簡單的基于PLD硬件防火墻畢業(yè)設(shè)計(jì)

PAGE22PAGE21目錄第一章緒論 1引言 1課題設(shè)計(jì)介紹 1HYPERLINK\l"_Toc262765479"第二章防火墻介紹 22.1什么是防火墻及防火墻的作用 22.2防火墻的架構(gòu) 22.3防火墻的技術(shù)實(shí)現(xiàn) 22.4防火墻的特點(diǎn) 3第三章硬件防火墻 43.1硬件防火墻的基本功能 43.2防火墻實(shí)現(xiàn)基礎(chǔ)原理 53.2.1包過濾防火墻 63.2.2應(yīng)用網(wǎng)關(guān)防火墻 PAGEREF_Toc262765488\h63.2.3狀態(tài)檢測防火墻 73.2.4復(fù)合型防火墻 8第四章網(wǎng)絡(luò)防火墻的硬件實(shí)現(xiàn) 1\h94.1

網(wǎng)絡(luò)防火墻的硬件結(jié)構(gòu) 94.1.2USB2.0接口芯片CY7C68013 104.2TCP/IP協(xié)議棧在UCOSII下的實(shí)現(xiàn) PAGEREF_Toc262765494\h10第五章利用PLD做一個(gè)硬件防火墻 125.1MAX+PLUSⅡ軟件安裝和使用 125.1.1概述 65497\h125.2MAX+PLUSⅡ設(shè)計(jì)硬件防火墻程序?qū)嵗?145.2.1設(shè)計(jì)程序部分 145.2.2波形仿真部分 \h19結(jié)束語 20致謝 21參考文獻(xiàn) 22第一章緒論引言隨著現(xiàn)代科學(xué)技術(shù)的迅猛發(fā)展，能源問題、環(huán)境問題的日益成為人民所關(guān)注的問題。在電子科學(xué)領(lǐng)域也在以前所未有的革新速度，向著功能多樣化，體積最小化、功耗最低化的方向迅速發(fā)展?，F(xiàn)代電子產(chǎn)品在設(shè)計(jì)上有了新的突破：大量使用大規(guī)模的可編程邏輯器件，以提高產(chǎn)品的性能，縮小產(chǎn)品的體積，降低產(chǎn)品的消耗；廣泛使用現(xiàn)代計(jì)算機(jī)技術(shù)，以提高電子設(shè)計(jì)的自動(dòng)化程度，縮短開發(fā)周期，提高產(chǎn)品的競爭力。CPLD就是這樣一個(gè)例子，PLD技術(shù)的發(fā)展，將大量復(fù)雜電路縮小到一塊小芯片上實(shí)現(xiàn)原來電路的功能。課題設(shè)計(jì)介紹本設(shè)計(jì)就以硬件防火墻的實(shí)現(xiàn)為主要內(nèi)容，簡單介紹各類防火墻的實(shí)現(xiàn)，應(yīng)用、及功能。然后就PLD為設(shè)計(jì)實(shí)例來具體說明硬件防火墻的原理實(shí)現(xiàn)。就硬件防火墻而言，一般具備一下的基本功能要求：(1)當(dāng)設(shè)置的特真碼與輸入的代碼相同時(shí)輸出就按照防火墻的功能對(duì)其處理。(2)當(dāng)設(shè)置的特真碼與輸入的代碼不同時(shí)輸出原代碼。2、對(duì)PLD設(shè)計(jì)硬件防火墻的要求：(1)能在MAX+PLUSII平臺(tái)上設(shè)計(jì)硬件代碼，并編譯通過。(2)用仿真能實(shí)現(xiàn)防火墻的基本功能。第二章防火墻介紹2.1什么是防火墻及防火墻的作用防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和開放性的增強(qiáng)，網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動(dòng)和被動(dòng)的人為攻擊。一種解決辦法是為需要保護(hù)的網(wǎng)絡(luò)上的每個(gè)工作站和服務(wù)器裝備上強(qiáng)大的安全特征(例如入侵檢測)，但這幾乎是一種不切合實(shí)際的方法，因?yàn)閷?duì)具有幾百個(gè)甚至上千個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)，它們可能運(yùn)行著不同的操作系統(tǒng)，當(dāng)發(fā)現(xiàn)了安全缺陷時(shí)，每個(gè)可能被影響的節(jié)點(diǎn)都必須加以改進(jìn)以修復(fù)這個(gè)缺陷。另一種選擇就是防火墻(Firewall)，防火墻是用來在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個(gè)設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點(diǎn)存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障，它可以實(shí)施比較廣泛的安全策略來控制信息流，防止不可預(yù)料的潛在的入侵破壞.DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。2.2防火墻的架構(gòu)防火墻產(chǎn)品的三代體系架構(gòu)主要為：第一代架構(gòu)：主要是以單一cpu作為整個(gè)系統(tǒng)業(yè)務(wù)和管理的核心，cpu有x86、powerpc、mips等多類型，產(chǎn)品主要表現(xiàn)形式是pc機(jī)、工控機(jī)、pc-box或risc-box等；

第二代架構(gòu)：以np或asic作為業(yè)務(wù)處理的主要核心，對(duì)一般安全業(yè)務(wù)進(jìn)行加速，嵌入式cpu為管理核心，產(chǎn)品主要表現(xiàn)形式為box等；

第三代架構(gòu)：iss（integratedsecuritysystem）集成安全體系架構(gòu)，以高速安全處理芯片作為業(yè)務(wù)處理的主要核心，采用高性能cpu發(fā)揮多種安全業(yè)務(wù)的高層應(yīng)用，產(chǎn)品主要表現(xiàn)形式為基于電信級(jí)的高可靠、背板交換式的機(jī)架式設(shè)備，容量大性能高，各單元及系統(tǒng)更為靈活。2.3防火墻的技術(shù)實(shí)現(xiàn)從Windows軟件防火墻的誕生開始，這種安全防護(hù)產(chǎn)品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭，不斷的進(jìn)化與升級(jí)。從最早期的只能分析來源地址，端口號(hào)以及未經(jīng)處理的報(bào)文原文的封包過濾防火墻，后來出現(xiàn)了能對(duì)不同的應(yīng)用程序設(shè)置不同的訪問網(wǎng)絡(luò)權(quán)限的技術(shù)；近年來由ZoneAlarm等國外知名品牌牽頭，還開始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻；最后，由于近來垃圾插件和流氓軟件的盛行，很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上，Windows軟件防火墻從開始的時(shí)候單純的一個(gè)截包丟包，堵截IP和端口的工具，發(fā)展到了今天功能強(qiáng)大的整體性的安全套件。2.4防火墻的特點(diǎn)一般防火墻具備以下特點(diǎn)：1、控制對(duì)特殊站點(diǎn)的訪問，廣泛的服務(wù)支持：通過將動(dòng)態(tài)的、應(yīng)用層的過濾能力和認(rèn)證相結(jié)合，可實(shí)現(xiàn)瀏覽器、HTTP服務(wù)器、FTP等。2、提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)，對(duì)私有數(shù)據(jù)的加密支持，保證通過Internet進(jìn)行的虛擬私人網(wǎng)絡(luò)和商務(wù)活動(dòng)不受損壞。3、客戶端認(rèn)證只允許指定的用戶訪問內(nèi)部網(wǎng)絡(luò)或選擇服務(wù)，過濾掉不安全服務(wù)和非法用戶。4、反欺騙：欺騙是從外部獲取網(wǎng)絡(luò)訪問權(quán)的常用手段，它令數(shù)據(jù)包像是來自網(wǎng)絡(luò)內(nèi)部。防火墻能監(jiān)視這樣的數(shù)據(jù)包并扔掉它們。5、C/S模式和跨平臺(tái)支持：能使運(yùn)行在一平臺(tái)的管理模塊控制另一平臺(tái)的監(jiān)視模塊。6、郵件保護(hù)：保護(hù)網(wǎng)絡(luò)免受對(duì)電子郵件服務(wù)的攻擊。第三章硬件防火墻硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負(fù)擔(dān)，使路由更穩(wěn)定。網(wǎng)絡(luò)級(jí)防火墻一般根據(jù)源、目的地址做出決策，輸入單個(gè)的IP包。一臺(tái)簡單的路由器是“傳統(tǒng)的”網(wǎng)絡(luò)級(jí)防火墻，因?yàn)樗荒茏龀鰪?fù)雜的決策，不能判斷出一個(gè)包的實(shí)際含意或包的實(shí)際出處?，F(xiàn)代網(wǎng)絡(luò)級(jí)防火墻已變得越來越復(fù)雜，可以保持流經(jīng)它的接入狀態(tài)、一些數(shù)據(jù)流的內(nèi)容等等有關(guān)信息。許多網(wǎng)絡(luò)級(jí)防火墻之間的一個(gè)重要差別是防火墻可以使傳輸流直接通過，因此要使用這樣的防火墻通常需要分配有效的IP地址塊。網(wǎng)絡(luò)級(jí)防火墻一般速度都很快，對(duì)用戶很透明。3.1硬件防火墻的基本功能防火墻的基本功能防火墻系統(tǒng)可以說是網(wǎng)絡(luò)的第一道防線，因此一個(gè)企業(yè)在決定使用防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的安全時(shí)，它首先需要了解一個(gè)防火墻系統(tǒng)應(yīng)具備的基本功能，這是用戶選擇防火墻產(chǎn)品的依據(jù)和前提。一個(gè)成功的防火墻產(chǎn)品應(yīng)該具有下述基本功能：防火墻的設(shè)計(jì)策略應(yīng)遵循安全防范的基本原則——“除非明確允許，否則就禁止”；防火墻本身支持安全策略，而不是添加上去的；如果組織機(jī)構(gòu)的安全策略發(fā)生改變，可以加入新的服務(wù)；有先進(jìn)的認(rèn)證手段或有掛鉤程序，可以安裝先進(jìn)的認(rèn)證方法；如果需要，可以運(yùn)用過濾技術(shù)允許和禁止服務(wù)；可以使用FTP和Telnet等服務(wù)代理，以便先進(jìn)的認(rèn)證手段可以被安裝和運(yùn)行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過濾，數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等。如果用戶需要NNTP（網(wǎng)絡(luò)消息傳輸協(xié)議）、XWindow、HTTP和Gopher等服務(wù)，防火墻應(yīng)該包含相應(yīng)的代理服務(wù)程序。防火墻也應(yīng)具有集中郵件的功能，以減少SMTP服務(wù)器和外界服務(wù)器的直接連接，并可以集中處理整個(gè)站點(diǎn)的電子郵件。防火墻應(yīng)允許公眾對(duì)站點(diǎn)的訪問，應(yīng)把信息服務(wù)器和其他內(nèi)部服務(wù)器分開。防火墻應(yīng)該能夠集中和過濾撥入訪問，并可以記錄網(wǎng)絡(luò)流量和可疑的活動(dòng)。此外，為了使日志具有可讀性，防火墻應(yīng)具有精簡日志的能力。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內(nèi)部使用的操作系統(tǒng)一樣，但在防火墻上運(yùn)行一個(gè)管理員熟悉的操作系統(tǒng)會(huì)使管理變得簡單。防火墻的強(qiáng)度和正確性應(yīng)該可被驗(yàn)證，設(shè)計(jì)盡量簡單，以便管理員理解和維護(hù)。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補(bǔ)丁程序進(jìn)行升級(jí)且升級(jí)必須定期進(jìn)行。正像前面提到的那樣，Internet每時(shí)每刻都在發(fā)生著變化，新的易攻擊點(diǎn)隨時(shí)可能會(huì)產(chǎn)生。當(dāng)新的危險(xiǎn)出現(xiàn)時(shí)，新的服務(wù)和升級(jí)工作可能會(huì)對(duì)防火墻的安裝產(chǎn)生潛在的阻力，因此防火墻的可適應(yīng)性是很重要的。3.2防火墻實(shí)現(xiàn)基礎(chǔ)原理防火墻通常使用的安全控制手段主要有包過濾、狀態(tài)檢測、代理服務(wù)。下面，我們將介紹這些手段的工作機(jī)理及特點(diǎn)。包過濾技術(shù)是一種簡單、有效的安全控制技術(shù)，它通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則，對(duì)通過設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過濾的最大優(yōu)點(diǎn)是對(duì)用戶透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號(hào)，因而只能進(jìn)行較為初步的安全控制，對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。狀態(tài)檢測是比包過濾更為有效的安全控制方法。對(duì)新建的應(yīng)用連接，狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。這種方式的好處在于：由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包（通常是大量的數(shù)據(jù)包）通過散列算法，直接進(jìn)行狀態(tài)檢查，從而使得性能得到了較大提高；而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開通1024號(hào)以上的端口，使得安全性得到進(jìn)一步地提高。代理服務(wù)型防火墻，代表某個(gè)專用網(wǎng)絡(luò)同互聯(lián)網(wǎng)進(jìn)行通訊的防火墻，類似在股東會(huì)上某人以你的名義代理你來投票。當(dāng)你將瀏覽器配置成使用代理功能時(shí)，防火墻就將你的瀏覽器的請(qǐng)求轉(zhuǎn)給互聯(lián)網(wǎng)；當(dāng)互聯(lián)網(wǎng)返回響應(yīng)時(shí)，代理服務(wù)器再把它轉(zhuǎn)給你的瀏覽器。代理服務(wù)器也用于頁面的緩存，代理服務(wù)器在從互聯(lián)網(wǎng)上下載特定頁面前先從緩存器取出這些頁面。內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間不存在直接連接。代理服務(wù)器提供了詳細(xì)的日志和審計(jì)功能，大大提高了網(wǎng)絡(luò)的安全性，也為改進(jìn)現(xiàn)有軟件的安全性能提供了可能。但會(huì)降低網(wǎng)絡(luò)性能，所以在一般情況下都不使用。3.2.1包過濾防火墻包過濾防火墻一般在路由器上實(shí)現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴(kuò)展能力強(qiáng)。但是，包過濾防火墻的安全性有一定的缺陷，因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無感知，也就是說，防火墻不理解通信的內(nèi)容，所以可能被黑客所攻破。

圖4.1包過濾防火墻工作原理圖3.2.2應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)／服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)／服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。（圖4.2）

圖4.2應(yīng)用網(wǎng)關(guān)防火墻工作原理圖3.2.3狀態(tài)檢測防火墻狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對(duì)應(yīng)用是透明的，在此基礎(chǔ)上，對(duì)于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來處理?？梢赃@樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。（圖4.3）

圖4.3狀態(tài)檢測防火墻工作原理圖

3.2.4復(fù)合型防火墻符合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進(jìn)一步基于ASIC架構(gòu)，把防病毒、內(nèi)容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊，在網(wǎng)絡(luò)界面對(duì)應(yīng)用層掃描，把防病毒、內(nèi)容過濾與防火墻結(jié)合起來，這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過濾等應(yīng)用層服務(wù)措施。（圖4.4）

圖4.4復(fù)合型防火墻工作原理第四章網(wǎng)絡(luò)防火墻的硬件實(shí)現(xiàn)概述

網(wǎng)絡(luò)防火墻是一種控制用戶計(jì)算機(jī)網(wǎng)絡(luò)訪問的軟件或硬件。通過對(duì)它的各種規(guī)則設(shè)置，使得合法的鏈路得以建立；而非法的連接將被禁止，同時(shí)通過各種手段屏蔽掉用戶的隱私信息，以保障用戶的對(duì)網(wǎng)絡(luò)訪問的安全。目前一般個(gè)人電腦是用的軟件防火墻，隨著微電子的快速發(fā)展，我們可以完全利用嵌入式系統(tǒng)來實(shí)現(xiàn)硬件防火墻，從而提高系統(tǒng)的網(wǎng)絡(luò)訪問性能。

4.1

網(wǎng)絡(luò)防火墻的硬件結(jié)構(gòu)在本系統(tǒng)中，主芯片采用EPF10K100QC208-3。網(wǎng)絡(luò)芯片采用的Realtek公司的RTL8019AS，它是一款10M的網(wǎng)絡(luò)芯片。PC機(jī)的通信芯片采用Cypress的USB2.0的接口芯片CY7C68013，它可以完成PC機(jī)和硬件防火墻的高速通信。在本系統(tǒng)中還提供2M字節(jié)的FLASH和512K字節(jié)的RAM，它們分別由芯片SST39VF160和IS61LV25616AL來實(shí)現(xiàn)。如圖1：圖5.1網(wǎng)絡(luò)防火墻系統(tǒng)的硬件結(jié)構(gòu)

4.1.1網(wǎng)絡(luò)通信芯片RTL8019

RTL8019AS網(wǎng)絡(luò)芯片是REALTEK公司生產(chǎn)的，基于ISA接口的10M以太網(wǎng)通信芯片。它采用全雙工方式來進(jìn)行接收以太網(wǎng)數(shù)據(jù)，非常容易和微處理器接口。該芯片集成了以太網(wǎng)的物理層以及以太網(wǎng)的收發(fā)器，數(shù)據(jù)封包形式完全符合IEEE802.3標(biāo)準(zhǔn)。

4.1.2USB2.0接口芯片CY7C68013

CY7C68013是Cypress公司生產(chǎn)的一款USB2.0的接口芯片。它內(nèi)部集成了8051的核，可以單獨(dú)對(duì)該芯片編程。由該芯片完成USB2.0接口，跟PC機(jī)的通信速率可以高達(dá)10Mbyte/s。我們利用該款芯片來實(shí)現(xiàn)一個(gè)數(shù)據(jù)FIFO，即對(duì)微處理器來講，它只要將數(shù)據(jù)寫入該FIFO，然后該芯片就會(huì)將數(shù)據(jù)按照USB2.0的協(xié)議發(fā)送4.2TCP/IP協(xié)議棧在UCOSII下的實(shí)現(xiàn)

TCP/IP協(xié)議分為四層，分別為應(yīng)用層、傳輸層、網(wǎng)絡(luò)層，物理層。本系統(tǒng)中物理層主要包括8019的驅(qū)動(dòng)程序，網(wǎng)絡(luò)層包括IP協(xié)議和ARP協(xié)議，傳輸層主要包括TCP協(xié)議和UDP協(xié)議，應(yīng)用層主要包括FTP、HTTP、SNMP和一些用戶應(yīng)用程序。由于該協(xié)議實(shí)現(xiàn)很復(fù)雜，這也是本系統(tǒng)實(shí)現(xiàn)的難點(diǎn)，下面給出該協(xié)議棧實(shí)現(xiàn)的函數(shù)框圖：

用戶過濾層。該層主要實(shí)現(xiàn)對(duì)一些非法端口裁定行屏蔽TCPICMPIGMPUDP用戶過濾層，該層主要實(shí)現(xiàn)對(duì)IP地址和控制命令屏蔽IPARP用戶過濾層。該層主要實(shí)現(xiàn)對(duì)一些非法端口裁定行屏蔽TCPICMPIGMPUDP用戶過濾層，該層主要實(shí)現(xiàn)對(duì)IP地址和控制命令屏蔽IPARP物理層第五章利用PLD做一個(gè)硬件防火墻5.1MAX+PLUSⅡ軟件安裝和使用5.1.1概述MAX+PLUSⅡ開發(fā)系統(tǒng)是易學(xué)易用的完全集成化的EDA設(shè)計(jì)開發(fā)環(huán)境。該軟件與LATTICE公司的iSPEXPERT及XILINX的ISE等軟件一樣都是CPLD/FPGA的基本開發(fā)環(huán)境，是CPLD/FPGA開發(fā)所必須的，它包含了開發(fā)CPLD/FPGA器件的全過程。下面將以MAX+PLUSⅡ的基本使用為基礎(chǔ)介紹CPLD/FPGA器件的開發(fā)方法,CPLD/FPGA器件及其開發(fā)系統(tǒng)是極其復(fù)雜的，因此在學(xué)習(xí)使用時(shí)應(yīng)注意如下特點(diǎn)： 1、MAX+PLUSⅡ的使用與學(xué)習(xí)一定要與CPLD/FPGA硬件的學(xué)習(xí)相結(jié)合。2、注意學(xué)習(xí)軟件與動(dòng)手練習(xí)相配合，只有多動(dòng)手設(shè)計(jì)與調(diào)試才能真正掌握設(shè)計(jì)思想與設(shè)計(jì)方法。3、多參考相關(guān)的書籍或MAX+PLUSⅡ的幫助系統(tǒng)。4、在學(xué)習(xí)過程中要與數(shù)字電路、計(jì)算機(jī)語言等課程進(jìn)行比較，找出相同點(diǎn)與不同點(diǎn)，進(jìn)行比較、類比地學(xué)習(xí)。5、概念的區(qū)分與使用：(1)

器件與符號(hào)：如在數(shù)字電路中7400為一個(gè)器件，在MAX+PLUSⅡ中器件一般被CPLD/FPGA器件專用，而MAX+PLUSⅡ中調(diào)用的中小規(guī)模的器件都稱為符號(hào)。本文中有時(shí)出于習(xí)慣，也會(huì)在該使用“符號(hào)”的地方而使用“器件”名稱，因此在碰到像“器件”、“符號(hào)”這樣的詞，一定要注意上下文的聯(lián)系。（2）

模塊與符號(hào)：傳統(tǒng)習(xí)慣，一般是將一個(gè)電路抽象后形成模塊，利用模塊進(jìn)行更高層次的設(shè)計(jì)。而在MAX+PLUSⅡ中電路抽象后形成的模塊依然稱為“符號(hào)”。因此在見到“模塊”與“符號(hào)”這樣的詞語時(shí)，也要注意上下文的聯(lián)系。6)、通過本文學(xué)習(xí)，逐步掌握層次電路的設(shè)計(jì)，設(shè)計(jì)過程的功能仿真和時(shí)序仿真，同時(shí)學(xué)會(huì)底層編輯，利用硬件實(shí)驗(yàn)系統(tǒng)進(jìn)行硬件的驗(yàn)證。MAX+PLUSⅡ與其它軟件相比具有使用簡單，操作靈活，支持的器件多，設(shè)計(jì)輸入方法靈活多變等特點(diǎn)，掌握了MAX+PLUSⅡ后，對(duì)學(xué)習(xí)其它的EDA軟件會(huì)有很大的幫助。1.1常用的設(shè)計(jì)輸入方法如下：1．圖形設(shè)計(jì)輸入：MAX+PLUSⅡ的圖形設(shè)計(jì)輸入是較其他軟件更容易使用的，因?yàn)镸AX+PLUSⅡ提供了豐富的庫單元供設(shè)計(jì)者調(diào)用，尤其是在MAX+PLUSⅡ里提供的mf庫幾乎包含了所有的74系列的器件，在prim庫里提供了數(shù)字電路中所有的分離器件。因此只要具有數(shù)字電路的知識(shí)，幾乎不需要過多的學(xué)習(xí)就可以利用MAX+PLUSⅡ進(jìn)行CPLD/FPGA的設(shè)計(jì)。MAX+PLUSⅡ還包括多種特殊的邏輯宏功能（Macro—Function）以及新型的參數(shù)化的兆功能（Mega—Function）模塊。充分利用這些模塊進(jìn)行設(shè)計(jì)，可以大大減輕設(shè)計(jì)人員的工作量和成倍地縮短設(shè)計(jì)周期。2．文本編輯輸入：MAX+PLUSⅡ的文本輸入和編譯系統(tǒng)支持AHDL語言、VHDL語言、VERILOG語言三種輸入方式。3．波形輸入方式：如果知道輸入、輸出波形，也可以采用波形輸入方式。4．混合輸入方式：MAX+PLUSⅡ設(shè)計(jì)開發(fā)環(huán)境，可以進(jìn)行圖形設(shè)計(jì)輸入、文本編輯輸入、波形編輯輸入混合編輯。具體操作方法是：在圖形編輯、波形編輯時(shí)形成模塊，在文本編輯時(shí)通過include“模塊名.inc”或者采用Function（…..）Return(….)的方式進(jìn)行調(diào)用。同樣，文本編輯輸入形成的模塊，也可以在圖形編輯時(shí)調(diào)用，AHDL語言編譯的結(jié)果可以在VHDL語言下使用，VHDL語言編譯的結(jié)果也可以在AHDL語言或圖形輸入時(shí)使用。這樣靈活多變的輸入方式，給設(shè)計(jì)使用者帶來了極大的方便。1.2設(shè)計(jì)與器件的結(jié)構(gòu)無關(guān)MAX+PLUSⅡ系統(tǒng)支持Altera公司的ACEX1K、FLEX10KE、FLEX10KB、FLEX10KA、FLEX10K、MAX9000、FLEX8000、MAX7000、FLEX6000、MAX5000、MAX3000及Classic等各種類型的可編程器件。而在設(shè)計(jì)輸入、編譯邏輯功能和功能仿真時(shí)并不關(guān)心器件的結(jié)構(gòu)。只有在形成具體應(yīng)用電路時(shí)，才會(huì)指定器件進(jìn)行底層編輯。1.3底層編輯方便形象MAX+PLUSⅡ的底層編輯（FloorplanEditor）與實(shí)際CPLD器件的管腳一一對(duì)應(yīng)，因此只需用鼠標(biāo)簡單的拖放即可完成I/O口等管腳的編輯任務(wù)。1.4MAX+PLUSⅡ系統(tǒng)完全集成化在MAX+PLUSⅡ系統(tǒng)環(huán)境下，可以完成所有的編輯、編譯、網(wǎng)表提取、邏輯綜合、適配、器件裝配以及功能時(shí)序仿真。這樣可以加快調(diào)試、縮短開發(fā)周期。1.5IP核豐富MAX+PLUSⅡ?qū)ο到y(tǒng)自帶的內(nèi)核具有開放的特性，即這些內(nèi)核既可以使用又可以瀏覽。同時(shí)，MAX+PLUSⅡ又允許設(shè)計(jì)人員將自己編輯的IPCORE添加到MAX+PLUSⅡ中。目前在ALTERA網(wǎng)站上發(fā)布了許多IP核，還有第三方的IP核都可以在MAX+PLUSⅡ系統(tǒng)中進(jìn)行綜合與驗(yàn)證，當(dāng)然有的IP核需要合適的License文件。5.2MAX+PLUSⅡ設(shè)計(jì)硬件防火墻程序?qū)嵗?.2.1設(shè)計(jì)程序部分根據(jù)防火墻原理我們可以想像，防火墻實(shí)際上就是一個(gè)病毒庫。當(dāng)網(wǎng)絡(luò)傳送過來的數(shù)據(jù)與防火墻中病毒數(shù)據(jù)一樣的時(shí)候就會(huì)被防火墻屏蔽掉，從而保障了計(jì)算機(jī)的安全。主程序：libraryieee;useieee.std_logic_1164.all;useieee.std_logic_unsigned.all;useieee.std_logic_arith.all;調(diào)用程序包；entityktsjisport(x,clk:instd_logic;y:outstd_logic);端口設(shè)置及端口數(shù)據(jù)類型設(shè)置；end;ARCHITECTUREarchOFktsjis實(shí)體；signalww1,ww2,ww3,ww4:std_logic;定義信號(hào)；beginprocess(x,clk)beginwaituntilclk='1';時(shí)鐘控制優(yōu)先ifww1='1'andww2='1'andww3='1'an