论文部分内容阅读
摘 要:嵌入式防火墙(Embedded Firewall),亦为EFW,是计算机技术领域出现的一种新型防火墙技术,该技术以ARM处理器为载体,将现今计算机的安全策略延伸到网络末端。其安全措施由计算机所配置的硬件系统实施,有效突破了以往传统防火墙所存在的众多弊端,为众多企业的网络信息安全提供保障的同时,更在现今的计算机安全领域建立了更完善的安全防护架构。
关键词:防火墙;EFW;嵌入式;计算机网络安全技术
中图分类号:TP316
1 研究内容
本次研究设计的是一种以ARM处理器为基础的嵌入式防火墙。在处理器的设计部分该防火墙采用了现今市场上最具高性能,且拥有低消耗特点的三星AMD的kanabi APU。该防火墙外接于用户的计算机主机外的方式,通过计算机网络末端主机的两个RJ45接口实现用户主机与网络二者间通信连接,用户的嵌入式防火墙则运行包过滤程序作为策略执行部件。
2 EFW总体设计
2.1 EFW层次结构设计
本次研究设计的嵌入式系统分为硬件层和软件层两个部分。在现今计算机网络安全技术的应用中,除处理器及网络末端的计算机基本外围电路外的剩余电路都可据实际用户的实际需求进行相应的剪辑和定做。EFW有设计有适合其自身的处理器以及相对应的存储区,且该处理器及存储区更是于主机操作系统外独立工作。在设计中考虑到边界防火墙可提高网络末端计算机系统内部网络的数据流量以及EFW的工作效率,因而在本次研究中集合了两者的优势进行设计,从而使网络末端的计算机安全性能得到提高。
2.2 EFW的硬件总体设计
嵌入式防火墙的硬件被设计为三部分:处理器、外围电路以及以太网接口模块。而外围电路则分别由电源电路、晶振电路和复位电路三个部分组成。
2.3 嵌入式防火墙的硬件模块设计
ARM处理器是该防火墙的核心模块。其结构图如下图所示:
图1
在模块化设计方面,本次研究所设计的防火墙分别分为存储模块、调试电路模块、外围电路模块及以太网接口模块四大模块。
该次设计采用的是第四代SDRAM存储,因为其工作频率较快,为了降低同步时钟的干扰性,该次设计所采用的是差分时钟,差分时钟在降低干扰方面有很出色的表现,可以降低干扰,提高存储效率。
以太网适配器采用的是Broadcom NetXtreme II5702 单口千兆以太网适配器,并带有TOE功能,收发缓冲速度快,收发同时达到了300Mb/s。其中的一个块Broadcom NetXtreme II5702则用于接收网络发送到主机的数据包,并交给CPU进行处理,处理完成则再发送给另一块以太网适配器,以太网适配器再发送给主机。当主机需要向外部发送数据时,也是依照该流程进行处理,SRAM用于收发缓冲。该种设计使用便捷,脱离了传统网卡的连接模式,是的网络拓扑结构更加灵活,以太网接口模块是嵌入式防火墙设计的核心。
2.4 EFW软件总体设计
(1)EFW软件总体框架设计
嵌入式防火墙的软件总体框架设计以嵌入式操作系统为核心,Bootloader由flash启动,负责硬件设备的初始化,网卡驱动程序实现与物理传输介质的交互,而应用程序实现嵌入式防火墙的各种功能。Bootloader,操作系统和网卡驱动是嵌入式防火墙的基础软件,在此基础上编写或移植应用程序,实现防火墙的功能。
(2)EFW防火墙的软件模块设计
本次研究所设计的防火墙的核心是嵌入式操作系统。其Bootloader的启动由flash负责,flash启动后,该防火墙的硬件设备则逐步进行初始化,初始化完毕,用户计算机的网卡驱动程序则与该计算机的屋里介质实现交互,而防火墙的所有功能则交给应用程序进行实现。通过在防火墙的三个基础软件(Bootloader,操作系统和网卡驱动)上编写或移植应用程序的方式,从而实现防火墙的功能。
3 EFW防火墙特点与优势
本次设计的防火墙软件模块分别包 Bootloader、嵌入式操作系统、网卡驱动以及应用程序四个模块,且该四个模块是彼此相互关联的。在防火墙运行时,由Bootloader将硬件设备进行初始化,在初始化的同时并建立用户计算机内存空间的映射图,为嵌入式操作系统内核的启动做好准备,接着操作系统则加载用户计算机防火墙的驱动程序,加载完成或,防火墙可接收以及发送相应的数据包,然后,应用程序直接被操作系统进行调并对接收到的数据包进行相应处理,处理完毕后则返回处理结果,最后返回结果则被应用程序接收,操作系统哦过则根据其所接收的返回结果调用相应的驱动程序发送允许通过的数据包。
嵌入式防火墙特点与优势:
本文中的设计采用ARM微处理器可以达到以下目标:
高效率运作、体积小、功耗低、高性能;
支持双指令集、8位或16位器件的高度兼容性;
执行指令效率高、速度快;
在寄存器中可快速完成大量指令;
灵活简单的寻址方式,提高执行效率;
该设计大大的提升了ARM微处理器及技术,极大的提高了网络末端的安全性,也将是ARM微处理器及技术的一次进步。
参考文献:
[1]Bellovin S,Smith J,Keromytis A D,et al.Implementing a Distributed Firewall[C]//Proc.of the 7th ACM Conference on Computer and Communications Security.Athens,Greece:ACM Press,2000.
[2]Payne C,Markham T.Architecture and Applications for a Distributed Embedded Firewall[C]//Proceedings of the 17th Annual Conference on Computer Security Applications.[S.l.]:IEEE Press,2001.
[3]Fulp E W.Parallel Firewall Designs for High-speed Networks[C]//Proc. of the 25th IEEE International Conference on Computer Communications.Barcelona,Spain:[s.n.],2006.
[4]Farley R J.Parallel Firewall Designs for High-speed Networks[D].North Carolina,USA:Wake Forest University,2005.
作者简介:黄伟(1981.10-),男,瑶族,湖南花垣人,讲师,主要研究方向:计算机科学;冯均浩(1991.10-),男,广东广州人,本科在校学生,主要研究方向:算法设计与分析。
作者单位:吉首大学 软件服务外包学院,湖南张家界 427000
基金项目:吉首大学科研论文项目。
关键词:防火墙;EFW;嵌入式;计算机网络安全技术
中图分类号:TP316
1 研究内容
本次研究设计的是一种以ARM处理器为基础的嵌入式防火墙。在处理器的设计部分该防火墙采用了现今市场上最具高性能,且拥有低消耗特点的三星AMD的kanabi APU。该防火墙外接于用户的计算机主机外的方式,通过计算机网络末端主机的两个RJ45接口实现用户主机与网络二者间通信连接,用户的嵌入式防火墙则运行包过滤程序作为策略执行部件。
2 EFW总体设计
2.1 EFW层次结构设计
本次研究设计的嵌入式系统分为硬件层和软件层两个部分。在现今计算机网络安全技术的应用中,除处理器及网络末端的计算机基本外围电路外的剩余电路都可据实际用户的实际需求进行相应的剪辑和定做。EFW有设计有适合其自身的处理器以及相对应的存储区,且该处理器及存储区更是于主机操作系统外独立工作。在设计中考虑到边界防火墙可提高网络末端计算机系统内部网络的数据流量以及EFW的工作效率,因而在本次研究中集合了两者的优势进行设计,从而使网络末端的计算机安全性能得到提高。
2.2 EFW的硬件总体设计
嵌入式防火墙的硬件被设计为三部分:处理器、外围电路以及以太网接口模块。而外围电路则分别由电源电路、晶振电路和复位电路三个部分组成。
2.3 嵌入式防火墙的硬件模块设计
ARM处理器是该防火墙的核心模块。其结构图如下图所示:
图1
在模块化设计方面,本次研究所设计的防火墙分别分为存储模块、调试电路模块、外围电路模块及以太网接口模块四大模块。
该次设计采用的是第四代SDRAM存储,因为其工作频率较快,为了降低同步时钟的干扰性,该次设计所采用的是差分时钟,差分时钟在降低干扰方面有很出色的表现,可以降低干扰,提高存储效率。
以太网适配器采用的是Broadcom NetXtreme II5702 单口千兆以太网适配器,并带有TOE功能,收发缓冲速度快,收发同时达到了300Mb/s。其中的一个块Broadcom NetXtreme II5702则用于接收网络发送到主机的数据包,并交给CPU进行处理,处理完成则再发送给另一块以太网适配器,以太网适配器再发送给主机。当主机需要向外部发送数据时,也是依照该流程进行处理,SRAM用于收发缓冲。该种设计使用便捷,脱离了传统网卡的连接模式,是的网络拓扑结构更加灵活,以太网接口模块是嵌入式防火墙设计的核心。
2.4 EFW软件总体设计
(1)EFW软件总体框架设计
嵌入式防火墙的软件总体框架设计以嵌入式操作系统为核心,Bootloader由flash启动,负责硬件设备的初始化,网卡驱动程序实现与物理传输介质的交互,而应用程序实现嵌入式防火墙的各种功能。Bootloader,操作系统和网卡驱动是嵌入式防火墙的基础软件,在此基础上编写或移植应用程序,实现防火墙的功能。
(2)EFW防火墙的软件模块设计
本次研究所设计的防火墙的核心是嵌入式操作系统。其Bootloader的启动由flash负责,flash启动后,该防火墙的硬件设备则逐步进行初始化,初始化完毕,用户计算机的网卡驱动程序则与该计算机的屋里介质实现交互,而防火墙的所有功能则交给应用程序进行实现。通过在防火墙的三个基础软件(Bootloader,操作系统和网卡驱动)上编写或移植应用程序的方式,从而实现防火墙的功能。
3 EFW防火墙特点与优势
本次设计的防火墙软件模块分别包 Bootloader、嵌入式操作系统、网卡驱动以及应用程序四个模块,且该四个模块是彼此相互关联的。在防火墙运行时,由Bootloader将硬件设备进行初始化,在初始化的同时并建立用户计算机内存空间的映射图,为嵌入式操作系统内核的启动做好准备,接着操作系统则加载用户计算机防火墙的驱动程序,加载完成或,防火墙可接收以及发送相应的数据包,然后,应用程序直接被操作系统进行调并对接收到的数据包进行相应处理,处理完毕后则返回处理结果,最后返回结果则被应用程序接收,操作系统哦过则根据其所接收的返回结果调用相应的驱动程序发送允许通过的数据包。
嵌入式防火墙特点与优势:
本文中的设计采用ARM微处理器可以达到以下目标:
高效率运作、体积小、功耗低、高性能;
支持双指令集、8位或16位器件的高度兼容性;
执行指令效率高、速度快;
在寄存器中可快速完成大量指令;
灵活简单的寻址方式,提高执行效率;
该设计大大的提升了ARM微处理器及技术,极大的提高了网络末端的安全性,也将是ARM微处理器及技术的一次进步。
参考文献:
[1]Bellovin S,Smith J,Keromytis A D,et al.Implementing a Distributed Firewall[C]//Proc.of the 7th ACM Conference on Computer and Communications Security.Athens,Greece:ACM Press,2000.
[2]Payne C,Markham T.Architecture and Applications for a Distributed Embedded Firewall[C]//Proceedings of the 17th Annual Conference on Computer Security Applications.[S.l.]:IEEE Press,2001.
[3]Fulp E W.Parallel Firewall Designs for High-speed Networks[C]//Proc. of the 25th IEEE International Conference on Computer Communications.Barcelona,Spain:[s.n.],2006.
[4]Farley R J.Parallel Firewall Designs for High-speed Networks[D].North Carolina,USA:Wake Forest University,2005.
作者简介:黄伟(1981.10-),男,瑶族,湖南花垣人,讲师,主要研究方向:计算机科学;冯均浩(1991.10-),男,广东广州人,本科在校学生,主要研究方向:算法设计与分析。
作者单位:吉首大学 软件服务外包学院,湖南张家界 427000
基金项目:吉首大学科研论文项目。