互联网 qkzz.net
全刊杂志网:首页 > 女性 > 文章正文
刊社推荐

基于IXP2800和VxWorks的嵌入式病毒防火墙实现杨黎斌 慕德俊 蔡晓妍



  摘要:针对隐蔽在网络流量中的攻击,提出了基于Intel IXP2800网络处理器和VxWorks的嵌入式病毒防火墙(embedded anti-virus firewall)实现方案。该方案将硬件包过滤技术与应用层病毒实时防护相结合,底层数据包的实时响应、过滤转发等处理均由IXP2800的微引擎完成,而使XSCALE主处理器更专注于高层协议的病毒扫描过滤。实验数据表明,这种实现方案运行稳定,具有良好的性能指标。
  关键词:嵌入式病毒防火墙; IXP2800; 硬件包过滤; 病毒防护
  中图分类号:TP309.5文献标志码:A文章编号:1001-3695(2008)05-1560-03
  
  0引言
  
  随着互联网的发展和攻击者工具与手法的升级,如何保障内部网络计算机的安全性,是当前极其热点的问题。包过滤防火墙是用于保障内网安全的关键设备,它部署在网络层,可以禁止外部用户对内部网络的非法访问。然而,包过滤技术是一种基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意Java小程序以及电子邮件中附带的病毒。
  对于隐蔽在网络流量中的攻击,国内的防火墙产品主要有x86架构和ASIC架构两种解决方案。基于x86平台开发的防火墙普遍采用“Intel x86+工控机+安全处理专用程序”的体系结构[1],存在软件处理效率低、实时性能低下等缺点。而采用ASIC专用芯片的硬件防火墙,虽然性能得到了提升,却面临着灵活性差、开发周期长、费用高等问题。
  针对目前国内防火墙设备存在的不足,同时综合考虑整个安全体系的功能协调性,本文设计并实现了一种基于IXP2800网络处理器和VxWorks实时操作系统的复合型嵌入式病毒防火墙方案。IXP2800网络处理器是专为网络数据处理而设计的芯片。对比x86通用处理器和ASIC,IXP2800既继承了x86的灵活性,又提供了类似ASIC的高速数据包处理能力,同时具有高度扩展性、研发成本低和研发周期短等优点。VxWorks是美国WindRiver公司设计开发的一种嵌入式实时操作系统(RTOS),具有良好的持续发展能力、可裁减性和高可靠性,并且包含有高度优化、性能强大的IPv4/IPv6的双协议栈,适用于高带宽、高要求的网络设备。
  本文提出的病毒防火墙采用上述实时嵌入式体系架构,综合了硬件包过滤技术和病毒防护、内容过滤等应用层服务措施,使其具备x86的灵活性和ASIC的高性能双重优点,体现了网络与信息安全的新理念。
  
  1系统整体结构
  
  系统整体结构如图1所示。
  嵌入式病毒防火墙设计的核心思想是多级网络处理任务的独立协同工作,即利用IXP2800的ME层(micro engine,微引擎)与XScale层两层处理机制对病毒防火墙的网络处理任务进行划分。其中,ME层实现数据包的实时处理和响应,包括数据包的接收、转发以及包过滤等实时性要求高的数据处理操作。而对于病毒扫描过滤、过滤规则库及病毒特征库的配置管理等处理复杂、变化灵活的任务则交由XScale层完成。ME层和XScale层通过虚拟网卡驱动(virtual network driver)进行网络数据交互。 ......
很抱歉,暂无全文,若需要阅读全文或喜欢本刊物请联系《计算机应用研究》杂志社购买。
欢迎作者提供全文,请点击编辑
分享:
 

了解更多资讯,请关注“木兰百花园”
分享:
 
精彩图文


关键字
支持中国杂志产业发展,请购买、订阅纸质杂志,欢迎杂志社提供过刊、样刊及电子版。
关于我们 | 网站声明 | 刊社管理 | 网站地图 | 联系方式 | 中图分类法 | RSS 2.0订阅 | IP查询
全刊杂志赏析网 2017