基于FPGA的網(wǎng)絡(luò)安全加速卡研究與設(shè)計.pdf

1、隨著網(wǎng)絡(luò)應(yīng)用范圍的迅速擴(kuò)大和網(wǎng)絡(luò)性能的不斷提高，安全網(wǎng)關(guān)的吞吐量從原來的幾十兆/每秒迅速增長到幾百兆/每秒甚至幾千兆/每秒。另外，安全網(wǎng)關(guān)從傳統(tǒng)的防火墻應(yīng)用擴(kuò)展到UTM、在線流量分析監(jiān)控、Web訪問管理等領(lǐng)域。因此，網(wǎng)絡(luò)管理設(shè)備需要有更加強(qiáng)大的CPU處理能力、更強(qiáng)大的數(shù)據(jù)報文分析能力和流量轉(zhuǎn)發(fā)能力來支撐整個網(wǎng)絡(luò)的高速運轉(zhuǎn)。在實際應(yīng)用過程中，轉(zhuǎn)發(fā)工作往往消耗了過多的服務(wù)器CPU資源，使得CPU沒有足夠的資源對高速數(shù)據(jù)報文進(jìn)行分析，影響了網(wǎng)

2、絡(luò)的性能，制約了網(wǎng)絡(luò)的應(yīng)用。因此，本文設(shè)計了一種網(wǎng)絡(luò)安全加速卡來有效解決網(wǎng)絡(luò)數(shù)據(jù)包處理的瓶頸問題。
　　 本文首先介紹了課題的研究背景，概述了網(wǎng)絡(luò)安全方面的威脅和對策、網(wǎng)絡(luò)加速方面的常見技術(shù)。接著，對多種處理器的實現(xiàn)方式進(jìn)行比較，得出了本文的主要研究內(nèi)容。通過對網(wǎng)絡(luò)隔離原理的分析，總結(jié)了網(wǎng)絡(luò)安全隔離的要求；對數(shù)據(jù)包分類字段、TCAM的硬件查找原理和規(guī)則管理算法做深入的研究，總結(jié)出一種合適的硬件規(guī)則管理方法。在此基礎(chǔ)上，設(shè)計一種基

3、于FPGA的網(wǎng)絡(luò)安全加速卡，該卡采用硬件數(shù)據(jù)包分類和硬件轉(zhuǎn)發(fā)的方式來分擔(dān)CPU的數(shù)據(jù)分析和轉(zhuǎn)發(fā)工作量。另外，通過對匹配條目的具體配置，和對網(wǎng)絡(luò)數(shù)據(jù)報文的采樣，能夠有效地攔截有威脅的報文，具備網(wǎng)絡(luò)安全功能。
　　 網(wǎng)絡(luò)安全加速卡的設(shè)計包括：總體框架設(shè)計、網(wǎng)絡(luò)接口模塊設(shè)計、硬件查找模塊設(shè)計、硬件轉(zhuǎn)發(fā)模塊設(shè)計、PCIE總線接口設(shè)計、電源時鐘設(shè)計、掉電保護(hù)電路設(shè)計、FPGA設(shè)計。最后，就網(wǎng)絡(luò)應(yīng)用的主要性能，與軟件加速方法做了具體的比較。