CN113377051B - 一种基于fpga的网络安全防护设备 - Google Patents

Abstract

本发明公开了一种基于FPGA的网络安全防护设备，该设备包括：万兆以太网接口模块、PCIe接口模块、三速以太网接口模块、配置与管理模块、FPGA模块、DDR3存储模块、数据库模块、电源模块及时钟模块，其中，FPGA模块包括以太网数据包解析模块、以太网数据包检测模块、以太网数据包捕获模块、以太网数据过滤模块、流信息统计模块及数据输出模块。本发明实现了对海量网络数据流量的实时监控、统计与分析，对异常网络数据流量的拦截与报警，对底层网络数据的管理。本发明解决了现代化办公楼宇实际应用场景中内部网络环境的安全性问题。

Description

一种基于FPGA的网络安全防护设备

技术领域

本发明涉及网络安全技术、网络通信技术领域，适用于对办公楼宇内部网络与外部网络之间的数据传输过程进行监控与防护的一种基于FPGA的网络安全防护设备。

背景技术

随着互联网技术的大力发展，社会运行对网络设施依赖性大幅度提升，同时也给网络安全领域带来了诸多全新的挑战。安全漏洞、数据泄露、网络诈骗、勒索病毒、拒绝服务攻击等网络安全威胁日益凸显，有组织、有目的的网络攻击形式愈加明显。

为了解决实际网络环境下的网络安全问题，对网络环境中的网络数据进行高速地捕获、统计与分析，亟待需要网络安全防护设备。

发明内容

本发明的目的是提供一种基于FPGA的网络安全防护设备，该设备可以拦截分布式拒绝服务攻击、扫描窥探攻击、畸形报文攻击等恶意网络攻击；可以对内外部网络之间的以太网数据信息进行系统级的流量统计和监控；可以根据配置信息对以太网数据包进行过滤与隔离；可以作为PCIe Add-in设备通过PCIe接口插入主机设备完成对高速以太网数据的捕获与存储。解决了在办公楼宇等实际网络环境下外网与内网之间数据传输的安全性问题。

实现本发明目的的具体技术方案是：

一种基于FPGA的网络安全防护设备，特点是：该设备包括万兆以太网接口模块、三速以太网接口模块、PCIe接口模块、配置与管理模块、FPGA模块、DDR3存储模块、数据库模块、电源模块及时钟模块。

所述万兆以太网接口模块与FPGA模块、电源模块相连，并串联接入到以太网数据链路中，用于接收与发送以太网数据包；

所述三速以太网接口模块与FPGA模块、配置与管理模块、数据库模块、电源模块及时钟模块相连，用于接收来自于配置与管理模块的配置信息以及发送FPGA模块产生的以太网流量统计数据和安全审计日志；

所述PCIe接口模块与FPGA模块、电源模块相连，用于发送被捕获的以太网数据包。

所述配置与管理模块与三速以太网接口模块相连，用于获取用户的配置信息，通过三速以太网接口模块将配置信息发送至FPGA模块。

所述FPGA模块与万兆以太网接口模块、三速以太网接口模块、DDR3存储模块、电源模块及时钟模块相连，接收来自以太网数据链路的以太网数据包，对以太网数据包进行解包与分析，结合用户的配置信息以及对以太网数据包的分析结果来决定对该以太网数据包采取拦截、放行或捕获策略；所述FPGA模块还产生以太网流量统计数据与安全审计日志，其中以太网流量统计数据包括：以太网数据流表统计信息、进出内部网络的数据传输速率、各以太网协议流量占比。其中安全审计日志包括：异常数据拦截记录、数据捕获记录、威胁预警记录；

所述DDR3存储模块与FPGA模块、电源模块及时钟模块相连，用于存储以太网数据包、TCP连接状态信息以及网络数据流表信息；

所述数据库模块与三速以太网接口模块相连，用于存储并管理以太网流量统计数据及安全审计日志；

所述电源模块与FPGA模块、三速以太网接口模块、万兆以太网接口模块、DDR3存储模块、时钟模块相连，用于向各个模块提供电源驱动；

所述时钟模块与FPGA模块、三速以太网接口模块及DDR3存储模块相连，用于向各个模块提供参考时钟。

所述FPGA模块包括以太网数据包解析模块、以太网数据包检测模块、以太网数据包捕获模块、以太网数据包过滤模块、流信息统计模块及数据输出模块；

所述以太网数据包解析模块与万兆以太网接口模块、以太网数据检测模块、流信息统计模块相连，用于对万兆以太网MAC层及IP层的数据进行解析，提取以太网数据包头部分字段发送给后级以太网数据检测模块及流信息统计模块处理。

所述以太网数据检测模块与DDR3存储模块、以太网数据包解析模块、以太网数据包捕获模块、以太网数据包过滤模块、数据输出模块相连，根据用户配置信息对以太网数据包进行匹配分析，并根据分析结果将产生的控制信息发送至以太网数据包过滤模块及以太网数据包捕获模块，同时将产生的安全审计日志发送至数据库模块进行存储与管理。

所述以太网数据包捕获模块与DDR3存储模块、PCIe接口模块、以太网数据包检测模块相连。根据以太网数据包检测模块发送的控制信息对以太网数据进行存储操作，通过PCIe接口模块高速将以太网数据发送至主机设备进行存储。

所述以太网数据包过滤模块与万兆以太网接口模块、以太网数据包检测模块相连，根据接收到来自于以太网数据包检测模块的控制信息判断是否对该以太网数据包进行拦截。

所述流信息统计模块与以太网数据包解析模块、DDR3存储模块、数据输出模块相连，用于接收以太网数据包解析模块发送的以太网数据包特征信息，并将不同类型的流量信息进行分类统计，最后通过数据输出模块及三速以太网接口模块将以太网流量数据统计结果发送给数据库模块进行存储与管理。

所述数据输出模块与以太网数据包解析模块、流信息统计模块、三速以太网接口模块相连，用于将以太网流量统计数据和安全审计日志组成以太网数据包，并通过三速以太网接口模块发送至数据库模块进行存储与管理。

与现有技术相比，本发明的有益效果是：

1）本发明使用FPGA硬件架构对高速以太网数据进行接收与处理，相比传统的基于双ARM芯片架构的网络数据处理设备具有更高的处理速度以及更强的并行处理能力。

2）本发明处于透明模式串联在以太网数据链路上，设备接口无IP、MAC地址，从外部网络无法入侵与攻击本设备，数据处理部分基于纯硬件电路实现，不依赖于任何操作系统，具有更高的安全性能。

3）本发明可以串联接入外部网络与内部网络通信的数据传输链路上，相比于基于个人主机的安全软件，本发明可以对内部网络环境进行系统级地监控与防护。

4）本发明可以将日志信息及数据统计结果存入数据库，利用大数据对内部网络环境进行特征分析，利用各种图表数据对内部网络环境特征进行可视化处理。

附图说明

图1为本发明具体实施例的结构框图；

图2为本发明实施例的流量统计部分的工作流程图；

图3为本发明实施例的数据包过滤部分的工作流程图；

图4为本发明实施例的数据包捕获部分的工作流程图。

具体实施方式

下面结合附图及实施例对本发明作详细描述。

实施例

参阅图1，本实施例包括：万兆以太网接口模块1、FPGA模块2、三速以太网接口模块3、PCIe接口模块4、配置与管理模块5、数据库模块6、DDR3存储模块7、电源模块9及时钟模块8。

万兆以太网接口模块1分别与FPGA模块2及电源模块9相连。

FPGA模块2分别与万兆以太网接口模块1、三速以太网接口模块3、PCIe接口模块4、DDR3存储模块7、时钟模块8及电源模块9相连。

三速以太网模块3分别与FPGA模块2、配置与管理模块5、数据库模块6、电源模块9及时钟模块8相连。

PCIe接口模块4分别与FPGA模块2及电源模块9相连。

配置与管理模块5与三速以太网接口模块3相连。

数据库模块6与三速以太网接口模块3相连。

DDR3存储模块7分别与FPGA模块2、时钟模块8及电源模块9相连。

时钟模块8分别与万兆以太网接口1、FPGA模块2、三速以太网接口模块3相连。

电源模块9分别与万兆以太网接口模块1、FPGA模块2、三速以太网接口3、PCIe接口模块4、DDR3存储模块7及时钟模块8相连。

本实施例的万兆以太网接口模块1包括两个万兆以太网通信端口，其中端口101用于与外部以太网进行通信，端口102用于与内部以太网进行通信。每个万兆以太网通信端口包括一个SFP+万兆光模块接口及一个光模块配置电路，最高支持10.3125Gbps的以太网数据传输速率。

本实施例的FPGA模块2包括以太网数据包解析模块21、流信息统计模块22、以太网数据包检测模块23、以太网数据包捕获模块24、数据输出模块25及以太网数据包过滤模块26。以太网数据包解析模块21将接收到的以太网数据包按照标准以太网数据帧格式进行解析，得到对应的以太网数据包头各字段信息。流信息统计模块22根据接收到的以太网数据包头各字段信息，对DDR3存储模块7内存储的网络数据流表信息进行检索查询，并对网络数据流表信息进行实时更新与统计，得到各类以太网流量统计数据。以太网数据包检测模块23根据配置信息进行基于以太网数据连接状态的动态检测，每一个连接状态信息都将被该模块维护并保存于DDR3存储模块7中，用于动态地决定当前以太网数据包是否被允许通过本设备。以太网数据包捕获模块24根据以太网数据包检测模块23的检测结果对异常以太网数据包进行捕获，并通过PCIe接口模块4将被捕获的以太网数据包发送至主机大容量存储空间进行存储与管理。数据输出模块25接收来自流信息统计模块22输出的以太网流量统计数据以及以太网数包检测模块23输出的安全审计日志。以太网数据包过滤模块26根据以太网数据包检测模块23的检测结果来判断是否对当前以太网数据进行拦截。

本实施例的三速以太网接口模块3包括一个RJ45以太网插座以及PHY接口芯片。本模块通过网线与外部管理设备及存储设备相连，接收来自于用户的配置信息，发送以太网流量统计数据及安全审计日志。

本实施例的PCIe接口模块4采用PCIe Gen2.0 x8 接口，最高单线速率可达5Gb/s，总数据传输速率可达40Gb/s。本设备可以通过PCIe接口模块作为PCIe Add-in设备插入主机中，将以太网数据信息传输到更大的数据存储空间进行存储与分析。

本实施例的配置与管理模块5为用户提供基于Web应用程序的用户端UI界面，获取用户配置的白名单、黑名单、以太网数据包过滤名单、以太网数据包捕获名单，并将这些用户配置信息组包成以太网数据包格式通过网线发送到三速以太网接口模块3。

本实施例的数据库模块6采用基于分布式文件存储的开源数据库系统MongoDB，将接收到来自于三速以太网接口模块3的以太网流量统计数据及安全审计日志以文档的形式存储入数据库中进行管理。通过对数据库进行聚合、查询、排序等操作，可以对海量以太网数据信息进行进一步的分析与统计。

本实施例的DDR3存储模块7包括三个独立的DDR3存储子模块。每个子模块包括四片DDR3存储芯片，提供1GB的存储空间。其中DDR3存储子模块71与流信息统计模块22相连用于实时存储与更新网络数据流表信息。DDR3存储子模块72与以太网数据包检测模块23相连用于存储与更新当前所有以太网数据连接状态信息。DDR3存储子模块73与以太网数据包捕获模块24相连，用于缓存待捕获的以太网数据包。

本实施例的时钟模块8用于产生FPGA模块2、三速以太网接口模块3、DDR3存储模块7所需要的参考时钟。

本实施例的电源模块9用于为万兆以太网接口模块1、FPGA模块2、三速以太网接口模块3、PCIe接口模块4、DDR3存储模块7、时钟模块8提供所需要的电源。

本发明实现的功能主要包括流量统计、数据包捕获、网数据包过滤三个部分。参阅图2、图3及图4，本实施例是这样工作的：

本设备通过万兆以太网接口模块1中的SFP+万兆光模块接口与万兆光纤相连，以串联的方式接入以太网数据链路中。上电后，本设备将实时对进出内部网络的以太网数据进行监控。当万兆以太网接口模块1接收到通过万兆光纤传输的以太网数据包后将进行光电转换，将光信号转换成为相应的电信号发送给以太网数据包解析模块21。

以太网数据包解析模块21将从万兆以太网接口模块1中接收到的万兆以太网数据包转换成数据位宽为64bit的AXI-Stream数据格式，然后再对其进行MAC层及IP层的数据解析，从而得到源MAC地址、目的MAC地址、以太网数据帧类型、源IP地址、目的IP地址、源端口地址、目的端口地址、IP协议类型、数据包长度等、TCP协议SYN、TCP协议FIN等以太网数据包字段信息。

在流量统计部分，流信息统计模块22将源IP地址、目的IP地址，源端口地址、目的端口地址、IP协议类型这五个以太网数据字段组成的集合视为“五元组”，具有相同“五元组”的以太网数据视为同一条网络数据流量。流信息统计模块22将“五元组”信息作为检索条件，对存储在DDR3存储子模块71中的网络数据流表信息进行搜索查询，判断已有网络数据流表信息中是否存在相同的网络数据流量信息，并对已有网络数据流表信息进行更新。此外流信息统计模块22还可以基于各种以太网数据包字段信息进行分类统计，得到以太网数据传输速率信息、各类以太网协议数据量占比、内部网络活跃IP数目等以太网流量统计数据，并将这些数据信息发送至后级数据输出模块25。数据输出模块25将这些以太网流量统计数据按照自定义的数据输出协议进行组包，最后通过三速以太网接口模块3发送给数据库模块6。自定义的数据输出协议通过4bit的数据包头来区分不同类型的以太网流量统计数据，最多可支持16类不同的以太网流量统计数据。

数据库模块6接收到来自于三速以太网接口模块3发来的以太网流量统计数据后，按照{存储时间、数据类别、数据内容}的模板将以太网流量统计数据以文档的形式批量存储于MongoDB数据库中，存储三千条以太网流量统计数据仅需要80ms。

在数据包过滤部分，配置与管理模块5通过三速以太网接口模块3将白名单、黑名单、以太网数据包过滤名单、以太网数据包捕获名单等配置信息发送到以太网数据包检测模块23中的寄存器进行存储。以太网数据包检测模块23通过读取寄存器中的配置信息对以太网数据包进行检测与匹配，并控制以太网数据包过滤模块26对当前以太网数据进行相应的过滤操作。其中白名单与黑名单以IP地址的形式规定了用户信任与不信任的网络数据，若以太网数据包检测模块23发现当前以太网数据包中的源IP地址或者目的IP地址处于白名单中，则不对该以太网数据包进行进一步的分析与处理，直接让该以太网数据包通过本设备；若发现该当前以太网数据包的源IP地址或目的IP地址处于黑名单中，则直接对该以太网数据包进行隔离操作，防止该以太网数据包通过本设备。以太网数据包过滤名单包括MAC地址、IP地址、端口地址、IP协议类型、以太网协议类五种以太网数据特征，以太网数据包检测模块23可以控制以太网数据包过滤模块26对以太网数据包过滤名单中的以太网数据包进行拦截，防止其通过本设备。以太网数据包检测模块23还可以基于TCP连接的三次握手过程记录每一条TCP连接的状态信息，利用SYN重传技术利用TCP/IP协议的重传特性，保障TCP连接过程的安全性。当本设备接收到某条TCP连接请求的第一个SYN包后将其直接丢弃并将该连接处于第一次握手的状态信息存储于DDR3存储子模块72中。若本设备接收到的是正常的TCP连接请求，那么将会收到源IP地址相同的第二个重传SYN包。此时以太网数据包过滤模块26将根据以太网数据包检测模块23的检测结果让该重传SYN包通过本设备。待TCP连接的三次握手过程全部完成后，以太网数据包检测模块23将DDR3存储子模块72中存储的该TCP连接状态信息更新为成功连接状态。以太网数据包检测模块23还会根据TCP的四次挥手过程状态信息对DDR3存储子模块72中存储的TCP连接状态信息进行更新，及时删除已经完成的TCP连接信息。以太网数据包检测模块23还将根据每次的检测结果生成相应的安全审计日志信息并通过三速以太网接口模块3发送到数据库模块6中进行存储。

在数据包捕获部分，以太网数据包检测模块23根据从三速以太网接口模块3接收到的来自于配置与管理模块5发送的以太网数据包捕获名单对每一包接收到的以太网数据包进行匹配，将符合名单的以太网数据包通过以太网数据包捕获模块24传输到DDR3存储子模块73进行缓存，同时将被捕获以太网数据包的特征信息通过三速以太网接口模块3发送至数据库模块6中进行存储。当DDR3存储子模块73中缓存的以太网数据达到一定数量后，以太网数据包捕获模块24读取DDR3存储子模块73中的以太网数据包，通过PCIe接口模块4将以太网数据包组包发送到主机设备中进行存储。

Claims (1)

1.一种基于FPGA的网络安全防护设备，其特征在于，该设备包括万兆以太网接口模块、三速以太网接口模块、PCIe接口模块、配置与管理模块、FPGA模块、DDR3存储模块、数据库模块、电源模块及时钟模块；

所述万兆以太网接口模块与FPGA模块、电源模块相连，并串联接入到以太网数据链路中，用于接收与发送以太网数据包；

所述三速以太网接口模块与FPGA模块、配置与管理模块、数据库模块、电源模块及时钟模块相连，用于接收来自于配置与管理模块的配置信息以及发送FPGA模块产生的以太网流量统计数据和安全审计日志；

所述PCIe接口模块与FPGA模块、电源模块相连，用于发送被捕获的以太网数据包；

所述配置与管理模块与三速以太网接口模块相连，用于获取用户的配置信息，通过三速以太网接口模块将配置信息发送至FPGA模块；

所述FPGA模块与万兆以太网接口模块、三速以太网接口模块、DDR3存储模块、电源模块及时钟模块相连，接收来自以太网数据链路的以太网数据包，对以太网数据包进行解包与分析，结合用户的配置信息以及对以太网数据包的分析结果来决定对该以太网数据包采取拦截、放行或捕获策略；所述FPGA模块还产生以太网流量统计数据与安全审计日志，其中以太网流量统计数据包括：以太网数据流表统计信息、进出内部网络的数据传输速率、各以太网协议流量占比；其中安全审计日志包括：异常数据拦截记录、数据捕获记录及威胁预警记录；

所述DDR3存储模块与FPGA模块、电源模块及时钟模块相连，用于存储以太网数据包、TCP连接状态信息以及网络数据流表信息；

所述数据库模块与三速以太网接口模块相连，用于存储并管理以太网流量统计数据及安全审计日志；

所述电源模块与FPGA模块、三速以太网接口模块、万兆以太网接口模块、DDR3存储模块及时钟模块相连，用于向各个模块提供电源驱动；

所述时钟模块与FPGA模块、三速以太网接口模块及DDR3存储模块相连，用于向各个模块提供参考时钟；

所述FPGA模块包括以太网数据包解析模块、以太网数据包检测模块、以太网数据包捕获模块、以太网数据包过滤模块、流信息统计模块及数据输出模块；

所述以太网数据包解析模块与万兆以太网接口模块、以太网数据检测模块、流信息统计模块相连，用于对万兆以太网MAC层及IP层的数据进行解析，提取以太网数据包头部分字段发送给后级以太网数据检测模块及流信息统计模块处理；

所述以太网数据检测模块与DDR3存储模块、以太网数据包解析模块、以太网数据包捕获模块、以太网数据包过滤模块、数据输出模块相连，根据用户配置信息对以太网数据包进行匹配分析，并根据分析结果将产生的控制信息发送至以太网数据包过滤模块及以太网数据包捕获模块，同时将产生的安全审计日志发送至数据库模块进行存储与管理；

所述以太网数据包捕获模块与DDR3存储模块、PCIe接口模块、以太网数据包检测模块相连；根据以太网数据包检测模块发送的控制信息对以太网数据进行存储操作，通过PCIe接口模块高速将以太网数据发送至主机设备进行存储；

所述以太网数据包过滤模块与万兆以太网接口模块、以太网数据包检测模块相连，根据接收到来自于以太网数据包检测模块的控制信息判断是否对该以太网数据包进行拦截；

所述流信息统计模块与以太网数据包解析模块、DDR3存储模块、数据输出模块相连，用于接收以太网数据包解析模块发送的以太网数据包特征信息，并将不同类型的流量信息进行分类统计，最后通过数据输出模块及三速以太网接口模块将以太网流量数据统计结果发送给数据库模块进行存储与管理；

所述数据输出模块与以太网数据包解析模块、流信息统计模块、三速以太网接口模块相连，用于将以太网流量统计数据和安全审计日志组成以太网数据包，并通过三速以太网接口模块发送至数据库模块进行存储与管理。

Images