集中式防火墻通常架構在內部網絡與外部網絡之間，用于對流入和流出網絡的數據包進行實時檢測，過 濾存在安全威脅的數據信息．集中式防火墻處理數據信息速度快、消耗低、延遲短，目前已經廣泛應用于網絡 規(guī)劃建設中．但是，集中式防火墻的架構實現需要浪費大量資金成本，只能夠對外部網絡流入的安全威脅進行檢測，無法保障內部網絡的安全，而且其架構依賴于網 絡拓撲結構，存在較多的問題和弊端。分布式防火墻能 夠解決集中式防火墻實現過程中的諸多問題。

本文研究的是基于硬件的嵌入式防火墻實現機制，給出了基于ARM處理器的嵌入式防火墻安全保 護機制總體設計，提出了嵌入式防火墻軟件架構和硬 件架構，詳細分析了嵌入式防火墻實現過程中的關鍵 技術，包括芯片選型、硬件布局等，對嵌入式防火墻 的通信性能進行測試評估，測試結果表明，本文給出的ARM處理器的嵌入式防火墻的通信性能優(yōu)于普通 處理器的通信性能．

1. 基于ARM處理器的嵌入式防火墻總體架構設計

基于ARM處理器的嵌入式防火墻架構由硬件部 分和軟件部分共同組成．嵌入式防火墻系統(tǒng)設計滿足 成本低、體積小、消耗少、運行穩(wěn)定可靠等原則要求， 本文給出的嵌入式防火墻硬件架構與軟件架構設計如 圖1 所示，嵌入式防火墻系統(tǒng)通過接口與被保護的計算機終端網卡相連，流入和流出計算機終端的數據包都需要經過嵌入式防火墻的檢測處理．經過嵌入式防 火墻檢測處理的數據包通常包括普通數據流和客戶端與服務器之間的策略／審計數據流。

圖1嵌入式防火墻硬件與軟件架構模型

1.1 普通數據流傳輸

計算機終端通過嵌入式防火墻與其他終端進行數據通信時所流入和流出的數據包稱為普通數據流．普 通數據流從被保護的計算機終端開始，經過計算機終端的應用程序協(xié)議棧以及終端網卡芯片，再傳輸到嵌 入式防火墻網卡驅動中，通過嵌入式防火墻處理器將數據流存儲到網卡驅動的存儲空間，同時啟動包過濾 引擎過濾，按照預先設定的策略規(guī)則對數據流放行，并將經過過濾的數據流傳送到傳輸介質中．數據流從 外部網絡流入的過程是：通過嵌入式防火墻處理器的控制，將網卡驅動中的數據流傳送到嵌入式防火墻存 儲空間中，同時啟動包過濾引擎，按照預先設定的策略規(guī)則對數據流放行，再通過另一個網卡驅動將數據 流傳送到計算機終端的網卡芯片中，由計算機中央處理器在協(xié)議棧中對數據流進行相關協(xié)議處理。

1.2 策略／審計數據流傳輸

通過嵌入式防火墻處理器控制，將計算機終端與服務器之間的策略／審計數據流傳送到計算機終端網 卡芯片的協(xié)議棧中，根據相關協(xié)議認證與服務器之間建立通信連接，達到傳輸策略／審計數據流的目的。

2. 基于ARM處理器的嵌入式防火墻硬件架構設計

2.1 嵌入式芯片選型

本文給出的基于ARM處理器的嵌入式防火墻采用的是型號為S3C2410X的32位處理器芯片，是三星 公司生產的以ARM920T為核心的嵌入式處理器芯片，該嵌入式處理器芯片具有數據處理速度快、功耗 低、集成廣等特點．嵌入式防火墻的硬件架構設計如圖2所示。

圖2嵌入式防火墻硬件架構

2.2 硬件布局設計

ARM920T核心處理器的頻率最高為203MHz，因此在進行高頻電路板設計過程中，要時刻注意電路 板布局設計和布線走向，要盡可能保證高頻信號與其他信號相互隔離，減少信號干擾、串擾等問題。在 防止電磁信號干擾的情況下，基于目前嵌入式系統(tǒng)的硬件布局方案，提出了以擴展板結合核心板的方式來 實現的嵌入式防火墻，如圖３所示。擴展板是２層電路板布線結構，保證外圍設備的基本功能可以實現，外 圍設備包括網絡控制器、調試電路、電源電路、復位電路等。核心板是６層電路板布線結構，其外圍設備包 括ARM920T核心處理器、NorFlash存儲電路、外圍電路中的晶振電路等。

圖3嵌入式防火墻硬件結構布局

3. 基于ARM處理器的嵌入式防火墻軟件架構設計

3.1 網卡驅動程序

網卡驅動模塊是組成操作系統(tǒng)的核心模塊之一，與 操作系統(tǒng)核心網絡子系統(tǒng)有著密切關系，網卡驅動模塊 負責向操作系統(tǒng)核心提供網絡數據通信功能．網卡驅動 模塊直接可以對硬件設備進行驅動操作，位置處于網絡 體系結構的下層。Linux網卡驅動模塊包括網絡協(xié)議層、 網絡設備層、網絡設備驅動功能層和網絡介質層，如圖４所示。當操作系統(tǒng)核心加載了某個 Linux網卡驅動模塊 時，驅動程序通過初始化函數啟動該網卡設備．這個網 絡設備的名稱與網卡驅動模塊中的結構體變量相互對 應，由于網絡設備多種多樣，應用程序的編寫不可能兼 容所有硬件設備，因此，通過網絡設備層的接口相連，可 以實現與底層網絡設備的無關性．網絡設備驅動功能層 是與底層設備密切相關的，主要包括3個部分，分別是幀發(fā)送、幀接收和硬件加載與卸載。

圖4網卡驅動體系結構

3.2 應用程序

本文以包過濾器應用程序為例進行說明，計算機終端的嵌入式防火墻按照預定的策略規(guī)則對數據包進 行過濾檢測，當收到和傳送數據包時，都要對每一個數據包進行判斷，確定是否符合規(guī)則條件。嵌入式防 火墻能夠將分組和目的IP地址、源端命令、目的命令及協(xié)議類型等信息提取出來，再由包過濾器的應用程 序對這些數據信息進行過濾檢測，這種通過包過濾器檢測數據包的方式與傳統(tǒng)的集中式防火墻相似．當包 過濾器的應用程序攔截到一個數據分組信息之后，以過濾策略規(guī)則對其進行遍歷，根據分組IP地址、目的IP地址和協(xié)議類型等策略規(guī)則進行搜索，當查詢到與其匹配的規(guī)則之后，則按照策略規(guī)則對分組數據信息 進行放行或丟棄操作。其他相關網絡安全應用程序的開發(fā)也可以基于嵌入式防火墻平臺實現。

4. 嵌入式防火墻的通信性能測試及對比分析

本文采用美國IXIA公司研發(fā)的Ix Chariot測試軟件對網絡進行性能測試和壓力測試，得出網絡在不同情況下，其吞吐量、延時時間、響應時間和丟包數量的 性能參數，達到評估網絡性能的目的。Ix Chariot測試軟 件包括控制端和遠程端，控制端需要配置在微軟操作系統(tǒng)中。

4.1 測試環(huán)境

嵌入式防火墻的性能測試環(huán)境如圖5所示，測試環(huán)境 包括與嵌入式防火墻相互連接的２臺普通計算機終端。

圖5嵌入式防火墻性能測試環(huán)境

4.2 測試指標

嵌入式防火墻性能測試指標包括吞吐量和響應時間，但是每個性能指標參數的測試需要２個對等的計算機終端共同作用完成，即終點1和終點2。

4.3 測試結果

在計算機終端1上運行Ix Chariot測試軟件，在計算機終端2上運行Ix Chariot測試軟件中的end-point程序。Ix Chariot測試軟件能夠將嵌入式防火墻的通信性能實時顯示，圖6（a）為計算機終端1與計 算機終端2之間進行對等通信的吞吐量參數，圖6（b）為計算機終端1與計算機終端2之間進行對等通信的響應時間參數。

圖6嵌入式防火墻性能測試

由圖6（a）和圖6（b）可以看出，嵌入式防火墻采用外接硬件部分之后，由Ix Chariot測試軟件測試得到 的網絡應用層的數據通信速率為15.5Mbps左右，測試得到的響應時間為50.5ms左右。

4.4 測試對比

目前，我國生產的大部分防火墻產品主要屬于邊界式防火墻，通常利用網絡處理器實現安全保護功 能，因此本文的嵌入式防火墻性能測試對比選擇的都是基于ARM處理器的防火墻產品，以開發(fā)板和路由 板的數據信息處理性能參數進行測試對比，測試對比選擇的是三星公司生產的S2410開發(fā)板和華北工控公 司生產的P780路由板。

圖７嵌入式防火墻與 華北工控路由板通信性能對比

三星公司生產的 S2410開發(fā)板是基于ARM 處理器實現的，能夠支持嵌入式系統(tǒng)，同時具有一 個以太網接口，但是不能使用Ix Chariot測試軟件 進行性能測試，只能通過網絡傳輸協(xié)議進行性能 測試，其網絡應用層的數據通信速率為7.2Mbps。

華北工控公司生產的 P780 路由板是基于ARM處理器實現的，具有3個以太網接口，同時 配備２個無線網卡，無線網卡置于 Mini PCI插槽 內，將以太網的２個接口分別與２臺計算機終端 相互連接，利用Ix Chariot測試軟件進行性能測 試，其網絡應用層的數據通信速率為7.5Mbps。 由圖7可以看出，本文給出的基于ARM處理器的嵌入式防火墻通信性能可以達到15.5Mbps左右，比一般的處理器通信性能提高2.15倍。

5.結論

本文針對目前嵌入式防火墻通信性能差的問題，提出了一種基于ARM處理器的嵌入式防火墻實現機制，對嵌入式防火墻的吞吐量和響應時間進行通信性能測試．實驗結果表明，基于ARM 處理器的嵌入式 防火墻的通信性能優(yōu)于其他處理器。進一步的工作包括繼續(xù)優(yōu)化其通信性能，或者在其基礎之上擴展相關安全應用，包括身份認證系統(tǒng)、入侵檢測系統(tǒng)、數據加密系統(tǒng)等，未來應用前景非常廣泛。