff模塊延時之和共同決定。

六、結論

該硬件防火墻,通過仿真實踐證明,能有效的遏制對系統的攻擊行為,并通過在線更新保證其硬件數據庫的實時性,同時由CPLD器件部豐富LE資源確保其容量升級的可操作性,且其本身不受攻擊包影響,不消耗客戶系統資源,使用者只需進行傻瓜式連接即可完成整套系統的安裝,極其方便可靠。用戶還可根據其實際需要將系統調整成動態包過濾型防火墻,其性能將更加優越。

參考文獻:

[1]張亞鵬,《防火墻須軟硬一體》,計算機安全,2004.6.11.

[2]《Securing Your Network with the Cisco Centri Firewall》,Cisco

Systems guide,1992-2008:13.

[3]譚會生、張昌凡編著,《EDA技術與應用》,西安電子科技大學,2001(9):19.

[4]cbinews,《防火墻技術》,http://www.cbismb.com/,2005.12.12.

[5]蔣璇、臧春華,《數字系統設計與PLD應用》,電子工業出版社,2005(8):338.