基于ARM處理器的嵌入式防火墻設(shè)計

摘 要：嵌入式防火墻（Embedded Firewall），亦為EFW，是計算機技術(shù)領(lǐng)域出現(xiàn)的一種新型防火墻技術(shù)，該技術(shù)以ARM處理器為載體，將現(xiàn)今計算機的安全策略延伸到網(wǎng)絡(luò)末端。其安全措施由計算機所配置的硬件系統(tǒng)實施，有效突破了以往傳統(tǒng)防火墻所存在的眾多弊端，為眾多企業(yè)的網(wǎng)絡(luò)信息安全提供保障的同時，更在現(xiàn)今的計算機安全領(lǐng)域建立了更完善的安全防護(hù)架構(gòu)。

關(guān)鍵詞：防火墻；EFW；嵌入式；計算機網(wǎng)絡(luò)安全技術(shù)

中圖分類號：TP316

1 研究內(nèi)容

本次研究設(shè)計的是一種以ARM處理器為基礎(chǔ)的嵌入式防火墻。在處理器的設(shè)計部分該防火墻采用了現(xiàn)今市場上最具高性能，且擁有低消耗特點的三星AMD的kanabi APU。該防火墻外接于用戶的計算機主機外的方式，通過計算機網(wǎng)絡(luò)末端主機的兩個RJ45接口實現(xiàn)用戶主機與網(wǎng)絡(luò)二者間通信連接，用戶的嵌入式防火墻則運行包過濾程序作為策略執(zhí)行部件。

2 EFW總體設(shè)計

2.1 EFW層次結(jié)構(gòu)設(shè)計

本次研究設(shè)計的嵌入式系統(tǒng)分為硬件層和軟件層兩個部分。在現(xiàn)今計算機網(wǎng)絡(luò)安全技術(shù)的應(yīng)用中，除處理器及網(wǎng)絡(luò)末端的計算機基本外圍電路外的剩余電路都可據(jù)實際用戶的實際需求進(jìn)行相應(yīng)的剪輯和定做。EFW有設(shè)計有適合其自身的處理器以及相對應(yīng)的存儲區(qū)，且該處理器及存儲區(qū)更是于主機操作系統(tǒng)外獨立工作。在設(shè)計中考慮到邊界防火墻可提高網(wǎng)絡(luò)末端計算機系統(tǒng)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流量以及EFW的工作效率，因而在本次研究中集合了兩者的優(yōu)勢進(jìn)行設(shè)計，從而使網(wǎng)絡(luò)末端的計算機安全性能得到提高。

2.2 EFW的硬件總體設(shè)計

嵌入式防火墻的硬件被設(shè)計為三部分：處理器、外圍電路以及以太網(wǎng)接口模塊。而外圍電路則分別由電源電路、晶振電路和復(fù)位電路三個部分組成。

2.3 嵌入式防火墻的硬件模塊設(shè)計

ARM處理器是該防火墻的核心模塊。其結(jié)構(gòu)圖如下圖所示：

圖1

在模塊化設(shè)計方面，本次研究所設(shè)計的防火墻分別分為存儲模塊、調(diào)試電路模塊、外圍電路模塊及以太網(wǎng)接口模塊四大模塊。

該次設(shè)計采用的是第四代SDRAM存儲，因為其工作頻率較快，為了降低同步時鐘的干擾性，該次設(shè)計所采用的是差分時鐘，差分時鐘在降低干擾方面有很出色的表現(xiàn)，可以降低干擾，提高存儲效率。

以太網(wǎng)適配器采用的是Broadcom NetXtreme II5702 單口千兆以太網(wǎng)適配器，并帶有TOE功能，收發(fā)緩沖速度快，收發(fā)同時達(dá)到了300Mb/s。其中的一個塊Broadcom NetXtreme II5702則用于接收網(wǎng)絡(luò)發(fā)送到主機的數(shù)據(jù)包，并交給CPU進(jìn)行處理，處理完成則再發(fā)送給另一塊以太網(wǎng)適配器，以太網(wǎng)適配器再發(fā)送給主機。當(dāng)主機需要向外部發(fā)送數(shù)據(jù)時，也是依照該流程進(jìn)行處理，SRAM用于收發(fā)緩沖。該種設(shè)計使用便捷，脫離了傳統(tǒng)網(wǎng)卡的連接模式，是的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)更加靈活，以太網(wǎng)接口模塊是嵌入式防火墻設(shè)計的核心。

2.4 EFW軟件總體設(shè)計

（1）EFW軟件總體框架設(shè)計

嵌入式防火墻的軟件總體框架設(shè)計以嵌入式操作系統(tǒng)為核心，Bootloader由flash啟動，負(fù)責(zé)硬件設(shè)備的初始化，網(wǎng)卡驅(qū)動程序?qū)崿F(xiàn)與物理傳輸介質(zhì)的交互，而應(yīng)用程序?qū)崿F(xiàn)嵌入式防火墻的各種功能。Bootloader，操作系統(tǒng)和網(wǎng)卡驅(qū)動是嵌入式防火墻的基礎(chǔ)軟件，在此基礎(chǔ)上編寫或移植應(yīng)用程序，實現(xiàn)防火墻的功能。

（2）EFW防火墻的軟件模塊設(shè)計

本次研究所設(shè)計的防火墻的核心是嵌入式操作系統(tǒng)。其Bootloader的啟動由flash負(fù)責(zé)，flash啟動后，該防火墻的硬件設(shè)備則逐步進(jìn)行初始化，初始化完畢，用戶計算機的網(wǎng)卡驅(qū)動程序則與該計算機的屋里介質(zhì)實現(xiàn)交互，而防火墻的所有功能則交給應(yīng)用程序進(jìn)行實現(xiàn)。通過在防火墻的三個基礎(chǔ)軟件（Bootloader，操作系統(tǒng)和網(wǎng)卡驅(qū)動）上編寫或移植應(yīng)用程序的方式，從而實現(xiàn)防火墻的功能。

3 EFW防火墻特點與優(yōu)勢

本次設(shè)計的防火墻軟件模塊分別包 Bootloader、嵌入式操作系統(tǒng)、網(wǎng)卡驅(qū)動以及應(yīng)用程序四個模塊，且該四個模塊是彼此相互關(guān)聯(lián)的。在防火墻運行時，由Bootloader將硬件設(shè)備進(jìn)行初始化，在初始化的同時并建立用戶計算機內(nèi)存空間的映射圖，為嵌入式操作系統(tǒng)內(nèi)核的啟動做好準(zhǔn)備，接著操作系統(tǒng)則加載用戶計算機防火墻的驅(qū)動程序，加載完成或，防火墻可接收以及發(fā)送相應(yīng)的數(shù)據(jù)包，然后，應(yīng)用程序直接被操作系統(tǒng)進(jìn)行調(diào)并對接收到的數(shù)據(jù)包進(jìn)行相應(yīng)處理，處理完畢后則返回處理結(jié)果，最后返回結(jié)果則被應(yīng)用程序接收，操作系統(tǒng)哦過則根據(jù)其所接收的返回結(jié)果調(diào)用相應(yīng)的驅(qū)動程序發(fā)送允許通過的數(shù)據(jù)包。

嵌入式防火墻特點與優(yōu)勢：

本文中的設(shè)計采用ARM微處理器可以達(dá)到以下目標(biāo)：

高效率運作、體積小、功耗低、高性能；

支持雙指令集、8位或16位器件的高度兼容性；

執(zhí)行指令效率高、速度快；

在寄存器中可快速完成大量指令；

靈活簡單的尋址方式，提高執(zhí)行效率；

該設(shè)計大大的提升了ARM微處理器及技術(shù)，極大的提高了網(wǎng)絡(luò)末端的安全性，也將是ARM微處理器及技術(shù)的一次進(jìn)步。

參考文獻(xiàn)：

[1]Bellovin S，Smith J，Keromytis A D，et al.Implementing a Distributed Firewall[C]//Proc.of the 7th ACM Conference on Computer and Communications Security.Athens，Greece：ACM Press，2000.

[2]Payne C，Markham T.Architecture and Applications for a Distributed Embedded Firewall[C]//Proceedings of the 17th Annual Conference on Computer Security Applications.[S.l.]：IEEE Press，2001.

[3]Fulp E W.Parallel Firewall Designs for High-speed Networks[C]//Proc. of the 25th IEEE International Conference on Computer Communications.Barcelona，Spain：[s.n.]，2006.

[4]Farley R J.Parallel Firewall Designs for High-speed Networks[D].North Carolina，USA：Wake Forest University，2005.

作者簡介：黃偉（1981.10-），男，瑤族，湖南花垣人，講師，主要研究方向：計算機科學(xué)；馮均浩（1991.10-），男，廣東廣州人，本科在校學(xué)生，主要研究方向：算法設(shè)計與分析。

作者單位：吉首大學(xué) 軟件服務(wù)外包學(xué)院，湖南張家界 427000

基金項目：吉首大學(xué)科研論文項目。