欢迎来到天天文库
浏览记录
ID:24402959
大小:51.00 KB
页数:4页
时间:2018-11-14
《基于嵌入式的网络与信息安全防火墙的设计与实现》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、基于嵌入式的网络与信息安全防火墙的设计与实现本文介绍了IPV6协议族,分析了嵌入式防火墙研究现状和技术指标,研究了并设计了IPV6下嵌入式防火墙的硬件系统,完成了防火墙的软件系统的实现。关键词:IPv6;嵌入式;防火墙1.引言 在X络与信息安全防护体系中,传统的集中式防火墙存在依赖X络拓扑结构、不能防止内部攻击、流量集中易成为瓶颈等问题,而分布式防火墙的出现则有效地解决了这些问题,因此,分布式防火墙及其相关技术得到国内外学者的极大重视并被广泛研究[1]。2.IPv6协议族 现有IPv4X络的地址空间不足,安全性较差等先天缺陷已日益显现,IPv6作为下一代互联X协议以其
2、海量的地址空间和较强的安全特性得到业界的一致认可,并正在全球范围内普及和推广[2]。对比IPv4,IPv6有如下特点:简化的报文头和灵活的扩展,层次化的地址结构,即插即用的联X方式,X络层的认证与加密,服务质量的满足,对移动通讯更好的支持。3.嵌入式防火墙 防火墙(Firesung公司的32位嵌入式处理器S3C2440。该处理器内部结构复杂,功能强大,片上已经集成了很多硬件资源。如:外部存储控制器,LCD控制器,4通道DMA,USB接口,UART和SPI串行接口,内部定时器和看门狗定时器,130个通用I/o接口,24通道外部中断源等4.3存储单元模块 S3C2440支
3、持NAND.Flash启动装载(Bootloader),并配置了Steppingstone内部SRAM缓冲区。当系统启动时,NAND.Flash存储芯片的前4KB数据被自动的加载到Steppingstone中,并自动执行。4.4以太X通信接口模块 NCE5886是DEVI公司研发的一款低功耗,高度集成,成本较低的单芯片10M/100Mbps自适应快速以太XMAC控制器,集成了物理层接口(PHY)、以太X媒体介质访问控制器(MAC)和外部处理器总线接口,方便了系统的设计[4]。5.IPv6下嵌入式防火墙的软件系统研究与设计5.1总体流程设计 嵌入式IPv6防火墙系统软件
4、设计采用了模块化程序设计的方法。本系统将启动代码(Bootloader),Linux操作系统(双X卡驱动、IPv6协议栈),IPsec模块(SPD,SAD,IKE等)和防火墙过滤模块(ip6tables过滤规则集)都编写成独立的模块。第一层:启动代码(Bootloader)。芯片复位后进入操作系统之前执行的一段代码,为运行操作系统提供基本的运行环境。[5]第二层:Linux操作系统,屏蔽对底层硬件的具体操作,为上层应用提供丰富的支持。第三层:IPsec模块主要负责对IPv6数据包进行AH认证或者ESP数据解密。具体包括:安全策略数据库SPD,安全关联数据库SAD和密码交换
5、协议IKE模块。第四层:防火墙过滤模块是在filter的框架下通过ip6tables工具对进出X络的IPv6数据包进行过滤审查。5.2文件结构的设计 通过对系统的总体设计,分析出系统需要三个数据文件:(1)Eacl.cfg:控管规则文件,以二进制方式存储控管规则数据和系统设置数据。设计Caclfile类,用来实现该文件的创建、读取以及对控管记录的添加、删除和修改等功能。(2)Elog.dat:日志文件,以二进制方式存储日志记录数据。设计CLogFile#类,用来实现该文件的创建和对日志记录的添加、查询等功能。(3)Emsg.txt:过滤信息文件,以文本方式存储内容过滤用
6、到的域名和关键字。设计CMsg#File类,用来实现该文件的创建和记录的添加、删除等功能。5.3数据包截获模块的设计 本模块通过arioBaldiLoris,Degioanni.DevelopmentofanArchitectureforPacketCaptureandNeter,Brad.Firewallsandsecurity.BroadcastEngineering,2001,43(8):36—38
此文档下载收益归作者所有