集中式防火墻通常架構(gòu)在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，用于對(duì)流入和流出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行實(shí)時(shí)檢測(cè)，過(guò) 濾存在安全威脅的數(shù)據(jù)信息．集中式防火墻處理數(shù)據(jù)信息速度快、消耗低、延遲短，目前已經(jīng)廣泛應(yīng)用于網(wǎng)絡(luò) 規(guī)劃建設(shè)中．但是，集中式防火墻的架構(gòu)實(shí)現(xiàn)需要浪費(fèi)大量資金成本，只能夠?qū)ν獠烤W(wǎng)絡(luò)流入的安全威脅進(jìn)行檢測(cè)，無(wú)法保障內(nèi)部網(wǎng)絡(luò)的安全，而且其架構(gòu)依賴于網(wǎng) 絡(luò)拓?fù)浣Y(jié)構(gòu)，存在較多的問(wèn)題和弊端。分布式防火墻能 夠解決集中式防火墻實(shí)現(xiàn)過(guò)程中的諸多問(wèn)題。

本文研究的是基于硬件的嵌入式防火墻實(shí)現(xiàn)機(jī)制，給出了基于ARM處理器的嵌入式防火墻安全保 護(hù)機(jī)制總體設(shè)計(jì)，提出了嵌入式防火墻軟件架構(gòu)和硬 件架構(gòu)，詳細(xì)分析了嵌入式防火墻實(shí)現(xiàn)過(guò)程中的關(guān)鍵 技術(shù)，包括芯片選型、硬件布局等，對(duì)嵌入式防火墻 的通信性能進(jìn)行測(cè)試評(píng)估，測(cè)試結(jié)果表明，本文給出的ARM處理器的嵌入式防火墻的通信性能優(yōu)于普通 處理器的通信性能．

1. 基于ARM處理器的嵌入式防火墻總體架構(gòu)設(shè)計(jì)

基于ARM處理器的嵌入式防火墻架構(gòu)由硬件部 分和軟件部分共同組成．嵌入式防火墻系統(tǒng)設(shè)計(jì)滿足 成本低、體積小、消耗少、運(yùn)行穩(wěn)定可靠等原則要求， 本文給出的嵌入式防火墻硬件架構(gòu)與軟件架構(gòu)設(shè)計(jì)如 圖1 所示，嵌入式防火墻系統(tǒng)通過(guò)接口與被保護(hù)的計(jì)算機(jī)終端網(wǎng)卡相連，流入和流出計(jì)算機(jī)終端的數(shù)據(jù)包都需要經(jīng)過(guò)嵌入式防火墻的檢測(cè)處理．經(jīng)過(guò)嵌入式防 火墻檢測(cè)處理的數(shù)據(jù)包通常包括普通數(shù)據(jù)流和客戶端與服務(wù)器之間的策略／審計(jì)數(shù)據(jù)流。

圖1嵌入式防火墻硬件與軟件架構(gòu)模型

1.1 普通數(shù)據(jù)流傳輸

計(jì)算機(jī)終端通過(guò)嵌入式防火墻與其他終端進(jìn)行數(shù)據(jù)通信時(shí)所流入和流出的數(shù)據(jù)包稱為普通數(shù)據(jù)流．普 通數(shù)據(jù)流從被保護(hù)的計(jì)算機(jī)終端開(kāi)始，經(jīng)過(guò)計(jì)算機(jī)終端的應(yīng)用程序協(xié)議棧以及終端網(wǎng)卡芯片，再傳輸?shù)角?入式防火墻網(wǎng)卡驅(qū)動(dòng)中，通過(guò)嵌入式防火墻處理器將數(shù)據(jù)流存儲(chǔ)到網(wǎng)卡驅(qū)動(dòng)的存儲(chǔ)空間，同時(shí)啟動(dòng)包過(guò)濾 引擎過(guò)濾，按照預(yù)先設(shè)定的策略規(guī)則對(duì)數(shù)據(jù)流放行，并將經(jīng)過(guò)過(guò)濾的數(shù)據(jù)流傳送到傳輸介質(zhì)中．?dāng)?shù)據(jù)流從 外部網(wǎng)絡(luò)流入的過(guò)程是：通過(guò)嵌入式防火墻處理器的控制，將網(wǎng)卡驅(qū)動(dòng)中的數(shù)據(jù)流傳送到嵌入式防火墻存 儲(chǔ)空間中，同時(shí)啟動(dòng)包過(guò)濾引擎，按照預(yù)先設(shè)定的策略規(guī)則對(duì)數(shù)據(jù)流放行，再通過(guò)另一個(gè)網(wǎng)卡驅(qū)動(dòng)將數(shù)據(jù) 流傳送到計(jì)算機(jī)終端的網(wǎng)卡芯片中，由計(jì)算機(jī)中央處理器在協(xié)議棧中對(duì)數(shù)據(jù)流進(jìn)行相關(guān)協(xié)議處理。

1.2 策略／審計(jì)數(shù)據(jù)流傳輸

通過(guò)嵌入式防火墻處理器控制，將計(jì)算機(jī)終端與服務(wù)器之間的策略／審計(jì)數(shù)據(jù)流傳送到計(jì)算機(jī)終端網(wǎng) 卡芯片的協(xié)議棧中，根據(jù)相關(guān)協(xié)議認(rèn)證與服務(wù)器之間建立通信連接，達(dá)到傳輸策略／審計(jì)數(shù)據(jù)流的目的。

2. 基于ARM處理器的嵌入式防火墻硬件架構(gòu)設(shè)計(jì)

2.1 嵌入式芯片選型

本文給出的基于ARM處理器的嵌入式防火墻采用的是型號(hào)為S3C2410X的32位處理器芯片，是三星 公司生產(chǎn)的以ARM920T為核心的嵌入式處理器芯片，該嵌入式處理器芯片具有數(shù)據(jù)處理速度快、功耗 低、集成廣等特點(diǎn)．嵌入式防火墻的硬件架構(gòu)設(shè)計(jì)如圖2所示。

圖2嵌入式防火墻硬件架構(gòu)

2.2 硬件布局設(shè)計(jì)

ARM920T核心處理器的頻率最高為203MHz，因此在進(jìn)行高頻電路板設(shè)計(jì)過(guò)程中，要時(shí)刻注意電路 板布局設(shè)計(jì)和布線走向，要盡可能保證高頻信號(hào)與其他信號(hào)相互隔離，減少信號(hào)干擾、串?dāng)_等問(wèn)題。在 防止電磁信號(hào)干擾的情況下，基于目前嵌入式系統(tǒng)的硬件布局方案，提出了以擴(kuò)展板結(jié)合核心板的方式來(lái) 實(shí)現(xiàn)的嵌入式防火墻，如圖３所示。擴(kuò)展板是２層電路板布線結(jié)構(gòu)，保證外圍設(shè)備的基本功能可以實(shí)現(xiàn)，外 圍設(shè)備包括網(wǎng)絡(luò)控制器、調(diào)試電路、電源電路、復(fù)位電路等。核心板是６層電路板布線結(jié)構(gòu)，其外圍設(shè)備包 括ARM920T核心處理器、NorFlash存儲(chǔ)電路、外圍電路中的晶振電路等。

圖3嵌入式防火墻硬件結(jié)構(gòu)布局

3. 基于ARM處理器的嵌入式防火墻軟件架構(gòu)設(shè)計(jì)

3.1 網(wǎng)卡驅(qū)動(dòng)程序

網(wǎng)卡驅(qū)動(dòng)模塊是組成操作系統(tǒng)的核心模塊之一，與 操作系統(tǒng)核心網(wǎng)絡(luò)子系統(tǒng)有著密切關(guān)系，網(wǎng)卡驅(qū)動(dòng)模塊 負(fù)責(zé)向操作系統(tǒng)核心提供網(wǎng)絡(luò)數(shù)據(jù)通信功能．網(wǎng)卡驅(qū)動(dòng) 模塊直接可以對(duì)硬件設(shè)備進(jìn)行驅(qū)動(dòng)操作，位置處于網(wǎng)絡(luò) 體系結(jié)構(gòu)的下層。Linux網(wǎng)卡驅(qū)動(dòng)模塊包括網(wǎng)絡(luò)協(xié)議層、 網(wǎng)絡(luò)設(shè)備層、網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)功能層和網(wǎng)絡(luò)介質(zhì)層，如圖４所示。當(dāng)操作系統(tǒng)核心加載了某個(gè) Linux網(wǎng)卡驅(qū)動(dòng)模塊 時(shí)，驅(qū)動(dòng)程序通過(guò)初始化函數(shù)啟動(dòng)該網(wǎng)卡設(shè)備．這個(gè)網(wǎng) 絡(luò)設(shè)備的名稱與網(wǎng)卡驅(qū)動(dòng)模塊中的結(jié)構(gòu)體變量相互對(duì) 應(yīng)，由于網(wǎng)絡(luò)設(shè)備多種多樣，應(yīng)用程序的編寫不可能兼 容所有硬件設(shè)備，因此，通過(guò)網(wǎng)絡(luò)設(shè)備層的接口相連，可 以實(shí)現(xiàn)與底層網(wǎng)絡(luò)設(shè)備的無(wú)關(guān)性．網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)功能層 是與底層設(shè)備密切相關(guān)的，主要包括3個(gè)部分，分別是幀發(fā)送、幀接收和硬件加載與卸載。

圖4網(wǎng)卡驅(qū)動(dòng)體系結(jié)構(gòu)

3.2 應(yīng)用程序

本文以包過(guò)濾器應(yīng)用程序?yàn)槔M(jìn)行說(shuō)明，計(jì)算機(jī)終端的嵌入式防火墻按照預(yù)定的策略規(guī)則對(duì)數(shù)據(jù)包進(jìn) 行過(guò)濾檢測(cè)，當(dāng)收到和傳送數(shù)據(jù)包時(shí)，都要對(duì)每一個(gè)數(shù)據(jù)包進(jìn)行判斷，確定是否符合規(guī)則條件。嵌入式防 火墻能夠?qū)⒎纸M和目的IP地址、源端命令、目的命令及協(xié)議類型等信息提取出來(lái)，再由包過(guò)濾器的應(yīng)用程 序?qū)@些數(shù)據(jù)信息進(jìn)行過(guò)濾檢測(cè)，這種通過(guò)包過(guò)濾器檢測(cè)數(shù)據(jù)包的方式與傳統(tǒng)的集中式防火墻相似．當(dāng)包 過(guò)濾器的應(yīng)用程序攔截到一個(gè)數(shù)據(jù)分組信息之后，以過(guò)濾策略規(guī)則對(duì)其進(jìn)行遍歷，根據(jù)分組IP地址、目的IP地址和協(xié)議類型等策略規(guī)則進(jìn)行搜索，當(dāng)查詢到與其匹配的規(guī)則之后，則按照策略規(guī)則對(duì)分組數(shù)據(jù)信息 進(jìn)行放行或丟棄操作。其他相關(guān)網(wǎng)絡(luò)安全應(yīng)用程序的開(kāi)發(fā)也可以基于嵌入式防火墻平臺(tái)實(shí)現(xiàn)。

4. 嵌入式防火墻的通信性能測(cè)試及對(duì)比分析

本文采用美國(guó)IXIA公司研發(fā)的Ix Chariot測(cè)試軟件對(duì)網(wǎng)絡(luò)進(jìn)行性能測(cè)試和壓力測(cè)試，得出網(wǎng)絡(luò)在不同情況下，其吞吐量、延時(shí)時(shí)間、響應(yīng)時(shí)間和丟包數(shù)量的 性能參數(shù)，達(dá)到評(píng)估網(wǎng)絡(luò)性能的目的。Ix Chariot測(cè)試軟 件包括控制端和遠(yuǎn)程端，控制端需要配置在微軟操作系統(tǒng)中。

4.1 測(cè)試環(huán)境

嵌入式防火墻的性能測(cè)試環(huán)境如圖5所示，測(cè)試環(huán)境 包括與嵌入式防火墻相互連接的２臺(tái)普通計(jì)算機(jī)終端。

圖5嵌入式防火墻性能測(cè)試環(huán)境

4.2 測(cè)試指標(biāo)

嵌入式防火墻性能測(cè)試指標(biāo)包括吞吐量和響應(yīng)時(shí)間，但是每個(gè)性能指標(biāo)參數(shù)的測(cè)試需要２個(gè)對(duì)等的計(jì)算機(jī)終端共同作用完成，即終點(diǎn)1和終點(diǎn)2。

4.3 測(cè)試結(jié)果

在計(jì)算機(jī)終端1上運(yùn)行Ix Chariot測(cè)試軟件，在計(jì)算機(jī)終端2上運(yùn)行Ix Chariot測(cè)試軟件中的end-point程序。Ix Chariot測(cè)試軟件能夠?qū)⑶度胧椒阑饓Φ耐ㄐ判阅軐?shí)時(shí)顯示，圖6（a）為計(jì)算機(jī)終端1與計(jì) 算機(jī)終端2之間進(jìn)行對(duì)等通信的吞吐量參數(shù)，圖6（b）為計(jì)算機(jī)終端1與計(jì)算機(jī)終端2之間進(jìn)行對(duì)等通信的響應(yīng)時(shí)間參數(shù)。

圖6嵌入式防火墻性能測(cè)試

由圖6（a）和圖6（b）可以看出，嵌入式防火墻采用外接硬件部分之后，由Ix Chariot測(cè)試軟件測(cè)試得到 的網(wǎng)絡(luò)應(yīng)用層的數(shù)據(jù)通信速率為15.5Mbps左右，測(cè)試得到的響應(yīng)時(shí)間為50.5ms左右。

4.4 測(cè)試對(duì)比

目前，我國(guó)生產(chǎn)的大部分防火墻產(chǎn)品主要屬于邊界式防火墻，通常利用網(wǎng)絡(luò)處理器實(shí)現(xiàn)安全保護(hù)功 能，因此本文的嵌入式防火墻性能測(cè)試對(duì)比選擇的都是基于ARM處理器的防火墻產(chǎn)品，以開(kāi)發(fā)板和路由 板的數(shù)據(jù)信息處理性能參數(shù)進(jìn)行測(cè)試對(duì)比，測(cè)試對(duì)比選擇的是三星公司生產(chǎn)的S2410開(kāi)發(fā)板和華北工控公 司生產(chǎn)的P780路由板。

圖７嵌入式防火墻與 華北工控路由板通信性能對(duì)比

三星公司生產(chǎn)的 S2410開(kāi)發(fā)板是基于ARM 處理器實(shí)現(xiàn)的，能夠支持嵌入式系統(tǒng)，同時(shí)具有一 個(gè)以太網(wǎng)接口，但是不能使用Ix Chariot測(cè)試軟件 進(jìn)行性能測(cè)試，只能通過(guò)網(wǎng)絡(luò)傳輸協(xié)議進(jìn)行性能 測(cè)試，其網(wǎng)絡(luò)應(yīng)用層的數(shù)據(jù)通信速率為7.2Mbps。

華北工控公司生產(chǎn)的 P780 路由板是基于ARM處理器實(shí)現(xiàn)的，具有3個(gè)以太網(wǎng)接口，同時(shí) 配備２個(gè)無(wú)線網(wǎng)卡，無(wú)線網(wǎng)卡置于 Mini PCI插槽 內(nèi)，將以太網(wǎng)的２個(gè)接口分別與２臺(tái)計(jì)算機(jī)終端 相互連接，利用Ix Chariot測(cè)試軟件進(jìn)行性能測(cè) 試，其網(wǎng)絡(luò)應(yīng)用層的數(shù)據(jù)通信速率為7.5Mbps。 由圖7可以看出，本文給出的基于ARM處理器的嵌入式防火墻通信性能可以達(dá)到15.5Mbps左右，比一般的處理器通信性能提高2.15倍。

5.結(jié)論

本文針對(duì)目前嵌入式防火墻通信性能差的問(wèn)題，提出了一種基于ARM處理器的嵌入式防火墻實(shí)現(xiàn)機(jī)制，對(duì)嵌入式防火墻的吞吐量和響應(yīng)時(shí)間進(jìn)行通信性能測(cè)試．實(shí)驗(yàn)結(jié)果表明，基于ARM 處理器的嵌入式 防火墻的通信性能優(yōu)于其他處理器。進(jìn)一步的工作包括繼續(xù)優(yōu)化其通信性能，或者在其基礎(chǔ)之上擴(kuò)展相關(guān)安全應(yīng)用，包括身份認(rèn)證系統(tǒng)、入侵檢測(cè)系統(tǒng)、數(shù)據(jù)加密系統(tǒng)等，未來(lái)應(yīng)用前景非常廣泛。