基于嵌入式Linux的硬件防火墙系统设计.docx

第14卷 第6期2004 年 6月微 机 发 展MicrocomputerDevelopmentVol. 14 No.6J une2004基于嵌入式 Linux的硬件防火墙系统设计钱炜,罗军舟(东南大学计算机科学与工程系,江苏南京 210096)摘要:文中在对各种防火墙的综合比较的基础上,讨论了嵌入式Linux 的优缺点,提出了一个基于嵌入式Linux 实现硬件 防火墙的方案,最后给出了实现该方案的各个步骤。并针对嵌入式系统的实时性要求和防火墙的性能要求,介绍了RTLinux(一种硬实时LinuxAPI)和RTnet的原理,给出了基于RTLinux和RTnet的防火墙整体框架。采用本框架的嵌入式硬件防火墙在性能上优于纯软件防火墙,而在价格上低于纯硬件防火墙。关键词:嵌入式Linux;硬件防火墙;RTLinux;RTnet中图分类号:TP393.08文献标识码:A文章编号 :1005 - 3751 (2004) 06 - 0124 -04System Design of Hardware Fire wall Based on EmbeddedLinuxQ IAN Wei ,L UO Jun2zhou(Department of Computer Science and Engineering ,Sout heast University ,Nanjing 210096 ,China)Abstract :On the base of comparison of all kinds of firewalls , discusses the advantages and disadvantages of embedded Linux ,then gives adesignofhardwarefirewallbased onembeddedLinux,lastlypresentseverystepofit.Forthereal-timerequestofembeddedOSandtheperformanceoffirewall,this paperintroducesthetheoryofRTLinux(akind ofhardreal-timeLinuxAPI)andRTnet,thendrawsafire2wallframeworkusingRTLinuxandRTnet.ThehardwarefirewallbasedonembeddedLinuxisbetterthansoftwarefirewallinperfor2mance and lower than hardware firewall inprice.Key words :embedded Linux ; hardware firewall ;real - time Linux ;real - time net1防火墙产品现状随着 Internet 的高速发展,越来越多的个人和企业加入其中,随之而来的网络安全问题也越来越受到重视。因 此,作为重要的网络安全产品,防火墙也吸引了越来越多的企业,从而推动了相关技术的发展。目前,防火墙根据其主要实现部分,可以分为硬件防 火墙和软件防火墙以及软硬件结合防火墙。其主要比较见表1。由表中可以看出,纯硬件防火墙采用ASIC(Applica2tion Specific Integrated Circuit ,专用集成电路,是一种带有 逻辑处理功能的加速处理器,它利用硬件的逻辑电路实现 软件的功能)芯片,把原先由CPU完成的经常性工作交给 专门硬件来完成,从而在性能上实现突破性的提高,是一种牺牲灵活性换取高可靠性和强大的处理能力的方法。由于完全独立设计的芯片和软件,纯硬件防火墙的价格很高,一般较大的企业使用,目前只有国外的少数几家公司有相关的产品。纯软件防火墙没有专有的资源,所有的工 作都要与其他任务进程共同使用相同的资源,包括CPU, RAM,PCI总线等等,防火墙的性能自然受到影响。纯软 件防火墙价格相对便宜,处理能力有限,一般用于个人PC 机。表 1 各种类型防火墙的比较硬件防火墙软硬件结合防火墙软件防火墙结 构用专用芯片ASIC处理数据包,CPU只用作管理之用。机箱+CPU+防火墙软件集成于一体(PCBOX结构)。运行在通用操作系统上,性能依靠于计算机CPU,内存等。操 作 系 统使用专用的操作系统平台,避免了通用性操作系统的安全性漏洞。采用专用或通用操作系统。基于众所周知的通用操作系统,对操作系统的安全依赖性很高。性 能安全与速度同时兼顾。没有用户限制。性价比较高。管理简单,快 捷。核心技术仍然为软件, 有时会形成网络带宽瓶颈。满足中低带宽要求,吞吐量较高