集中式防火墻通常架構(gòu)在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，用于對流入和流出網(wǎng)絡(luò)的數(shù)據(jù)包進行實時檢測，過 濾存在安全威脅的數(shù)據(jù)信息．集中式防火墻處理數(shù)據(jù)信息速度快、消耗低、延遲短，目前已經(jīng)廣泛應(yīng)用于網(wǎng)絡(luò) 規(guī)劃建設(shè)中．但是，集中式防火墻的架構(gòu)實現(xiàn)需要浪費大量資金成本，只能夠?qū)ν獠烤W(wǎng)絡(luò)流入的安全威脅進行檢測，無法保障內(nèi)部網(wǎng)絡(luò)的安全，而且其架構(gòu)依賴于網(wǎng) 絡(luò)拓撲結(jié)構(gòu)，存在較多的問題和弊端。分布式防火墻能 夠解決集中式防火墻實現(xiàn)過程中的諸多問題。

本文研究的是基于硬件的嵌入式防火墻實現(xiàn)機制，給出了基于ARM處理器的嵌入式防火墻安全保 護機制總體設(shè)計，提出了嵌入式防火墻軟件架構(gòu)和硬 件架構(gòu)，詳細分析了嵌入式防火墻實現(xiàn)過程中的關(guān)鍵 技術(shù)，包括芯片選型、硬件布局等，對嵌入式防火墻 的通信性能進行測試評估，測試結(jié)果表明，本文給出的ARM處理器的嵌入式防火墻的通信性能優(yōu)于普通 處理器的通信性能．

1. 基于ARM處理器的嵌入式防火墻總體架構(gòu)設(shè)計

基于ARM處理器的嵌入式防火墻架構(gòu)由硬件部 分和軟件部分共同組成．嵌入式防火墻系統(tǒng)設(shè)計滿足 成本低、體積小、消耗少、運行穩(wěn)定可靠等原則要求， 本文給出的嵌入式防火墻硬件架構(gòu)與軟件架構(gòu)設(shè)計如 圖1 所示，嵌入式防火墻系統(tǒng)通過接口與被保護的計算機終端網(wǎng)卡相連，流入和流出計算機終端的數(shù)據(jù)包都需要經(jīng)過嵌入式防火墻的檢測處理．經(jīng)過嵌入式防 火墻檢測處理的數(shù)據(jù)包通常包括普通數(shù)據(jù)流和客戶端與服務(wù)器之間的策略／審計數(shù)據(jù)流。

圖1嵌入式防火墻硬件與軟件架構(gòu)模型

1.1 普通數(shù)據(jù)流傳輸

計算機終端通過嵌入式防火墻與其他終端進行數(shù)據(jù)通信時所流入和流出的數(shù)據(jù)包稱為普通數(shù)據(jù)流．普 通數(shù)據(jù)流從被保護的計算機終端開始，經(jīng)過計算機終端的應(yīng)用程序協(xié)議棧以及終端網(wǎng)卡芯片，再傳輸?shù)角?入式防火墻網(wǎng)卡驅(qū)動中，通過嵌入式防火墻處理器將數(shù)據(jù)流存儲到網(wǎng)卡驅(qū)動的存儲空間，同時啟動包過濾 引擎過濾，按照預(yù)先設(shè)定的策略規(guī)則對數(shù)據(jù)流放行，并將經(jīng)過過濾的數(shù)據(jù)流傳送到傳輸介質(zhì)中．數(shù)據(jù)流從 外部網(wǎng)絡(luò)流入的過程是：通過嵌入式防火墻處理器的控制，將網(wǎng)卡驅(qū)動中的數(shù)據(jù)流傳送到嵌入式防火墻存 儲空間中，同時啟動包過濾引擎，按照預(yù)先設(shè)定的策略規(guī)則對數(shù)據(jù)流放行，再通過另一個網(wǎng)卡驅(qū)動將數(shù)據(jù) 流傳送到計算機終端的網(wǎng)卡芯片中，由計算機中央處理器在協(xié)議棧中對數(shù)據(jù)流進行相關(guān)協(xié)議處理。

1.2 策略／審計數(shù)據(jù)流傳輸

通過嵌入式防火墻處理器控制，將計算機終端與服務(wù)器之間的策略／審計數(shù)據(jù)流傳送到計算機終端網(wǎng) 卡芯片的協(xié)議棧中，根據(jù)相關(guān)協(xié)議認證與服務(wù)器之間建立通信連接，達到傳輸策略／審計數(shù)據(jù)流的目的。

2. 基于ARM處理器的嵌入式防火墻硬件架構(gòu)設(shè)計

2.1 嵌入式芯片選型

本文給出的基于ARM處理器的嵌入式防火墻采用的是型號為S3C2410X的32位處理器芯片，是三星 公司生產(chǎn)的以ARM920T為核心的嵌入式處理器芯片，該嵌入式處理器芯片具有數(shù)據(jù)處理速度快、功耗 低、集成廣等特點．嵌入式防火墻的硬件架構(gòu)設(shè)計如圖2所示。

圖2嵌入式防火墻硬件架構(gòu)

2.2 硬件布局設(shè)計

ARM920T核心處理器的頻率最高為203MHz，因此在進行高頻電路板設(shè)計過程中，要時刻注意電路 板布局設(shè)計和布線走向，要盡可能保證高頻信號與其他信號相互隔離，減少信號干擾、串擾等問題。在 防止電磁信號干擾的情況下，基于目前嵌入式系統(tǒng)的硬件布局方案，提出了以擴展板結(jié)合核心板的方式來 實現(xiàn)的嵌入式防火墻，如圖３所示。擴展板是２層電路板布線結(jié)構(gòu)，保證外圍設(shè)備的基本功能可以實現(xiàn)，外 圍設(shè)備包括網(wǎng)絡(luò)控制器、調(diào)試電路、電源電路、復(fù)位電路等。核心板是６層電路板布線結(jié)構(gòu)，其外圍設(shè)備包 括ARM920T核心處理器、NorFlash存儲電路、外圍電路中的晶振電路等。

圖3嵌入式防火墻硬件結(jié)構(gòu)布局

3. 基于ARM處理器的嵌入式防火墻軟件架構(gòu)設(shè)計

3.1 網(wǎng)卡驅(qū)動程序

網(wǎng)卡驅(qū)動模塊是組成操作系統(tǒng)的核心模塊之一，與 操作系統(tǒng)核心網(wǎng)絡(luò)子系統(tǒng)有著密切關(guān)系，網(wǎng)卡驅(qū)動模塊 負責向操作系統(tǒng)核心提供網(wǎng)絡(luò)數(shù)據(jù)通信功能．網(wǎng)卡驅(qū)動 模塊直接可以對硬件設(shè)備進行驅(qū)動操作，位置處于網(wǎng)絡(luò) 體系結(jié)構(gòu)的下層。Linux網(wǎng)卡驅(qū)動模塊包括網(wǎng)絡(luò)協(xié)議層、 網(wǎng)絡(luò)設(shè)備層、網(wǎng)絡(luò)設(shè)備驅(qū)動功能層和網(wǎng)絡(luò)介質(zhì)層，如圖４所示。當操作系統(tǒng)核心加載了某個 Linux網(wǎng)卡驅(qū)動模塊 時，驅(qū)動程序通過初始化函數(shù)啟動該網(wǎng)卡設(shè)備．這個網(wǎng) 絡(luò)設(shè)備的名稱與網(wǎng)卡驅(qū)動模塊中的結(jié)構(gòu)體變量相互對 應(yīng)，由于網(wǎng)絡(luò)設(shè)備多種多樣，應(yīng)用程序的編寫不可能兼 容所有硬件設(shè)備，因此，通過網(wǎng)絡(luò)設(shè)備層的接口相連，可 以實現(xiàn)與底層網(wǎng)絡(luò)設(shè)備的無關(guān)性．網(wǎng)絡(luò)設(shè)備驅(qū)動功能層 是與底層設(shè)備密切相關(guān)的，主要包括3個部分，分別是幀發(fā)送、幀接收和硬件加載與卸載。

圖4網(wǎng)卡驅(qū)動體系結(jié)構(gòu)

3.2 應(yīng)用程序

本文以包過濾器應(yīng)用程序為例進行說明，計算機終端的嵌入式防火墻按照預(yù)定的策略規(guī)則對數(shù)據(jù)包進 行過濾檢測，當收到和傳送數(shù)據(jù)包時，都要對每一個數(shù)據(jù)包進行判斷，確定是否符合規(guī)則條件。嵌入式防 火墻能夠?qū)⒎纸M和目的IP地址、源端命令、目的命令及協(xié)議類型等信息提取出來，再由包過濾器的應(yīng)用程 序?qū)@些數(shù)據(jù)信息進行過濾檢測，這種通過包過濾器檢測數(shù)據(jù)包的方式與傳統(tǒng)的集中式防火墻相似．當包 過濾器的應(yīng)用程序攔截到一個數(shù)據(jù)分組信息之后，以過濾策略規(guī)則對其進行遍歷，根據(jù)分組IP地址、目的IP地址和協(xié)議類型等策略規(guī)則進行搜索，當查詢到與其匹配的規(guī)則之后，則按照策略規(guī)則對分組數(shù)據(jù)信息 進行放行或丟棄操作。其他相關(guān)網(wǎng)絡(luò)安全應(yīng)用程序的開發(fā)也可以基于嵌入式防火墻平臺實現(xiàn)。

4. 嵌入式防火墻的通信性能測試及對比分析

本文采用美國IXIA公司研發(fā)的Ix Chariot測試軟件對網(wǎng)絡(luò)進行性能測試和壓力測試，得出網(wǎng)絡(luò)在不同情況下，其吞吐量、延時時間、響應(yīng)時間和丟包數(shù)量的 性能參數(shù)，達到評估網(wǎng)絡(luò)性能的目的。Ix Chariot測試軟 件包括控制端和遠程端，控制端需要配置在微軟操作系統(tǒng)中。

4.1 測試環(huán)境

嵌入式防火墻的性能測試環(huán)境如圖5所示，測試環(huán)境 包括與嵌入式防火墻相互連接的２臺普通計算機終端。

圖5嵌入式防火墻性能測試環(huán)境

4.2 測試指標

嵌入式防火墻性能測試指標包括吞吐量和響應(yīng)時間，但是每個性能指標參數(shù)的測試需要２個對等的計算機終端共同作用完成，即終點1和終點2。

4.3 測試結(jié)果

在計算機終端1上運行Ix Chariot測試軟件，在計算機終端2上運行Ix Chariot測試軟件中的end-point程序。Ix Chariot測試軟件能夠?qū)⑶度胧椒阑饓Φ耐ㄐ判阅軐崟r顯示，圖6（a）為計算機終端1與計 算機終端2之間進行對等通信的吞吐量參數(shù)，圖6（b）為計算機終端1與計算機終端2之間進行對等通信的響應(yīng)時間參數(shù)。

圖6嵌入式防火墻性能測試

由圖6（a）和圖6（b）可以看出，嵌入式防火墻采用外接硬件部分之后，由Ix Chariot測試軟件測試得到 的網(wǎng)絡(luò)應(yīng)用層的數(shù)據(jù)通信速率為15.5Mbps左右，測試得到的響應(yīng)時間為50.5ms左右。

4.4 測試對比

目前，我國生產(chǎn)的大部分防火墻產(chǎn)品主要屬于邊界式防火墻，通常利用網(wǎng)絡(luò)處理器實現(xiàn)安全保護功 能，因此本文的嵌入式防火墻性能測試對比選擇的都是基于ARM處理器的防火墻產(chǎn)品，以開發(fā)板和路由 板的數(shù)據(jù)信息處理性能參數(shù)進行測試對比，測試對比選擇的是三星公司生產(chǎn)的S2410開發(fā)板和華北工控公 司生產(chǎn)的P780路由板。

圖７嵌入式防火墻與 華北工控路由板通信性能對比

三星公司生產(chǎn)的 S2410開發(fā)板是基于ARM 處理器實現(xiàn)的，能夠支持嵌入式系統(tǒng)，同時具有一 個以太網(wǎng)接口，但是不能使用Ix Chariot測試軟件 進行性能測試，只能通過網(wǎng)絡(luò)傳輸協(xié)議進行性能 測試，其網(wǎng)絡(luò)應(yīng)用層的數(shù)據(jù)通信速率為7.2Mbps。

華北工控公司生產(chǎn)的 P780 路由板是基于ARM處理器實現(xiàn)的，具有3個以太網(wǎng)接口，同時 配備２個無線網(wǎng)卡，無線網(wǎng)卡置于 Mini PCI插槽 內(nèi)，將以太網(wǎng)的２個接口分別與２臺計算機終端 相互連接，利用Ix Chariot測試軟件進行性能測 試，其網(wǎng)絡(luò)應(yīng)用層的數(shù)據(jù)通信速率為7.5Mbps。 由圖7可以看出，本文給出的基于ARM處理器的嵌入式防火墻通信性能可以達到15.5Mbps左右，比一般的處理器通信性能提高2.15倍。

5.結(jié)論

本文針對目前嵌入式防火墻通信性能差的問題，提出了一種基于ARM處理器的嵌入式防火墻實現(xiàn)機制，對嵌入式防火墻的吞吐量和響應(yīng)時間進行通信性能測試．實驗結(jié)果表明，基于ARM 處理器的嵌入式 防火墻的通信性能優(yōu)于其他處理器。進一步的工作包括繼續(xù)優(yōu)化其通信性能，或者在其基礎(chǔ)之上擴展相關(guān)安全應(yīng)用，包括身份認證系統(tǒng)、入侵檢測系統(tǒng)、數(shù)據(jù)加密系統(tǒng)等，未來應(yīng)用前景非常廣泛。