基于NetFPGA的支持远程可重配置的多功能硬件防火墙

UI界面进行动态显示。

4. 远程可重配置

针对于NetFPGA平台的系统硬件结构，提出一个相应的远程可充配置的解决方案，具体的实现机制如下图所示：

系统远程可充配置实现原理示意图

在本系统硬件防火墙系统远程可重配置的过程中，系统硬件配置文件（bit文件）、软件配置文件、用户界面等配置文件的传输，大致需要经历以下几个步骤：

1. 经由远程主机传输到硬件防火墙，在防火墙中，可对数据包的进行检查和分析，保障可重构系统的数据通道的安全；

2. 然后传输到网络中的交换机，由交换机进行转发；

3. 接下来，远程配置文件到由交换机到硬件防火墙系统的上位机；上位机删除原硬件配置文件、软件配置文件、GUI界面程序配置文件，将接受到新的远程配置文件存储下来。

4. 由上位机对可重配置的硬件防火墙进行远程配置文件的配置工作，配置完成后，重新运行全新的防火墙系统。

在此过程中，可重配置硬件防火墙进行重配置的远程配置文件的传输是在网络正常通信的情况下进行的，丝毫不影响防火墙系统的正常工作。在上位机接收到新的各个配置文件后，再对防火墙系统进行配置。在此过程中，配置硬件系统的时间仅需短短的1秒钟，加上运行和下载新的软件系统以及重新运行的时间，总共的时间不超过5秒钟，几乎不影响正常的网络通信。

5. 与入侵检测系统联动

针对于NetFPGA平台的系统硬件结构，将入侵检测功能有效地集成到该防火墙系统中，实现联动，从而更加有效地进行网络安全防护。解决方案的具体实现机制如下图所示：

• 入侵检测系统的实现以及与硬件防火墙主体的联动，主要的原理是：

1． 通过NetFPGA将每一个经过的数据包进行复制，传输到硬件入侵检测系统，经过高性能FPGA平台的硬件系统进行加速，对数据包的解析；

2． 然后，通过在平台上实现的入侵监测算法，分析检测数据字段，从而得出相应的数据，反馈给网络硬件防火墙；

3． 接下来，通过网络硬件防火墙依据从入侵监测系统获取到的数据，修改硬件过滤列表，在原有的硬件防火墙的防护性能不能满足有效应对新的安全威胁，必要更新新的硬件配置文件来保证防护性能时，管理人员可以通过远程可重配置更新防火墙的硬件系统和软件系统，从而能够更加有效地确保高效地应对网络攻击。

图-入侵检测系统与硬件防火墙的联动