基于NetFPGA的支持远程可重配置的多功能硬件防火墙

摘要：

与软件防火墙相比，硬件防火墙使用专用芯片，安全与速度兼顾，具有吞吐量高、不占用系统资源的优点，适合于整个网段的安全防护。但是，随着网络攻击技术的综合化和复杂化，硬件防火墙也暴露出了升级困难、配置不便的问题，很难进行灵活的修改和重配置来应对新型的攻击。随着FPGA技术的发展，用FPGA技术实现基于IP地址、端口及协议的数据包过滤算法，对硬件防火墙系统进行远程软硬件可重配置成为一个全新的研究领域。本设计结合FPGA的可重构设计思想，提出了硬件防火墙远程可重配置的设计理念，为及时应对网络攻击的需要，添加支持远程更新硬件防火墙安全策略，在NetFPGA平台上实现了一个支持可重配置的硬件防火墙系统。此外，对于网络硬件防火墙的研发，已经经历过了一个阶段，前期准备工作以及部分最终功能已经完成，希望能够利用这个机会在更加强大的平台上实现与NetFPGA处理速率相匹配的高性能入侵检测系统，实现对网络安全状态的正确判断，反馈给网络硬件防火墙，通过协同处理更加有效地进行网络安全防护。

该系统的主要特色功能有：

1． 运用硬件电路加速实现的基于IP地址的数据包过滤功能；

2． 运用硬件电路加速实现的基于端口的数据包过滤功能；

3． 运用硬件电路加速实现的基于网络协议的数据包过滤功能；

4． 结合硬件实现ARP攻击的防护；

5． 防火墙端口的流量统计，数据传输及流量数据的远程显示；

6． 系统的软硬件远程可重配置的功能；

7． 硬件加速实现的高性能网络入侵检测系统。

硬件防火墙系统原理和技术特点：

• 技术特点主要有：

1． 运用硬件电路加速实现的基于IP地址的数据包过滤功能；

2． 运用硬件电路加速实现的基于端口的数据包过滤功能；

3． 运用硬件电路加速实现的基于网络协议的数据包过滤功能；

4． 结合硬件实现ARP攻击的防护；

5． 结合硬件实现的防火墙端口的流量统计，数据传输及流量数据的远程显示；

6． 软、硬件系统的远程可重配置的功能；

7． 硬件加速实现的高性能网络入侵检测系统。

远程可重配置（Remote configuration）是当前世界FPGA可重构设计领域的一个前沿研究方向。目前处于理论刚刚提出，尚未完善的阶段，实际的实现上有着一定难度。

本系统完成的远程可重配置，是首次针对与NetFPGA平台的一个探索性的实现，完成远程可重配置的，能够将它在本系统中实现，并添加进硬件防火墙系统中，对于整个系统的先进性和可靠性，都有着明显的价值和意义。

远程可重配置的实现后，就可以允许管理员可以更加方便地对系统进行维护以及将来与网络入侵检测系统联动后，能够根据网络入侵检测结果在网络远端对硬件防火墙系统的硬件和软件系统的重新配置，自动更改硬件防火墙的硬件和软件系统，更换硬件防火墙中的安全策略中的硬件模块，增加了针对于NetFPGA平台的远程可重配置功能的设计与实现。

系统原理：

• 整个系统的原理是：

充分利用NetFPGA对于网络数据的强大的处理能力，利用硬件电路将NetFPGA实现为一个支持远程可重配置的网络硬件防火墙系统。其主要功能也均是基于硬件来实现：

1. 硬件防火墙的最主要的功能基于IP地址（或基于端口，基于网络协议）的网络数据包过滤

即利用在NetFPGA上设计的硬件系统，将到来的网络数据包解析到第三层后，得到需要的数据，然后，与事先存放在寄存器组中的非可信过滤列表进行比较，如果符合其中的一个表项，即刻将该数据包过滤掉，从而高速、有效地保障了防护的整个安全网络不会被网络攻击所威胁。当发生新的网络攻击时，从入侵检测系统得到有效的入侵检测数据，硬件防火墙系统中，上位机程序通过PCI总线，对硬件防火墙中硬件电路中过滤列表的修改，从而，有效地实现网络安全防护。

系统框图

系统框图

2. 结合硬件来实现的ARP攻击与欺骗的防护

原理是，利用ARP表在NetFPGA上的绑定和固化，使得所有到来的RARP数据包都不能够对NetFPGA上的ARP表进行修改，以及安全防护网络中每个主机的IP-MAC的绑定相结合的方式来实现。NetFPGA上的固化，外加采用双向绑定的方式，即可有效地实现对于ARP攻击与欺骗的防护。

3. 流量数据的获取与传输

图-硬件防火墙、上位机以及流量监测平台的共同配合

如上图所示，流量数据的获取、传输与远程显示主要分为三个模块：

(1) 硬件防火墙，主要负责动态地随着网络流量的改变而修改统计寄存器组中的数据；

(2) NetFPGA上位机，它的职责是通过PCI总线，读取NetFPGA平台的统计寄存器的数据，经网络接口，定时地发送给安全网络内部的流量监测平台；

(3) 流量监测平台，接收到数据包统计数据后，经过运算，并在G