CN102098289B - 一种基于fpga的网络安全连接封堵处理方法 - Google Patents
一种基于fpga的网络安全连接封堵处理方法 Download PDFInfo
- Publication number
- CN102098289B CN102098289B CN201010597790.8A CN201010597790A CN102098289B CN 102098289 B CN102098289 B CN 102098289B CN 201010597790 A CN201010597790 A CN 201010597790A CN 102098289 B CN102098289 B CN 102098289B
- Authority
- CN
- China
- Prior art keywords
- packet
- rule
- hit
- network
- ack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于FPGA的网络安全连接封堵处理方法和装置。装置包括网络数据存储器,用户规则存储器,特征比较器。接收外部网络数据包,将数据包暂存于网络数据存储器;检测网络数据包的特征值,包括源目IP地址,源目端口以及协议,并监控报文的控制比特;对于特征值与设定的源目IP地址,源目端口以及协议一致的数据包,命中的数据包查询对应的动作,根据规则过滤结果,分析包头信息及过滤动作,判断是否发送封堵包以及发送哪种类型的封堵包;发送根据发包动作构造伪造的数据包,打断网络连接。本发明实现安全连接封堵处理,并在读写数据包时采用了乒乓操作,增大对数据流量的处理速度。通过发送伪造的数据包中断非法的TCP连接,可以有效地中断一些非法网站的连接,以提高网络的安全性能。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种基于FPGA的网络安全连接封堵处理方法。
背景技术
目前,在企业内部办公网络中,对网络访问控制,内容过滤,内容审计,以及网络安全等领域中,需要对网络使用情况进行监控。一般采用旁路监听的方式来减轻网关或路由器的负担。但旁路的控制需要增加额外的单元,增加额外成本。
发明内容
本发明提供一种采用FPGA实现了网络协议中安全连接封堵处理的方法,可解放CPU的利用率,从而提高主机的性能。
一种基于FPGA的网络安全连接封堵处理方法,包括网络数据存储器,用户规则存储器,特征比较器;
基于FPGA状态机控制实现,步骤如下:
A、接收外部网络数据包,将数据包暂存于网络数据存储器;
B、检测网络数据包的特征值,包括源目IP地址,源目端口以及协议,并监控报文的控制比特;
C、对于特征值与设定的源目IP地址,源目端口以及协议一致的数据包,命中的数据包查询对应的动作,根据规则过滤结果,分析包头信息及过滤动作,判断是否发送封堵包以及发送哪种类型的封堵包;
D、发送根据发包动作构造伪造的数据包,打断网络连接。
本发明的一种优选技术方案在于:所述封堵包是根据前端模块过滤结果以及提供的包头信息组包产生。
本发明实现安全连接封堵处理,并在读写数据包时采用了乒乓操作,增大对数据流量的处理速度。通过发送伪造的数据包中断非法的TCP连接,可以有效地中断一些非法网站的连接,以提高网络的安全性能。
附图说明
图1为封堵包模块的结构框图
图2为封堵包数据结构;
图3为过滤规则
图4为组包设计的状态机
具体实施方式
本发明采用FPGA实现了网络协议中安全连接封堵处理的方法,可解放CPU,从而提高主机的性能,该方法主要检测网络数据包的源目IP地址,源目端口以及协议,并监控报文的控制比特,对于与设定的源目IP地址,源目端口以及协议一致的数据包,命中的数据包根据规则过滤结果,分析包头信息及过滤动作,判断是否发送封堵包以及发送哪种类型的封堵包。通过发送伪造的数据包使一个TCP连接中断,可以有效地中断一些非法网站的连接,以利于保护网络的安全性能。
产生的封堵包是根据前端模块过滤结果以及提供的包头信息来组包。考虑到封堵包要求快速发出,而且封堵包长度很小(IP包长为40字节),肯定不需要分片,因此,封堵包模块直接通过发送接口发送出去,保证数据发送较及时。
各个模块功能如下:
GenBlockingPkt:生成封堵包,并根据不同的端口将数据写入缓冲区;其中端口0、1(同一个时钟域)的数据写入第0个缓冲区;端口2、3(同一个时钟域)的数据写入第1个缓冲区。
BlockingPktBufWrCtrl:
BlockingPktBuf:封堵包缓冲区,每个包的数据长度为54字节(14+20+20),因此可用分布式RAM实现。
BlockingPktBufRdCtrl:封堵包缓冲区读控制模块。与TxCtrl模块交互,实现将数据从缓冲区中读出,经TxCtrl模块发送出去。
RAMSelCtrl模块:内部设计了两块RAM,每块RAM对应两个端口,由软件通过写寄存器控制RAM的选择,本模块实现由两块RAM到四个端口的对应。
各个状态机执行的动作如下:
IDLE:初始状态,当有封堵包产生包请求过来,且两块RAM中有空闲时,则跳转到下一状态,需要根据发包动作,确定需要发送包的类型、双向还是单向等信息;
PRESTATE:计算TTL、Window、Identification等域的值,保持一个周期;
WRDATA:将前端模块传递过来的包头信息,按照缓冲区数据定义填入RAM中,注意同时需要计算IP头CheckSum和TCP CheckSum,考虑到计算CheckSum需要多个周期,而且需要折叠相加,因此在此状态只进行计算,并不将CheckSum结果填入RAM中;固定周期,共13个周期即可;
IPCHKSUM:将IP头CheckSum字段填入RAM中,一个周期;
TCPCHKSUM:将TCP CheckSum字段填入RAM中,同时发出数据包准备好的信号,一个周期;当还有别的包需要发送时,则跳转到NEXTPKT状态,否则跳转到IDLE;
NEXTPKT:当有RAM处于空闲状态时,则跳转到PRESTATE;否则等待。
NOPKTSEND:没有数据需要发送,直接返回。
特别需要注意的是,本模块需要计算两个checksum:IP和TCP。
在GTP时钟下实现RAM的读操作,在设计中用到了两个不同的RAM分别对应不同时钟域。
Claims (1)
1.一种基于FPGA的网络安全连接封堵处理方法,其特征在于:包括网络数据存储器,用户规则存储器,特征比较器;
基于FPGA状态机控制实现,步骤如下:
A、接收外部网络数据包,将数据包暂存于网络数据存储器;
B、检测网络数据包的特征值,包括源目IP地址,源目端口以及协议,并监控报文的控制比特;
C、对于特征值与设定的源目IP地址,源目端口以及协议一致的数据包,命中的数据包查询对应的动作,根据规则过滤结果,分析包头信息及过滤动作,判断是否发送封堵包以及发送哪种类型的封堵包;
D、发送根据发包动作构造伪造的数据包,打断网络连接;
所述封堵包是根据前端模块过滤结果以及提供的包头信息组包产生;
所述过滤规则如果是命中规则,且数据包中只有SYN标志,则向客户端发送SYN和ACK;如果是其他命中规则情况,则双向发送RST;
所述过滤规则如果是命中规则,且数据包中只有SYN标志,则向客户端发送SYN和ACK;如果是其他命中规则情况,且数据长度大于0,则双向发送FIN;
所述过滤规则如果是命中规则,则双向发送RST;
所述过滤规则如果是命中规则且数据长度大于0,则双向发送FIN;
所述过滤规则如果是命中规则,且数据包中只有SYN标志,则向客户端发送SYN和ACK;如果是其他命中规则的包,则双向发送RST和ACK;
所述过滤规则如果是命中规则,且数据包中只有SYN标志,则向客户端发送SYN和ACK;如果是其他命中规则的包,且数据长度大于0,则双向发送FIN和ACK;
所述过滤规则如果是命中规则,则双向发送RST和ACK;
所述过滤规则如果是命中规则,且数据长度大于0,则双向发送FIN和ACK。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010597790.8A CN102098289B (zh) | 2010-12-17 | 2010-12-17 | 一种基于fpga的网络安全连接封堵处理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010597790.8A CN102098289B (zh) | 2010-12-17 | 2010-12-17 | 一种基于fpga的网络安全连接封堵处理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102098289A CN102098289A (zh) | 2011-06-15 |
| CN102098289B true CN102098289B (zh) | 2014-08-27 |
Family
ID=44131153
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010597790.8A Active CN102098289B (zh) | 2010-12-17 | 2010-12-17 | 一种基于fpga的网络安全连接封堵处理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102098289B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104219242A (zh) * | 2014-09-09 | 2014-12-17 | 天津大学 | 一种基于硬件的网络数据包的过滤结构 |
| CN104767658B (zh) * | 2015-04-17 | 2018-05-29 | 浪潮电子信息产业股份有限公司 | 一种在线检测报文传输错误的方法与装置 |
| CN105207814B (zh) * | 2015-08-31 | 2019-05-03 | 茂名市群英网络有限公司 | 基于空路由的ip策略控制系统及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068229A (zh) * | 2007-06-08 | 2007-11-07 | 北京工业大学 | 一种基于网络过滤器的内容过滤网关实现方法 |
| CN101599963A (zh) * | 2009-06-10 | 2009-12-09 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
| CN101599966A (zh) * | 2009-05-11 | 2009-12-09 | 曙光信息产业(北京)有限公司 | 一种多虚拟机应用的数据过滤方法 |
| CN101902440A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种阻断tcp连接的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050071485A1 (en) * | 2003-09-26 | 2005-03-31 | Arun Ramagopal | System and method for identifying a network resource |
-
2010
- 2010-12-17 CN CN201010597790.8A patent/CN102098289B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068229A (zh) * | 2007-06-08 | 2007-11-07 | 北京工业大学 | 一种基于网络过滤器的内容过滤网关实现方法 |
| CN101599966A (zh) * | 2009-05-11 | 2009-12-09 | 曙光信息产业(北京)有限公司 | 一种多虚拟机应用的数据过滤方法 |
| CN101902440A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种阻断tcp连接的方法和装置 |
| CN101599963A (zh) * | 2009-06-10 | 2009-12-09 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102098289A (zh) | 2011-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102739473B (zh) | 一种应用智能网卡的网络检测方法 | |
| CN101815014B (zh) | 基于连接的实时网络数据捕获方法 | |
| CN107426246B (zh) | 基于FPGA的万兆以太网和RapidIO协议间高速数据交换系统 | |
| EP3370376A1 (en) | Data transfer method, sending node, receiving node and data transfer system | |
| CN109089029B (zh) | 一种基于FPGA的Gige Vision接口图像传输系统与方法 | |
| WO2016187813A1 (zh) | 一种光电混合网络的数据传输方法及装置 | |
| CN104883335B (zh) | 一种全硬件tcp协议栈实现系统 | |
| CN104572574A (zh) | 基于千兆以太网视觉协议的以太网控制器ip核及方法 | |
| CN102098289B (zh) | 一种基于fpga的网络安全连接封堵处理方法 | |
| KR20140048815A (ko) | Tcp 가속화를 포함하는 내장형 자동차용 획득 장치를 위한 분산형 측정 배열 | |
| US9961147B2 (en) | Communication apparatus, information processor, communication method, and computer-readable storage medium | |
| WO2014144487A1 (en) | System and method of sending pci express data over ethernet connection | |
| CN102098291B (zh) | 一种基于fpga的网络安全日志处理方法和装置 | |
| EP3767882B1 (en) | Network traffic monitoring device | |
| CN112640392B (zh) | 一种木马检测方法、装置和设备 | |
| CN106656914A (zh) | 防攻击数据传输方法及装置 | |
| CN102355376B (zh) | 一种流量监控方法和装置 | |
| CN104008077A (zh) | 基于单片机实现串口抓包的装置及方法 | |
| WO2014100973A1 (zh) | 视频处理方法、设备及系统 | |
| WO2011160489A1 (zh) | 板间信息传递方法和装置 | |
| WO2022199316A1 (zh) | 控制方法、装置及计算设备 | |
| JP3486182B2 (ja) | 通信装置及びその通信制御方法とプログラム | |
| CN101360241B (zh) | 一种音视频数据处理方法 | |
| Ding et al. | Design and implementation of hardware-based low latency TCP offload engine for 10 Gbps Ethernet | |
| US9306854B2 (en) | Method and apparatus for diagnosing interface oversubscription and microbursts |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20221214 Address after: 430040 NO.666, Wuhuan Avenue, linkonggang economic and Technological Development Zone, Wuhan City, Hubei Province (10) Patentee after: Dawning Network Technology Co.,Ltd. Address before: 300384 Xiqing District, Tianjin Huayuan Industrial Zone (outside the ring) 15 1-3, hahihuayu street. Patentee before: DAWNING INFORMATION INDUSTRY Co.,Ltd. |