簡單的基于PLD硬件防火墻畢業(yè)設計

PAGE22PAGE21目錄第一章緒論 1引言 1課題設計介紹 1HYPERLINK\l"_Toc262765479"第二章防火墻介紹 22.1什么是防火墻及防火墻的作用 22.2防火墻的架構 22.3防火墻的技術實現(xiàn) 22.4防火墻的特點 3第三章硬件防火墻 43.1硬件防火墻的基本功能 43.2防火墻實現(xiàn)基礎原理 53.2.1包過濾防火墻 63.2.2應用網關防火墻 PAGEREF_Toc262765488\h63.2.3狀態(tài)檢測防火墻 73.2.4復合型防火墻 8第四章網絡防火墻的硬件實現(xiàn) 1\h94.1

網絡防火墻的硬件結構 94.1.2USB2.0接口芯片CY7C68013 104.2TCP/IP協(xié)議棧在UCOSII下的實現(xiàn) PAGEREF_Toc262765494\h10第五章利用PLD做一個硬件防火墻 125.1MAX+PLUSⅡ軟件安裝和使用 125.1.1概述 65497\h125.2MAX+PLUSⅡ設計硬件防火墻程序實例 145.2.1設計程序部分 145.2.2波形仿真部分 \h19結束語 20致謝 21參考文獻 22第一章緒論引言隨著現(xiàn)代科學技術的迅猛發(fā)展，能源問題、環(huán)境問題的日益成為人民所關注的問題。在電子科學領域也在以前所未有的革新速度，向著功能多樣化，體積最小化、功耗最低化的方向迅速發(fā)展。現(xiàn)代電子產品在設計上有了新的突破：大量使用大規(guī)模的可編程邏輯器件，以提高產品的性能，縮小產品的體積，降低產品的消耗；廣泛使用現(xiàn)代計算機技術，以提高電子設計的自動化程度，縮短開發(fā)周期，提高產品的競爭力。CPLD就是這樣一個例子，PLD技術的發(fā)展，將大量復雜電路縮小到一塊小芯片上實現(xiàn)原來電路的功能。課題設計介紹本設計就以硬件防火墻的實現(xiàn)為主要內容，簡單介紹各類防火墻的實現(xiàn)，應用、及功能。然后就PLD為設計實例來具體說明硬件防火墻的原理實現(xiàn)。就硬件防火墻而言，一般具備一下的基本功能要求：(1)當設置的特真碼與輸入的代碼相同時輸出就按照防火墻的功能對其處理。(2)當設置的特真碼與輸入的代碼不同時輸出原代碼。2、對PLD設計硬件防火墻的要求：(1)能在MAX+PLUSII平臺上設計硬件代碼，并編譯通過。(2)用仿真能實現(xiàn)防火墻的基本功能。第二章防火墻介紹2.1什么是防火墻及防火墻的作用防火墻是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網絡和信息安全的基礎設施。

隨著網絡規(guī)模的擴大和開放性的增強，網絡上的很多敏感信息和保密數據將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網絡上的每個工作站和服務器裝備上強大的安全特征(例如入侵檢測)，但這幾乎是一種不切合實際的方法，因為對具有幾百個甚至上千個節(jié)點的網絡，它們可能運行著不同的操作系統(tǒng)，當發(fā)現(xiàn)了安全缺陷時，每個可能被影響的節(jié)點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻(Firewall)，防火墻是用來在安全私有網絡(可信任網絡)和外部不可信任網絡之間安全連接的一個設備或一組設備，作為私有網絡和外部網絡之間連接的單點存在。防火墻是設置在可信任的內部網絡和不可信任的外部網絡之間的一道屏障，它可以實施比較廣泛的安全策略來控制信息流，防止不可預料的潛在的入侵破壞.DMZ外網和內部局域網的防火墻系統(tǒng)。2.2防火墻的架構防火墻產品的三代體系架構主要為：第一代架構：主要是以單一cpu作為整個系統(tǒng)業(yè)務和管理的核心，cpu有x86、powerpc、mips等多類型，產品主要表現(xiàn)形式是pc機、工控機、pc-box或risc-box等；

第二代架構：以np或asic作為業(yè)務處理的主要核心，對一般安全業(yè)務進行加速，嵌入式cpu為管理核心，產品主要表現(xiàn)形式為box等；

第三代架構：iss（integratedsecuritysystem）集成安全體系架構，以高速安全處理芯片作為業(yè)務處理的主要核心，采用高性能cpu發(fā)揮多種安全業(yè)務的高層應用，產品主要表現(xiàn)形式為基于電信級的高可靠、背板交換式的機架式設備，容量大性能高，各單元及系統(tǒng)更為靈活。2.3防火墻的技術實現(xiàn)從Windows軟件防火墻的誕生開始，這種安全防護產品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭，不斷的進化與升級。從最早期的只能分析來源地址，端口號以及未經處理的報文原文的封包過濾防火墻，后來出現(xiàn)了能對不同的應用程序設置不同的訪問網絡權限的技術；近年來由ZoneAlarm等國外知名品牌牽頭，還開始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻；最后，由于近來垃圾插件和流氓軟件的盛行，很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上，Windows軟件防火墻從開始的時候單純的一個截包丟包，堵截IP和端口的工具，發(fā)展到了今天功能強大的整體性的安全套件。2.4防火墻的特點一般防火墻具備以下特點：1、控制對特殊站點的訪問，廣泛的服務支持：通過將動態(tài)的、應用層的過濾能力和認證相結合，可實現(xiàn)瀏覽器、HTTP服務器、FTP等。2、提供監(jiān)視Internet安全和預警的方便端點，對私有數據的加密支持，保證通過Internet進行的虛擬私人網絡和商務活動不受損壞。3、客戶端認證只允許指定的用戶訪問內部網絡或選擇服務，過濾掉不安全服務和非法用戶。4、反欺騙：欺騙是從外部獲取網絡訪問權的常用手段，它令數據包像是來自網絡內部。防火墻能監(jiān)視這樣的數據包并扔掉它們。5、C/S模式和跨平臺支持：能使運行在一平臺的管理模塊控制另一平臺的監(jiān)視模塊。6、郵件保護：保護網絡免受對電子郵件服務的攻擊。第三章硬件防火墻硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負擔，使路由更穩(wěn)定。網絡級防火墻一般根據源、目的地址做出決策，輸入單個的IP包。一臺簡單的路由器是“傳統(tǒng)的”網絡級防火墻，因為它不能做出復雜的決策，不能判斷出一個包的實際含意或包的實際出處?，F(xiàn)代網絡級防火墻已變得越來越復雜，可以保持流經它的接入狀態(tài)、一些數據流的內容等等有關信息。許多網絡級防火墻之間的一個重要差別是防火墻可以使傳輸流直接通過，因此要使用這樣的防火墻通常需要分配有效的IP地址塊。網絡級防火墻一般速度都很快，對用戶很透明。3.1硬件防火墻的基本功能防火墻的基本功能防火墻系統(tǒng)可以說是網絡的第一道防線，因此一個企業(yè)在決定使用防火墻保護內部網絡的安全時，它首先需要了解一個防火墻系統(tǒng)應具備的基本功能，這是用戶選擇防火墻產品的依據和前提。一個成功的防火墻產品應該具有下述基本功能：防火墻的設計策略應遵循安全防范的基本原則——“除非明確允許，否則就禁止”；防火墻本身支持安全策略，而不是添加上去的；如果組織機構的安全策略發(fā)生改變，可以加入新的服務；有先進的認證手段或有掛鉤程序，可以安裝先進的認證方法；如果需要，可以運用過濾技術允許和禁止服務；可以使用FTP和Telnet等服務代理，以便先進的認證手段可以被安裝和運行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據數據包的性質進行包過濾，數據包的性質有目標和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網絡接口等。如果用戶需要NNTP（網絡消息傳輸協(xié)議）、XWindow、HTTP和Gopher等服務，防火墻應該包含相應的代理服務程序。防火墻也應具有集中郵件的功能，以減少SMTP服務器和外界服務器的直接連接，并可以集中處理整個站點的電子郵件。防火墻應允許公眾對站點的訪問，應把信息服務器和其他內部服務器分開。防火墻應該能夠集中和過濾撥入訪問，并可以記錄網絡流量和可疑的活動。此外，為了使日志具有可讀性，防火墻應具有精簡日志的能力。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內部使用的操作系統(tǒng)一樣，但在防火墻上運行一個管理員熟悉的操作系統(tǒng)會使管理變得簡單。防火墻的強度和正確性應該可被驗證，設計盡量簡單，以便管理員理解和維護。防火墻和相應的操作系統(tǒng)應該用補丁程序進行升級且升級必須定期進行。正像前面提到的那樣，Internet每時每刻都在發(fā)生著變化，新的易攻擊點隨時可能會產生。當新的危險出現(xiàn)時，新的服務和升級工作可能會對防火墻的安裝產生潛在的阻力，因此防火墻的可適應性是很重要的。3.2防火墻實現(xiàn)基礎原理防火墻通常使用的安全控制手段主要有包過濾、狀態(tài)檢測、代理服務。下面，我們將介紹這些手段的工作機理及特點。包過濾技術是一種簡單、有效的安全控制技術，它通過在網絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設備的數據包進行檢查，限制數據包進出內部網絡。包過濾的最大優(yōu)點是對用戶透明，傳輸性能高。但由于安全控制層次在網絡層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號，因而只能進行較為初步的安全控制，對于惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。狀態(tài)檢測是比包過濾更為有效的安全控制方法。對新建的應用連接，狀態(tài)檢測檢查預先設置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內存中記錄下該連接的相關信息，生成狀態(tài)表。對該連接的后續(xù)數據包，只要符合狀態(tài)表，就可以通過。這種方式的好處在于：由于不需要對每個數據包進行規(guī)則檢查，而是一個連接的后續(xù)數據包（通常是大量的數據包）通過散列算法，直接進行狀態(tài)檢查，從而使得性能得到了較大提高；而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通1024號以上的端口，使得安全性得到進一步地提高。代理服務型防火墻，代表某個專用網絡同互聯(lián)網進行通訊的防火墻，類似在股東會上某人以你的名義代理你來投票。當你將瀏覽器配置成使用代理功能時，防火墻就將你的瀏覽器的請求轉給互聯(lián)網；當互聯(lián)網返回響應時，代理服務器再把它轉給你的瀏覽器。代理服務器也用于頁面的緩存，代理服務器在從互聯(lián)網上下載特定頁面前先從緩存器取出這些頁面。內部網絡與外部網絡之間不存在直接連接。代理服務器提供了詳細的日志和審計功能，大大提高了網絡的安全性，也為改進現(xiàn)有軟件的安全性能提供了可能。但會降低網絡性能，所以在一般情況下都不使用。3.2.1包過濾防火墻包過濾防火墻一般在路由器上實現(xiàn)，用以過濾用戶定義的內容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網絡層檢查數據包，與應用層無關。這樣系統(tǒng)就具有很好的傳輸性能，可擴展能力強。但是，包過濾防火墻的安全性有一定的缺陷，因為系統(tǒng)對應用層信息無感知，也就是說，防火墻不理解通信的內容，所以可能被黑客所攻破。

圖4.1包過濾防火墻工作原理圖3.2.2應用網關防火墻應用網關防火墻檢查所有應用層的信息包，并將檢查的內容信息放入決策過程，從而提高網絡的安全性。然而，應用網關防火墻是通過打破客戶機／服務器模式實現(xiàn)的。每個客戶機／服務器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務器。另外，每個代理需要一個不同的應用進程，或一個后臺運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網關防火墻具有可伸縮性差的缺點。（圖4.2）

圖4.2應用網關防火墻工作原理圖3.2.3狀態(tài)檢測防火墻狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網絡的數據包，不關心數據包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網絡的數據當成一個個的事件來處理?？梢赃@樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網絡層和傳輸層行為，而應用代理型防火墻則是規(guī)范了特定的應用協(xié)議上的行為。（圖4.3）

圖4.3狀態(tài)檢測防火墻工作原理圖

3.2.4復合型防火墻符合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進一步基于ASIC架構，把防病毒、內容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網絡流量里的攻擊，在網絡界面對應用層掃描，把防病毒、內容過濾與防火墻結合起來，這體現(xiàn)了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的內容掃描，實現(xiàn)了實時在網絡邊緣布署病毒防護、內容過濾等應用層服務措施。（圖4.4）

圖4.4復合型防火墻工作原理第四章網絡防火墻的硬件實現(xiàn)概述

網絡防火墻是一種控制用戶計算機網絡訪問的軟件或硬件。通過對它的各種規(guī)則設置，使得合法的鏈路得以建立；而非法的連接將被禁止，同時通過各種手段屏蔽掉用戶的隱私信息，以保障用戶的對網絡訪問的安全。目前一般個人電腦是用的軟件防火墻，隨著微電子的快速發(fā)展，我們可以完全利用嵌入式系統(tǒng)來實現(xiàn)硬件防火墻，從而提高系統(tǒng)的網絡訪問性能。

4.1

網絡防火墻的硬件結構在本系統(tǒng)中，主芯片采用EPF10K100QC208-3。網絡芯片采用的Realtek公司的RTL8019AS，它是一款10M的網絡芯片。PC機的通信芯片采用Cypress的USB2.0的接口芯片CY7C68013，它可以完成PC機和硬件防火墻的高速通信。在本系統(tǒng)中還提供2M字節(jié)的FLASH和512K字節(jié)的RAM，它們分別由芯片SST39VF160和IS61LV25616AL來實現(xiàn)。如圖1：圖5.1網絡防火墻系統(tǒng)的硬件結構

4.1.1網絡通信芯片RTL8019

RTL8019AS網絡芯片是REALTEK公司生產的，基于ISA接口的10M以太網通信芯片。它采用全雙工方式來進行接收以太網數據，非常容易和微處理器接口。該芯片集成了以太網的物理層以及以太網的收發(fā)器，數據封包形式完全符合IEEE802.3標準。

4.1.2USB2.0接口芯片CY7C68013

CY7C68013是Cypress公司生產的一款USB2.0的接口芯片。它內部集成了8051的核，可以單獨對該芯片編程。由該芯片完成USB2.0接口，跟PC機的通信速率可以高達10Mbyte/s。我們利用該款芯片來實現(xiàn)一個數據FIFO，即對微處理器來講，它只要將數據寫入該FIFO，然后該芯片就會將數據按照USB2.0的協(xié)議發(fā)送4.2TCP/IP協(xié)議棧在UCOSII下的實現(xiàn)

TCP/IP協(xié)議分為四層，分別為應用層、傳輸層、網絡層，物理層。本系統(tǒng)中物理層主要包括8019的驅動程序，網絡層包括IP協(xié)議和ARP協(xié)議，傳輸層主要包括TCP協(xié)議和UDP協(xié)議，應用層主要包括FTP、HTTP、SNMP和一些用戶應用程序。由于該協(xié)議實現(xiàn)很復雜，這也是本系統(tǒng)實現(xiàn)的難點，下面給出該協(xié)議棧實現(xiàn)的函數框圖：

用戶過濾層。該層主要實現(xiàn)對一些非法端口裁定行屏蔽TCPICMPIGMPUDP用戶過濾層，該層主要實現(xiàn)對IP地址和控制命令屏蔽IPARP用戶過濾層。該層主要實現(xiàn)對一些非法端口裁定行屏蔽TCPICMPIGMPUDP用戶過濾層，該層主要實現(xiàn)對IP地址和控制命令屏蔽IPARP物理層第五章利用PLD做一個硬件防火墻5.1MAX+PLUSⅡ軟件安裝和使用5.1.1概述MAX+PLUSⅡ開發(fā)系統(tǒng)是易學易用的完全集成化的EDA設計開發(fā)環(huán)境。該軟件與LATTICE公司的iSPEXPERT及XILINX的ISE等軟件一樣都是CPLD/FPGA的基本開發(fā)環(huán)境，是CPLD/FPGA開發(fā)所必須的，它包含了開發(fā)CPLD/FPGA器件的全過程。下面將以MAX+PLUSⅡ的基本使用為基礎介紹CPLD/FPGA器件的開發(fā)方法,CPLD/FPGA器件及其開發(fā)系統(tǒng)是極其復雜的，因此在學習使用時應注意如下特點： 1、MAX+PLUSⅡ的使用與學習一定要與CPLD/FPGA硬件的學習相結合。2、注意學習軟件與動手練習相配合，只有多動手設計與調試才能真正掌握設計思想與設計方法。3、多參考相關的書籍或MAX+PLUSⅡ的幫助系統(tǒng)。4、在學習過程中要與數字電路、計算機語言等課程進行比較，找出相同點與不同點，進行比較、類比地學習。5、概念的區(qū)分與使用：(1)

器件與符號：如在數字電路中7400為一個器件，在MAX+PLUSⅡ中器件一般被CPLD/FPGA器件專用，而MAX+PLUSⅡ中調用的中小規(guī)模的器件都稱為符號。本文中有時出于習慣，也會在該使用“符號”的地方而使用“器件”名稱，因此在碰到像“器件”、“符號”這樣的詞，一定要注意上下文的聯(lián)系。（2）

模塊與符號：傳統(tǒng)習慣，一般是將一個電路抽象后形成模塊，利用模塊進行更高層次的設計。而在MAX+PLUSⅡ中電路抽象后形成的模塊依然稱為“符號”。因此在見到“模塊”與“符號”這樣的詞語時，也要注意上下文的聯(lián)系。6)、通過本文學習，逐步掌握層次電路的設計，設計過程的功能仿真和時序仿真，同時學會底層編輯，利用硬件實驗系統(tǒng)進行硬件的驗證。MAX+PLUSⅡ與其它軟件相比具有使用簡單，操作靈活，支持的器件多，設計輸入方法靈活多變等特點，掌握了MAX+PLUSⅡ后，對學習其它的EDA軟件會有很大的幫助。1.1常用的設計輸入方法如下：1．圖形設計輸入：MAX+PLUSⅡ的圖形設計輸入是較其他軟件更容易使用的，因為MAX+PLUSⅡ提供了豐富的庫單元供設計者調用，尤其是在MAX+PLUSⅡ里提供的mf庫幾乎包含了所有的74系列的器件，在prim庫里提供了數字電路中所有的分離器件。因此只要具有數字電路的知識，幾乎不需要過多的學習就可以利用MAX+PLUSⅡ進行CPLD/FPGA的設計。MAX+PLUSⅡ還包括多種特殊的邏輯宏功能（Macro—Function）以及新型的參數化的兆功能（Mega—Function）模塊。充分利用這些模塊進行設計，可以大大減輕設計人員的工作量和成倍地縮短設計周期。2．文本編輯輸入：MAX+PLUSⅡ的文本輸入和編譯系統(tǒng)支持AHDL語言、VHDL語言、VERILOG語言三種輸入方式。3．波形輸入方式：如果知道輸入、輸出波形，也可以采用波形輸入方式。4．混合輸入方式：MAX+PLUSⅡ設計開發(fā)環(huán)境，可以進行圖形設計輸入、文本編輯輸入、波形編輯輸入混合編輯。具體操作方法是：在圖形編輯、波形編輯時形成模塊，在文本編輯時通過include“模塊名.inc”或者采用Function（…..）Return(….)的方式進行調用。同樣，文本編輯輸入形成的模塊，也可以在圖形編輯時調用，AHDL語言編譯的結果可以在VHDL語言下使用，VHDL語言編譯的結果也可以在AHDL語言或圖形輸入時使用。這樣靈活多變的輸入方式，給設計使用者帶來了極大的方便。1.2設計與器件的結構無關MAX+PLUSⅡ系統(tǒng)支持Altera公司的ACEX1K、FLEX10KE、FLEX10KB、FLEX10KA、FLEX10K、MAX9000、FLEX8000、MAX7000、FLEX6000、MAX5000、MAX3000及Classic等各種類型的可編程器件。而在設計輸入、編譯邏輯功能和功能仿真時并不關心器件的結構。只有在形成具體應用電路時，才會指定器件進行底層編輯。1.3底層編輯方便形象MAX+PLUSⅡ的底層編輯（FloorplanEditor）與實際CPLD器件的管腳一一對應，因此只需用鼠標簡單的拖放即可完成I/O口等管腳的編輯任務。1.4MAX+PLUSⅡ系統(tǒng)完全集成化在MAX+PLUSⅡ系統(tǒng)環(huán)境下，可以完成所有的編輯、編譯、網表提取、邏輯綜合、適配、器件裝配以及功能時序仿真。這樣可以加快調試、縮短開發(fā)周期。1.5IP核豐富MAX+PLUSⅡ對系統(tǒng)自帶的內核具有開放的特性，即這些內核既可以使用又可以瀏覽。同時，MAX+PLUSⅡ又允許設計人員將自己編輯的IPCORE添加到MAX+PLUSⅡ中。目前在ALTERA網站上發(fā)布了許多IP核，還有第三方的IP核都可以在MAX+PLUSⅡ系統(tǒng)中進行綜合與驗證，當然有的IP核需要合適的License文件。5.2MAX+PLUSⅡ設計硬件防火墻程序實例5.2.1設計程序部分根據防火墻原理我們可以想像，防火墻實際上就是一個病毒庫。當網絡傳送過來的數據與防火墻中病毒數據一樣的時候就會被防火墻屏蔽掉，從而保障了計算機的安全。主程序：libraryieee;useieee.std_logic_1164.all;useieee.std_logic_unsigned.all;useieee.std_logic_arith.all;調用程序包；entityktsjisport(x,clk:instd_logic;y:outstd_logic);端口設置及端口數據類型設置；end;ARCHITECTUREarchOFktsjis實體；signalww1,ww2,ww3,ww4:std_logic;定義信號；beginprocess(x,clk)beginwaituntilclk='1';時鐘控制優(yōu)先ifww1='1'andww2='1'andww3='1'an