當(dāng)前位置:首頁(yè) > 嵌入式 > 嵌入式軟件
[導(dǎo)讀]基于S3C2440的嵌入式IPv6防火墻設(shè)計(jì)(一)

 1 引言

  在眾多的網(wǎng)絡(luò)安全設(shè)施中,防火墻是行之有效的重要網(wǎng)絡(luò)安全設(shè)備,通過(guò)對(duì)網(wǎng)絡(luò)通信進(jìn)行篩選屏蔽以防未經(jīng)授權(quán)的訪問(wèn)進(jìn)出計(jì)算機(jī)網(wǎng)絡(luò)。防火墻是位于可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間的一道安全屏障,其最核心的任務(wù)就是管理和控制進(jìn)出網(wǎng)絡(luò)的通信量,它可以截獲中途傳輸?shù)臄?shù)據(jù)包并進(jìn)行處理,然后與事先定義好的安全策略規(guī)則相比較,并最終決定轉(zhuǎn)發(fā)或丟棄該數(shù)據(jù)包。傳統(tǒng)的防火墻通常位于一段網(wǎng)絡(luò)的邊界,它可以很好的過(guò)濾外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn),但對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊卻無(wú)能為力。針對(duì)此問(wèn)題近年來(lái)關(guān)于新型防火墻的研究有很多,如分布式防火墻系統(tǒng),嵌入式防火墻系統(tǒng)等。這些系統(tǒng)的目的是將防火墻的邊界延伸,使其能夠遍布網(wǎng)絡(luò)的每一個(gè)終端設(shè)備,構(gòu)建全方位的安全防護(hù)網(wǎng)絡(luò)。

  現(xiàn)有防火墻系統(tǒng)大多是針對(duì)于IPv4開(kāi)發(fā)的,由于IPv4地址空間不足,且安全性較差,現(xiàn)有網(wǎng)絡(luò)升級(jí)到IPv6是大勢(shì)所趨。IPv6 作為下一代網(wǎng)絡(luò)的基礎(chǔ)以其海量的地址空間和較強(qiáng)的安全特性得到廣泛的認(rèn)可,因此研究支持IPv6協(xié)議的防火墻是很有必要的。

  以Intel Xscale IXP425 為核心處理器設(shè)計(jì)的嵌入式IPv6 防火墻,較好的實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行動(dòng)態(tài)過(guò)濾。但其成本較高,且IXP425 強(qiáng)勁的網(wǎng)絡(luò)處理性能在網(wǎng)絡(luò)終端的應(yīng)用中無(wú)法得以完全發(fā)揮。

  基于U盤的嵌入式防火墻使用方便,設(shè)計(jì)新穎,但其需要依附于x86 電腦硬件平臺(tái),且U盤的可靠性較差,不適于長(zhǎng)期使用。

  通用ARM 處理器有較高的性價(jià)比和較多的軟件支持,已廣泛應(yīng)用于生產(chǎn)生活的各個(gè)領(lǐng)域。本文通過(guò)對(duì)IPv6協(xié)議、IPv6安全機(jī)制和防火墻技術(shù)等方面的分析和研究,結(jié)合現(xiàn)有防火墻的特點(diǎn),設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于S3C2440 的嵌入式IPv6 防火墻系統(tǒng)。下面從硬件設(shè)計(jì)、軟件設(shè)計(jì)和核心模塊設(shè)計(jì)幾個(gè)方面介紹該基于S3C2440的嵌入式IPv6防火墻。

  2 嵌入式IPv6防火墻的硬件設(shè)計(jì)

  嵌入式IPv6防火墻的硬件設(shè)計(jì)如圖1所示,其主控芯片采用三星公司的32 位嵌入式處理器S3C2440.該處理器以ARM920T RISC 為核心,標(biāo)準(zhǔn)工作頻率為400MHZ(最高工作頻率:533MHZ),運(yùn)算能力為450MIPS,有強(qiáng)勁的處理能力。

圖1 嵌入式IPv6防火墻硬件框圖

  S3C2440處理器內(nèi)部結(jié)構(gòu)復(fù)雜,功能強(qiáng)大,片上集成了很多硬件資源。如:外部存儲(chǔ)控制器,USB 接口,UART接口,內(nèi)部定時(shí)器,130 個(gè)通用I/O接口,24 通道外部中斷源等。如此豐富的接口資源,可以很方便實(shí)現(xiàn)硬件電路的擴(kuò)展。此外S3C2440 支持ARM920T 強(qiáng)大的指令集系統(tǒng),具有獨(dú)立的內(nèi)存管理單元(MMU),支持NAND Flash啟動(dòng)引導(dǎo),可以方便的實(shí)現(xiàn)Bootloader和嵌入式操作系統(tǒng)的移植。

  系統(tǒng)的存儲(chǔ)單元主要包括SDRAM 存儲(chǔ)器和Flash存儲(chǔ)器。SDRAM為系統(tǒng)程序的運(yùn)行提供內(nèi)存空間,本系統(tǒng)采用兩片HY57V561620FTP-H(32M)并聯(lián),容量可達(dá)64MB.Flash用來(lái)存儲(chǔ)程序,F(xiàn)lash分為NOR型和NAND型2種。NOR型Flash工藝復(fù)雜,成本較高,其優(yōu)點(diǎn)是片內(nèi)可執(zhí)行應(yīng)用程序,多用于存儲(chǔ)系統(tǒng)的Bootloader 引導(dǎo)程序。NAND 型Flash 具有極高的存儲(chǔ)密度和較快的寫入和擦除速度且成本較低,適用于存儲(chǔ)大容量數(shù)據(jù)和文件??紤]到S3C2440支持NAND Flash 啟動(dòng)引導(dǎo),故本系統(tǒng)選用K9F1208U0M-YCB0(64MB)的NAND型Flash作為系統(tǒng)的Flash存儲(chǔ)器。

  系統(tǒng)的以太網(wǎng)接口單元采用2 顆10M/100M 自適應(yīng)以太網(wǎng)控制器DM9000A.DM9000A 芯片是DEVICOM 公司研發(fā)的一款低功耗,高度集成,成本較低的單芯片快速以太網(wǎng)芯片,在嵌入式領(lǐng)域中使用非常廣泛。它集成了物理層接口(PHY)、以太網(wǎng)媒體介質(zhì)訪問(wèn)控制器(MAC)和外部處理器總線接口等。3.3V的工作電壓,降低了系統(tǒng)的功耗。DM9000A 的高度集成簡(jiǎn)化了系統(tǒng)以太網(wǎng)電路的硬件設(shè)計(jì),特別適合作為嵌入式IPv6防火墻的網(wǎng)絡(luò)接口。

3 嵌入式IPv6防火墻的軟件設(shè)計(jì)

  嵌入式IPv6 防火墻系統(tǒng)的軟件編寫采用了模塊化程序設(shè)計(jì)的方法。模塊化編程有利于程序設(shè)計(jì)任務(wù)的劃分,使程序易于編寫和調(diào)試,便于檢驗(yàn)和維護(hù)。

  本系統(tǒng)將啟動(dòng)代碼(Bootloader),Linux 操作系統(tǒng)(網(wǎng)卡驅(qū)動(dòng)、協(xié)議棧),防火墻模塊(智能包過(guò)濾,狀態(tài)跟蹤等)和WEB管理模塊(Boa服務(wù)器)都編寫成獨(dú)立模塊。

  系統(tǒng)軟件層次結(jié)構(gòu)如圖2所示。

圖2 嵌入式IPv6防火墻軟件層次結(jié)構(gòu)圖。

  第一層:?jiǎn)?dòng)代碼(Bootloader)。它是芯片復(fù)位后進(jìn)入操作系統(tǒng)之前執(zhí)行的一段代碼,主要是為操作系統(tǒng)的啟動(dòng)提供基本的運(yùn)行環(huán)境,如初始化CPU、初始化存儲(chǔ)器系統(tǒng)等。本系統(tǒng)選用U-Boot 作為系統(tǒng)的Bootloader.

  第二層:Linux 操作系統(tǒng),屏蔽了對(duì)底層硬件的具體操作,為上層應(yīng)用提供了豐富的支持,包括底層設(shè)備驅(qū)動(dòng),網(wǎng)卡驅(qū)動(dòng)和網(wǎng)絡(luò)協(xié)議棧等。在Linux操作系統(tǒng)下,開(kāi)發(fā)者只需關(guān)注于應(yīng)用軟件編程,大大節(jié)省了系統(tǒng)的開(kāi)發(fā)時(shí)間。

  第三層:防火墻模塊(智能包過(guò)濾,狀態(tài)跟蹤等),該模塊是嵌入式防火墻系統(tǒng)的核心,其包括動(dòng)態(tài)NAT 模塊:負(fù)責(zé)對(duì)進(jìn)出防火墻的數(shù)據(jù)包進(jìn)行地址翻譯;狀態(tài)跟蹤模塊:維護(hù)網(wǎng)絡(luò)的會(huì)話連接信息,協(xié)助智能包過(guò)濾模塊進(jìn)行連接狀態(tài)的跟蹤,是實(shí)現(xiàn)狀態(tài)檢測(cè)包過(guò)濾(動(dòng)態(tài)包過(guò)濾)的關(guān)鍵模塊;智能包過(guò)濾模塊:根據(jù)訪問(wèn)控制表(ACL)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過(guò)濾,并對(duì)過(guò)濾規(guī)則進(jìn)行統(tǒng)計(jì),記憶和決策,動(dòng)態(tài)優(yōu)化過(guò)濾規(guī)則優(yōu)先級(jí)列表,實(shí)現(xiàn)高速高效的包過(guò)濾處理功能。

  第四層:WEB管理模塊,以CGI語(yǔ)言為基礎(chǔ),構(gòu)建Boa服務(wù)器平臺(tái)。通過(guò)該模塊用戶可以方便地查看防火墻日志,添加或修改過(guò)濾規(guī)則,調(diào)整過(guò)濾規(guī)則的優(yōu)先級(jí),監(jiān)控防火墻網(wǎng)絡(luò)狀態(tài)等。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開(kāi)發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來(lái)越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來(lái)越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開(kāi)幕式在貴陽(yáng)舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語(yǔ)權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競(jìng)爭(zhēng)力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字: 通信 BSP 電信運(yùn)營(yíng)商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡(jiǎn)稱"軟通動(dòng)力")與長(zhǎng)三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉