论文部分内容阅读
网络安全问题一直伴随着计算机网络的发展,随着互联网应用的不断扩展和网络带宽的不断提高,基于硬件的网络安全防护技术作为最有效的访问控制手段,在性能不断提升的同时也针对不同的应用领域发展新的架构,如专用集成电路(ASIC)、网络处理器(NP)、现场可编程门阵列(FPGA)等。基于FPGA的网络安全防护技术具有可编程、扩展性好、设计周期短等特点,可以有效地根据不同应用领域设计专用的安全控制策略。本文设计了一种基于FPGA的网络安全防护平台,并在此基础上开展抗网络攻击关键技术的研究。论文介绍了FPGA网络安全平台的硬件系统架构,详细讨论了网络通信电路与FPGA系统的电路原理。针对不同网络攻击手段的特点,将网络单向传输控制、协议及内容过滤归一化为数据包过滤问题,给出了RTL代码的架构,并详细介绍了网卡芯片驱动模块、基于CAM的数据包过滤引擎以及半双工调度机制的设计方法。采用层次化的方法对双向数据转发、网络安全防护等功能分步测试,给出了每个步骤的测试系统、测试方法与结果分析。实验结果表明,本文设计的FPGA网络安全防护平台能够实现网络数据的转发与处理,不同安全防护策略下的测试结果验证了本文设计的基于数据包过滤引擎的网络安全防护架构的有效性。