[实用新型]基于微处理器的嵌入式防火墙

说明书

技术领域

本实用新型涉及一种网络信息安全设备，具体为一种基于嵌入技术的分布式防火墙设备，部署于企业桌面计算机；也可用于单个PC的用户级防火墙设备。属数据网络信息安全领域。

背景技术：

传统的集中式防火墙存在“防外不防内、流量集中、依赖拓扑结构”等缺点，而分布式防火墙则能够有效解决集中式防火墙的不足。分布式防火墙有两种实现方法：一种是基于软件实现，在操作系统上加载防火墙软件，实现对操作系统的防护，但这种方式存在防火墙和操作系统的功能悖论，即谁保护谁的问题；第二种方式是基于硬件实现。这种方式独立于受保护的操作系统，能够有效地保护对象的安全。本次申请的专利就是基于硬件实现的一种嵌入式防火墙。

传统的集中式专用防火墙大部分基于硬件来实现，主要有基于ASIC的嵌入式防火墙和基于网络处理器(Network Processor，简称NP)的嵌入式防火墙。

基于ASIC的嵌入式防火墙使用专门的硬件处理网络数据流，具有更好的性能。但是纯硬件的ASIC嵌入式防火墙缺乏可编程性，这就使得它缺乏灵活性，从而跟不上防火墙功能的快速发展。

与基于ASIC的纯硬件嵌入式防火墙相比，基于网络处理器的嵌入式防火墙具有编程功能，因而更加具有灵活性。以Intel的IXP系列产品为代表，分为控制和处理(或称数据)两个平面。如Intel公司的IXP1200，控制平面是一个ARM CORE，负责维护系统信息和协调处理部分工作，处理平面由多个微引擎(Micro Engine)和其他专用硬件组成，负责利用控制平面下发的微代码和命令，直接处理网络数据。这类产品在对数据包进行简单过滤时性能较好，但是由于体系结构限制，尤其是微代码的开发相对复杂，导致灵活性较差，一般适合3层(IP层)及以下网络数据的处理。另一类产品以SiByte的Mercurian系列产品为代表，它基于MIPSCPU设计，如SB1250。它一方面保持了基于通用CPU设计的灵活性，另一方面通过SoC(System On Chip，片上系统)的方式消除了传统CPU、总线、设备之间带宽的瓶颈问题。这类产品灵活性较强，易于开发、升级和维护，适于构建速度可与专用ASIC相媲美的、完全可编程的网络处理平台。

这些基于硬件实现的专用防火墙一般作用在内部网络与外部不可信任的网络之间，对进出网络的包进行检测和过滤，处理速度快，延迟小，能够满足目前越来越多的多媒体应用。但是他们的实现成本较高，在安全防护方面并不能将防护扩展到网络末端，实施对网络末端节点的完全脱离主机的综合性保护。

对于网络末端的防护，国内外也有一些具体的安全产品，如基于PCI卡和PC卡形式的嵌入式防火墙，这类防火墙不受网络拓扑控制，完全独立于主机操作系统，强化整个网络台式机、服务器和笔记本，配合适当的安全策略，控制每个端点的网络访问，防止数据哄骗并能快速响应检测到的攻击，但这些防火墙必须替换原来的网卡，造成原有用户投资的损失。也有将Netfilter/Iptables作为一个嵌入式防火墙进行研究，提出了一种基于U盘的嵌入式防火墙的设计方法及其实现的技术。该防火墙基于x86硬件平台，将嵌入式系统软件全部集成在一个U盘中，并使防火墙能从U盘中启动。在设计中，该防火墙通过对Linux内核裁剪，实现了Linux系统通过USB端口中的U盘启动。同时，在系统中集成了嵌入式的Web服务器和用户的配置界面脚本程序，使用户通过Web界面对防火墙能方便地进行配置，实现其一定的实用价值，但是在嵌入式防火墙之间没有策略的交互学习关系，因此属于一种单点孤立防护。

实用新型内容

针对集中式防火墙存在的缺陷以及现有嵌入式防火墙的不足，利用ARM的低成本、低功耗和高性能等特点，提出一种基于微处理器的嵌入式防火墙架构，并采用32位嵌入式处理器AT91RM920T实现。下述两个具体目的：

1)为企业提供以下安全保护：扩展到网络末端的综合性保护，无论局域网拓扑如何变化或连接源自何地；独立于主机操作系统并有效保护主机操作系统；采用策略定义安全性，为安全防护提供整体安全策略；支持各种服务器、台式机、移动式笔记本和远程节点的接入；对进出报文进行检测和过滤。

2)为单个节点提供以下安全防护：独立于主机操作系统并有效保护主机操作系统；采用策略定义安全性；支持各种台式机或者笔记本电脑的接入；对进出报文进行检测和过滤。；