CN101222506A - 基于微处理器的嵌入式防火墙 - Google Patents
基于微处理器的嵌入式防火墙 Download PDFInfo
- Publication number
- CN101222506A CN101222506A CNA2008100188528A CN200810018852A CN101222506A CN 101222506 A CN101222506 A CN 101222506A CN A2008100188528 A CNA2008100188528 A CN A2008100188528A CN 200810018852 A CN200810018852 A CN 200810018852A CN 101222506 A CN101222506 A CN 101222506A
- Authority
- CN
- China
- Prior art keywords
- chip
- microprocessor
- network
- cpu
- debug circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 239000013078 crystal Substances 0.000 claims abstract description 6
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 238000006073 displacement reaction Methods 0.000 claims description 3
- 238000004804 winding Methods 0.000 claims description 3
- 230000007812 deficiency Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000000034 method Methods 0.000 description 3
- 230000007306 turnover Effects 0.000 description 3
- 230000002950 deficient Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000000087 stabilizing effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
一种基于微处理器的嵌入式防火墙,属网络信息安全领域。本发明包括微处理器CPU(1)、内存(2)、电源模块(3)、晶振模块(4)、Flash芯片(5)、第一片百兆网卡芯片(6)、第二片百兆网卡芯片(7)、第一部分调试电路(8)、第二部分调试电路(9)、第一块网络接口(10)、第二块网络接口(11)。本发明与现有技术相比,成本低、功耗低、控制手段灵活、性能高,既可实现单点安全防护,也可实现企业范围内的整体安全防护。
Description
技术领域
本发明涉及一种网络信息安全设备,具体为一种基于嵌入技术的分布式防火墙设备,部署于企业桌面计算机;也可用于单个PC的用户级防火墙设备。属数据网络信息安全领域。
背景技术:
传统的集中式防火墙存在“防外不防内、流量集中、依赖拓扑结构”等缺点,而分布式防火墙则能够有效解决集中式防火墙的不足。分布式防火墙有两种实现方法:一种是基于软件实现,在操作系统上加载防火墙软件,实现对操作系统的防护,但这种方式存在防火墙和操作系统的功能悖论,即谁保护谁的问题;第二种方式是基于硬件实现。这种方式独立于受保护的操作系统,能够有效地保护对象的安全。本次申请的专利就是基于硬件实现的一种嵌入式防火墙。
传统的集中式专用防火墙大部分基于硬件来实现,主要有基于ASIC的嵌入式防火墙和基于网络处理器(Network Processor,简称NP)的嵌入式防火墙。
基于ASIC的嵌入式防火墙使用专门的硬件处理网络数据流,具有更好的性能。但是纯硬件的ASIC嵌入式防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。
与基于ASIC的纯硬件嵌入式防火墙相比,基于网络处理器的嵌入式防火墙具有编程功能,因而更加具有灵活性。以Intel的IXP系列产品为代表,分为控制和处理(或称数据)两个平面。如Intel公司的IXP1200,控制平面是一个ARM CORE,负责维护系统信息和协调处理部分工作,处理平面由多个微引擎(Micro Engine)和其他专用硬件组成,负责利用控制平面下发的微代码和命令,直接处理网络数据。这类产品在对数据包进行简单过滤时性能较好,但是由于体系结构限制,尤其是微代码的开发相对复杂,导致灵活性较差,一般适合3层(IP层)及以下网络数据的处理。另一类产品以SiByte的Mercurian系列产品为代表,它基于MIPSCPU设计,如SB1250。它一方面保持了基于通用CPU设计的灵活性,另一方面通过SoC(System On Chip,片上系统)的方式消除了传统CPU、总线、设备之间带宽的瓶颈问题。这类产品灵活性较强,易于开发、升级和维护,适于构建速度可与专用ASIC相媲美的、完全可编程的网络处理平台。
这些基于硬件实现的专用防火墙一般作用在内部网络与外部不可信任的网络之间,对进出网络的包进行检测和过滤,处理速度快,延迟小,能够满足目前越来越多的多媒体应用。但是他们的实现成本较高,在安全防护方面并不能将防护扩展到网络末端,实施对网络末端节点的完全脱离主机的综合性保护。
对于网络末端的防护,国内外也有一些具体的安全产品,如基于PCI卡和PC卡形式的嵌入式防火墙,这类防火墙不受网络拓扑控制,完全独立于主机操作系统,强化整个网络台式机、服务器和笔记本,配合适当的安全策略,控制每个端点的网络访问,防止数据哄骗并能快速响应检测到的攻击,但这些防火墙必须替换原来的网卡,造成原有用户投资的损失。也有将Netfilter/Iptables作为一个嵌入式防火墙进行研究,提出了一种基于U盘的嵌入式防火墙的设计方法及其实现的技术。该防火墙基于x86硬件平台,将嵌入式系统软件全部集成在一个U盘中,并使防火墙能从U盘中启动。在设计中,该防火墙通过对Linux内核裁剪,实现了Linux系统通过USB端口中的U盘启动。同时,在系统中集成了嵌入式的Web服务器和用户的配置界面脚本程序,使用户通过Web界面对防火墙能方便地进行配置,实现其一定的实用价值,但是在嵌入式防火墙之间没有策略的交互学习关系,因此属于一种单点孤立防护。
发明内容
针对集中式防火墙存在的缺陷以及现有嵌入式防火墙的不足,利用ARM的低成本、低功耗和高性能等特点,提出一种基于微处理器的嵌入式防火墙架构,并采用32位嵌入式处理器AT91RM920T实现。下述两个具体目的:
1)为企业提供以下安全保护:扩展到网络末端的综合性保护,无论局域网拓扑如何变化或连接源自何地;独立于主机操作系统并有效保护主机操作系统;采用策略定义安全性,为安全防护提供整体安全策略;支持各种服务器、台式机、移动式笔记本和远程节点的接入;对进出报文进行检测和过滤。
2)为单个节点提供以下安全防护:独立于主机操作系统并有效保护主机操作系统;采用策略定义安全性;支持各种台式机或者笔记本电脑的接入;对进出报文进行检测和过滤。:
本发明为了克服集中式防火墙的缺陷和现有嵌入式防火墙的不足,提供一种完全独立于主机的、不受网络拓扑限制的、可以通过策略进行管理的百兆位嵌入式防火墙,在理论上使得每个网卡的处理能力达到全双工百兆比特位,在提高防火墙处理能力的同时,增强防火墙设备的安全性,并降低设备功耗。
本发明的基于微处理器的嵌入式防火墙的技术方案是:包括微处理器CPU、内存、电源模块、晶振模块、Flash芯片、第一片百兆网卡芯片、第二片百兆网卡芯片、第一部分调试电路、第二部分调试电路、第一块网络接口、第二块网络接口。其中内存的输入/输出端、Flash芯片的输入/输出端、第一片百兆网卡芯片的输入/输出端、第二片百兆网卡芯片的输入/输出端分别通过内部总线的连接方式与微处理器CPU相连,第一片百兆网卡芯片的输入/输出端连于第一块网络接口,第二片百兆网卡芯片的输入/输出端连于第二块网络接口,电源模块输出端、晶振模块的输出端分别连于微处理器的CPU,第一部分调试电路与第二部分调试电路分别连于微处理器的CPU,其中第一部分调试电路为串口调试,完成串口电平转换,第二部分调试电路为JTAG,采用排线与微处理器的CPU相连。
本发明具有性价比高、灵活性强、功能完备等优点。
附图说明
图1为本发明的电路组成框图。
图2为本发明的的具体实施图。
具体实施方式:
参见图1,图1本发明嵌入式防火墙,由CPU 1,内存2,电源模块3,晶振模块4,FLASH芯片5,两片百兆网卡芯片6、7,调试电路8、9,两个网络接口10、11组成。所述的CPU1与内存2,FLASH芯片5之间采用内部总线方式连接,所述的两个网卡芯片2、3分别与两个网络接口10、11相连。所述的调试电路8、9为整个设备提供软硬件的调试接口。
参见图2,图2所示本发明的一种具体实施方式。所述百兆位嵌入式防火墙的CPU 1采用SAMSUNG公司的32位处理器S3C2410X,它采用AT91RM920T处理器,主频可达203MHz,具有廉价、低功耗、小封装和高性能的特点;内存2采用的是SAMSUNG公司的K4S561632,它是4Mxl6bitx4bank的同步DRAM,容量为32MB,用2片K4S561632实现位扩展,使数据总线宽度达到32bit,总容量达到64MB;电源模块3采用3.3V和1.8V两种不同电压供电,外接5V稳压电源输入,通过一定的滤波、稳压和保护电路后,通过一片AS1117输出3.3V的电压,给S3C2410X,NOR Flash,NAND Flash,SDRAM,DM9000A等芯片供电。S3C2410X的内核电压为1.8V供电,外围I/O口使用3.3V的电压,其中1.8V电压,由3.3V电压输入MIC5207芯片转换成1.8V,给CPU内核供电;FLASH芯片5采用的使用的是SAMSUNG公司生产的NandFlash,型号K9F1208U,芯片容量为64MB,封装为48脚TSOP,供电电压为2.7V~3.6V,页面大小为512Byte,每页冗余位为16位,所以数据寄存器大小为(512+16)Byte;NorFlash采用INTEL公司生产的E28F128J3A150,芯片容量为16M;两块百兆网卡6、7使用DAVICOM的一款DM9000A网口芯片,其基本特性是48PIN,10/100M LOCAL-BUS interface,工作模式8/16bit,有AUTO-Mdix(自动翻转)、TCP/IP加速(check sum offload)减轻CPU负担,提高整机效能,20ns响应时间,2.5V/3.3V低功耗;调试电路8为串口调试,使用MAX3232来完成串口电平转换,波特率最高可达115200bps;调试电路9为JTAG,使用排线连接,为了增强抗干扰能力,在每条信号线间加上地线一种20针的接口;两个网络接口10、11使用HanRun的HR911105A。
Claims (1)
1.一种基于微处理器的嵌入式防火墙,其特征在于,包括微处理器CPU(1)、内存(2)、电源模块(3)、晶振模块(4)、Flash芯片(5)、第一片百兆网卡芯片(6)、第二片百兆网卡芯片(7)、第一部分调试电路(8)、第二部分调试电路(9)、第一块网络接口(10)、第二块网络接口(11),其中内存(2)的输入/输出端、Flash芯片(5)的输入/输出端、第一片百兆网卡芯片(6)的输入/输出端、第二片百兆网卡芯片(7)的输入/输出端分别通过内部总线的连接方式与微处理器CPU(1)相连,第一片百兆网卡芯片(6)的输入/输出端连于第一块网络接口(10),第二片百兆网卡芯片(7)的输入/输出端连于第二块网络接口(11),电源模块(3)输出端、晶振模块(4)的输出端分别连于微处理器的CPU(1),第一部分调试电路(8)与第二部分调试电路(9)分别连于微处理器的CPU(1),其中第一部分调试电路(8)为串口调试,完成串口电平转换,第二部分调试电路(9)为JTAG,采用排线与微处理器的CPU(1)相连。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100188528A CN101222506A (zh) | 2008-01-28 | 2008-01-28 | 基于微处理器的嵌入式防火墙 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100188528A CN101222506A (zh) | 2008-01-28 | 2008-01-28 | 基于微处理器的嵌入式防火墙 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101222506A true CN101222506A (zh) | 2008-07-16 |
Family
ID=39632074
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008100188528A Pending CN101222506A (zh) | 2008-01-28 | 2008-01-28 | 基于微处理器的嵌入式防火墙 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101222506A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102780691A (zh) * | 2012-05-24 | 2012-11-14 | 深圳市中兴移动通信有限公司 | 一种移动终端检测、回避网络攻击的方法 |
| CN103401887A (zh) * | 2013-08-20 | 2013-11-20 | 曙光信息产业(北京)有限公司 | 防火墙设备的控制方法和装置、以及防火墙设备 |
-
2008
- 2008-01-28 CN CNA2008100188528A patent/CN101222506A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102780691A (zh) * | 2012-05-24 | 2012-11-14 | 深圳市中兴移动通信有限公司 | 一种移动终端检测、回避网络攻击的方法 |
| CN102780691B (zh) * | 2012-05-24 | 2016-01-20 | 努比亚技术有限公司 | 一种移动终端检测、回避网络攻击的方法 |
| CN103401887A (zh) * | 2013-08-20 | 2013-11-20 | 曙光信息产业(北京)有限公司 | 防火墙设备的控制方法和装置、以及防火墙设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103870429B (zh) | 基于嵌入式gpu的高速信号处理板 | |
| CN103941619B (zh) | 一种基于fpga可重构的微机保护的开发平台 | |
| CN101697075A (zh) | 远程无线网络家电控制系统及其访问控制方法 | |
| CN107102958A (zh) | 一种通信网络服务器 | |
| CN106773892A (zh) | 面向电工装备行业的数模信号采集装置 | |
| CN107885998A (zh) | 一种服务器主板加密系统 | |
| CN103220040A (zh) | 一种内置式光口bypass的状态切换方法和系统 | |
| CN107194257A (zh) | 一种基于国产tcm芯片的可信系统 | |
| CN104391770A (zh) | 一种嵌入式数据安全系统用soc芯片的在线调试及上位机通讯模块 | |
| CN201146537Y (zh) | 基于微处理器的嵌入式防火墙 | |
| CN101222506A (zh) | 基于微处理器的嵌入式防火墙 | |
| CN107861565A (zh) | 一种基于龙芯处理器的计算机控制系统 | |
| CN206684533U (zh) | 微信远程控制芯片 | |
| CN100555260C (zh) | 主控底层管理平面的集成装置及方法 | |
| CN106506517A (zh) | 一种基于Linux的嵌入式硬件防火墙装置 | |
| CN205864441U (zh) | 基于Microblaze核实现以太网转CAN模块 | |
| CN210402342U (zh) | 一种基于zynq的数据加解密结构 | |
| CN114205193A (zh) | 一种远程调试配置的能效物联网网关 | |
| CN2681237Y (zh) | 一种计算机犯罪勘察取证专用机 | |
| CN109032281A (zh) | 一种即插即用无线网络防火墙装置 | |
| CN202979015U (zh) | 工控防火墙 | |
| CN101286181A (zh) | 基于dw8051核的现场可编程门阵列片上可编程系统 | |
| Song et al. | Design of intelligent environmental gateway platform based on Zynq-7000 | |
| CN203734693U (zh) | 一种网关 | |
| CN203689078U (zh) | 基于dsp的在线性能监测装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080716 |