全文摘要
本实用新型涉及一种现场可编程门阵列防火墙装置,属于计算机网络安技术领域。本实用新型现场可编程门阵列防火墙装置包括CPU中央处理器、内存、外存、PCIE总线接口、FPGA现场可编程门阵列、外部网络接口和内部网络接口。本实用新型通过CPU对FPGA器件进行初始化、配置和管理,对网络规则表维护升级,并将嵌入式数据包过滤软件及规则表装载到FPGA中。本实用新型提出的FPGA防火墙装置中的通用CPU和操作系统不参与网络数据包的解析和过滤,只进行FPGA的配置与管理,因此其安全性与通用CPU和操作系统无关,可免受硬件恶意后门和软件安全漏洞的威胁。
主设计要求
1.一种基于现场可编程门阵列的防火墙装置,其特征在于该防火墙装置包括:中央处理器,用于对现场可编程门阵列器件进行初始化、配置和管理,对现场可编程门阵列器件的运算逻辑、连线资源和I\/O模块进行配置,构建用于数据包收发、分类以及固定字段模式匹配的专用任务运算电路,对网络规则表维护升级,并将嵌入式数据包过滤软件装载到现场可编程门阵列器件,中央处理器通过内部总线与内存相连,中央处理器与高速串行计算机扩展总线相连;内存,用于暂时存放中央处理器中的运算数据,以及中央处理器与外部存储器交换的数据,内存与中央处理器相连;外存,用于存放防火墙装置运行的程序和数据,外存与高速串行计算机扩展总线相连;高速串行计算机扩展总线接口,用于现场可编程门阵列器件与中央处理器的互相连接,高速串行计算机扩展总线接口分别与高速串行计算机扩展总线和现场可编程门阵列器件相连;现场可编程门阵列器件,用于网络数据包监视和过滤;现场可编程门阵列器件通过高速串行计算机扩展总线接口与中央处理器相连,现场可编程门阵列器件分别与外部网络接口和内部网络接口相连;外部网络接口,用于接收外部网络数据,并将外部网络数据传送给现场可编程门阵列器件;内部网络接口,用于将现场可编程门阵列器件过滤后的网络数据发送到内部网络。
设计方案
1.一种基于现场可编程门阵列的防火墙装置,其特征在于该防火墙装置包括:
中央处理器,用于对现场可编程门阵列器件进行初始化、配置和管理,对现场可编程门阵列器件的运算逻辑、连线资源和I\/O模块进行配置,构建用于数据包收发、分类以及固定字段模式匹配的专用任务运算电路,对网络规则表维护升级,并将嵌入式数据包过滤软件装载到现场可编程门阵列器件,中央处理器通过内部总线与内存相连,中央处理器与高速串行计算机扩展总线相连;
内存,用于暂时存放中央处理器中的运算数据,以及中央处理器与外部存储器交换的数据,内存与中央处理器相连;
外存,用于存放防火墙装置运行的程序和数据,外存与高速串行计算机扩展总线相连;
高速串行计算机扩展总线接口,用于现场可编程门阵列器件与中央处理器的互相连接,高速串行计算机扩展总线接口分别与高速串行计算机扩展总线和现场可编程门阵列器件相连;
现场可编程门阵列器件,用于网络数据包监视和过滤;现场可编程门阵列器件通过高速串行计算机扩展总线接口与中央处理器相连,现场可编程门阵列器件分别与外部网络接口和内部网络接口相连;
外部网络接口,用于接收外部网络数据,并将外部网络数据传送给现场可编程门阵列器件;
内部网络接口,用于将现场可编程门阵列器件过滤后的网络数据发送到内部网络。
设计说明书
技术领域
本实用新型涉及一种基于现场可编程门阵列的防火墙装置,即一种采用FPGA(Field Programmable Gate Array)现场可编程门阵列器件的防火墙装置,属于计算机网络安技术领域。
背景技术
防火墙是位于外部网络和内部网络之间的信息安全防护设备,它按照预先定义好的安全策略和规则,监视和控制外部用户对内部资源的访问,对进出内、外网络的通讯数据进行解析和过滤,从而可最大限度地阻挡互联网上的各种非法访问和网络攻击。
网络中的数据是由一个个数据包组成,防火墙对每个数据包的解析和过滤要耗费系统资源。已有的防火墙的结构如图1所示,是在x86通用CPU中央处理器硬件平台和通用操作系统环境下,利用专门的分组信息过滤软件来实现的。随着网络流量和网络应用种类的不断增长,对网络数据流的实时分析和过滤所面临的压力越来越大,受通用CPU串行处理能力和PCI总线速度的制约,现有防火墙很难应对目前的网络数据内容过滤和实时处理的要求,难以适应当前快速增长的网络速度。此外,基于x86通用处理器硬件平台和通用操作系统的防火墙,其安全性主要依赖于通用CPU和操作系统,因此存在较大的硬件恶意后门和软件安全漏洞的安全风险。
发明内容
本实用新型的目的是提出一种基于现场可编程门阵列的防火墙装置,用于进行数据包过滤,其中的现场可编程门阵列(以下简称FPGA)器件作为独立的子系统,以并行处理方式对数据包进行解析和过滤,以大幅度降低防火墙的安全过滤延迟,提高防火墙的处理能力
本实用新型提出的基于现场可编程门阵列的防火墙装置,包括:
中央处理器,用于对现场可编程门阵列器件进行初始化、配置和管理,对现场可编程门阵列器件的运算逻辑、连线资源和I\/O模块进行配置,构建用于数据包收发、分类以及固定字段模式匹配的专用任务运算电路,对网络规则表维护升级,并将嵌入式数据包过滤软件装载到现场可编程门阵列器件,中央处理器通过内部总线与内存相连;
内存,用于暂时存放中央处理器中的运算数据,以及中央处理器与外部存储器交换的数据;
外存,用于存放防火墙装置运行的程序和数据,外存与中央处理器之间通过高速串行计算机扩展总线相连;
高速串行计算机扩展总线接口,用于现场可编程门阵列器件与中央处理器的互相连接;
现场可编程门阵列器件,用于运行嵌入式数据包过滤软件,并根据规则表对进出现场可编程门阵列器件的网络数据包进行监视和过滤,在网络数据包的网络层中使用专用任务运算电路实现数据包的收发、分类以及固定字段模式匹配,在网络数据包的应用层中利用嵌入式软件解析和过滤网络数据包,若数据包满足规则表内的规则,则现场可编程门阵列器件将该数据包通过内部网络接口发送给内部网络,若数据包不满足规则表内的规则,则现场可编程门阵列器件直接丢弃该数据包,现场可编程门阵列器件通过高速串行计算机扩展总线接口与中央处理器相连,现场可编程门阵列器件通过外部网络接口与互联网相连,现场可编程门阵列器件通过内部网络接口与内部网络相连;
外部网络接口,用于接收外部网络数据,并将外部网络数据传送给现场可编程门阵列器件;
内部网络接口,用于将现场可编程门阵列器件过滤后的网络数据发送到内部网络。
本实用新型提出的基于现场可编程门阵列的防火墙装置,其优点是:
本实用新型防火墙装置中的FPGA器件,通过外部网络接口接收外部网络数据,对接受到的网络数据包与规则表规则进行比对。如果数据包满足规则表规则,FPGA器件则将该数据包通过网络接口发送给内部网络。如果数据包不满足规则表规则,FPGA器件则直接丢弃该数据包。由于FPGA器件以独立子系统的方式在网络层使用硬件实现数据包的收发、分类以及固定字段模式匹配,在应用层采用并行处理方式解析和过滤网络数据包,因此可以大幅度降低防火墙的安全过滤延迟,使防火墙的处理能力达到千兆以上。此外,本实用新型提出的FPGA防火墙装置中的通用CPU和操作系统不参与网络数据包的解析和过滤,只进行FPGA的配置与管理,因此其安全性与通用CPU和操作系统无关,可免受硬件恶意后门和软件安全漏洞的威胁。
附图说明
图1是已有的通用CPU中央处理器防火墙装置结构示意图。
图2是本实用新型提出的基于现场可编程门阵列的防火墙装置的结构示意图。
具体实施方式
本实用新型提出的基于现场可编程门阵列的防火墙装置,其结构如图2所示,包括:
中央处理器,用于对现场可编程门阵列器件进行初始化、配置和管理,对现场可编程门阵列器件的运算逻辑、连线资源和I\/O模块进行配置,构建用于数据包收发、分类以及固定字段模式匹配的专用任务运算电路,对网络规则表维护升级,并将嵌入式数据包过滤软件装载到现场可编程门阵列器件,中央处理器通过内部总线与内存相连;
内存,用于暂时存放中央处理器中的运算数据,以及中央处理器与外部存储器交换的数据;
外存,用于存放防火墙装置运行的程序和数据,外存与中央处理器之间通过高速串行计算机扩展总线相连;
高速串行计算机扩展总线接口,用于现场可编程门阵列器件与中央处理器的互相连接;
现场可编程门阵列器件,用于运行嵌入式数据包过滤软件,并根据规则表对进出现场可编程门阵列器件的网络数据包进行监视和过滤,在网络数据包的网络层中使用专用任务运算电路实现数据包的收发、分类以及固定字段模式匹配,在网络数据包的应用层中利用嵌入式软件解析和过滤网络数据包,若数据包满足规则表内的规则,则现场可编程门阵列器件将该数据包通过内部网络接口发送给内部网络,若数据包不满足规则表内的规则,则现场可编程门阵列器件直接丢弃该数据包,现场可编程门阵列器件通过高速串行计算机扩展总线接口与中央处理器相连,现场可编程门阵列器件通过外部网络接口与互联网相连,现场可编程门阵列器件通过内部网络接口与内部网络相连;
外部网络接口,用于接收外部网络数据,并将外部网络数据传送给现场可编程门阵列器件;
内部网络接口,用于将现场可编程门阵列器件过滤后的网络数据发送到内部网络。
本实用新型的基于FPGA现场可编程门阵列防火墙装置,包括CPU中央处理器、内存、外存、高速串行计算机扩展总线接口(以下简称PCIE)、现场可编程门阵列、外部网络接口和内部网络接口。CPU通过内部总线与内存相连,外存与CPU通过PCIE总线相连,FPGA现场可编程门阵列器件通过PICE接口与CPU相连,FPGA现场可编程门阵列器件通过外部网络接口与互联网相连,FPGA现场可编程门阵列器件通过内部网络接口与内部网络相连。
本实用新型提出的FPGA现场可编程门阵列器件防火墙装置中,CPU用于对FPGA器件进行初始化和管理,对FPGA的运算逻辑、连线资源和I\/O模块进行配置,构建数据包收发、分类以及固定字段模式匹配等专用任务运算电路,对网络规则表维护升级,并将嵌入式数据包过滤软件及规则表装载到FPGA中。本其中的内存用于暂时存放CPU中的运算数据,以及与外部存储器交换的数据。
本实用新型提出的基于现场可编程门阵列的防火墙装置的工作原理是:
装置上电时,CPU从外存读取FPGA管理软件对FPGA进行初始化,对FPGA的运算逻辑、连线资源和I\/O模块进行配置,构建数据包收发、分类以及固定字段模式匹配等专用任务运算电路,并将外存中的嵌入式数据包过滤软件和规则表装载到FPGA。外部网络接口从外网接收网络数据,并将外部网络数据传送给FPGA。FPGA器件运行嵌入式数据包过滤软件,并根据规则表对进出FPGA的网络数据包进行监视和过滤。如果数据包满足规则表规则,FPGA器件则将该数据包通过内部网络接口发送给内部网络。如果数据包不满足规则表规则,FPGA器件则直接丢弃该数据包。
本实用新型提出的现场可编程门阵列防火墙装置的一个实施例中,CPU采用Intel(英特尔)酷睿i5-8300CPU芯片,FPGA使用Xilinx(赛灵思)公司的Virtex-7FPGA芯片,外部网络接口和内部网络接口采用Broadcom(博通)公司的BCM5464千兆以太网接口芯片。
设计图
相关信息详情
申请码:申请号:CN201920036989.X
申请日:2019-01-10
公开号:公开日:国家:CN
国家/省市:11(北京)
授权编号:CN209676273U
授权时间:20191122
主分类号:H04L 29/06
专利分类号:H04L29/06
范畴分类:39B;
申请人:紫光股份有限公司
第一申请人:紫光股份有限公司
申请人地址:100084 北京市海淀区清华大学紫光大楼四层
发明人:高宏;徐学雷
第一发明人:高宏
当前权利人:紫光股份有限公司
代理人:罗文群
代理机构:11201
代理机构编号:北京清亦华知识产权代理事务所(普通合伙) 11201
优先权:关键词:当前状态:审核中
类型名称:外观设计