网络技术的高速发展,使网络应用渗透到了国民生产及国家安全的关键领域,但是在网络通信的同时,出现了大量的网络攻击,对信息系统造成了巨大破坏,使网络安全技术成为了各国政府和研究机构的重要研究课题。网闸作为高安全级别的网络安全设备,弥补了原有安全技术的不足,是网络物理隔离技术的实现,其作用是断开TCP/IP等网络传输协议,物理隔离可信内网与不可信外网,在保证可信内网信息不外泄的前提下,完成网络间数据的安全交换。 基于内存交换的插卡式网闸是中科院计算所的“龙芯”CPU产业化项目之一,本文的工作就是此项目的设计和研究。此网闸已经通过了大量的验证和测试,目前已经成为北京京泰网络公司的安全隔离产品,加载“龙芯”CPU后将实现完全自主知识产权的网络安全系统。 本文首先介绍了项目的研究背景,然后分析了目前网络环境中存在的安全隐患及相关防御技术,接下来从PCI及ATA的总线协议开始介绍了PCI接口和ATA接口开发的过程,然后分析了FPGA设计的仿真。作为重点,详细介绍了网闸系统的核心——网闸卡的设计过程,从系统架构到网闸卡板级layout的过程和技术,都作出了论述和分析。首先用Verilog进行可综合逻辑代码设计,然后把设计好的模块做行为级和RTL级的功能与时序仿真找出逻辑上的错误,接下来把写好的逻辑通过下载到配置ROM中,进行FPGA硬件验证。对网络系统安全性进行了充分分析后,我们认为采用总线式物理隔离网闸方案是有可行性并且会有良好的技术优势。基于稳定性和传输效率的考虑,我们把网闸系统的主控芯片和电路集成于一块PCI扩展卡之上,这片网闸卡插于网闸内外主机的PIC扩展槽之中,网闸卡上集成IDE接口,内外网闸卡之间用IDE总线连接。 最后探讨了新架构网闸的设计,介绍了一种MIPS体系结构下,北桥在SDRAM的操作规范下控制dual port RAM的新型系统结构设计方案,主要包括设计思路、整体框架结构、各部分技术特点等内容,为进一步的研究提供了思路。