專利名稱::基于微處理器的嵌入式防火墻的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及一種網(wǎng)絡(luò)信息安全設(shè)備����,具體為一種基于嵌入技術(shù)的分布式防火墻設(shè)備,部署于企業(yè)桌面計(jì)算機(jī)���;也可用于單個(gè)PC的用戶級(jí)防火墻設(shè)備�。屬數(shù)據(jù)網(wǎng)絡(luò)信息安全領(lǐng)域����。
背景技術(shù):
:傳統(tǒng)的集中式防火墻存在"防外不防內(nèi)��、流量集中�、依賴拓?fù)浣Y(jié)構(gòu)"等缺點(diǎn)�,而分布式防火墻則能夠有效解決集中式防火墻的不足。分布式防火墻有兩種實(shí)現(xiàn)方法一種是基于軟件實(shí)現(xiàn)����,在操作系統(tǒng)上加載防火墻軟件,實(shí)現(xiàn)對(duì)操作系統(tǒng)的防護(hù)�����,但這種方式存在防火墻和操作系統(tǒng)的功能悖論����,即誰保護(hù)誰的問題;第二種方式是基于硬件實(shí)現(xiàn)����。這種方式獨(dú)立于受保護(hù)的操作系統(tǒng)�����,能夠有效地保護(hù)對(duì)象的安全。本次申請(qǐng)的專利就是基于硬件實(shí)現(xiàn)的一種嵌入式防火墻�。傳統(tǒng)的集中式專用防火墻大部分基于硬件來實(shí)現(xiàn),主要有基于ASIC的嵌入式防火墻和基于網(wǎng)絡(luò)處理器(NetworkProcessor,簡(jiǎn)稱NP)的嵌入式防火墻�����?��;贏SIC的嵌入式防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流�����,具有更好的性能�����。但是純硬件的ASIC嵌入式防火墻缺乏可編程性�,這就使得它缺乏靈活性��,從而跟不上防火墻功能的快速發(fā)展�。與基于ASIC的純硬件嵌入式防火墻相比,基于網(wǎng)絡(luò)處理器的嵌入式防火墻具有編程功能����,因而更加具有靈活性�����。以Intel的IXP系列產(chǎn)品為代表����,分為控制和處理(或稱數(shù)據(jù))兩個(gè)平面�。如Intel公司的IXP1200,控制平面是一個(gè)ARMCORE,負(fù)責(zé)維護(hù)系統(tǒng)信息和協(xié)調(diào)處理部分工作����,處理平面由多個(gè)微引擎(MicroEngine)和其他專用硬件組成,負(fù)責(zé)利用控制平面下發(fā)的微代碼和命令���,直接處理網(wǎng)絡(luò)數(shù)據(jù)�����。這類產(chǎn)品在對(duì)數(shù)據(jù)包進(jìn)行簡(jiǎn)單過濾時(shí)性能較好�,但是由于體系結(jié)構(gòu)限制�,尤其是微代碼的開發(fā)相對(duì)復(fù)雜,導(dǎo)致靈活性較差����,一般適合3層(IP層)及以下網(wǎng)絡(luò)數(shù)據(jù)的處理。另一類產(chǎn)品以SiByte的Mercurian系列產(chǎn)品為代表�����,它基于MIPSCPU設(shè)計(jì)�,如SB1250。它一方面保持了基于通用CPU設(shè)計(jì)的靈活性�,另一方面通過SoC(SystemOnChip,片上系統(tǒng))的方式消除了傳統(tǒng)CPU、總線��、設(shè)備之間帶寬的瓶頸問題���。這類產(chǎn)品靈活性較強(qiáng)��,易于開發(fā)��、升級(jí)和維護(hù)�,適于構(gòu)建速度可與專用ASIC相媲美的�、完全可編程的網(wǎng)絡(luò)處理平臺(tái)。這些基于硬件實(shí)現(xiàn)的專用防火墻一般作用在內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)之間���,對(duì)進(jìn)出網(wǎng)絡(luò)的包進(jìn)行檢測(cè)和過濾�,處理速度快,延遲小���,能夠滿足目前越來越多的多媒體應(yīng)用���。但是他們的實(shí)現(xiàn)成本較高,在安全防護(hù)方面并不能將防護(hù)擴(kuò)展到網(wǎng)絡(luò)末端�����,實(shí)施對(duì)網(wǎng)絡(luò)末端節(jié)點(diǎn)的完全脫離主機(jī)的綜合性保護(hù)����。對(duì)于網(wǎng)絡(luò)末端的防護(hù),國(guó)內(nèi)外也有一些具體的安全產(chǎn)品���,如基于PCI卡和PC卡形式的嵌入式防火墻����,這類防火墻不受網(wǎng)絡(luò)拓?fù)淇刂?��,完全?dú)立于主機(jī)操作系統(tǒng)����,強(qiáng)化整個(gè)網(wǎng)絡(luò)臺(tái)式機(jī)、服務(wù)器和筆記本����,配合適當(dāng)?shù)陌踩呗?���,控制每個(gè)端點(diǎn)的網(wǎng)絡(luò)訪問,防止數(shù)據(jù)哄騙并能快速響應(yīng)檢測(cè)到的攻擊��,但這些防火墻必須替換原來的網(wǎng)卡���,造成原有用戶投資的損失�。也有將Netfilter/Iptables作為一個(gè)嵌入式防火墻進(jìn)行研究���,提出了一種基于U盤的嵌入式防火墻的設(shè)計(jì)方法及其實(shí)現(xiàn)的技術(shù)���。該防火墻基于x86硬件平臺(tái),將嵌入式系統(tǒng)軟件全部集成在一個(gè)U盤中���,并使防火墻能從U盤中啟動(dòng)����。在設(shè)計(jì)中,該防火墻通過對(duì)Linux內(nèi)核裁剪����,實(shí)現(xiàn)了Linux系統(tǒng)通過USB端口中的U盤啟動(dòng)。同時(shí)��,在系統(tǒng)中集成了嵌入式的Web服務(wù)器和用戶的配置界面腳本程序��,使用戶通過Web界面對(duì)防火墻能方便地進(jìn)行配置�,實(shí)現(xiàn)其一定的實(shí)用價(jià)值,但是在嵌入式防火墻之間沒有策略的交互學(xué)習(xí)關(guān)系�,因此屬于一種單點(diǎn)孤立防護(hù)。
發(fā)明內(nèi)容針對(duì)集中式防火墻存在的缺陷以及現(xiàn)有嵌入式防火墻的不足�,利用ARM的低成本、低功耗和高性能等特點(diǎn)�,提出一種基于微處理器的嵌入式防火墻架構(gòu),并釆用32位嵌入式處理器AT91RM920T實(shí)現(xiàn)�。下述兩個(gè)具體目的1)為企業(yè)提供以下安全保護(hù)擴(kuò)展到網(wǎng)絡(luò)末端的綜合性保護(hù),無論局域網(wǎng)拓?fù)淙绾巫兓蜻B接源自何地�;獨(dú)立于主機(jī)操作系統(tǒng)并有效保護(hù)主機(jī)操作系統(tǒng);采用策略定義安全性��,為安全防護(hù)提供整體安全策略��;支持各種服務(wù)器�、臺(tái)式機(jī)�、移動(dòng)式筆記本和遠(yuǎn)程節(jié)點(diǎn)的接入����;對(duì)進(jìn)出報(bào)文進(jìn)行檢測(cè)和過濾。2)為單個(gè)節(jié)點(diǎn)提供以下安全防護(hù)獨(dú)立于主機(jī)操作系統(tǒng)并有效保護(hù)主機(jī)操作系統(tǒng)�;釆用策略定義安全性;支持各種臺(tái)式機(jī)或者筆記本電腦的接入����;對(duì)進(jìn)出報(bào)文進(jìn)行檢測(cè)和過濾��。本發(fā)明為了克服集中式防火墻的缺陷和現(xiàn)有嵌入式防火墻的不足�����,提供一種完全獨(dú)立于主機(jī)的��、不受網(wǎng)絡(luò)拓?fù)湎拗频?�、可以通過策略進(jìn)行管理的百兆位嵌入式防火墻����,在理論上使得每個(gè)網(wǎng)卡的處理能力達(dá)到全雙工百兆比特位,在提高防火墻處理能力的同時(shí)���,增強(qiáng)防火墻設(shè)備的安全性����,并降低設(shè)備功耗。本發(fā)明的基于微處理器的嵌入式防火墻的技術(shù)方案是包括微處理器CPU�����、內(nèi)存��、電源模塊����、晶振模塊、Flash芯片����、第一片百兆網(wǎng)卡芯片、第二片百兆網(wǎng)卡芯片�����、第一部分調(diào)試電路���、第二部分調(diào)試電路�����、第一塊網(wǎng)絡(luò)接口��、第二塊網(wǎng)絡(luò)接口��。其中內(nèi)存的輸入/輸出端����、Flash芯片的輸入/輸出端、第一片百兆網(wǎng)卡芯片的輸入/輸出端��、第二片百兆網(wǎng)卡芯片的輸入/輸出端分別通過內(nèi)部總線的連接方式與微處理器CPU相連��,第一片百兆網(wǎng)卡芯片的輸入/輸出端連于第一塊網(wǎng)絡(luò)接口��,第二片百兆網(wǎng)卡芯片的輸入/輸出端連于第二塊網(wǎng)絡(luò)接口�,電源模塊輸出端���、晶振模塊的輸出端分別連于微處理器的CPU����,第一部分調(diào)試電路與第二部分調(diào)試電路分別連于微處理器的CPU����,其中第一部分調(diào)試電路為串口調(diào)試����,完成串口電平轉(zhuǎn)換�����,第二部分調(diào)試電路為JTAG�����,采用排線與微處理器的CPU相連����。本發(fā)明具有性價(jià)比高、靈活性強(qiáng)��、功能完備等優(yōu)點(diǎn)����。圖1為本發(fā)明的電路組成框圖。圖2為本發(fā)明的的具體實(shí)施圖���。具體實(shí)施例方式參見圖l���,圖l本發(fā)明嵌入式防火墻�,由CPU1����,內(nèi)存2,電源模塊3,晶振模塊4�����,F(xiàn)LASH芯片5�,兩片百兆網(wǎng)卡芯片6、7����,調(diào)試電路8���、9��,兩個(gè)網(wǎng)絡(luò)接口10���、ll組成。所述的CPU1與內(nèi)存2��,F(xiàn)LASH芯片5之間采用內(nèi)部總線方式連接,所述的兩個(gè)網(wǎng)卡芯片2����、3分別與兩個(gè)網(wǎng)絡(luò)接口10、11相連��。所述的調(diào)試電路8�、9為整個(gè)設(shè)備提供軟硬件的調(diào)試接口。參見圖2�,圖2所示本發(fā)明的一種具體實(shí)施方式。所述百兆位嵌入式防火墻的CPU1采用SAMSUNG公司的32位處理器S3C2410X���,它采用AT91RM920T處理器�,主頻可達(dá)203MHz��,具有廉價(jià)��、低功耗��、小封裝和高性能的特點(diǎn)�;內(nèi)存2采用的是SAMSUNG公司的K4S561632,它是4Mxl6bitx4bank的同步DRAM���,容量為32MB�����,用2片K4S561632實(shí)現(xiàn)位擴(kuò)展��,使數(shù)據(jù)總線寬度達(dá)到32bit���,總?cè)萘窟_(dá)到64MB;電源模塊3采用3.3V和1.8V兩種不同電壓供電���,外接5V穩(wěn)壓電源輸入,通過一定的濾波����、穩(wěn)壓和保護(hù)電路后,通過一片AS1117輸出3.3V的電壓���,給S3C2410X����,NORFlash,NANDFlash,SDRAM,DM9000A等芯片供電�����。S3C2410X的內(nèi)核電壓為1.8V供電�����,外圍I/0口使用3.3V的電壓���,其中1.8V電壓��,由3.3V電壓輸入MIC5207芯片轉(zhuǎn)換成1.8V��,給CPU內(nèi)核供電��;FLASH芯片5釆用的使用的是SAMSUNG公司生產(chǎn)的NandFlash�,型號(hào)K9F1208U�����,芯片容量為64MB�����,封裝為48腳TS0P�,供電電壓為2.7V3.6V,頁(yè)面大小為512Byte�,每頁(yè)冗余位為16位�,所以數(shù)據(jù)寄存器大小為(512+16)Byte;NorFlash采用INTEL公司生產(chǎn)的E28F128J3A150�,芯片容量為16M;兩塊百兆網(wǎng)卡6、7使用DAVICOM的一款DM9000A網(wǎng)口芯片�,其基本特性是48PIN,10/100MLOCAL-BUSinterface,工作模式8/16bit,有AUTO—Mdix(自動(dòng)翻轉(zhuǎn))�、TCP/IP加速(checksumoffload)減輕CPU負(fù)擔(dān),提高整機(jī)效能�����,20ns響應(yīng)時(shí)間�,2.5V/3.3V低功耗;調(diào)試電路8為串口調(diào)試���,使用MAX3232來完成串口電平轉(zhuǎn)換����,波特率最高可達(dá)115200bps;調(diào)試電路9為JTAG���,使用排線連接���,為了增強(qiáng)抗干擾能力,在每條信號(hào)線間加上地線一種20針的接口���;兩個(gè)網(wǎng)絡(luò)接口10�、11使用HanRun的HR911105A�。權(quán)利要求1.一種基于微處理器的嵌入式防火墻,其特征在于���,包括微處理器CPU(1)���、內(nèi)存(2)、電源模塊(3)��、晶振模塊(4)�����、Flash芯片(5)��、第一片百兆網(wǎng)卡芯片(6)�����、第二片百兆網(wǎng)卡芯片(7)����、第一部分調(diào)試電路(8)���、第二部分調(diào)試電路(9)、第一塊網(wǎng)絡(luò)接口(10)�、第二塊網(wǎng)絡(luò)接口(11),其中內(nèi)存(2)的輸入/輸出端�����、Flash芯片(5)的輸入/輸出端��、第一片百兆網(wǎng)卡芯片(6)的輸入/輸出端����、第二片百兆網(wǎng)卡芯片(7)的輸入/輸出端分別通過內(nèi)部總線的連接方式與微處理器CPU(1)相連,第一片百兆網(wǎng)卡芯片(6)的輸入/輸出端連于第一塊網(wǎng)絡(luò)接口(10)����,第二片百兆網(wǎng)卡芯片(7)的輸入/輸出端連于第二塊網(wǎng)絡(luò)接口(11),電源模塊(3)輸出端����、晶振模塊(4)的輸出端分別連于微處理器的CPU(1),第一部分調(diào)試電路(8)與第二部分調(diào)試電路(9)分別連于微處理器的CPU(1)�,其中第一部分調(diào)試電路(8)為串口調(diào)試,完成串口電平轉(zhuǎn)換���,第二部分調(diào)試電路(9)為JTAG���,采用排線與微處理器的CPU(1)相連。全文摘要一種基于微處理器的嵌入式防火墻��,屬網(wǎng)絡(luò)信息安全領(lǐng)域����。本發(fā)明包括微處理器CPU(1)、內(nèi)存(2)��、電源模塊(3)�����、晶振模塊(4)��、Flash芯片(5)����、第一片百兆網(wǎng)卡芯片(6)、第二片百兆網(wǎng)卡芯片(7)�����、第一部分調(diào)試電路(8)、第二部分調(diào)試電路(9)��、第一塊網(wǎng)絡(luò)接口(10)��、第二塊網(wǎng)絡(luò)接口(11)����。本發(fā)明與現(xiàn)有技術(shù)相比,成本低��、功耗低����、控制手段靈活、性能高�,既可實(shí)現(xiàn)單點(diǎn)安全防護(hù),也可實(shí)現(xiàn)企業(yè)范圍內(nèi)的整體安全防護(hù)���。文檔編號(hào)H04L29/06GK101222506SQ20081001885公開日2008年7月16日申請(qǐng)日期2008年1月28日優(yōu)先權(quán)日2008年1月28日發(fā)明者峰張,兵陳申請(qǐng)人:南京航空航天大學(xué)