CN102098289A - 一种基于fpga的网络安全连接封堵处理方法 - Google Patents
一种基于fpga的网络安全连接封堵处理方法 Download PDFInfo
- Publication number
- CN102098289A CN102098289A CN2010105977908A CN201010597790A CN102098289A CN 102098289 A CN102098289 A CN 102098289A CN 2010105977908 A CN2010105977908 A CN 2010105977908A CN 201010597790 A CN201010597790 A CN 201010597790A CN 102098289 A CN102098289 A CN 102098289A
- Authority
- CN
- China
- Prior art keywords
- packet
- network
- data packet
- shutoff
- fpga
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于FPGA的网络安全连接封堵处理方法和装置。装置包括网络数据存储器,用户规则存储器,特征比较器。接收外部网络数据包,将数据包暂存于网络数据存储器;检测网络数据包的特征值,包括源目IP地址,源目端口以及协议,并监控报文的控制比特;对于特征值与设定的源目IP地址,源目端口以及协议一致的数据包,命中的数据包查询对应的动作,根据规则过滤结果,分析包头信息及过滤动作,判断是否发送封堵包以及发送哪种类型的封堵包;发送根据发包动作构造伪造的数据包,打断网络连接。本发明实现安全连接封堵处理,并在读写数据包时采用了乒乓操作,增大对数据流量的处理速度。通过发送伪造的数据包中断非法的TCP连接,可以有效地中断一些非法网站的连接,以提高网络的安全性能。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种基于FPGA的网络安全连接封堵处理方法。
背景技术
目前,在企业内部办公网络中,对网络访问控制,内容过滤,内容审计,以及网络安全等领域中,需要对网络使用情况进行监控。一般采用旁路监听的方式来减轻网关或路由器的负担。但旁路的控制需要增加额外的单元,增加额外成本。
发明内容
本发明提供一种采用FPGA实现了网络协议中安全连接封堵处理的方法,可解放CPU的利用率,从而提高主机的性能。
一种基于FPGA的网络安全连接封堵处理方法,包括网络数据存储器,用户规则存储器,特征比较器;
基于FPGA状态机控制实现,步骤如下:
A、接收外部网络数据包,将数据包暂存于网络数据存储器;
B、检测网络数据包的特征值,包括源目IP地址,源目端口以及协议,并监控报文的控制比特;
C、对于特征值与设定的源目IP地址,源目端口以及协议一致的数据包,命中的数据包查询对应的动作,根据规则过滤结果,分析包头信息及过滤动作,判断是否发送封堵包以及发送哪种类型的封堵包;
D、发送根据发包动作构造伪造的数据包,打断网络连接。
本发明的一种优选技术方案在于:所述封堵包是根据前端模块过滤结果以及提供的包头信息组包产生。
本发明实现安全连接封堵处理,并在读写数据包时采用了乒乓操作,增大对数据流量的处理速度。通过发送伪造的数据包中断非法的TCP连接,可以有效地中断一些非法网站的连接,以提高网络的安全性能。
附图说明
图1为封堵包模块的结构框图
图2为封堵包数据结构;
图3为过滤规则
图4为组包设计的状态机
具体实施方式
本发明采用FPGA实现了网络协议中安全连接封堵处理的方法,可解放CPU,从而提高主机的性能,该方法主要检测网络数据包的源目IP地址,源目端口以及协议,并监控报文的控制比特,对于与设定的源目IP地址,源目端口以及协议一致的数据包,命中的数据包根据规则过滤结果,分析包头信息及过滤动作,判断是否发送封堵包以及发送哪种类型的封堵包。通过发送伪造的数据包使一个TCP连接中断,可以有效地中断一些非法网站的连接,以利于保护网络的安全性能。
产生的封堵包是根据前端模块过滤结果以及提供的包头信息来组包。考虑到封堵包要求快速发出,而且封堵包长度很小(IP包长为40字节),肯定不需要分片,因此,封堵包模块直接通过发送接口发送出去,保证数据发送较及时。
各个模块功能如下:
GenBlockingPkt:生成封堵包,并根据不同的端口将数据写入缓冲区;其中端口0、1(同一个时钟域)的数据写入第0个缓冲区;端口2、3(同一个时钟域)的数据写入第1个缓冲区。
BlockingPktBufWrCtrl:
BlockingPktBuf:封堵包缓冲区,每个包的数据长度为54字节(14+20+20),因此可用分布式RAM实现。
BlockingPktBufRdCtrl:封堵包缓冲区读控制模块。与TxCtrl模块交互,实现将数据从缓冲区中读出,经TxCtrl模块发送出去。
RAMSelCtrl模块:内部设计了两块RAM,每块RAM对应两个端口,由软件通过写寄存器控制RAM的选择,本模块实现由两块RAM到四个端口的对应。
各个状态机执行的动作如下:
IDLE:初始状态,当有封堵包产生包请求过来,且两块RAM中有空闲时,则跳转到下一状态,需要根据发包动作,确定需要发送包的类型、双向还是单向等信息;
PRESTATE:计算TTL、Window、Identification等域的值,保持一个周期;
WRDATA:将前端模块传递过来的包头信息,按照缓冲区数据定义填入RAM中,注意同时需要计算IP头CheckSum和TCP CheckSum,考虑到计算CheckSum需要多个周期,而且需要折叠相加,因此在此状态只进行计算,并不将CheckSum结果填入RAM中;固定周期,共13个周期即可;
IPCHKSUM:将IP头CheckSum字段填入RAM中,一个周期;
TCPCHKSUM:将TCP CheckSum字段填入RAM中,同时发出数据包准备好的信号,一个周期;当还有别的包需要发送时,则跳转到NEXTPKT状态,否则跳转到IDLE;
NEXTPKT:当有RAM处于空闲状态时,则跳转到PRESTATE;否则等待。
NOPKTSEND:没有数据需要发送,直接返回。
特别需要注意的是,本模块需要计算两个checksum:IP和TCP。
在GTP时钟下实现RAM的读操作,在设计中用到了两个不同的RAM分别对应不同时钟域。
Claims (2)
1.一种基于FPGA的网络安全连接封堵处理方法,其特征在于:包括网络数据存储器,用户规则存储器,特征比较器;
基于FPGA状态机控制实现,步骤如下:
A、接收外部网络数据包,将数据包暂存于网络数据存储器;
B、检测网络数据包的特征值,包括源目IP地址,源目端口以及协议,并监控报文的控制比特;
C、对于特征值与设定的源目IP地址,源目端口以及协议一致的数据包,命中的数据包查询对应的动作,根据规则过滤结果,分析包头信息及过滤动作,判断是否发送封堵包以及发送哪种类型的封堵包;
D、发送根据发包动作构造伪造的数据包,打断网络连接。
2.如权利要求1所述一种基于FPGA的网络安全连接封堵处理方法,其特征在于:所述封堵包是根据前端模块过滤结果以及提供的包头信息组包产生。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010597790.8A CN102098289B (zh) | 2010-12-17 | 2010-12-17 | 一种基于fpga的网络安全连接封堵处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010597790.8A CN102098289B (zh) | 2010-12-17 | 2010-12-17 | 一种基于fpga的网络安全连接封堵处理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102098289A true CN102098289A (zh) | 2011-06-15 |
CN102098289B CN102098289B (zh) | 2014-08-27 |
Family
ID=44131153
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010597790.8A Active CN102098289B (zh) | 2010-12-17 | 2010-12-17 | 一种基于fpga的网络安全连接封堵处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102098289B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104219242A (zh) * | 2014-09-09 | 2014-12-17 | 天津大学 | 一种基于硬件的网络数据包的过滤结构 |
CN104767658A (zh) * | 2015-04-17 | 2015-07-08 | 浪潮电子信息产业股份有限公司 | 一种在线检测报文传输错误的方法与装置 |
CN105207814A (zh) * | 2015-08-31 | 2015-12-30 | 茂名市群英网络有限公司 | 基于空路由的ip策略控制***及方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050071485A1 (en) * | 2003-09-26 | 2005-03-31 | Arun Ramagopal | System and method for identifying a network resource |
CN101068229A (zh) * | 2007-06-08 | 2007-11-07 | 北京工业大学 | 一种基于网络过滤器的内容过滤网关实现方法 |
CN101599963A (zh) * | 2009-06-10 | 2009-12-09 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
CN101599966A (zh) * | 2009-05-11 | 2009-12-09 | 曙光信息产业(北京)有限公司 | 一种多虚拟机应用的数据过滤方法 |
CN101902440A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种阻断tcp连接的方法和装置 |
-
2010
- 2010-12-17 CN CN201010597790.8A patent/CN102098289B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050071485A1 (en) * | 2003-09-26 | 2005-03-31 | Arun Ramagopal | System and method for identifying a network resource |
CN101068229A (zh) * | 2007-06-08 | 2007-11-07 | 北京工业大学 | 一种基于网络过滤器的内容过滤网关实现方法 |
CN101599966A (zh) * | 2009-05-11 | 2009-12-09 | 曙光信息产业(北京)有限公司 | 一种多虚拟机应用的数据过滤方法 |
CN101902440A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种阻断tcp连接的方法和装置 |
CN101599963A (zh) * | 2009-06-10 | 2009-12-09 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104219242A (zh) * | 2014-09-09 | 2014-12-17 | 天津大学 | 一种基于硬件的网络数据包的过滤结构 |
CN104767658A (zh) * | 2015-04-17 | 2015-07-08 | 浪潮电子信息产业股份有限公司 | 一种在线检测报文传输错误的方法与装置 |
CN104767658B (zh) * | 2015-04-17 | 2018-05-29 | 浪潮电子信息产业股份有限公司 | 一种在线检测报文传输错误的方法与装置 |
CN105207814A (zh) * | 2015-08-31 | 2015-12-30 | 茂名市群英网络有限公司 | 基于空路由的ip策略控制***及方法 |
CN105207814B (zh) * | 2015-08-31 | 2019-05-03 | 茂名市群英网络有限公司 | 基于空路由的ip策略控制***及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102098289B (zh) | 2014-08-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102739473B (zh) | 一种应用智能网卡的网络检测方法 | |
CN101815014B (zh) | 基于连接的实时网络数据捕获方法 | |
Sadasivan et al. | Architecture for IP flow information export | |
CN102223263B (zh) | 基于fpga的丢包率监测方法及装置 | |
CN104883335B (zh) | 一种全硬件tcp协议栈实现*** | |
CN112422389B (zh) | 基于芯片级加密的以太网和现场总线融合网关及传输方法 | |
WO2016187813A1 (zh) | 一种光电混合网络的数据传输方法及装置 | |
CN109089029B (zh) | 一种基于FPGA的Gige Vision接口图像传输***与方法 | |
CN101997871B (zh) | 一种数据快速捕获与过滤转发装置 | |
CN102594702B (zh) | 基于嵌入式无线设备实现网络数据包抓取的***及方法 | |
CN104572574A (zh) | 基于千兆以太网视觉协议的以太网控制器ip核及方法 | |
RU2010114660A (ru) | Двунаправленный шлюз с улучшенным уровнем защиты | |
CN106416171A (zh) | 一种特征信息分析方法及装置 | |
WO2014121682A1 (zh) | 网络共享检测方法、装置及设备 | |
CN102098289B (zh) | 一种基于fpga的网络安全连接封堵处理方法 | |
CN107147655A (zh) | 一种网络双协议栈并行处理模型及其处理方法 | |
KR20140048815A (ko) | Tcp 가속화를 포함하는 내장형 자동차용 획득 장치를 위한 분산형 측정 배열 | |
CN101217422B (zh) | 一种测试网口性能的方法 | |
CN103618720B (zh) | 一种木马网络通信检测与取证方法和*** | |
CN107579894B (zh) | 一种基于fpga的ebr1553总线协议实现装置 | |
CN102098291A (zh) | 一种基于fpga的网络安全日志处理方法和装置 | |
WO2011012004A1 (zh) | 一种实现网络流量清洗的方法及*** | |
CN102497372A (zh) | 一种基于ip报文目的端口过滤策略的***和方法 | |
CN106656914A (zh) | 防攻击数据传输方法及装置 | |
CN102185758A (zh) | 一种基于阿瑞斯报文特征字的协议识别方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20221214 Address after: 430040 NO.666, Wuhuan Avenue, linkonggang economic and Technological Development Zone, Wuhan City, Hubei Province (10) Patentee after: Dawning Network Technology Co.,Ltd. Address before: 300384 Xiqing District, Tianjin Huayuan Industrial Zone (outside the ring) 15 1-3, hahihuayu street. Patentee before: DAWNING INFORMATION INDUSTRY Co.,Ltd. |