基于PCI总线的网络报文过滤卡设计和实现.pdfVIP

基于PC I总线的网络报文过滤卡设计与实现 张少波，邓承志，刘 明，周长林 (信息工程大学理学院，河南郑州450001) 摘要：文章介绍了一种基于PCI总线的网络报文过滤卡的设计方法，讨论了利用接口芯片PCI9054作为PCI总线接口以 实现网络报文的高速传输，从硬件电路设计、加载模式和时序配置等方面分析了开发过程，实现后满足了对网络报文 实时过滤的要求。 关键词：报文过滤；PCI总线接口；现场可编程门阵列；加载模式；时序配置 and ofPacket Card DesignImplementationFiltering BasedonPCIBUS Yang Chengzhi，LiuMing，ZhouChanglin Hongtao，Deng introducesamethod cardbasedOilPCI howto Abstract：This ofhowto anetwork bus，discusses paper design packetfiltering usePCI9054asthePCIbusinterfacetorealizes networktransmission，introducesthewhole ofthe high—speedpacket process inthree schemeandclock meetthe of developmentaspects：hardwaredesign，configurationmanagemem，80requirement real-time fornetwork processing packetfiltering． bus scheme：clock Keywords：packetfiltering：PCIimefface：FPGA；configurationmanagement 1 引言 持突发传输，同时可支持多组外围设备。另外，PCI总线是一种独立于处理器的同步总线，不依赖于 任何CPU，因而具有较好的兼容性。 PCI总线以其较高的吞吐率，为中央处理器及高速外围设备提供了一座桥梁，目前被广泛应用于 各种计算机系统中，已成为个人计算机事实上的标准总线。 文章所设计的网络报文过滤卡设计是“嵌入式Interact小型安全网关”项目的子课题，它位于嵌 入式小型安全网关的底层，能够实时实现报文级过滤功能，屏蔽大部分的不明网络试探和拒绝服务性 攻击。而对那些处于白名单内的用户，在报文级过滤器中可以对其IpSec头部和SOCKS头部内容进行 一致性检查，防止已经窃取密钥的伪装攻击性报文进入服务区。可以说，它是安全网关的第一道防线， 是整个防御体系的基石。 ‘ 2 总体设计 网络报文过滤卡的总体设计如图l所示(虚线以下为报文过滤卡部分)，主要包括以下部分： ◆PCI总线接口器件PCI9054； ◆实现中心轮渡、报文过滤的可编程FPGA器件EP2C20； ◆报文缓冲／丢弃池SRAM； ◆外部网口及MAC层接口电路： ◆辅助时钟电路和电源模块。 ·108· 系统的工作流程是：外网数据报文经过网络扩展接口传入，经MAC处理后，由报文过滤器(FPGA) 对报头实时线速检测。如为白名单或内网安全用户，则轮渡到内网：如是黑名单，则轮渡到包丢弃池 检查和基于网络安全策略的访问规则控制，并提取统计信息以备ASIC报文过滤器比对。 图l设计方案原理图 3 PCI总线接口设计 PCI总线协议复杂，需要在外部设备和PCI总线之间增加一个接口电路，接口电路实现比较困难。 3