技術領域

本發明涉及一種網絡信息安全設備，具體為一種基于嵌入技術的分布式防火墻設備，部署于企業桌面計算機；也可用于單個PC的用戶級防火墻設備。屬數據網絡信息安全領域。

背景技術：

傳統的集中式防火墻存在“防外不防內、流量集中、依賴拓撲結構”等缺點，而分布式防火墻則能夠有效解決集中式防火墻的不足。分布式防火墻有兩種實現方法：一種是基于軟件實現，在操作系統上加載防火墻軟件，實現對操作系統的防護，但這種方式存在防火墻和操作系統的功能悖論，即誰保護誰的問題；第二種方式是基于硬件實現。這種方式獨立于受保護的操作系統，能夠有效地保護對象的安全。本次申請的專利就是基于硬件實現的一種嵌入式防火墻。

傳統的集中式專用防火墻大部分基于硬件來實現，主要有基于ASIC的嵌入式防火墻和基于網絡處理器(Network?Processor，簡稱NP)的嵌入式防火墻。

基于ASIC的嵌入式防火墻使用專門的硬件處理網絡數據流，具有更好的性能。但是純硬件的ASIC嵌入式防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發展。

與基于ASIC的純硬件嵌入式防火墻相比，基于網絡處理器的嵌入式防火墻具有編程功能，因而更加具有靈活性。以Intel的IXP系列產品為代表，分為控制和處理(或稱數據)兩個平面。如Intel公司的IXP1200，控制平面是一個ARM?CORE，負責維護系統信息和協調處理部分工作，處理平面由多個微引擎(Micro?Engine)和其他專用硬件組成，負責利用控制平面下發的微代碼和命令，直接處理網絡數據。這類產品在對數據包進行簡單過濾時性能較好，但是由于體系結構限制，尤其是微代碼的開發相對復雜，導致靈活性較差，一般適合3層(IP層)及以下網絡數據的處理。另一類產品以SiByte的Mercurian系列產品為代表，它基于MIPSCPU設計，如SB1250。它一方面保持了基于通用CPU設計的靈活性，另一方面通過SoC(System?On?Chip，片上系統)的方式消除了傳統CPU、總線、設備之間帶寬的瓶頸問題。這類產品靈活性較強，易于開發、升級和維護，適于構建速度可與專用ASIC相媲美的、完全可編程的網絡處理平臺。

這些基于硬件實現的專用防火墻一般作用在內部網絡與外部不可信任的網絡之間，對進出網絡的包進行檢測和過濾，處理速度快，延遲小，能夠滿足目前越來越多的多媒體應用。但是他們的實現成本較高，在安全防護方面并不能將防護擴展到網絡末端，實施對網絡末端節點的完全脫離主機的綜合性保護。

對于網絡末端的防護，國內外也有一些具體的安全產品，如基于PCI卡和PC卡形式的嵌入式防火墻，這類防火墻不受網絡拓撲控制，完全獨立于主機操作系統，強化整個網絡臺式機、服務器和筆記本，配合適當的安全策略，控制每個端點的網絡訪問，防止數據哄騙并能快速響應檢測到的攻擊，但這些防火墻必須替換原來的網卡，造成原有用戶投資的損失。也有將Netfilter/Iptables作為一個嵌入式防火墻進行研究，提出了一種基于U盤的嵌入式防火墻的設計方法及其實現的技術。該防火墻基于x86硬件平臺，將嵌入式系統軟件全部集成在一個U盤中，并使防火墻能從U盤中啟動。在設計中，該防火墻通過對Linux內核裁剪，實現了Linux系統通過USB端口中的U盤啟動。同時，在系統中集成了嵌入式的Web服務器和用戶的配置界面腳本程序，使用戶通過Web界面對防火墻能方便地進行配置，實現其一定的實用價值，但是在嵌入式防火墻之間沒有策略的交互學習關系，因此屬于一種單點孤立防護。

發明內容

針對集中式防火墻存在的缺陷以及現有嵌入式防火墻的不足，利用ARM的低成本、低功耗和高性能等特點，提出一種基于微處理器的嵌入式防火墻架構，并采用32位嵌入式處理器AT91RM920T實現。下述兩個具體目的：

1)為企業提供以下安全保護：擴展到網絡末端的綜合性保護，無論局域網拓撲如何變化或連接源自何地；獨立于主機操作系統并有效保護主機操作系統；采用策略定義安全性，為安全防護提供整體安全策略；支持各種服務器、臺式機、移動式筆記本和遠程節點的接入；對進出報文進行檢測和過濾。

2)為單個節點提供以下安全防護：獨立于主機操作系統并有效保護主機操作系統；采用策略定義安全性；支持各種臺式機或者筆記本電腦的接入；對進出報文進行檢測和過濾。：