本發明公開了一種基于FPGA的網絡安全防護設備，該設備包括：萬兆以太網接口模塊、PCIe接口模塊、三速以太網接口模塊、配置與管理模塊、FPGA模塊、DDR3存儲模塊、數據庫模塊、電源模塊及時鐘模塊，其中，FPGA模塊包括以太網數據包解析模塊、以太網數據包檢測模塊、以太網數據包捕獲模塊、以太網數據過濾模塊、流信息統計模塊及數據輸出模塊。本發明實現了對海量網絡數據流量的實時監控、統計與分析，對異常網絡數據流量的攔截與報警，對底層網絡數據的管理。本發明解決了現代化辦公樓宇實際應用場景中內部網絡環境的安全性問題。

技術領域

本發明涉及網絡安全技術、網絡通信技術領域，適用于對辦公樓宇內部網絡與外部網絡之間的數據傳輸過程進行監控與防護的一種基于FPGA的網絡安全防護設備。

背景技術

隨著互聯網技術的大力發展，社會運行對網絡設施依賴性大幅度提升，同時也給網絡安全領域帶來了諸多全新的挑戰。安全漏洞、數據泄露、網絡詐騙、勒索病毒、拒絕服務攻擊等網絡安全威脅日益凸顯，有組織、有目的的網絡攻擊形式愈加明顯。

為了解決實際網絡環境下的網絡安全問題，對網絡環境中的網絡數據進行高速地捕獲、統計與分析，亟待需要網絡安全防護設備。

發明內容

本發明的目的是提供一種基于FPGA的網絡安全防護設備，該設備可以攔截分布式拒絕服務攻擊、掃描窺探攻擊、畸形報文攻擊等惡意網絡攻擊；可以對內外部網絡之間的以太網數據信息進行系統級的流量統計和監控；可以根據配置信息對以太網數據包進行過濾與隔離；可以作為PCIe Add-in設備通過PCIe接口插入主機設備完成對高速以太網數據的捕獲與存儲。解決了在辦公樓宇等實際網絡環境下外網與內網之間數據傳輸的安全性問題。

實現本發明目的的具體技術方案是：

一種基于FPGA的網絡安全防護設備，特點是：該設備包括萬兆以太網接口模塊、三速以太網接口模塊、PCIe接口模塊、配置與管理模塊、FPGA模塊、DDR3存儲模塊、數據庫模塊、電源模塊及時鐘模塊。

所述萬兆以太網接口模塊與FPGA模塊、電源模塊相連，并串聯接入到以太網數據鏈路中，用于接收與發送以太網數據包；

所述三速以太網接口模塊與FPGA模塊、配置與管理模塊、數據庫模塊、電源模塊及時鐘模塊相連，用于接收來自于配置與管理模塊的配置信息以及發送FPGA模塊產生的以太網流量統計數據和安全審計日志；

所述PCIe接口模塊與FPGA模塊、電源模塊相連，用于發送被捕獲的以太網數據包。

所述配置與管理模塊與三速以太網接口模塊相連，用于獲取用戶的配置信息，通過三速以太網接口模塊將配置信息發送至FPGA模塊。

所述FPGA模塊與萬兆以太網接口模塊、三速以太網接口模塊、DDR3存儲模塊、電源模塊及時鐘模塊相連，接收來自以太網數據鏈路的以太網數據包，對以太網數據包進行解包與分析，結合用戶的配置信息以及對以太網數據包的分析結果來決定對該以太網數據包采取攔截、放行或捕獲策略；所述FPGA模塊還產生以太網流量統計數據與安全審計日志，其中以太網流量統計數據包括：以太網數據流表統計信息、進出內部網絡的數據傳輸速率、各以太網協議流量占比。其中安全審計日志包括：異常數據攔截記錄、數據捕獲記錄、威脅預警記錄；

所述DDR3存儲模塊與FPGA模塊、電源模塊及時鐘模塊相連，用于存儲以太網數據包、TCP連接狀態信息以及網絡數據流表信息；

所述數據庫模塊與三速以太網接口模塊相連，用于存儲并管理以太網流量統計數據及安全審計日志；

所述電源模塊與FPGA模塊、三速以太網接口模塊、萬兆以太網接口模塊、DDR3存儲模塊、時鐘模塊相連，用于向各個模塊提供電源驅動；

所述時鐘模塊與FPGA模塊、三速以太網接口模塊及DDR3存儲模塊相連，用于向各個模塊提供參考時鐘。