專利名稱：：基于微處理器的嵌入式防火墻的制作方法
技術(shù)領(lǐng)域：
：本實用新型涉及一種網(wǎng)絡(luò)信息安全設(shè)備，具體為一種基于嵌入技術(shù)的分布式防火墻設(shè)備，部署于企業(yè)桌面計算機(jī)；也可用于單個PC的用戶級防火墻設(shè)備。屬數(shù)據(jù)網(wǎng)絡(luò)信息安全領(lǐng)域。
背景技術(shù)：
：-傳統(tǒng)的集中式防火墻存在"防外不防內(nèi)、流量集中、依賴拓?fù)浣Y(jié)構(gòu)"等缺點，而分布式防火墻則能夠有效解決集中式防火墻的不足。分布式防火墻有兩種實現(xiàn)方法一種是基于軟件實現(xiàn)，在操作系統(tǒng)上加載防火墻軟件，實現(xiàn)對操作系統(tǒng)的防護(hù)，但這種方式存在防火墻和操作系統(tǒng)的功能悖論，即誰保護(hù)誰的問題；第二種方式是基于硬件實現(xiàn)。這種方式獨立于受保護(hù)的操作系統(tǒng)，能夠有效地保護(hù)對象的安全。本次申請的專利就是基于硬件實現(xiàn)的一種嵌入式防火墻。傳統(tǒng)的集中式專用防火墻大部分基于硬件來實現(xiàn)，主要有基于ASIC的嵌入式防火墻和基于網(wǎng)絡(luò)處理器(NetworkProcessor,簡稱NP)的嵌入式防火墻?；贏SIC的嵌入式防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，具有更好的性能。但是純硬件的ASIC嵌入式防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。與基于ASIC的純硬件嵌入式防火墻相比，基于網(wǎng)絡(luò)處理器的嵌入式防火墻具有編程功能，因而更加具有靈活性。以Intel的IXP系列產(chǎn)品為代表，分為控制和處理(或稱數(shù)據(jù))兩個平面。如lntel公司的IXP1200，控制平面是一個ARMCORE，負(fù)責(zé)維護(hù)系統(tǒng)信息和協(xié)調(diào)處理部分工作，處理平面由多個微引擎(MicroEngine)和其他專用硬件組成，負(fù)責(zé)利用控制平面下發(fā)的微代碼和命令，直接處理網(wǎng)絡(luò)數(shù)據(jù)。這類產(chǎn)品在對數(shù)據(jù)包進(jìn)行簡單過濾時性能較好，但是由于體系結(jié)構(gòu)限制，尤其是微代碼的開發(fā)相對復(fù)雜，導(dǎo)致靈活性較差，一般適合3層(IP層)及以下網(wǎng)絡(luò)數(shù)據(jù)的處理。另一類產(chǎn)品以SiByte的Mercurian系列產(chǎn)品為代表，它基于MIPSCPU設(shè)計，如SB1250。它一方面保持了基于通用CPU設(shè)計的靈活性，另一方面通過SoC(SystemOnChip,片上系統(tǒng))的方式消除了傳統(tǒng)CPU、總線、設(shè)備之間帶寬的瓶頸問題。這類產(chǎn)品靈活性較強(qiáng)，易于開發(fā)、升級和維護(hù)，適于構(gòu)建速度可與專用ASIC相媲美的、完全可編程的網(wǎng)絡(luò)處理平臺。這些基于硬件實現(xiàn)的專用防火墻一般作用在內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)之間，對進(jìn)出網(wǎng)絡(luò)的包進(jìn)行檢測和過濾，處理速度快，延遲小，能夠滿足目前越來越多的多媒體應(yīng)用。但是他們的實現(xiàn)成本較高，在安全防護(hù)方面并不能將防護(hù)擴(kuò)展到網(wǎng)絡(luò)末端，實施對網(wǎng)絡(luò)末端節(jié)點的完全脫離主機(jī)的綜合性保護(hù)。對于網(wǎng)絡(luò)末端的防護(hù)，國內(nèi)外也有一些具體的安全產(chǎn)品，如基于PCI卡和PC卡形式的嵌入式防火墻，這類防火墻不受網(wǎng)絡(luò)拓?fù)淇刂疲耆毩⒂谥鳈C(jī)操作系統(tǒng)，強(qiáng)化整個網(wǎng)絡(luò)臺式機(jī)、服務(wù)器和筆記本，配合適當(dāng)?shù)陌踩呗?，控制每個端點的網(wǎng)絡(luò)訪問，防止數(shù)據(jù)哄騙并能快速響應(yīng)檢測到的攻擊，但這些防火墻必須替換原來的網(wǎng)卡，造成原有用戶投資的損失。也有將Netfilter/Iptables作為一個嵌入式防火墻進(jìn)行研究，提出了一種基于U盤的嵌入式防火墻的設(shè)計方法及其實現(xiàn)的技術(shù)。該防火墻基于x86硬件平臺，將嵌入式系統(tǒng)軟件全部集成在一個U盤中，并使防火墻能從U盤中啟動。在設(shè)計中，該防火墻通過對Linux內(nèi)核裁剪，實現(xiàn)了Linux系統(tǒng)通過USB端口中的U盤啟動。同時，在系統(tǒng)中集成了嵌入式的Web服務(wù)器和用戶的配置界面腳本程序，使用戶通過Web界面對防火墻能方便地進(jìn)行配置，實現(xiàn)其一定的實用價值，但是在嵌入式防火墻之間沒有策略的交互學(xué)習(xí)關(guān)系，因此屬于一種單點孤立防護(hù)。
實用新型內(nèi)容針對集中式防火墻存在的缺陷以及現(xiàn)有嵌入式防火墻的不足，利用ARM的低成本、低功耗和高性能等特點，提出一種基于微處理器的嵌入式防火墻架構(gòu)，并采用32位嵌入式處理器AT91RM920T實現(xiàn)。下述兩個具體目的1)為企業(yè)提供以下安全保護(hù)擴(kuò)展到網(wǎng)絡(luò)末端的綜合性保護(hù)，無論局域網(wǎng)拓?fù)淙绾巫兓蜻B接源自何地；獨立于主機(jī)操作系統(tǒng)并有效保護(hù)主機(jī)操作系統(tǒng)；采用策略定義安全性，為安全防護(hù)提供整體安全策略；支持各種服務(wù)器、臺式機(jī)、移動式筆記本和遠(yuǎn)程節(jié)點的接入；對進(jìn)出報文進(jìn)行檢測和過濾。2)為單個節(jié)點提供以下安全防護(hù)獨立于主機(jī)操作系統(tǒng)并有效保護(hù)主機(jī)操作系統(tǒng)；釆用策略定義安全性；支持各種臺式機(jī)或者筆記本電腦的接入；對進(jìn)出報文進(jìn)行檢測和過濾。本實用新型為了克服集中式防火墻的缺陷和現(xiàn)有嵌入式防火墻的不足，提供一種完全獨立于主機(jī)的、不受網(wǎng)絡(luò)拓?fù)湎拗频?、可以通過策略進(jìn)行管理的百兆位嵌入式防火墻，在理論上使得每個網(wǎng)卡的處理能力達(dá)到全雙工百兆比特位，在提高防火墻處理能力的同時，增強(qiáng)防火墻設(shè)備的安全性，并降低設(shè)備功耗。本實用新型的基于微處理器的嵌入式防火墻的技術(shù)方案是包括微處理器CPU、內(nèi)存、電源模塊、晶振模塊、Flash芯片、第一片百兆網(wǎng)卡芯片、第二片百兆網(wǎng)卡芯片、第一部分調(diào)試電路、第二部分調(diào)試電路、第一塊網(wǎng)絡(luò)接口、第二塊網(wǎng)絡(luò)接口。其中內(nèi)存的輸入/輸出端、Flash芯片的輸入/輸出端、第一片百兆網(wǎng)卡芯片的輸入/輸出端、第二片百兆網(wǎng)卡芯片的輸入/輸出端分別通過內(nèi)部總線的連接方式與微處理器CPU相連，第一片百兆網(wǎng)卡芯片的輸入/輸出端連于第一塊網(wǎng)絡(luò)接口，第二片百兆網(wǎng)卡芯片的輸入/輸出端連于第二塊網(wǎng)絡(luò)接口，電源模塊輸出端、晶振模塊的輸出端分別連于微處理器的CPU，第一部分調(diào)試電路與第二部分調(diào)試電路分別連于微處理器的CPU，其中第一部分調(diào)試電路為串口調(diào)試，完成串口電平轉(zhuǎn)換，第二部分調(diào)試電路為JTAG，采用排線與微處理器的CPU相連。本實用新型具有性價比高、靈活性強(qiáng)、功能完備等優(yōu)點。圖l為本實用新型的電路組成框圖。圖2為本實用新型的的具體實施圖。具體實施方式參見圖l，圖1本實用新型嵌入式防火墻，由CPU1，內(nèi)存2，電源模塊3，晶振模塊4，F(xiàn)LASH芯片5，兩片百兆網(wǎng)卡芯片6、7，調(diào)試電路8、9，兩個網(wǎng)絡(luò)接口10、ll組成。所述的CPU1與內(nèi)存2，F(xiàn)LASH芯片5之間采用內(nèi)部總線方式連接，所述的兩個網(wǎng)卡芯片2、3分別與兩個網(wǎng)絡(luò)接口10、ll相連。所述的調(diào)試電路8、9為整個設(shè)備提供軟硬件的調(diào)試接口。參見圖2，圖2所示本實用新型的一種的具體實施方式。所述百兆位嵌入式防火墻的CPU1采用SAMSUNG公司的32位處理器S3C2410X，它采用AT91RM920T處理器，主頻可達(dá)203MHz，具有廉價、低功耗、小封裝和高性能的特點；內(nèi)存2采用的是SAMSUNG公司的K4S561632，它是4Mxl6bitx4bank的同步DRAM，容量為32MB，用2片K4S561632實現(xiàn)位擴(kuò)展，使數(shù)據(jù)總線寬度達(dá)到32bit，總?cè)萘窟_(dá)到64MB;電源模塊3采用3.3V和1.8V兩種不同電壓供電，外接5V穩(wěn)壓電源輸入，通過一定的濾波、穩(wěn)壓和保護(hù)電路后，通過一片AS1117輸出3.3V的電壓，給S3C2410X，NORFlash,NANDFlash,SDRAM,DM9000A等芯片供電。S3C2410X的內(nèi)核電壓為1.8V供電，外圍I/O口使用3.3V的電壓，其中1.8V電壓，由3.3V電壓輸入MIC5207芯片轉(zhuǎn)換成1.8V，給CPU內(nèi)核供電；FLASH芯片5采用的使用的是SAMSUNG公司生產(chǎn)的NandFlash，型號K9F1208U，芯片容量為64MB,封裝為48腳TS0P，供電電壓為2.7V3.6V，頁面大小為512Byte，每頁冗余位為16位，所以數(shù)據(jù)寄存器大小為(512+16)Byte;NorFlash采用INTEL公司生產(chǎn)的E28F128J3A150，芯片容量為16M;兩塊百兆網(wǎng)卡6、7使用DAVICOM的一款DM9000A網(wǎng)口芯片，其基本特性是48PIN，10/100MLOCAL-BUSinterface,工作模式8/16bit，有AUTO—Mdix(自動翻轉(zhuǎn))、TCP/IP加速(checksumoffload)減輕CPU負(fù)擔(dān)，提高整機(jī)效能，20ns響應(yīng)時間，2.5V/3.3V低功耗；調(diào)試電路8為串口調(diào)試，使用MAX3232來完成串口電平轉(zhuǎn)換，波特率最高可達(dá)115200bps;調(diào)試電路9為JTAG，使用排線連接，為了增強(qiáng)抗干擾能力，在每條信號線間加上地線一種20針的接口；兩個網(wǎng)絡(luò)接口10、11使用HanRun的服911105A。權(quán)利要求1.一種基于微處理器的嵌入式防火墻，其特征在于，包括微處理器CPU(1)、內(nèi)存(2)、電源模塊(3)、晶振模塊(4)、Flash芯片(5)、第一片百兆網(wǎng)卡芯片(6)、第二片百兆網(wǎng)卡芯片(7)、第一部分調(diào)試電路(8)、第二部分調(diào)試電路(9)、第一塊網(wǎng)絡(luò)接口(10)、第二塊網(wǎng)絡(luò)接口(11)，其中內(nèi)存(2)的輸入/輸出端、Flash芯片(5)的輸入/輸出端、第一片百兆網(wǎng)卡芯片(6)的輸入/輸出端、第二片百兆網(wǎng)卡芯片(7)的輸入/輸出端分別通過內(nèi)部總線的連接方式與微處理器CPU(1)相連，第一片百兆網(wǎng)卡芯片(6)的輸入/輸出端連于第一塊網(wǎng)絡(luò)接口(10)，第二片百兆網(wǎng)卡芯片(7)的輸入/輸出端連于第二塊網(wǎng)絡(luò)接口(11)，電源模塊(3)輸出端、晶振模塊(4)的輸出端分別連于微處理器的CPU(1)，第一部分調(diào)試電路(8)與第二部分調(diào)試電路(9)分別連于微處理器的CPU(1)，其中第一部分調(diào)試電路(8)為串口調(diào)試，完成串口電平轉(zhuǎn)換，第二部分調(diào)試電路(9)為JTAG，采用排線與微處理器的CPU(1)相連。專利摘要一種基于微處理器的嵌入式防火墻，屬網(wǎng)絡(luò)信息安全領(lǐng)域。本包括微處理器CPU(1)、內(nèi)存(2)、電源模塊(3)、晶振模塊(4)、Flash芯片(5)、第一片百兆網(wǎng)卡芯片(6)、第二片百兆網(wǎng)卡芯片(7)、第一部分調(diào)試電路(8)、第二部分調(diào)試電路(9)、第一塊網(wǎng)絡(luò)接口(10)、第二塊網(wǎng)絡(luò)接口(11)。本實用新型與現(xiàn)有技術(shù)相比，成本低、功耗低、控制手段靈活、性能高，既可實現(xiàn)單點安全防護(hù)，也可實現(xiàn)企業(yè)范圍內(nèi)的整體安全防護(hù)。文檔編號H04L29/06GK201146537SQ20082003111公開日2008年11月5日申請日期2008年1月28日優(yōu)先權(quán)日2008年1月28日發(fā)明者峰張,兵陳申請人:南京航空航天大學(xué)