現(xiàn)有防火墻系統(tǒng)大多是針對于ipv4開發(fā)的，由于ipv4地址空間不足，且安全性較差，現(xiàn)有網(wǎng)絡(luò)升級到ipv6是大勢所趨。ipv6 作為下一代網(wǎng)絡(luò)的基礎(chǔ)以其海量的地址空間和較強的安全特性得到廣泛的認(rèn)可，因此研究支持ipv6協(xié)議的防火墻是很有必要的。

    以intel xscale ixp425 為核心處理器設(shè)計的嵌入式ipv6 防火墻，較好的實現(xiàn)了對網(wǎng)絡(luò)中的數(shù)據(jù)包進行動態(tài)過濾。但其成本較高，且ixp425 強勁的網(wǎng)絡(luò)處理性能在網(wǎng)絡(luò)終端的應(yīng)用中無法得以完全發(fā)揮。

    基于u盤的嵌入式防火墻使用方便，設(shè)計新穎，但其需要依附于x86 電腦硬件平臺，且u盤的可靠性較差，不適于長期使用。

    通用arm 處理器有較高的性價比和較多的軟件支持，已廣泛應(yīng)用于生產(chǎn)生活的各個領(lǐng)域。本文通過對ipv6協(xié)議、ipv6安全機制和防火墻技術(shù)等方面的分析和研究，結(jié)合現(xiàn)有防火墻的特點，設(shè)計并實現(xiàn)了一個基于s3c2440 的嵌入式ipv6 防火墻系統(tǒng)。下面從硬件設(shè)計、軟件設(shè)計和核心模塊設(shè)計幾個方面介紹該基于s3c2440的嵌入式ipv6防火墻。

    2 嵌入式ipv6防火墻的硬件設(shè)計

    嵌入式ipv6防火墻的硬件設(shè)計如圖1所示，其主控芯片采用三星公司的32 位嵌入式處理器s3c2440.該處理器以arm920t risc 為核心，標(biāo)準(zhǔn)工作頻率為400mhz( 高工作頻率：533mhz)，運算能力為450mips,有強勁的處理能力。

    圖1 嵌入式ipv6防火墻硬件框圖

    s3c2440處理器內(nèi)部結(jié)構(gòu)復(fù)雜，功能強大，片上集成了很多硬件資源。如：外部存儲控制器，usb 接口，uart接口，內(nèi)部定時器，130 個通用i/o接口，24 通道外部中斷源等。如此豐富的接口資源，可以很方便實現(xiàn)硬件電路的擴展。此外s3c2440 支持arm920t 強大的指令集系統(tǒng)，具有獨立的內(nèi)存管理單元(mmu)，支持nand flash啟動引導(dǎo)，可以方便的實現(xiàn)bootloader和嵌入式操作系統(tǒng)的移植。

    系統(tǒng)的存儲單元主要包括sdram 存儲器和flash存儲器。sdram為系統(tǒng)程序的運行提供內(nèi)存空間，本系統(tǒng)采用兩片hy57v561620ftp-h(32m)并聯(lián)，容量可達64mb.flash用來存儲程序，flash分為nor型和nand型2種。nor型flash工藝復(fù)雜，成本較高，其優(yōu)點是片內(nèi)可執(zhí)行應(yīng)用程序，多用于存儲系統(tǒng)的bootloader 引導(dǎo)程序。nand 型flash 具有極高的存儲密度和較快的寫入和擦除速度且成本較低，適用于存儲大容量數(shù)據(jù)和文件。考慮到s3c2440支持nand flash 啟動引導(dǎo)，故本系統(tǒng)選用k9f1208u0m-ycb0(64mb)的nand型flash作為系統(tǒng)的flash存儲器。

    系統(tǒng)的以太網(wǎng)接口單元采用2 顆10m/100m 自適應(yīng)以太網(wǎng)控制器dm9000a.dm9000a 芯片是devicom 公司研發(fā)的一款低功耗，高度集成，成本較低的單芯片快速以太網(wǎng)芯片，在嵌入式領(lǐng)域中使用非常廣泛。它集成了物理層接口(phy)、以太網(wǎng)媒體介質(zhì)訪問控制器(mac)和外部處理器總線接口等。3.3v的工作電壓，降低了系統(tǒng)的功耗。dm9000a 的高度集成簡化了系統(tǒng)以太網(wǎng)電路的硬件設(shè)計，特別適合作為嵌入式ipv6防火墻的網(wǎng)絡(luò)接口。

    3 嵌入式ipv6防火墻的軟件設(shè)計

    嵌入式ipv6 防火墻系統(tǒng)的軟件編寫采用了模塊化程序設(shè)計的方法。模塊化編程有利于程序設(shè)計任務(wù)的劃分，使程序易于編寫和調(diào)試，便于檢驗和維護。

    本系統(tǒng)將啟動代碼(bootloader)，linux 操作系統(tǒng)(網(wǎng)卡驅(qū)動、協(xié)議棧)，防火墻模塊(智能包過濾，狀態(tài)跟蹤等)和web管理模塊(boa服務(wù)器)都編寫成獨立模塊。

    系統(tǒng)軟件層次結(jié)構(gòu)如圖2所示。

    圖2 嵌入式ipv6防火墻軟件層次結(jié)構(gòu)圖。

    第一層：啟動代碼(bootloader)。它是芯片復(fù)位后進入操作系統(tǒng)之前執(zhí)行的一段代碼，主要是為操作系統(tǒng)的啟動提供基本的運行環(huán)境，如初始化cpu、初始化存儲器系統(tǒng)等。本系統(tǒng)選用u-boot 作為系統(tǒng)的bootloader.

    第二層：linux 操作系統(tǒng)，屏蔽了對底層硬件的具體操作，為上層應(yīng)用提供了豐富的支持，包括底層設(shè)備驅(qū)動，網(wǎng)卡驅(qū)動和網(wǎng)絡(luò)協(xié)議棧等。在linux操作系統(tǒng)下，開發(fā)者只需關(guān)注于應(yīng)用軟件編程，大大節(jié)省了系統(tǒng)的開發(fā)時間。

    第三層：防火墻模塊(智能包過濾，狀態(tài)跟蹤等)，該模塊是嵌入式防火墻系統(tǒng)的核心，其包括動態(tài)nat 模塊：負責(zé)對進出防火墻的數(shù)據(jù)包進行地址翻譯;狀態(tài)跟蹤模塊：維護網(wǎng)絡(luò)的會話連接信息，協(xié)助智能包過濾模塊進行連接狀態(tài)的跟蹤，是實現(xiàn)狀態(tài)檢測包過濾(動態(tài)包過濾)的關(guān)鍵模塊;智能包過濾模塊：根據(jù)訪問控制表(acl)對進出網(wǎng)絡(luò)的數(shù)據(jù)包進行過濾，并對過濾規(guī)則進行統(tǒng)計，記憶和決策，動態(tài)優(yōu)化過濾規(guī)則優(yōu)先級列表，實現(xiàn)高速高效的包過濾處理功能。

    第四層：web管理模塊，以cgi語言為基礎(chǔ)，構(gòu)建boa服務(wù)器平臺。通過該模塊用戶可以方便地查看防火墻日志，添加或修改過濾規(guī)則，調(diào)整過濾規(guī)則的優(yōu)先級，監(jiān)控防火墻網(wǎng)絡(luò)狀態(tài)等。

    4 防火墻核心模塊設(shè)計

    一個防火墻能否起到較好的過濾效果關(guān)鍵在于防火墻的核心過濾模塊設(shè)計。本防火墻的核心過濾模塊整體工作流程如圖3所示。

    圖3 嵌入式ipv6防火墻工作流程圖。

• 1
• 2
• 下一頁

相關(guān)文章

• 上一篇： 反饋電路的概念及性能影響
• 下一篇： 冷熱飲水機的電熱元件