硬件防火墙设计范文

摘要：描述了复杂CPLD的嵌入式包过滤型企业硬件防火墙的原理，并使用MAX+PLUSII软件进行了软件的编译和仿真，通过实例说明了硬件防火墙的实现方式，从实践和理论结合的角度论述了其存在的可行性。

关键词：硬件防火墙；CPLD；Max+plusII

1防火墙的硬件实现原理

防火墙通常使用的安全控制手段主要有包过滤、应用型两大类，本文所讨论的是基于包过滤型防火墙。包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃（4）。在IEEE802.3局域网协议集的标准以太网中，甚至是引入了载波扩展技术千兆级以太网中，包过滤型防火墙以处理运算速度快和性能安全等一系列特点一直倍受个人和企业的青睐。

2软件实现

本设计运用自顶向下的设计方法，运用GDF图形编辑法和VHDL语言混合编程，具体而言：顶层设计采用图形输入，便于直观分析信号流程走向，底层则用VHDL进行编程输入，便于数据分析和处理。

2.1sep模块

PLD芯片在接收到通讯芯片送来的信号后，首先利用SEP模块对差分输入信号进行数据时钟分离处理，该模块中包含全数字锁相环，以实现从随机的以太网信号中提取时钟的方法.采用鉴频、鉴相并置方法,同时把数字滤波器DFilter子模块融入其中,采用小数分频器FDiv构成数控振荡器,从随机以太网信号中恢复E1时钟信号；

2.2piden模块

接下来的Piden模块则对处理后的数据进行数据包分离，采用了同步数据选择过滤的手段,将不同的数据包送入不同的包代码处理模块进行并行数据筛选;

2.3TCPfilter和ICMPfilter模块

TCPfilter和ICMPfilter模块负责对应封包的安全过滤，并且每个模块均有各自不同的敏感代码。

2.4sync模块

为保证数据过程中前后级之间的数据同步,设计中引入了sync模块.以态网数字同步方式很多，本文采用指针调整算法,根据各filter模块的延时最大值以及对来自初始NE的输入VC与本地产生的输出STM-N帧之间的相位波动进行动态补偿,确保后级输入的信号与时钟上的匹配;

2.5diff模块

最后用diff模块对过滤后的数据和时钟进行数据整合和差分调制输出。

3器件选择和实现

核心芯片可采用EP1K100QC208-3为主芯片，它属于Altera的ACEX1K系列芯片，ACEX1K系列其间的逻辑单元（LE）数从576~4992，采用2.5V低供电电压（5），该芯片和专用配置器件EPC2，共同完成器件的初始化和在线更新，接口芯片采用CY7C64013,它能提供标准USB2.0接口，并且可以提供全速率的通讯服务，网络通讯芯片采用realtek公司的RTL8029AS它采用全双工方式来进行接收以太网数据，非常容易和微处理器接口。该芯片集成了以太网的物理层以及以太网的收发器，数据封包形式完全符合IEEE802.3标准。

4软件仿真

一共发送了3个数据包，其中第一个封包的目的端口中包含敏感端口，其余2个为正常封包.由测试结果我们不难看出:在初始阶段,防火墙有一个初始化过程,这个过程在80ns以内;系统的延时相应在本例中控制在100ns以内;正常数据在经历了防火墙的最大延时后直接输出,不影响其内部任何数据和标志位;在侦测到含有敏感数据的数据包后,防火墙立即对整个数据包做出丢弃处理,并利用网络重发机制要求重发。系统的真实的延时，由各侦测模块敏感库的大小以及sep,piden,diff模块延时之和共同决定.

5结论

该硬件防火墙，通过仿真实践证明，能有效的遏制对系统的攻击行为，并通过在线更新保证其硬件数据库的实时性，同时由CPLD器件部丰富LE资源确保其容量升级的可操作性，且其本身不受攻击包影响，不消耗客户系统资源，使用者只需进行傻瓜式连接即可完成整套系统的安装，极其方便可靠。用户还可根据其实际需要将系统调整成动态包过滤型防火墙，其性能将更加优越。

参考文献：

［1］张亚鹏．防火墙须软硬一体．计算机安全，2004．

［2］谭会生，张昌凡．EDA技术与应用．西安电子科技大学，2001．

［3］蒋璇，臧春华．数字系统设计与PLD应用．电子工业出版社，2005．