FPGA防火墙统设计.doc

FPGA防火墙系统设计 V2.0 目录 FPGA防火墙系统设计 V2.0 1 目录 2 1. 系统介绍 4 1.1 系统功能 4 1.2 性能指标 4 1.3 应用环境 5 1.4 开发环境 6 1.4.1. 软件环境 6 1.4.2. 所需硬件平台 6 1.5 开发进度 7 2. 系统结构图 8 3. 片上系统设计 10 3.1 设计说明 10 3.2 设计截图 11 3.3 设计综合结果 12 4. 系统软件设计 13 4.1 系统初始化 13 4.2 与用户进行交互 14 4.3 软件匹配、流量管理 14 5. fpga逻辑模块详细设计 15 5.1 预处理模块（pre_prcs_top） 15 5.1.1. 功能说明 15 5.1.2. 模块框图 16 5.1.3. 模块接口信号定义 17 5.2 流量统计模块 (flow_sts) 18 5.2.1. 功能说明 18 5.2.2. 模块框图 18 5.2.3. 模块接口信号定义 18 5.3 关键字产生模块（key_gen） 19 5.3.1. 功能说明 19 5.3.2. 模块框图 20 5.3.3. 模块接口信号定义 20 5.4 CAM接口模块（cam_if） 21 5.4.1. 功能说明 21 5.4.2. 模块框图 22 5.4.3. 模块接口信号定义 22 5.5 CAM模块（cam） 23 5.5.1. 功能说明 23 5.5.2. 模块框图 24 5.5.3. 模块接口信号定义 24 5.6 包处理模块（drop） 25 5.6.1. 功能说明 25 5.6.2. 模块框图 25 5.6.3. 模块接口信号定义 25 5.7 处理器配置模块（conf_if） 27 5.7.1. 功能说明 27 5.7.2. 模块框图 27 5.7.3. 模块接口说明 27 5.8 系统寄存器定义 28 6. 仿真测试 34 7. 板上调试 37 8. 工作总结 39 9. 系统应用 40 10. 展望 41 11. 参考文献 42 系统介绍 本系统由服务器软件控制平台和fpga硬件处理系统组成，其中fpga硬件处理系统是整个系统的核心部分。系统管理员通过服务器的软件控制平台可以对fpga硬件处理系统进行即时的配置，fpga硬件处理系统按照系统管理员的配置进行工作，并会在检测到异常情况或者检测到用户敏感的流量或者数据包的时候通知服务器，服务器会向管理员发送通知。管理员可以在服务器软件平台上做进一步的分析处理。 系统功能 本系统可以实现对10M/100M/1000M网络中流经该系统的各种类型的数据包进行流量统计、匹配过滤、捕获截取以及发送数据包等功能，具体如下。 流量统计：本系统能够对网络中的各类型数据包流量、各主机通信流量、通信流量与时间段的关系以及用户所关心的特定数据包类型进行流量统计。 匹配过滤：本系统能够根据管理员定义的过滤规则来对流经的数据包进行转发、捕获或者直接丢弃等处理。 流量控制：本系统能够针对流量统计模块提供的流量信息，决定相应的流量控制策略，对特定的主机进行流量控制。 捕获分析：本系统能够捕获网络中特定的数据包，进行分析，并可以发送给服务器由上层软件做进一步分析，并报告给系统管理员。 设备测试：本系统能够配置为设备测试，可以在网络中发送用户需要的数据包类型，并根据返回的数据包来测试网络中其他设备的性能。 以上是系统的基本功能，在实现以上功能的基础上还可以实现更多的扩展功能，例如修改和伪造数据包，监听可疑用户，控制网络流量，屏蔽特定的服务器等。 性能指标 网络流量：10M/100M/1000M自适应 丢包率：小于0.05% 支持网络类型：以太网 说明：以上为系统最终完成后预计的目标，系统最终的性能也与系统的硬件平台有关，经过大量完备的测试后才能确定。 应用环境 现阶段设计的系统主要用在局域网入口，用来检测并过滤来自外部的恶意攻击，保护局域网内的用户，统计分析网络的流量情况，控制调整局域网的流量，过滤敏感的内容，监听可疑用户，并可以作为测试设备来测试局域网内其他网络设备的性能。 图1.1：系统应用环境 如果最后实现的硬件平台支持，系统可以应用在主干网上，对主干网的数据包进行转发、过滤和捕获等处理，并可以对主干网的流量进行流量统计。 开发环境 软件环境 开放过程中主要使用了以下软件环境： UtraEdit 13.10 Xilinx ISE 8.2i Xilinx EDK 8.2i ModelSim SE 6.1b Microsoft Office Visio 2003 Widpackets OmniPeek 所需硬件平台 由于系统中需要处理器来对fpga进行初始化配置，并与服务器控制台进行通信向服务器发送数据和对fpga进行即时的配置，所以我们的需要