設(shè)計(jì)心得:用FPGA打造最強(qiáng)網(wǎng)絡(luò)防火墻系統(tǒng),小心避過這些坑
項(xiàng)目背景及可行性分析
- 項(xiàng)目名稱、項(xiàng)目的主要內(nèi)容及目前的進(jìn)展情況
基于FPGA的防火墻系統(tǒng)設(shè)計(jì)。基于FPGA平臺,設(shè)計(jì)一個具有防火墻功能的系統(tǒng),具備對進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)包解析、過濾等功能。目前正處于總體設(shè)計(jì)與論證階段。
- 項(xiàng)目關(guān)鍵技術(shù)及創(chuàng)新點(diǎn)的論述;
關(guān)鍵技術(shù)有并行運(yùn)算,狀態(tài)檢測,CAM,規(guī)則匹配,及PowerPC嵌入式系統(tǒng)。本項(xiàng)目的創(chuàng)新點(diǎn)是將傳統(tǒng)的軟件防火墻系統(tǒng)移植到硬件平臺,充分利用FPGA的優(yōu)勢,軟硬件相結(jié)合,提高處理速度和性能。
- 技術(shù)成熟性和可靠性論述:
硬件防火墻開發(fā)模式就國內(nèi)來說主要存在三類。一類是通過網(wǎng)絡(luò)處理器(網(wǎng)絡(luò)芯片), 一類是通過專用的FPGA編程,第三類是設(shè)計(jì)專用的ASIC芯片。相對于各種網(wǎng)絡(luò)處理器,F(xiàn)PGA是設(shè)計(jì)ASIC芯片最重要的步驟之一。基于FPGA芯片的片上防火墻系統(tǒng)優(yōu)勢??蚣芙Y(jié)構(gòu)靈活高效。開發(fā)者針對防火墻產(chǎn)品需求,有針對性定義數(shù)據(jù)通路、緩存單元、處理單元、內(nèi)存總線、總線仲裁單元及其耦合構(gòu)架,使之達(dá)到最優(yōu)性能。數(shù)據(jù)線速處理。精心設(shè)計(jì)的框架結(jié)構(gòu),使得FPGA芯片的天然并行處理優(yōu)勢發(fā)揮到極致。數(shù)據(jù)在芯片內(nèi)始終處于流動狀態(tài),多個處理單元在不同節(jié)點(diǎn)并行完成數(shù)據(jù)分析、處理、替換等操作,從原理上保證了數(shù)據(jù)線速處理。硬件可升級。最終產(chǎn)品保留FPGA芯片升級接口,隨著網(wǎng)絡(luò)應(yīng)用環(huán)境與用戶需求變化,更新芯片設(shè)計(jì)后,為用戶提供硬件升級服務(wù),最大程度保護(hù)用戶投資。開發(fā)優(yōu)勢。所有功能集成在片內(nèi)完成, 兼之FPGA I/O資源豐富特性,使得系統(tǒng)硬件布局極為簡單,將網(wǎng)卡芯片、內(nèi)存芯片與時鐘直接與FPGA芯片連接即可,省卻了傳統(tǒng)主板繁雜的控制器、總線等結(jié)構(gòu),使得系統(tǒng)成本大幅下降。加之在FPGA中嵌入PowerPC硬核,使得片上系統(tǒng)的性能進(jìn)一步提升。
項(xiàng)目實(shí)施方案
1.方案基本功能框圖及描述
用框圖的方式并加以簡單的描述簡述實(shí)施本項(xiàng)目的技術(shù)方案。
圖1 方案基本功能流程框圖
圖2 系統(tǒng)結(jié)構(gòu)框圖
該方案采用FPGA硬件邏輯和嵌入系統(tǒng)的兩層分層結(jié)構(gòu),如圖1所示。
FPGA硬件邏輯及外圍硬件主要實(shí)現(xiàn)的功能是:數(shù)據(jù)包收發(fā)、五元組(協(xié)議類型、源/目的IP地址、源/目的端口號)的數(shù)據(jù)分類以及固定字段模式匹配、轉(zhuǎn)發(fā)數(shù)據(jù)的封裝。
嵌入式系統(tǒng)實(shí)現(xiàn)的主要功能是:病毒與惡意攻擊的檢測、病毒與惡意攻擊的處理、過濾規(guī)則管理、轉(zhuǎn)發(fā)數(shù)據(jù)整理。
方案的核心部分是由實(shí)現(xiàn)入侵檢測的三個模塊組成。利用硬件匹配和數(shù)據(jù)負(fù)載匹配認(rèn)別病毒和惡意攻擊,為網(wǎng)絡(luò)提供安全保護(hù)。
2.需要的開發(fā)平臺
實(shí)現(xiàn)本方案所需要的基本功能、功能、接口,F(xiàn)PGA,PowerPC,雙網(wǎng)口(一個采用開發(fā)板上的網(wǎng)口,另需一網(wǎng)絡(luò)擴(kuò)展板),SRAM,
所需要的目標(biāo)FPGA開發(fā)平臺,簡述為什么需要此平臺
高級板-Virtex-2 Pro
是否需要其它配套的開發(fā)工具
配套的下載,調(diào)試工具
2.方案實(shí)施過程中需要開發(fā)的模塊
在本方案中需要研制、開發(fā)的功能主要模塊,以及開發(fā)的方式
見圖1、圖2所示
3.系統(tǒng)最終要達(dá)到的性能指標(biāo)
論述本項(xiàng)目最終完成時所設(shè)想達(dá)到的目標(biāo)。
實(shí)現(xiàn)一個具有防火墻功能的系統(tǒng)。
需要的其它資源
1.設(shè)計(jì)輸入輸出功能子板
子板功能描述、接口說明、時間、方式
網(wǎng)絡(luò)擴(kuò)展板,RJ45,2007年10月
2.測試設(shè)備
列出在方案實(shí)施過程中所需要的測試設(shè)備
萬用表、示波器、頻譜儀、邏輯分析儀等
3.方針、開發(fā)工具
列出在方案實(shí)施過程中所需要的仿真、開發(fā)工具等。
ModelSim、Xilinx ISE,Sinffer
評論