基于CPLD的嵌入式硬件网络墙原理初步探讨.docVIP

基于CPLD的嵌入式硬件网络墙原理初步探讨 内容提要：目前市场的防火墙产品主要以软件为主，而硬件级尤其是可在线升级的硬件级防火墙少之又少。本文讨论的就是以CPLD为核心器件的嵌入式的在线可升级的硬件级防火墙的设计思路。 关键词：网络硬件防火墙，嵌入式系统，’s principle and its configuration. Keywords:hardware firewall on net, Embedded system, cpld device 一? 前言防火墙的基本功能防火墙系统可以说是网络的第一道防线，通过对它的各种规则设置，使得合法的链路得以建立；而非法的连接将被禁止，同时通过各种手段屏蔽掉用户的隐私信息，以保障用户的对网络访问的安全。目前市面使用的防火墙大多是软件防火墙，当然必须承认软件防火墙有其价格便宜，安装方面，升级速度快等特点，但是由于其是加载在对应操作平台上的软件，因此毫无疑问会消耗安装系统的资源，降低其运算速度，并且软件防火墙还有致命的弱点，就是如果脱离了计算机的操作平台或者被相关的恶意程序强行关闭的话就无法发挥其作用，正是基于此，网络硬件防火墙被才越来越受人们的青睐。 防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务三大类，本文所讨论的硬件级防火墙是基于包过滤的嵌入式防火墙。通过对它的各种规则设置，使得合法的链路得以建立；而非法的连接将被禁止. 防火墙的软件实现 由于本文是进行的原理性介绍，因此仅以包过滤式的嵌入防火墙为例进行说明。软件采用VHDL语言编写，通过EPC2直接植入FPGA，其中的人机接口使用USB2.0接口芯片CY7C68013。 包过滤型网络防火墙，就是当网络传送过来的数据与防火墙中恶意特征码一致时，对其进行屏蔽性操作，从而保障了计算机的安全。现在我们假设有这么一个病毒数据“1111”，当其被传送过来时自动被防火墙屏蔽，数据变为“0”。 设计程序如下： 主程序： COMPONENT dff PORT(d:IN STD_LOGIC; clk: IN STD_LOGIC; q:OUT STD_LOGIC); END COMPONENT; SIGNAL q:STD_LOGIC_VECTOR(4 DOWNTO 0); BEGIN q(0)=di; label1:FOR i IN 0 TO 3 GENERATE dffx:dff PORT MAP(q(i),CP,q(i+1)); END GENERATE label1; process(cp) begin if q(3 downto 0)=1111then do=0; else do=q(4); end if; end process; END jcq; 子程序： LIBRARY IEEE; USE IEEE.STD_LOGIC_1164.ALL; ENTITY dff IS PORT(d:IN STD_LOGIC; clk: IN STD_LOGIC; q:OUT STD_LOGIC); END dff; ARCHItECTURE li OF dff IS Begin Process(clk) Begin If (clk=1and clkevent)then q=d; end if; end process; end li; 由于本文只讨论网络封包的过滤，未涉及TCP/IP协议中的各层数据包的过滤问题，如有需要则可参考相关文章进行操作，比如在各协议层添加用户过滤层加以实现。 三、嵌入式硬件防火墙的硬件结构原理3.1? 整体结构 本文介绍的嵌入式硬件防火墙以altera公司生产的EP1K100QC208-3为主芯片，它是ALTERA公司推出的ACEX1K系列下的一款FPGA芯片。片内有100，000可用门，有4，992个逻辑单元，内嵌12个EAB。每个EAB的容量为512Byte，可以非常方便地构造RAM、ROM、FIFO或双口RAM等功能。本设计中6KB的双口RAM正是基于此构建的。其有208个管脚，可用I/O管脚数为147个，上电时需要重新对芯片进行配置，基于本文此采用了20脚EPC2器件，利用其在线可编程的EPROM可方便的实现CPLD数据的存储和在线升级；接口芯片采用CY7C64013,它能提供标准USB 2.0，并且可以提供全速率的通讯服务，网络通讯芯片采用realtek公司的RTL8029AS,本系统的硬件原图如下： 图2.1 3.2? 核心芯片EP1K100QC208-3??? EP1K100QC208-3是一款FPGA芯片，它的最大好处就在于具有较强的软件升级功能，利用业界