CN115001737B - 一种基于ZYNQUltrascale+的多速率网络安全防护设备 - Google Patents

一种基于ZYNQUltrascale+的多速率网络安全防护设备 Download PDF

Info

Publication number
CN115001737B
CN115001737B CN202210407780.6A CN202210407780A CN115001737B CN 115001737 B CN115001737 B CN 115001737B CN 202210407780 A CN202210407780 A CN 202210407780A CN 115001737 B CN115001737 B CN 115001737B
Authority
CN
China
Prior art keywords
module
receiving
capturing
network
filtering
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210407780.6A
Other languages
English (en)
Other versions
CN115001737A (zh
Inventor
吴昊男
刘一清
张雨杭
樊似锦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
East China Normal University
Original Assignee
East China Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by East China Normal University filed Critical East China Normal University
Priority to CN202210407780.6A priority Critical patent/CN115001737B/zh
Publication of CN115001737A publication Critical patent/CN115001737A/zh
Application granted granted Critical
Publication of CN115001737B publication Critical patent/CN115001737B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0823Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/742Route cache; Operation thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于ZYNQUltrascale+的多速率网络安全防护设备,包括:网络接口数据收发模块、网络数据流解析模块、网络数据流缓存模块、路由表搜索模块、结果决策模块、安全审查模块、配置模块、数据捕获模块、PS‑PL收发模块及人机交互模块。本发明兼容多种以太网速率接口,接口包括10/100/1000Mbps的三速以太网接口、10Gbps的万兆以太网光纤接口、40Gbps以太网QSFP+接口。本发明具有接口速率兼容性高、设备处理延时低、配置规则灵活的特点,支持安全策略自主配置,支持4路三速以太网网线接入、8路光纤接入及2路QSFP+接入,在保障数据透明传输的同时,防止非法设备接入及非法数据传输,保证整个交换网络的安全性,对接入设备进行安全过滤与实时审查,适于大型网络环境的安全防护。

Description

一种基于ZYNQUltrascale+的多速率网络安全防护设备
技术领域
本发明属于网络安全、网络通信技术领域,涉及一种基于ZYNQUltrascale+的多速率网络安全防护设备,适用于大型网络,兼容多种网络接口速率,支持流量监测、协议跟踪、安全过滤、攻击预警等多种网络安全应用。
背景技术
从当前网络发展现状来看,网络接口速率渐渐增加、速率标准多样化,目前的中小型网络拓扑结构中,网络接口速率包括10Mbps、100Mbps及1000Mbps,而对于大型网络拓扑结构,10Gbps甚至40Gbps的高速网络接口也同时投入使用中。同时,网络设备数量爆炸式增长,网络流量与日俱增,当今的网络数据特点为数据量大、数据突发性强、数据协议种类多。此外,网络攻击、数据泄露等网络安全威胁也日益凸显。为解决实际网络环境下的网络安全问题、支持网络数据高速传输、支持实时流表统计分析与安全过滤,亟待需要高性能、多速率兼容、高安全的网络安全防护设备。
发明内容
本发明的目的是提供一种基于ZYNQUltrascale+的多速率网络安全防护设备,在复杂网络环境中,该设备可以保证大流量的网络数据进行高速安全地传输。
ZYNQUltrascale+系列是赛灵思公司(Xilinx)推出的一个全可编程片上系统(AllProgrammableSystem-on-chip,以下简称All Programmable Soc)。它在单芯片内部集成了基于ARM公司的ARMCotex-A53多核处理器的处理系统(ProcessingSystem,以下简称PS)和基于Xilinx可编程逻辑资源的可编程逻辑(ProgrammableLogic,以下简称PL)。
实现本发明目的的具体技术方案是:
一种基于ZYNQUltrascale+的多速率网络安全防护设备,特点是它包括网络接口数据收发模块、网络数据流解析模块、网络数据流缓存模块、路由表搜索模块、结果决策模块、安全审查模块、配置模块、数据捕获模块、PS-PL收发模块及人机交互模块。
所述网络接口数据收发模块分别与网络数据流解析模块和网络数据流缓存模块连接,用于实现网络接口的数据接收与数据发送功能。
所述网络数据流解析模块分别与网络接口数据收发模块、网络数据流缓存模块、路由表搜索模块和安全审查模块连接,用于解析网络接收数据。
所述网络数据流缓存模块分别与网络接口数据收发模块、网络数据流解析模块、结果决策模块和数据捕获模块连接,用于缓存正在被审查的数据包。
所述路由表搜索模块分别与网络数据流解析模块、结果决策模块和配置模块连接,用于实现路由查询功能。
所述结果决策模块分别与网络数据流缓存模块、路由表搜索模块和安全审查模块连接,用于实现数据流搜索结果的整合。
所述审查模块分别与网络数据流解析模块、结果决策模块、配置模块和PS-PL收发模块连接,用于实现网络数据流的安全审查。
所述配置模块分别与路由表搜索模块、审查模块和PS-PL收发模块连接,用于实现静态路由表的配置以及审查模块参数的配置。
所述数据捕获模块分别与网络数据流缓存模块和PS-PL收发模块连接,用于实现网络数据流的捕获与临时存储。
所述PS-PL收发模块分别与安全审查模块、配置模块、数据捕获模块和人机交互模块连接,用于实现PL与PS之间的数据接收与数据发送。
所述人机交互模块与PS-PL收发模块连接,用于实现设备的配置数据的接收与待显示数据的发送。
其中,网络接口数据收发模块接收到来自网络接口的网络数据之后,将网络数据流转发至网络数据流解析模块。
网络数据流解析模块对网络数据的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议及状态信息等信息进行提取,将目的MAC地址转发至路由表搜索模块,将源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议及状态信息转发至安全审查模块,将网络数据流转发至网络数据流缓存模块。
所述状态信息指TCP协议下的状态标志位,状态标志位包括URG、ACK、PSH、RST、SYN及FIN;
路由表搜索模块接收到来自网络数据流解析模块的目的MAC地址后,将根据目的MAC地址搜索路由信息,将路由信息搜索结果转发至结果决策模块。
安全审查模块接收到来自网络数据流解析模块的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议、状态信息后,根据源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议、状态信息完成流表统计分析、过滤捕获规则搜索、基于状态追踪的异常审查,将过滤捕获搜索的搜索结果转发至结果决策模块。
结果决策模块接收到来自安全审查模块的过滤捕获搜索结果与来自路由表搜索模块的路由信息搜索结果,根据过滤捕获搜索结果与路由信息,生成该网络数据流决策结果,将此决策结果转发至网络数据流缓存模块。
网络数据流缓存模块接收到来自结果决策模块的决策结果,其中的过滤捕获搜索结果显示不需要过滤时,则根据决策结果的路由信息将缓存的网络数据流转发至网络接口数据收发模块,其中的过滤捕获搜索结果显示需要捕获时,则将缓存的网络数据流转发至数据捕获模块。
网络接口数据收发模块接收到来自网络数据流缓存模块的网络数据之后,将根据路由信息,发送至对应的网络接口。
将静态路由表配置信息、过滤捕获规则配置信息传输至人机交互模块,人机交互模块将静态路由表配置信息、过滤捕获规则配置信息转发至PS-PL收发模块;PS-PL收发模块将静态路由表配置信息、过滤捕获规则配置信息转发至配置模块。
配置模块将静态路由表配置信息转发至路由表搜索模块,实现静态路由表的配置,将过滤捕获规则配置信息转发至安全审查模块,实现过滤捕获规则的配置。
安全审查模块将流表统计分析信息、基于状态追踪的异常审查信息转发至PS-PL收发模块,由PS-PL收发模块转发至人机交互模块,人机交互模块将收到的流表统计分析信息、基于状态追踪的异常审查信息输出显示。
其中,过滤捕获搜索模块会根据网络数据流解析模块发送的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议搜索过滤捕获规则集,并将搜索结果发送至过滤捕获搜索结果输出模块;过滤捕获搜索模块会接收来自配置模块的过滤捕获规则配置信息,将该配置信息写入过滤捕获规则集,完成过滤捕获规则集的配置;流表统计分析模块将根据网络数据流解析模块发送的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议及状态信息更新流表,一个流表存储单元包括源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议信息、流量、握手状态,流表统计分析模块会定时将流表统计分析信息全部读出,发送至PS-PL收发模块;基于状态追踪的异常审查模块将根据网络数据流解析模块发送的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议及握手状态信息更新异常审查表,一个流表存储单元包括源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议、握手状态,基于状态追踪的异常审查模块会将审查过程中的异常审查信息发送给发送至PS-PL收发模块;过滤捕获搜索结果输出模块接收来自过滤捕获搜索模块的过滤捕获搜索结果,并将该结果转发至结果决策模块。
配置信息发送模块接收来自PS-PL收发模块的配置信息,并解析出静态路由表配置信息与过滤捕获规则配置信息,将静态路由表配置信息转发至静态路由表配置模块,将过滤捕获规则配置信息转发至过滤捕获规则配置模块;静态路由表配置模块接收到来自配置信息发送模块的静态路由表配置信息,将该配置信息转发至路由表搜索模块,完成静态路由表的配置;过滤捕获规则配置模块接收到来自配置信息发送模块的过滤捕获规则配置信息,将该配置信息转发至过滤捕获搜索模块,完成过滤捕获规则的配置。
捕获模块负责接收来自网络数据流缓存模块的网络数据流,并将该数据流写入DDR4存储模块暂存;DDR4存储模块会接收来自捕获模块的网络数据流暂存,并定时读取DDR4中的网络数据流,将其转发至PS-PL收发模块。
DMA发送模块负责接收来安全审查模块的流表统计分析信息以及异常审查信息、来自数据捕获模块的网络数据流,将流表统计分析信息、异常审查信息、网络数据流转发至人机交互模块;DMA接收模块负责接收来自人机交互模块的静态路由表配置信息、过滤捕获规则配置信息,将所述配置信息转发至配置模块。
信息显示模块负责将来自PS-PL收发模块的流表统计分析信息、异常审查信息、捕获的网络数据流输出显示;配置信息接收模块负责将使
配置信息转发至PS-PL收发模块;
与现有技术相比,本发明的有益效果是:
(1)本发明使用ZYNQUltrascale+内部的PL纯硬件电路处理网络数据,利用其高速、并发、流水线的特性来处理大流量、高吞吐的网络数据,极大地降低网络数据在本发明中的传输延时,保证了整个网络通信的实时性。
(2)本发明可以通过ZYNQUltrascale+的PS部分配置安全策略和路由交换信息,从而对网络数据进行过滤,可以防止非法设备的接入以及非法数据的传输,保证了整个交换网络的安全性。
(3)本发明可以通过ZYNQUltrascale+的PL部分实现了多速率网络接口,可兼容不同场景下的网络环境。
(4)本发明可以通过ZYNQUltrascale+的PL部分实现了实时流表统计分析与基于状态追踪的异常检查,可及时对网络异常进行预警,过滤功能也为网络应用环境提供了快速的防护手段。
(5)本发明采用ZYNQUltrascale+作为硬件基础架构,使用PL部分处理网络数据,使用PS部分接收安全策略和传输用户信息,两者之间的互联通过高速的DMA方式来通信,突破了传统的FPGA+ARM的板级互联限制,极大地加快了两者之间的通信高效性以及安全性。此外,通过纯硬件的方式来处理安全应用和交换信息,在网络环境中,本发明无需网络地址,对于其他设备来说是“透明的”,同时硬件无法进行病毒攻击,本发明具有安全、可靠的特点。
附图说明
图1为本发明结构框图;
图2为本发明上电配置工作流程框图;
图3为本发明主要功能工作流程框图;
图4为本发明的基于状态追踪的异常审查功能工作流程框图。
具体实施方式
下面结合附图及实施例对本发明作详细描述。
实施例
参阅图1,本实施例包括:网络接口数据收发模块1、网络数据流解析模块2、网络数据流缓存模块3、路由表搜索模块4、结果决策模块5、安全审查模块6、配置模块7、数据捕获模块8、PS-PL收发模块9、人机交互模块10。其中,带有三角(△)标识的线段箭头表示数据流输入流程,带有方形(□)标识的线段箭头表示数据流输出流程,带有五角星(☆)标识的线段箭头表示配置信息输入流程,带有十字(+)标识的线段箭头表示解析信息传输流程,带有圆形(○)标识的线段箭头表示决策信息传输流程,决策信息包括路由搜索信息与过滤捕获规则搜索信息,带有菱形(◇)标识的线段箭头表示流表统计分析信息与异常审查信息输出流程。
所述网络接口数据收发模块1分别与网络数据流解析模块2和网络数据流缓存模块3连接,用于实现网络接口的数据接收与数据发送功能。
所述网络数据流解析模块2分别与网络接口数据收发模块1、网络数据流缓存模块3、路由表搜索模块4和安全审查模块6连接,用于解析网络接收数据。
所述网络数据流缓存模块3分别与网络接口数据收发模块1、网络数据流解析模块2、结果决策模块5和数据捕获模块8连接,用于缓存正在被审查的数据包。
所述路由表搜索模块4分别与网络数据流解析模块2、结果决策模块5和配置模块7连接,用于实现路由查询功能。
所述结果决策模块5分别与网络数据流缓存模块3、路由表搜索模块4和安全审查模块6连接,用于实现数据流搜索结果的整合。
所述审查模块6分别与网络数据流解析模块2、结果决策模块5、配置模块7和PS-PL收发模块9连接,用于实现网络数据流的安全审查。
所述配置模块7分别与路由表搜索模块4、审查模块6和PS-PL收发模块9连接,用于实现静态路由表的配置以及审查模块参数的配置。
所述数据捕获模块8分别与网络数据流缓存模块3和PS-PL收发模块9连接,用于实现网络数据流的捕获与临时存储。
所述PS-PL收发模块9分别与安全审查模块6、配置模块7、数据捕获模块8和人机交互模块10连接,用于实现PL与PS之间的数据接收与数据发送。
所述人机交互模块10与PS-PL收发模块9连接,用于实现设备的配置数据的接收与显示数据的发送。
本实施例的网络接口数据收发模块1包括万兆以太网数据接收模块11、万兆以太网数据发送模块12、三速以太网数据接收模块13、三速以太网数据发送模块14、40Gbps以太网数据接收模块15、40Gbps以太网数据发送模块16;万兆以太网数据接收模块11与网络数据流解析模块2相连,三速以太网数据接收模块13与网络数据流解析模块2相连,40Gbps以太网数据接收模块15与网络数据流解析模块2相连,万兆以太网数据发送模块12与网络数据流缓存模块3相连,三速以太网数据发送模块14与网络数据流缓存模块3相连,40Gbps以太网数据发送模块16与网络数据流缓存模块3相连。
本实施例的安全审查模块6包括过滤捕获搜索模块17、流表统计分析模块18、基于状态追踪的异常审查模块19、过滤捕获搜索结果输出模块20;过滤捕获搜索模块17分别与网络数据流解析模块2、配置模块7、过滤捕获搜索结果输出模块20相连,流表统计分析模块18分别与网络数据流解析模块2、PS-PL收发模块9相连,基于状态追踪的异常审查模块19分别与网络数据流解析模块2、PS-PL收发模块9相连,过滤捕获搜索结果输出模块20分别与结果决策模块5、过滤捕获搜索模块17相连。
本实施例的配置模块7包括配置信息发送模块21、静态路由表配置模块22、过滤捕获规则配置模块23;配置信息发送模块21分别与PS-PL收发模块9、静态路由表配置模块22、过滤捕获规则配置模块23相连,静态路由表配置模块22分别与路由表搜索模块4、配置信息发送模块21相连,过滤捕获规则配置模块23分别与过滤捕获搜索模块17、配置信息发送模块21相连。
本实施例的数据捕获模块8,包括捕获模块24、DDR4存储模块25;捕获模块24分别与网络数据流缓存模块3、DDR4存储模块25相连,DDR4存储模块25分别与PS-PL收发模块9、捕获模块24相连。
本实施例的PS-PL收发模块9,包括DMA发送模块26、DMA接收模块27;DMA发送模块26分别与流表统计分析模块18、基于状态追踪的异常审查模块19、DDR4存储模块25、人机交互模块10相连,DMA接收模块27分别与人机交互模块10、配置信息发送模块21相连。
本实施例的人机交互模块10,包括信息显示模块28、配置信息接收模块29;信息显示模块28与DMA发送模块26相连,信息接收模块29与DMA接收模块27相连。
本发明实现的功能主要包括路由转发、流表统计分析、网络数据包过滤、网络数据包捕获、基于状态追踪的异常审查五个功能。
参阅图2、图3、图4,本实施例是这样工作的:
设备上电启动后,首先完成上电配置,参阅图2。上电启动后,信息接收模块29将配置信息转发至DMA接收模块27,由DMA接收模块27转发配置信息至配置信息发送模块21;配置信息发送模块21解析配置信息,得到静态路由表配置信息、过滤捕获规则配置信息,并将静态路由表配置信息转发给静态路由表配置模块22,将过滤捕获规则配置信息转发给过滤捕获规则配置模块23;静态路由表配置模块22收到静态路由表配置信息后,将静态路由表配置信息写入路由表搜索模块4;过滤捕获规则配置模块23收到过滤捕获规则配置信息后,将过滤捕获规则配置信息写入过滤捕获规则配置模块23;至此,上电配置功能完成。
设备上电配置功能完成后,开始接收网络数据流,实现路由转发、流表统计分析、网络数据包过滤、网络数据包捕获、基于状态追踪的异常审查五个功能,参阅图3。网络接口数据收发模块1通过万兆以太网数据接收模块11或三速以太网数据接收模块13或40Gbps以太网数据接收模块15接收网络数据流,并将网络数据流转发至网络数据流解析模块2;网络数据流解析模块2收到网络数据流后,解析网络数据流得到源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议、状态信息等,将源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议以及状态信息转发至安全审查模块6,将目的MAC地址转发至路由表搜索模块4,将网络数据流转发至网络数据流缓存模块3;路由表搜索模块4根据目的MAC地址进行路由表搜索,将搜索结果输出到结果决策模块5;安全审查模块6收到源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议、状态信息后,会由过滤捕获搜索模块17搜索过滤捕获规则集,过滤捕获搜索模块17会将过滤捕获搜索结果转发至过滤捕获搜索结果输出模块20,由过滤捕获搜索结果输出模块20将过滤捕获搜索结果转发至结果决策模块5;同时,流表统计分析模块18会根据源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议、状态信息完成流表统计分析,并将流表统计分析结果转发至DMA发送模块26;基于状态追踪的异常审查模块19会根据源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议、状态信息完成基于状态追踪的异常审查,并将审查结果转发至DMA发送模块26;DMA发送模块26会将安全审查信息转发至信息显示模块28,至此完成了流表统计分析功能与基于状态追踪的异常审查功能;在结果决策模块5收到路由表搜索结果、过滤捕获搜索结果后,首先查看过滤捕获结果,如果过滤捕获搜索结果指示捕获该数据流,结果决策模块5会指示网络数据流缓存模块3将数据流转发至捕获模块24,捕获模块24会将收到的网络数据流转发至DDR4存储模块25临时缓存,DDR4存储模块25会将存储的数据流转发至DMA发送模块26,由DMA发送模块26将捕获数据流转发至信息显示模块28,至此,网络数据包捕获功能完成;在结果决策模块5中,会继续查看过滤捕获搜索结果是否指示过滤该数据流,如果指示过滤,则结果决策模块5会指示网络数据流缓存模块3丢弃该数据流,则网络数据包过滤功能完成;如果过滤捕获搜索结果指示不过滤该数据流,结果决策模块5会指示网络数据流缓存模块3将该数据流转发至网络接口数据收发模块1,由网络接口数据收发模块1根据路由表搜索结果,通过万兆以太网数据发送模块12或三速以太网数据发送模块14或40Gbps以太网数据发送模块16接收网络数据流,至此,路由转发功能完成。
所述的基于状态追踪的异常审查参阅图4。以TCP协议为例。在源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号及协议输入后,检测协议类别,判断其是否存在建立连接的过程;如果是TCP协议,则查看其是否处于连接正在建立的状态;如果处于连接正在建立的状态,则查看其三次握手状态是否异常,并将异常信息输出。至此,基于状态追踪的异常审查完成。

Claims (7)

1.一种基于ZYNQUltrascale+的多速率网络安全防护设备,其特征在于,它包括网络接口数据收发模块(1)、网络数据流解析模块(2)、网络数据流缓存模块(3)、路由表搜索模块(4)、结果决策模块(5)、安全审查模块(6)、配置模块(7)、数据捕获模块(8)、PS-PL收发模块(9)及人机交互模块(10);
所述网络接口数据收发模块(1)分别与网络数据流解析模块(2)和网络数据流缓存模块(3)连接,用于实现网络接口的数据接收与数据发送功能;
所述网络数据流解析模块(2)分别与网络接口数据收发模块(1)、网络数据流缓存模块(3)、路由表搜索模块(4)和安全审查模块(6)连接,用于解析网络接收数据;
所述网络数据流缓存模块(3)分别与网络接口数据收发模块(1)、网络数据流解析模块(2)、结果决策模块(5)和数据捕获模块(8)连接,用于缓存正在被审查的数据流;
所述路由表搜索模块(4)分别与网络数据流解析模块(2)、结果决策模块(5)和配置模块(7)连接,用于实现路由查询功能;
所述结果决策模块(5)分别与网络数据流缓存模块(3)、路由表搜索模块(4)和安全审查模块(6)连接,用于实现数据流搜索结果的整合与数据流发送命令的生成;
所述安全审查模块(6)分别与网络数据流解析模块(2)、结果决策模块(5)、配置模块(7)和PS-PL收发模块(9)连接,用于实现网络数据流的安全审查;
所述配置模块(7)分别与路由表搜索模块(4)、安全审查模块(6)和PS-PL收发模块(9)连接,用于实现静态路由表的配置以及审查模块的配置;
所述数据捕获模块(8)分别与网络数据流缓存模块(3)和PS-PL收发模块(9)连接,用于实现网络数据流的捕获与临时存储;
所述PS-PL收发模块(9)分别与安全审查模块(6)、配置模块(7)、数据捕获模块(8)和人机交互模块(10)连接,用于实现PL与PS之间的数据接收与数据发送;
所述人机交互模块(10)与PS-PL收发模块(9)连接,用于实现设备的配置数据的接收与显示数据的发送;
其中,网络接口数据收发模块(1)接收到来自网络接口的网络数据之后,将网络数据流转发至网络数据流解析模块(2);
网络数据流解析模块(2)对网络数据流的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议及状态信息进行提取,将目的MAC地址转发至路由表搜索模块(4),将源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议及状态信息转发至安全审查模块(6),将网络数据流转发至网络数据流缓存模块(3);
所述状态信息指TCP协议下的状态标志位,状态标志位包括URG、ACK、PSH、RST、SYN及FIN;
路由表搜索模块(4)接收到来自网络数据流解析模块(2)的目的MAC地址后,将根据目的MAC地址搜索路由信息,将路由信息搜索结果转发至结果决策模块(5);
安全审查模块(6)接收到来自网络数据流解析模块(2)的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议及状态信息后,根据源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议及状态信息完成流表统计分析、过滤捕获规则搜索、基于状态追踪的异常审查,将过滤捕获搜索的搜索结果转发至结果决策模块(5);
结果决策模块(5)接收到来自安全审查模块(6)的过滤捕获搜索结果与来自路由表搜索模块(4)的路由搜索结果,根据过滤捕获搜索结果与路由搜索结果,生成网络数据流决策结果,将此决策结果转发至网络数据流缓存模块(3);
网络数据流缓存模块(3)接收到来自结果决策模块(5)的决策结果,其中的过滤捕获搜索结果显示不需要过滤时,则根据决策结果的路由信息将缓存的网络数据流转发至网络接口数据收发模块(1),其中的过滤捕获搜索结果显示需要捕获时,则将缓存的网络数据流转发至数据捕获模块(8);
网络接口数据收发模块(1)接收到来自网络数据流缓存模块(3)的网络数据之后,将根据路由信息,发送至对应的网络接口;
将静态路由表配置信息、过滤捕获规则配置信息传输至人机交互模块(10),人机交互模块(10)将静态路由表配置信息、过滤捕获规则配置信息转发至PS-PL收发模块(9);PS-PL收发模块(9)将静态路由表配置信息、过滤捕获规则配置信息转发至配置模块(7);
配置模块(7)将静态路由表配置信息转发至路由表搜索模块(4),实现静态路由表的配置,将过滤捕获规则配置信息转发至安全审查模块(6),实现过滤捕获规则的配置;
安全审查模块(6)将流表统计分析信息、基于状态追踪的异常审查信息转发至PS-PL收发模块(9),由PS-PL收发模块(9)转发至人机交互模块(10),人机交互模块(10)将收到的流表统计分析信息、基于状态追踪的异常审查信息输出显示。
2.根据权利要求1所述的基于ZYNQUltrascale+的多速率网络安全防护设备,其特征在于,所述的网络接口数据收发模块(1)包括万兆以太网数据接收模块(11)、万兆以太网数据发送模块(12)、三速以太网数据接收模块(13)、三速以太网数据发送模块(14)、40Gbps以太网数据接收模块(15)及40Gbps以太网数据发送模块(16);
其中万兆以太网数据接收模块(11)负责接收10Gbps的网络接口数据,万兆以太网数据发送模块(12)负责发送10Gbps的网络接口数据,三速以太网数据接收模块(13)负责接收10Mbps/100Mbps/1000Mbps的网络接口数据,三速以太网数据发送模块(14)负责发送10Mbps/100Mbps/1000Mbps的网络接口数据,40Gbps以太网数据接收模块(15)负责接收40Gbps的网络接口数据,40Gbps以太网数据发送模块(16)负责发送40Gbps的网络接口数据;
万兆以太网数据接收模块(11)与网络数据流解析模块(2)相连,三速以太网数据接收模块(13)与网络数据流解析模块(2)相连,40Gbps以太网数据接收模块(15)与网络数据流解析模块(2)相连,万兆以太网数据发送模块(12)与网络数据流缓存模块(3)相连,三速以太网数据发送模块(14)与网络数据流缓存模块(3)相连,40Gbps以太网数据发送模块(16)与网络数据流缓存模块(3)相连。
3.根据权利要求1所述的基于ZYNQUltrascale+的多速率网络安全防护设备,其特征在于,所述的安全审查模块(6)包括过滤捕获搜索模块(17)、流表统计分析模块(18)、基于状态追踪的异常审查模块(19)及过滤捕获搜索结果输出模块(20),过滤捕获搜索模块(17)负责根据源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号及协议在过滤捕获规则集的搜索,流表统计分析模块(18)负责根据源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议及状态信息实现流表统计分析功能,基于状态追踪的异常审查模块(19)负责根据源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、协议及状态信息实现基于状态追踪的异常审查功能,过滤捕获搜索结果输出模块(20)负责转发过滤捕获搜索模块(17)的搜索结果;
过滤捕获搜索模块(17)分别与网络数据流解析模块(2)、配置模块(7)及过滤捕获搜索结果输出模块(20)相连,流表统计分析模块(18)分别与网络数据流解析模块(2)及PS-PL收发模块(9)相连,基于状态追踪的异常审查模块(19)分别与网络数据流解析模块(2)及PS-PL收发模块(9)相连,过滤捕获搜索结果输出模块(20)分别与结果决策模块(5)及过滤捕获搜索模块(17)相连。
4.根据权利要求1所述的基于ZYNQ Ultrascale+的多速率网络安全防护设备,其特征在于,所述的配置模块(7)包括配置信息发送模块(21)、静态路由表配置模块(22)及过滤捕获规则配置模块(23),配置信息发送模块(21)负责将配置信息中的静态路由表配置信息、过滤捕获规则配置信息并分别转发给静态路由表配置模块(22)及过滤捕获规则配置模块(23),静态路由表配置模块(22)负责接收静态路由表配置信息并完成静态路由表配置,过滤捕获规则配置模块(23)负责接收过滤捕获规则配置信息并完成过滤捕获规则配置;
配置信息发送模块(21)分别与PS-PL收发模块(9)、静态路由表配置模块(22)及过滤捕获规则配置模块(23)相连,静态路由表配置模块(22)分别与路由表搜索模块(4)及配置信息发送模块(21)相连,过滤捕获规则配置模块(23)分别与过滤捕获搜索模块(17)及配置信息发送模块(21)相连。
5.根据权利要求1所述的基于ZYNQ Ultrascale+的多速率网络安全防护设备,其特征在于,所述的数据捕获模块(8),包括捕获模块(24)及DDR4存储模块(25),捕获模块(24)负责接收网络数据流并将其写入DDR4存储模块(25),DDR4存储模块(25)将缓存网络数据流并定时读取后转发;
捕获模块(24)分别与网络数据流缓存模块(3)及DDR4存储模块(25)相连,DDR4存储模块(25)分别与PS-PL收发模块(9)及捕获模块(24)相连。
6.根据权利要求1所述的基于ZYNQ Ultrascale+的多速率网络安全防护设备,其特征在于,所述的PS-PL收发模块(9),包括DMA发送模块(26)及DMA接收模块(27),DMA发送模块(26)负责实现从PL到PS的数据发送,DMA接收模块(27)负责实现从PS到PL的数据发送;
DMA发送模块(26)分别与流表统计分析模块(18)、基于状态追踪的异常审查模块(19)、DDR4存储模块(25)及人机交互模块(10)相连,DMA接收模块(27)分别与人机交互模块(10)及配置信息发送模块(21)相连。
7.根据权利要求1所述的基于ZYNQ Ultrascale+的多速率网络安全防护设备,其特征在于,所述的人机交互模块(10),包括信息显示模块(28)及配置信息接收模块(29),信息显示模块(28)负责将来自PS-PL收发模块(9)的传输信息显示,配置信息接收模块(29)负责转发配置信息至PS-PL收发模块(9);
信息显示模块(28)与DMA发送模块(26)相连,信息接收模块(29)与DMA接收模块(27)相连。
CN202210407780.6A 2022-04-19 2022-04-19 一种基于ZYNQUltrascale+的多速率网络安全防护设备 Active CN115001737B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210407780.6A CN115001737B (zh) 2022-04-19 2022-04-19 一种基于ZYNQUltrascale+的多速率网络安全防护设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210407780.6A CN115001737B (zh) 2022-04-19 2022-04-19 一种基于ZYNQUltrascale+的多速率网络安全防护设备

Publications (2)

Publication Number Publication Date
CN115001737A CN115001737A (zh) 2022-09-02
CN115001737B true CN115001737B (zh) 2023-08-22

Family

ID=83023631

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210407780.6A Active CN115001737B (zh) 2022-04-19 2022-04-19 一种基于ZYNQUltrascale+的多速率网络安全防护设备

Country Status (1)

Country Link
CN (1) CN115001737B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9531689B1 (en) * 2014-11-10 2016-12-27 The United States Of America As Represented By The Secretary Of The Navy System and method for encryption of network data
CN113377051A (zh) * 2021-06-18 2021-09-10 华东师范大学 一种基于fpga的网络安全防护设备
CN114050838A (zh) * 2021-10-30 2022-02-15 西南电子技术研究所(中国电子科技集团公司第十研究所) 100Gbps带宽RapidIO信号源

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11057107B2 (en) * 2019-08-30 2021-07-06 Caci, Inc. - Federal Compact free space communication

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9531689B1 (en) * 2014-11-10 2016-12-27 The United States Of America As Represented By The Secretary Of The Navy System and method for encryption of network data
CN113377051A (zh) * 2021-06-18 2021-09-10 华东师范大学 一种基于fpga的网络安全防护设备
CN114050838A (zh) * 2021-10-30 2022-02-15 西南电子技术研究所(中国电子科技集团公司第十研究所) 100Gbps带宽RapidIO信号源

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于FPGA的万兆以太网TCP/IP协议处理架构;吴惑;刘一清;;电子设计工程(09);全文 *

Also Published As

Publication number Publication date
CN115001737A (zh) 2022-09-02

Similar Documents

Publication Publication Date Title
Uchida Hardware-based TCP processor for gigabit ethernet
Deri Improving passive packet capture: Beyond device polling
CN102739473B (zh) 一种应用智能网卡的网络检测方法
US7210022B2 (en) Apparatus and method for interconnecting a processor to co-processors using a shared memory as the communication interface
US6731652B2 (en) Dynamic packet processor architecture
JP4759389B2 (ja) パケット通信装置
US20060268860A1 (en) Network processor for analyzing network data
US20060200711A1 (en) Network diagnostic systems and methods for processing network messages
US11089140B2 (en) Intelligent controller and sensor network bus, system and method including generic encapsulation mode
US20060198312A1 (en) Network diagnostic systems and methods for altering the format and bandwidth of network messages
US9900267B2 (en) Systems and methods for packet switching
CN108055244B (zh) 一种基于srio接口技术的双处理系统网络安全隔离方法
US8438641B2 (en) Security protocol processing for anti-replay protection
WO2021021495A1 (en) Intelligent controller and sensor network bus, system and method
CN104572574A (zh) 基于千兆以太网视觉协议的以太网控制器ip核及方法
US20060165108A1 (en) Method and system for unidirectional packet processing at data link layer
US20090210601A1 (en) Systems and methods for providing a virtual network interface connection ("nic") with the baseboard management controller ("bmc")
US20160094369A1 (en) Unidirectional Relay Device
CN112422389A (zh) 基于芯片级加密的以太网和现场总线融合网关及传输方法
US7352701B1 (en) Buffer to buffer credit recovery for in-line fibre channel credit extension devices
Ding et al. Hardware tcp offload engine based on 10-gbps ethernet for low-latency network communication
CN116405281A (zh) 一种实时信息检测网络交换系统
CN115001737B (zh) 一种基于ZYNQUltrascale+的多速率网络安全防护设备
US11165682B2 (en) Session aware adaptive packet filtering
CN113377051B (zh) 一种基于fpga的网络安全防护设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant