专利名称::基于微处理器的嵌入式防火墙的制作方法
技术领域:
:本发明涉及一种网络信息安全设备,具体为一种基于嵌入技术的分布式防火墙设备,部署于企业桌面计算机;也可用于单个PC的用户级防火墙设备。属数据网络信息安全领域。
背景技术:
:传统的集中式防火墙存在"防外不防内、流量集中、依赖拓扑结构"等缺点,而分布式防火墙则能够有效解决集中式防火墙的不足。分布式防火墙有两种实现方法一种是基于软件实现,在操作系统上加载防火墙软件,实现对操作系统的防护,但这种方式存在防火墙和操作系统的功能悖论,即谁保护谁的问题;第二种方式是基于硬件实现。这种方式独立于受保护的操作系统,能够有效地保护对象的安全。本次申请的专利就是基于硬件实现的一种嵌入式防火墙。传统的集中式专用防火墙大部分基于硬件来实现,主要有基于ASIC的嵌入式防火墙和基于网络处理器(NetworkProcessor,简称NP)的嵌入式防火墙。基于ASIC的嵌入式防火墙使用专门的硬件处理网络数据流,具有更好的性能。但是纯硬件的ASIC嵌入式防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。与基于ASIC的纯硬件嵌入式防火墙相比,基于网络处理器的嵌入式防火墙具有编程功能,因而更加具有灵活性。以Intel的IXP系列产品为代表,分为控制和处理(或称数据)两个平面。如Intel公司的IXP1200,控制平面是一个ARMCORE,负责维护系统信息和协调处理部分工作,处理平面由多个微引擎(MicroEngine)和其他专用硬件组成,负责利用控制平面下发的微代码和命令,直接处理网络数据。这类产品在对数据包进行简单过滤时性能较好,但是由于体系结构限制,尤其是微代码的开发相对复杂,导致灵活性较差,一般适合3层(IP层)及以下网络数据的处理。另一类产品以SiByte的Mercurian系列产品为代表,它基于MIPSCPU设计,如SB1250。它一方面保持了基于通用CPU设计的灵活性,另一方面通过SoC(SystemOnChip,片上系统)的方式消除了传统CPU、总线、设备之间带宽的瓶颈问题。这类产品灵活性较强,易于开发、升级和维护,适于构建速度可与专用ASIC相媲美的、完全可编程的网络处理平台。这些基于硬件实现的专用防火墙一般作用在内部网络与外部不可信任的网络之间,对进出网络的包进行检测和过滤,处理速度快,延迟小,能够满足目前越来越多的多媒体应用。但是他们的实现成本较高,在安全防护方面并不能将防护扩展到网络末端,实施对网络末端节点的完全脱离主机的综合性保护。对于网络末端的防护,国内外也有一些具体的安全产品,如基于PCI卡和PC卡形式的嵌入式防火墙,这类防火墙不受网络拓扑控制,完全独立于主机操作系统,强化整个网络台式机、服务器和笔记本,配合适当的安全策略,控制每个端点的网络访问,防止数据哄骗并能快速响应检测到的攻击,但这些防火墙必须替换原来的网卡,造成原有用户投资的损失。也有将Netfilter/Iptables作为一个嵌入式防火墙进行研究,提出了一种基于U盘的嵌入式防火墙的设计方法及其实现的技术。该防火墙基于x86硬件平台,将嵌入式系统软件全部集成在一个U盘中,并使防火墙能从U盘中启动。在设计中,该防火墙通过对Linux内核裁剪,实现了Linux系统通过USB端口中的U盘启动。同时,在系统中集成了嵌入式的Web服务器和用户的配置界面脚本程序,使用户通过Web界面对防火墙能方便地进行配置,实现其一定的实用价值,但是在嵌入式防火墙之间没有策略的交互学习关系,因此属于一种单点孤立防护。
发明内容针对集中式防火墙存在的缺陷以及现有嵌入式防火墙的不足,利用ARM的低成本、低功耗和高性能等特点,提出一种基于微处理器的嵌入式防火墙架构,并釆用32位嵌入式处理器AT91RM920T实现。下述两个具体目的1)为企业提供以下安全保护扩展到网络末端的综合性保护,无论局域网拓扑如何变化或连接源自何地;独立于主机操作系统并有效保护主机操作系统;采用策略定义安全性,为安全防护提供整体安全策略;支持各种服务器、台式机、移动式笔记本和远程节点的接入;对进出报文进行检测和过滤。2)为单个节点提供以下安全防护独立于主机操作系统并有效保护主机操作系统;釆用策略定义安全性;支持各种台式机或者笔记本电脑的接入;对进出报文进行检测和过滤。本发明为了克服集中式防火墙的缺陷和现有嵌入式防火墙的不足,提供一种完全独立于主机的、不受网络拓扑限制的、可以通过策略进行管理的百兆位嵌入式防火墙,在理论上使得每个网卡的处理能力达到全双工百兆比特位,在提高防火墙处理能力的同时,增强防火墙设备的安全性,并降低设备功耗。本发明的基于微处理器的嵌入式防火墙的技术方案是包括微处理器CPU、内存、电源模块、晶振模块、Flash芯片、第一片百兆网卡芯片、第二片百兆网卡芯片、第一部分调试电路、第二部分调试电路、第一块网络接口、第二块网络接口。其中内存的输入/输出端、Flash芯片的输入/输出端、第一片百兆网卡芯片的输入/输出端、第二片百兆网卡芯片的输入/输出端分别通过内部总线的连接方式与微处理器CPU相连,第一片百兆网卡芯片的输入/输出端连于第一块网络接口,第二片百兆网卡芯片的输入/输出端连于第二块网络接口,电源模块输出端、晶振模块的输出端分别连于微处理器的CPU,第一部分调试电路与第二部分调试电路分别连于微处理器的CPU,其中第一部分调试电路为串口调试,完成串口电平转换,第二部分调试电路为JTAG,采用排线与微处理器的CPU相连。本发明具有性价比高、灵活性强、功能完备等优点。图1为本发明的电路组成框图。图2为本发明的的具体实施图。具体实施例方式参见图l,图l本发明嵌入式防火墙,由CPU1,内存2,电源模块3,晶振模块4,FLASH芯片5,两片百兆网卡芯片6、7,调试电路8、9,两个网络接口10、ll组成。所述的CPU1与内存2,FLASH芯片5之间采用内部总线方式连接,所述的两个网卡芯片2、3分别与两个网络接口10、11相连。所述的调试电路8、9为整个设备提供软硬件的调试接口。参见图2,图2所示本发明的一种具体实施方式。所述百兆位嵌入式防火墙的CPU1采用SAMSUNG公司的32位处理器S3C2410X,它采用AT91RM920T处理器,主频可达203MHz,具有廉价、低功耗、小封装和高性能的特点;内存2采用的是SAMSUNG公司的K4S561632,它是4Mxl6bitx4bank的同步DRAM,容量为32MB,用2片K4S561632实现位扩展,使数据总线宽度达到32bit,总容量达到64MB;电源模块3采用3.3V和1.8V两种不同电压供电,外接5V稳压电源输入,通过一定的滤波、稳压和保护电路后,通过一片AS1117输出3.3V的电压,给S3C2410X,NORFlash,NANDFlash,SDRAM,DM9000A等芯片供电。S3C2410X的内核电压为1.8V供电,外围I/0口使用3.3V的电压,其中1.8V电压,由3.3V电压输入MIC5207芯片转换成1.8V,给CPU内核供电;FLASH芯片5釆用的使用的是SAMSUNG公司生产的NandFlash,型号K9F1208U,芯片容量为64MB,封装为48脚TS0P,供电电压为2.7V3.6V,页面大小为512Byte,每页冗余位为16位,所以数据寄存器大小为(512+16)Byte;NorFlash采用INTEL公司生产的E28F128J3A150,芯片容量为16M;两块百兆网卡6、7使用DAVICOM的一款DM9000A网口芯片,其基本特性是48PIN,10/100MLOCAL-BUSinterface,工作模式8/16bit,有AUTO—Mdix(自动翻转)、TCP/IP加速(checksumoffload)减轻CPU负担,提高整机效能,20ns响应时间,2.5V/3.3V低功耗;调试电路8为串口调试,使用MAX3232来完成串口电平转换,波特率最高可达115200bps;调试电路9为JTAG,使用排线连接,为了增强抗干扰能力,在每条信号线间加上地线一种20针的接口;两个网络接口10、11使用HanRun的HR911105A。权利要求1.一种基于微处理器的嵌入式防火墙,其特征在于,包括微处理器CPU(1)、内存(2)、电源模块(3)、晶振模块(4)、Flash芯片(5)、第一片百兆网卡芯片(6)、第二片百兆网卡芯片(7)、第一部分调试电路(8)、第二部分调试电路(9)、第一块网络接口(10)、第二块网络接口(11),其中内存(2)的输入/输出端、Flash芯片(5)的输入/输出端、第一片百兆网卡芯片(6)的输入/输出端、第二片百兆网卡芯片(7)的输入/输出端分别通过内部总线的连接方式与微处理器CPU(1)相连,第一片百兆网卡芯片(6)的输入/输出端连于第一块网络接口(10),第二片百兆网卡芯片(7)的输入/输出端连于第二块网络接口(11),电源模块(3)输出端、晶振模块(4)的输出端分别连于微处理器的CPU(1),第一部分调试电路(8)与第二部分调试电路(9)分别连于微处理器的CPU(1),其中第一部分调试电路(8)为串口调试,完成串口电平转换,第二部分调试电路(9)为JTAG,采用排线与微处理器的CPU(1)相连。全文摘要一种基于微处理器的嵌入式防火墙,属网络信息安全领域。本发明包括微处理器CPU(1)、内存(2)、电源模块(3)、晶振模块(4)、Flash芯片(5)、第一片百兆网卡芯片(6)、第二片百兆网卡芯片(7)、第一部分调试电路(8)、第二部分调试电路(9)、第一块网络接口(10)、第二块网络接口(11)。本发明与现有技术相比,成本低、功耗低、控制手段灵活、性能高,既可实现单点安全防护,也可实现企业范围内的整体安全防护。文档编号H04L29/06GK101222506SQ20081001885公开日2008年7月16日申请日期2008年1月28日优先权日2008年1月28日发明者峰张,兵陈申请人:南京航空航天大学