本发明专利技术提供一种在IPv6下基于IPSec硬件防火墙的系统,包括:以太网模块,用于接收和发送来自以太网上的数据包;数据包过滤模块,用于检测所述来自以太网上的数据包所含信息是否符合要求;内容地址存储CAM模块,用于存储所述来自以太网上的数据包所含信息,并对数据包所含信息进行快速的数据匹配;网络掩码RAM模块,用于存储源IP和目的IP信息;协调控制模块,用于初始化所述网络掩码RAM模块和所述CAM模块中的数据,并且协调各连接模块之间的信息传输。本发明专利技术提供的系统可以提高IP数据的处理效率和正确率,以增强了网络对用户的安全性。
【技术实现步骤摘要】
一种在IPv6下基于IPSec硬件防火墙的系统及处理方法
本专利技术涉及硬件防火墙
,特别涉及一种在IPv6下基于IPSec硬件防火墙的系统及处理方法。
技术介绍
在互联网时代,通过互联网进行数据传输和交流成为人们生活的一部分,而网络由于与生俱来的开放性和互联性越来越成为网络信息安全的隐患。与此同时,网络也越来越成为全国信息战的战略目标。所以网络安全技术成为国家战略防卫力量的重要组成部分。随着互联网络的蓬勃发展,截至2013年12月全球上网人数已达22.7亿,然而IPv4协议仅能提供约2.5亿个IP位置。虽然网络地址转换及无类别域间路由等技术可延缓网络位置匮乏之现象,但为了从根本上解决问题,1998年12月被互联网工程研究团队通过公布互联网标准规范(RFC2460)的方式提出了IPv6协议。相比IPv4,IPv6定义了一种新的分组格式,目的是为了最小化路由器处理的报文首部。因此,IPv6的优点包括以下几个方面:(1)更大的地址空间;(2)更小的路由表;(3)增强的组播(Multicast)支持以及对流的支持(Flow-control);(4)加入了对自动配置(Auto-configuration)的支持;(5)更高的安全性。然而,由于IPv4报文和IPv6报文首部有很大的不同,这两种协议无法互操作。IPSec网络安全协议主要包括认证头(AH,AuthenticationHeader)协议、封装安全载荷(ESP,EncapsulationSecurityPayload)协议和Internet密钥交换(IKE,InternetKeyExchange)协议,其中:AH协议提供数据源认证、无连接的完整性,以及可选的抗重放服务;ESP协议提供数据保密性、有限的数据流保密性、数据源认证、无连接的完整性,以及抗重放服务。IPSec的AH协议和ESP协议有两种操作模式:传输模式和隧道模式,其中:传输模式保护上层协议,隧道模式保护整个IP数据包。根据防火墙对内外来往数据的处理方法,大致可以分为两大类:包过滤防火墙和代理防火墙。有鉴于此,针对目前IPSec网络安全协议难以有效实现在IPv6协议下对来自外网的数据进行有效处理的问题,有必要提出一种在IPv6下基于IPSec硬件防火墙的系统和方法,以提高IP数据的处理效率和正确率,以增强了网络对用户的安全性。
技术实现思路
为了克服上述所指的现有技术中的不足之处,本专利技术旨在提出一种在IPv6下基于IPSec硬件防火墙的系统和方法,该设计能够有效的提升对IP数据包的过滤和检测的速率,并且能够实时更新数据的检测规则,跟IPSec数据处理模块能够达到合适的协作。为了实现上述目的,本专利技术的一个方面提供了一种在IPv6下基于IPSec硬件防火墙的系统,包括:以太网模块,用于接收和发送来自以太网上的数据包,数据在接收和发送过程中是通过数据传输的中间结构FIFO来控制数据的传输,其中:所述数据包具有如下信息之一:IP数据的版本号、目的端口、源IP地址、源端口、目的IP地址、源IP和目的IP和/或源MAC地址;数据包过滤模块,其连接所述以太网模块,用于检测所述来自以太网上的数据包所含信息是否符合要求;内容地址存储CAM(ContentAddressableMemory)模块,其连接所述数据包过滤模块,用于存储所述来自以太网上的数据包所含信息,并对数据包所含信息进行快速的数据匹配,其中:匹配的信息包括:IP数据的版本号、目的端口、源IP地址、源端口、目的IP地址和源MAC地址;网络掩码RAM模块,其连接所述数据包过滤模块,用于存储源IP和目的IP信息;协调控制模块,其分别连接所述以太网模块、所述数据包过滤模块、所述CAM模块和所述网络掩码RAM模块,用于初始化所述网络掩码RAM模块和所述CAM模块中的数据,并且协调各连接模块之间的信息传输。优选地,所述CAM模块包括:M个CAM,每个CAM的宽度为N字节、深度为P,其中:M是指使用CAM的个数,这里CAM的总数为M=18个,用于比对目的端口号为2个CAM,源端口号为2个CAM,目的IP地址为4个CAM,源IP地址为4个CAM,源MAC地址为6个CAM,每个CAM都是相同的N和P,其中N为1字节,P为16。优选地,所述网络掩码RAM模块包括:A个RAM,每个RAM的宽度为B字节、深度为C,其中:这里用到RAM的个数为A=2,用于存储目的IP地址用1个RAM、用于存储源IP地址用1个RAM,每个RAM的宽度为4个字节,深度为16。进一步地,所述以太网模块包括:数据包接收子模块,用于当所述协调控制模块发出要接收以太网数据的命令时,开始接收数据,若有接收错误或者进行CRC检查时有错误,就丢弃该包,否则就让数据包通过一个FIFO缓存起来,并通知协调控制模块成功接收该数据包;数据包发送子模块,用于当所述协调控制模块向所述FIFOFIFO发出要发送数据的命令时,从将数据包通过所述FIFO发送出去。进一步地,所述的数据包过滤模块包括:IP包提取模块,用于将IP数据进行分段提取;数据比较模块,用于将提取后的数据与CAM模块中存储的数据进行比较,判断数据是否是符合要求的。为了实现上述目的,本专利技术的另一个方面提供了一种在IPv6下基于IPSec硬件防火墙的处理方法,包括如下步骤:接收和发送以太网上的数据;将IP数据包进行筛选和过滤,首先将IP包进行提取,并将提取出来的相应字段进行筛选决定是否丢弃该IP数据包;通过初始化将CAM中存储匹配规则,然后对IP数据相应的数据段进行匹配,输出匹配是否成功信息;通过初始化在RAM中存储源IP和目的IP子网掩码信息;初始化网络掩码RAM和CAM中的数据,以及协调各个模块之间的信息传输。进一步地,所述的接收和发送以太网上的数据包括:在协调控制模块发出要准备接收以太网数据时,接收模块将内存清空,准备接收来自以太网上的数据,当数据到来时,进行ERC校验,若没有接收错误就将数据发往一个FIFO中,等待随时发到FIFO;若协调控制模块通知FIFO要发送数据时,FIFO就从将数据包通过FIFO发送出去。进一步地,所述的数据包过滤包括:根据数据包的各字段的分布规则将数据包进行拆分,拆分成版本号字段、源IP地址字段、目的IP地址字段、源端口号字段、目的端口号字段、源MAC地址字段;将提取出的各字段送到相对应的CAM中进行数据匹配。决定是否丢弃或保留该IP数据包。进一步地,所述的用于存储匹配规则的CAM进一步包括:用于匹配源IP地址范围的CAM;用于匹配目的IP地址范围的CAM;用于匹配源端口号的CAM;用于匹配目的端口号的CAM;用于匹配源MAC地址的CAM。本专利技术中涉及的防火墙模块采用的是基于包过滤技术的防火墙。其优点是包过滤防火墙容易实现,处理速度较快,满足整个IPSec数据处理对速率的要求,并且该防火墙模块能对IP数据包准确的判断是否要对该数据包进行IPSec处理。本专利技术提供了一种在IPv6下基于IPSec硬件防火墙的系统和方法,有效的对IPv6下的数据包进行高效率的检测,特别地利用CAM模块对源端口号、目的端口号、源MAC地址进行匹配,提升了数据匹配的速度,另外对于源IP地址CAM和目的IP地址CAM中不是直接存放的地址值,而本文档来自技高网...
【技术保护点】
一种在IPv6下基于IPSec硬件防火墙的系统,其特征在于,包括:以太网模块,用于接收和发送来自以太网上的数据包,数据在接收和发送过程中是通过数据传输的中间结构FIFO来控制数据的传输,其中:所述数据包具有如下信息之一:IP数据的版本号、目的端口、源IP地址、源端口、目的IP地址、源IP和目的IP和/或源MAC地址;数据包过滤模块,其连接所述以太网模块,用于检测所述来自以太网上的数据包所含信息是否符合要求;内容地址存储CAM模块,其连接所述数据包过滤模块,用于存储所述来自以太网上的数据包所含信息,并对数据包所含信息进行快速的数据匹配,其中:匹配的信息包括:IP数据的版本号、目的端口、源IP地址、源端口、目的IP地址和源MAC地址;网络掩码RAM模块,其连接所述数据包过滤模块,用于存储源IP和目的IP信息;协调控制模块,其分别连接所述以太网模块、所述数据包过滤模块、所述CAM模块和所述网络掩码RAM模块,用于初始化所述网络掩码RAM模块和所述CAM模块中的数据,并且协调各连接模块之间的信息传输。
【技术特征摘要】
1.一种在IPv6下基于IPSec硬件防火墙的系统,其特征在于,包括:以太网模块,用于接收和发送来自以太网上的数据包,数据在接收和发送过程中是通过数据传输的中间结构FIFO来控制数据的传输,其中:所述数据包具有如下信息之一:IP数据的版本号、目的端口、源IP地址、源端口、目的IP地址、源IP和目的IP和/或源MAC地址;数据包过滤模块,其连接所述以太网模块,用于检测所述来自以太网上的数据包所含信息是否符合要求;其中,数据包过滤模块用于对以太网模块发来的数据进行检查和过滤的功能,首先判断该IP数据包是否为IPv6数据,若不是就直接丢弃,若是IPv6数据包则在对发来的数据包进行5项内容的检查,分别为源IP地址、目的IP地址、源端口号、目的端口号、源MAC地址,只有这5项内容都满足要求才说明该数据包是符合要求的,因此可以将该数据包发到下一级进行处理,否则就丢弃;内容地址存储CAM模块,其连接所述数据包过滤模块,用于存储所述来自以太网上的数据包所含信息,并对数据包所含信息进行快速的数据匹配,其中:匹配的信息包括:IP数据的版本号、目的端口、源IP地址、源端口、目的IP地址和源MAC地址;网络掩码RAM模块,其连接所述数据包过滤模块,用于存储源IP和目的IP信息;协调控制模块,其分别连接所述以太网模块、所述数据包过滤模块、所述CAM模块和所述网络掩码RAM模块,用于初始化所述网络掩码RAM模块和所述CAM模块中的数据,并且协调各连接模块之间的信息传输;其中,进一步地,协调控制模块用于协调和控制整个防火墙系统的运作,刚开始对各个CAM和RAM进行初始化,将特定的数据输入到各个存储器中,作为筛选的条件;需要对数据进行检测时,协调控制模块发出信号给以太网模块,该太网模块将数据准备好发到下一级进行处理,有任何错误会发出报告,协调控制模块根据相应的信号决定是...
【专利技术属性】
技术研发人员:李冰,蔡鹏程,刘勇,董乾,赵霞,王刚,
申请(专利权)人:东南大学,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。