一種基于FPGA的硬件防火墻設(shè)計

唐澤坤+王修剛+宋偉+于珊珊+劉超

摘 要：本文提出了一種基于FPGA的硬件防火墻的實現(xiàn)方案，采用FPGA來實現(xiàn)百兆線速以上的防火墻設(shè)計。網(wǎng)絡(luò)數(shù)據(jù)在建立連接跟蹤后，由FPGA實現(xiàn)的快速處理板直接轉(zhuǎn)發(fā)，實現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)的線速處理，通用CPU在操作系統(tǒng)支持下，完成網(wǎng)絡(luò)數(shù)據(jù)連接跟蹤的創(chuàng)建、維護以及對網(wǎng)絡(luò)規(guī)則表的維護等工作。

關(guān)鍵詞：防火墻；FPGA；Verilog HDL；CPU

一、引言

防火墻是一種基本的網(wǎng)絡(luò)防護設(shè)備。它是一種設(shè)置在內(nèi)部網(wǎng)和外部網(wǎng)之間的安全網(wǎng)關(guān)，通過安全策略和規(guī)則來控制外部用戶對內(nèi)部資源的訪問，使外部網(wǎng)和內(nèi)部網(wǎng)之間既保持連通性，又根據(jù)規(guī)則間接交換信息。防火墻所采用的硬件設(shè)備必須滿足網(wǎng)絡(luò)處理性能的需求。在早期網(wǎng)絡(luò)中，數(shù)據(jù)速率相對較低，協(xié)議也比較簡單，因此網(wǎng)絡(luò)設(shè)備通常以通用處理器配合分組處理軟件實現(xiàn)。然而，隨著數(shù)據(jù)速率的不斷提高和協(xié)議的日益復雜，通用處理器處理能力的增長逐漸落后于數(shù)據(jù)速率的增長，因此，基于通用處理器平臺的網(wǎng)絡(luò)產(chǎn)品開發(fā)者遇到了性能上的障礙。

本文針對目前防火墻的設(shè)計方式提出了一種基于FPGA的硬件防火墻的實現(xiàn)方案，采用FPGA來實現(xiàn)百兆線速以上的防火墻設(shè)計。傳統(tǒng)的基于x86等通用CPU的防火墻無法適應當前快速增長的網(wǎng)絡(luò)速度，無法實現(xiàn)線速過濾與轉(zhuǎn)發(fā)。本文采用FPGA結(jié)合通用CPU模式，可以快速處理網(wǎng)絡(luò)數(shù)據(jù)，能夠避免NP的不足。網(wǎng)絡(luò)數(shù)據(jù)在建立連接跟蹤后，由FPGA實現(xiàn)的快速處理板直接轉(zhuǎn)發(fā)，實現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)的線速處理。通用CPU在操作系統(tǒng)支持下，完成網(wǎng)絡(luò)數(shù)據(jù)連接跟蹤的創(chuàng)建、維護以及對網(wǎng)絡(luò)規(guī)則表（端口黑名單、IP黑名單、端口白名單）的維護等工作。FPGA硬件板和CPU各司其職，實現(xiàn)快速轉(zhuǎn)發(fā)的目的。實踐證明，這是一種兼容性比較好的網(wǎng)絡(luò)安全架構(gòu)。

二、系統(tǒng)整體設(shè)計方案

硬件防火墻分為兩個數(shù)據(jù)通道，F(xiàn)PGA硬件板承擔網(wǎng)絡(luò)數(shù)據(jù)的按規(guī)則高速收發(fā)與轉(zhuǎn)發(fā)，并按指定規(guī)則要求通過PCI-E將數(shù)據(jù)上傳至x86CPU；x86主控板承擔慢速通道工作。

防火墻軟件系統(tǒng)根據(jù)TCP、UDP、ICMP協(xié)議實現(xiàn)不同的連接跟蹤、跟蹤表項的匹配、跟蹤表的動態(tài)維護；x86上防火墻軟件系統(tǒng)通過硬件驅(qū)動程序和FPGA硬件板進行通訊。

圖1中所示為FPGA系統(tǒng)設(shè)計過程中網(wǎng)絡(luò)抓包實驗中所形成的硬件架構(gòu)圖。FPGA網(wǎng)絡(luò)抓包的數(shù)據(jù)可以通過串口發(fā)送至上位機，實驗可以清晰判斷當前網(wǎng)絡(luò)收發(fā)架構(gòu)設(shè)計是否合理，能否準確地收發(fā)100Mbps的網(wǎng)絡(luò)數(shù)據(jù)。

在實現(xiàn)了基本的數(shù)據(jù)收發(fā)后，確定防火墻系統(tǒng)整體架構(gòu)和功能模塊，如圖2所示。

可以看出在這里主要由網(wǎng)絡(luò)接口、網(wǎng)絡(luò)控制、MAC、外網(wǎng)處理模塊、PC處理模塊、PCI-E與DDR控制模塊幾大部分構(gòu)成。

三、系統(tǒng)HDL設(shè)計方案

系統(tǒng)使用Verilog HDL語言完成設(shè)計。下面介紹一些主要模塊設(shè)計。

1.外網(wǎng)控制

本模塊的主要功能如圖3所示：

（1）存儲接收到的外網(wǎng)報文；

（2）對接收到的外網(wǎng)報文進行關(guān)鍵字提取和識別；

（3）對提取的結(jié)果根據(jù)用戶配置進行過濾；

（4）讀取存儲的本幀數(shù)據(jù)，根據(jù)本幀過濾的結(jié)果對其進行打包處理。

本模塊時序圖設(shè)計如圖4所示。

2.子模塊報文緩存功能設(shè)計

本模塊的功能是：用于緩存接收到的報文，等待本報文的過濾結(jié)果，由報文封裝模塊讀取此報文或者丟棄報文。本模塊實質(zhì)上是一個循環(huán)的buffer，其位寬是64，深度是1024，可以存儲5個最大的1518Bytes報文。緩存模塊內(nèi)部維護讀寫地址和可寫的空間，當可寫的空間小于1518Bytes時，不再接收數(shù)據(jù)。

本模塊的結(jié)構(gòu)如圖5所示：

處理流程為：

（1）當報文到達時，首先檢查可寫空間是否大于1518Bytes，如果大于則向RAM中存入次報文，寫地址，循環(huán)累加，寫完后將本次寫入的數(shù)據(jù)量送給可寫空間維護，如果小于1518Bytes丟棄本報文，寫地址不變；

（2）寫空間維護，維護一個Counter，累加寫數(shù)據(jù)量，累減讀數(shù)據(jù)量，用RAM的總空間減去這個Counter就是可寫空間；

（3）當收到報文封裝模塊的讀使能時，讀地址累加，讀取RAM送出讀數(shù)據(jù)。

3.子模關(guān)鍵字提取功能設(shè)計

本模塊的任務是：在報文中提取過濾規(guī)則的關(guān)鍵字，關(guān)鍵字為標準IP協(xié)議數(shù)據(jù)包。

通過Type識別是否為IP報文，如果是，繼續(xù)提取Protocol、SIP、DIP；通過Protocol識別是否是TCP或者UDP報文，如果是，繼續(xù)提取SPort與DPort。報文結(jié)構(gòu)如圖6所示，但是沒有option域。另外需要獲得本報文的長度（以Byte為單位）。

處理流程圖如圖7所示。

四、設(shè)計仿真測試

上述設(shè)計代碼在綜合后下載至硬件FPGA硬件板后，配合x86端測試軟件進行測試。限于實際條件，采用自循環(huán)數(shù)據(jù)測試數(shù)據(jù)收發(fā)，以及指定IP地址和端口地址的過濾測試，測試模式如圖8所示。經(jīng)實際測試，系統(tǒng)能夠完成百兆數(shù)據(jù)的線速收發(fā)和指定規(guī)則的過濾。

五、結(jié)束語

本文基于FPGA的防火墻設(shè)計完成了基本的設(shè)計目標，能夠正常轉(zhuǎn)發(fā)和過濾指定規(guī)則的數(shù)據(jù)，能夠準確進行仿真和驗證，但仍屬于教學演示性設(shè)計，后續(xù)可以繼續(xù)進行優(yōu)化，使系統(tǒng)更加完善。

（通訊作者：劉超）

參考文獻：

[1]夏宇聞.從算法設(shè)計到硬件邏輯的實現(xiàn)[M].北京：高等教育出版社，2001.

[2]王金明，楊吉斌. 數(shù)字系統(tǒng)設(shè)計與Verilog HDL[M]. 北京：電子工業(yè)出版社，2002.

[3]鄭堯.硬件防火墻中多模式匹配算法的設(shè)計與實現(xiàn)[D].哈爾濱：哈爾濱工業(yè)大學，2009.

[4]唐正軍，李建華.入侵檢測技術(shù)[M].北京：清華大學出版社，2004.

[5]Wes Noonan， Ido Dubrawsky（美）.防火墻基礎(chǔ)[M].北京：人民郵電出版社，2007.

[6]胡道元.網(wǎng)絡(luò)安全[M].北京：清華大學出版社，2004.

[7]石晶林，程勝，孫江明.網(wǎng)絡(luò)處理器原理、設(shè)計與應用[M].北京：清華大學出版社，2003.

[8]肖晨陽.基于FPGA的硬件防火墻設(shè)計和實現(xiàn)[D].長沙：湖南師范大學，2009.

作者簡介：唐澤坤（1994- ），男，山西長治人，大學本科在讀，電子科學與技術(shù)專業(yè)；劉超（1981- ），男，遼寧凌源人，碩士，講師，研究方向：嵌入式系統(tǒng)。