基于FPGA的龙芯防火墙设计与实现

发布时间：2018-11-01 14:25

【摘要】：当今互联网技术发展越来越快,互联网带宽出现跨越式增长。而防火墙作为网络安全的第一道坚实堡垒,已经由传统包过滤产品进阶为下一代防火墙。与此同时,持续不断的全球性信息安全事件又提醒着人们,如果缺乏自主可控的信息技术,无法确保网络安全,更难以在国际竞争中立足。本文在研究分析众多防火墙架构及龙芯平台的基础上,提出了一种安全、自主、可控的千兆龙芯防火墙解决方案——基于FPGA的龙芯防火墙的设计与实现。本文主要研究的关键预期目标是:实现千兆线速的龙芯防火墙。系统设计将龙芯架构作为防火墙的策略控制平台,采用FPGA技术利用硬件电路实现网络数据流的线速处理和安全过滤。主要工作有:1)基于对防火墙产品发展历史及不同架构平台的研究,对现有的龙芯单路防火墙系统的架构进行分析。完成下一代防火墙架构和FPGA技术的技术研究。2)因原有单路防火墙平台的性能羸弱和可扩展能力不足。首要工作需将龙芯防火墙系统升级到双路龙芯平台,经过重新编译内核并使得原有对单处理器的配置调整到双处理器平台的支持,以及对PMON、内核、驱动层等一系列优化实现工作,使得防火墙系统顺利运行在双路龙芯平台。同时,对双路平台进行了性能测试,比单路平台性能得到大幅提升,但还未达到预期目标。3)为了实现预期目标。设计系统框架并对关键技术进行说明,包括FPGA硬件数据流、五元组数据流处理及零拷贝加速设计;其次,通过控制、数据平面的联动实现,将防火墙系统的访问控制功能迁移到FPGA模块;零拷贝驱动的实现及连接状态跟踪表状态的同步,使FPGA模块成为龙芯防火墙的高性能网卡并实现完整的状态检测和包过滤功能。通过以上的研究,本文作者利用实际的测试验证了FPGA模块的加速效果。基于FPGA的龙芯双路防火墙在测试环境下得出理想的测试数据,吞吐量、最大并发连接数和新建连接数等防火墙性能指标均能稳定达到千兆线速。系统功能实现和性能提升都达到预期的效果。
[Abstract]:Nowadays the Internet technology develops more and more rapidly, the Internet bandwidth appears leaps and bounds growth. As the first solid fortress of network security, firewall has been advanced from traditional packet filtering products to the next generation firewall. At the same time, the continuous global information security events remind people that if they lack independent and controllable information technology, they can not ensure network security, and it is even more difficult to establish a foothold in international competition. Based on the research and analysis of many firewalls and their platforms, this paper puts forward a safe, autonomous and controllable gigabit firewall solution, which is based on the design and implementation of the Dragon Core Firewall based on FPGA. The key goal of this paper is to realize the Dragon Core Firewall with gigabit line speed. The system uses the core architecture as the policy control platform of the firewall, and adopts the FPGA technology to realize the line speed processing and security filtering of the network data flow by using the hardware circuit. The main work is as follows: 1) based on the research of firewall product development history and different architecture platforms, the architecture of the existing single-channel firewall system is analyzed. Complete the next generation firewall architecture and FPGA technology research. 2) the performance of the original single-way firewall platform is weak and scalability is insufficient. The most important work is to upgrade the Godson Firewall system to the dual-channel Godson platform, recompile the kernel and adjust the configuration of the single processor to the support of the dual-processor platform, as well as the PMON, kernel. A series of optimization work, such as driver layer, makes firewall system run smoothly on double channel core platform. At the same time, the performance of the dual-channel platform is tested, which is much better than that of the single-channel platform, but it has not reached the expected target. 3) in order to achieve the expected goal. The system framework is designed and the key technologies are described, including FPGA hardware data flow, five-tuple data stream processing and zero-copy acceleration design. Secondly, the access control function of firewall system is transferred to FPGA module through control and the linkage of data plane. The implementation of zero-copy driver and the synchronization of the state of the connected state tracking table make the FPGA module become the high-performance network card of the Dragon Core Firewall and realize the complete function of state detection and packet filtering. Through the above research, the author uses the actual test to verify the acceleration effect of the FPGA module. Under the test environment, the performance index of the dual-channel firewall based on FPGA can reach gigabit line speed stably, such as ideal test data, throughput, maximum concurrent connection number and new connection number. The system function realization and the performance enhancement all reach the anticipated effect.
【学位授予单位】：中国科学院大学(中国科学院工程管理与信息技术学院)
【学位级别】：硕士
【学位授予年份】：2017
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 毛翔昊;农发行防火墙系统建设[J];中国金融电脑;2003年02期

2 陈平仲;防火墙系统的功能探讨[J];中国教育技术装备;2004年01期

3 曾志峰,杨义先;基于身份认证和加密技术的包过滤防火墙系统的设计与实现[J];计算机工程与应用;1999年12期

4 陈菊华;防火墙系统的设计方法[J];华南金融电脑;2000年09期

5 ;阿尔派推出新一代防火墙系统[J];制造业设计技术;2000年05期

6 张励,叶晓国;一种改进的防火墙系统[J];电信快报;2001年10期

7 徐超汉;防火墙系统的设计[J];华南金融电脑;2001年05期

8 朱之伟 ,尹永良,韩会峰,陈杭;农户小额贷款防火墙系统设计与实现[J];中国金融电脑;2002年04期

9 李春艳,杨永田;新的防火墙解决方案——分级防火墙系统[J];计算机工程与应用;2003年19期

10 白跃彬,郑守淇,侯宗浩,邹勇;一种防火墙系统安全模型的形式描述[J];小型微型计算机系统;2003年04期

相关会议论文 前4条

1 周晓俊;谢小权;;防火墙的失效状态模型研究[A];第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C];2002年

2 罗蓓蓓;邢镇容;;计算机集成制造管理系统中信息的获取与分析设计框架[A];先进制造技术论坛暨第五届制造业自动化与信息化技术交流会论文集[C];2006年

3 张冬冬;李建中;王伟平;郭龙江;;分布式复式数据流的处理[A];第二十一届中国数据库学术会议论文集（研究报告篇）[C];2004年

4 楚红涛;寒枫;张燕;王婷;;基于数据流的挖掘研究[A];计算机技术与应用进展·2007——全国第18届计算机技术与应用（CACIS）学术会议论文集[C];2007年

相关重要报纸文章 前10条

1 李东亮;防火墙需要自免疫设计[N];网络世界;2004年

2 王波;让你自己管理防火墙[N];中国计算机报;2001年

3 李东亮;设计自免疫防火墙[N];计算机世界;2004年

4 李;分层布置安全规则[N];中国计算机报;2004年

5 ;政府信息安全共享[N];中国计算机报;2002年

6 ;东软NetEye赢得国家首批信息安全产品自主原创资质[N];国际商报;2009年

7 ;构建以防火墙为核心的网络安全体系[N];计算机世界;2001年

8 ;八仙过海，，各显神通[N];中国计算机报;2000年

9 ;确保电信网安全[N];中国计算机报;2002年

10 ;聪明的防火墙[N];网络世界;2003年

相关博士学位论文 前10条

1 郭方方;集群防火墙系统的研究[D];哈尔滨工程大学;2006年

2 李春艳;分级防火墙系统中动态访问控制技术研究[D];哈尔滨工程大学;2004年

3 张丽;数据流上序敏感查询处理关键技术研究[D];国防科学技术大学;2013年

4 李飒;数据流软聚类理论及其在瓦斯灾害预警中的应用[D];辽宁工程技术大学;2014年

5 陈华辉;基于遗忘特性的数据流概要结构及其应用研究[D];复旦大学;2008年

6 孔英会;数据流技术及其在电力信息处理中的应用研究[D];华北电力大学（河北）;2009年

7 崇志宏;基于屏蔽/汇总技术的数据流处理算法[D];复旦大学;2006年

8 姚远;海量动态数据流分类方法研究[D];大连理工大学;2013年

9 曹振丽;面向养殖环境监测的数据流处理方法研究[D];中国农业大学;2015年

10 朱辉生;基于情节规则匹配的数据流预测研究[D];复旦大学;2011年

相关硕士学位论文 前10条

1 李汝鑫;基于FPGA的龙芯防火墙设计与实现[D];中国科学院大学(中国科学院工程管理与信息技术学院);2017年

2 夏弘睿;基于Linux平台的校园防火墙系统的设计与实现[D];电子科技大学;2014年

3 张秋实;嵌入式Linux防火墙系统的设计与实现[D];电子科技大学;2014年

4 胡启芳;LVS集群技术在防火墙系统中的研究与应用[D];电子科技大学;2014年

5 杨秀梅;个人防火墙系统的设计与实现[D];南京邮电大学;2016年

6 叶枝;江西省地方税务防火墙系统的研究与应用[D];南昌大学;2011年

7 郭忠义;分布式并行防火墙系统研究与设计[D];电子科技大学;2004年

8 陈高辉;一种实用的微型防火墙系统设计[D];中国科学院研究生院（西安光学精密机械研究所）;2004年

9 李长松;具有入侵检测功能的防火墙系统的设计与实现[D];电子科技大学;2003年

10 周诚;基于多阶层状态检测技术的防火墙系统研究与实现[D];中南大学;2005年

本文编号：2304192