設(shè)計心得：用FPGA打造最強網(wǎng)絡(luò)防火墻系統(tǒng)，小心避過這些坑

項目背景及可行性分析

1. 項目名稱、項目的主要內(nèi)容及目前的進展情況

基于FPGA的防火墻系統(tǒng)設(shè)計?；?a class="contentlabel" href="http://www.ex-cimer.com/news/listbylabel/label/FPGA">FPGA平臺，設(shè)計一個具有防火墻功能的系統(tǒng)，具備對進出網(wǎng)絡(luò)數(shù)據(jù)包解析、過濾等功能。目前正處于總體設(shè)計與論證階段。

2. 項目關(guān)鍵技術(shù)及創(chuàng)新點的論述；

關(guān)鍵技術(shù)有并行運算，狀態(tài)檢測，CAM，規(guī)則匹配，及PowerPC嵌入式系統(tǒng)。本項目的創(chuàng)新點是將傳統(tǒng)的軟件防火墻系統(tǒng)移植到硬件平臺，充分利用FPGA的優(yōu)勢，軟硬件相結(jié)合，提高處理速度和性能。

3. 技術(shù)成熟性和可靠性論述：

硬件防火墻開發(fā)模式就國內(nèi)來說主要存在三類。一類是通過網(wǎng)絡(luò)處理器(網(wǎng)絡(luò)芯片)， 一類是通過專用的FPGA編程，第三類是設(shè)計專用的ASIC芯片。相對于各種網(wǎng)絡(luò)處理器，F(xiàn)PGA是設(shè)計ASIC芯片最重要的步驟之一?；贔PGA芯片的片上防火墻系統(tǒng)優(yōu)勢。框架結(jié)構(gòu)靈活高效。開發(fā)者針對防火墻產(chǎn)品需求，有針對性定義數(shù)據(jù)通路、緩存單元、處理單元、內(nèi)存總線、總線仲裁單元及其耦合構(gòu)架，使之達到最優(yōu)性能。數(shù)據(jù)線速處理。精心設(shè)計的框架結(jié)構(gòu)，使得FPGA芯片的天然并行處理優(yōu)勢發(fā)揮到極致。數(shù)據(jù)在芯片內(nèi)始終處于流動狀態(tài)，多個處理單元在不同節(jié)點并行完成數(shù)據(jù)分析、處理、替換等操作，從原理上保證了數(shù)據(jù)線速處理。硬件可升級。最終產(chǎn)品保留FPGA芯片升級接口，隨著網(wǎng)絡(luò)應(yīng)用環(huán)境與用戶需求變化，更新芯片設(shè)計后，為用戶提供硬件升級服務(wù)，最大程度保護用戶投資。開發(fā)優(yōu)勢。所有功能集成在片內(nèi)完成， 兼之FPGA I／O資源豐富特性，使得系統(tǒng)硬件布局極為簡單，將網(wǎng)卡芯片、內(nèi)存芯片與時鐘直接與FPGA芯片連接即可，省卻了傳統(tǒng)主板繁雜的控制器、總線等結(jié)構(gòu)，使得系統(tǒng)成本大幅下降。加之在FPGA中嵌入PowerPC硬核，使得片上系統(tǒng)的性能進一步提升。

項目實施方案

1.方案基本功能框圖及描述

用框圖的方式并加以簡單的描述簡述實施本項目的技術(shù)方案。

圖1 方案基本功能流程框圖

圖2 系統(tǒng)結(jié)構(gòu)框圖

該方案采用FPGA硬件邏輯和嵌入系統(tǒng)的兩層分層結(jié)構(gòu)，如圖1所示。

FPGA硬件邏輯及外圍硬件主要實現(xiàn)的功能是：數(shù)據(jù)包收發(fā)、五元組（協(xié)議類型、源／目的IP地址、源／目的端口號）的數(shù)據(jù)分類以及固定字段模式匹配、轉(zhuǎn)發(fā)數(shù)據(jù)的封裝。

嵌入式系統(tǒng)實現(xiàn)的主要功能是：病毒與惡意攻擊的檢測、病毒與惡意攻擊的處理、過濾規(guī)則管理、轉(zhuǎn)發(fā)數(shù)據(jù)整理。

方案的核心部分是由實現(xiàn)入侵檢測的三個模塊組成。利用硬件匹配和數(shù)據(jù)負載匹配認別病毒和惡意攻擊，為網(wǎng)絡(luò)提供安全保護。

2.需要的開發(fā)平臺

實現(xiàn)本方案所需要的基本功能、功能、接口，F(xiàn)PGA，PowerPC，雙網(wǎng)口（一個采用開發(fā)板上的網(wǎng)口，另需一網(wǎng)絡(luò)擴展板），SRAM，

所需要的目標FPGA開發(fā)平臺，簡述為什么需要此平臺

高級板-Virtex-2 Pro

是否需要其它配套的開發(fā)工具

配套的下載，調(diào)試工具

2.方案實施過程中需要開發(fā)的模塊

在本方案中需要研制、開發(fā)的功能主要模塊，以及開發(fā)的方式

見圖1、圖2所示

3.系統(tǒng)最終要達到的性能指標

論述本項目最終完成時所設(shè)想達到的目標。

實現(xiàn)一個具有防火墻功能的系統(tǒng)。

需要的其它資源

1.設(shè)計輸入輸出功能子板

子板功能描述、接口說明、時間、方式

網(wǎng)絡(luò)擴展板，RJ45，2007年10月

2.測試設(shè)備

列出在方案實施過程中所需要的測試設(shè)備

萬用表、示波器、頻譜儀、邏輯分析儀等

3.方針、開發(fā)工具

列出在方案實施過程中所需要的仿真、開發(fā)工具等。

ModelSim、Xilinx ISE，Sinffer