基于FPGA的動(dòng)態(tài)可重配置的IP報(bào)文過濾系統(tǒng)

???????? IP 過濾是把IP 數(shù)據(jù)報(bào)文分成不同種類的過程，主要取決于IP 報(bào)頭中的信息?；谲浖淖址ヅ湟呀?jīng)不能跟上高速的網(wǎng)絡(luò)傳輸速度，需要尋找硬件解決方案。這篇論文描述了基于FPGA 的動(dòng)態(tài)可重配置內(nèi)容可尋址存儲(chǔ)器CAM（Content Addressable Memory）在IP 過濾中的應(yīng)用，同時(shí)在硬件中采用了Snort入侵監(jiān)測系統(tǒng)（IDS）的字符串匹配規(guī)則。
關(guān)鍵字： TCAM; FPGA; Snort; 動(dòng)態(tài)
???????? 網(wǎng)際協(xié)議（Internet Protocol) 是互聯(lián)網(wǎng)進(jìn)行網(wǎng)際互連的基礎(chǔ)。隨著互聯(lián)網(wǎng)服務(wù)的快
速發(fā)展，對(duì)網(wǎng)絡(luò)的安全性提出了更高的要求，如何快速有效的過濾網(wǎng)絡(luò)中的IP數(shù)據(jù)報(bào)文是一個(gè)始終需要解決的問題。
過濾IP數(shù)據(jù)報(bào)文是為了防止未授權(quán)用戶訪問內(nèi)部網(wǎng)資源，同時(shí)限制網(wǎng)內(nèi)用戶非法使用外
部服務(wù)。進(jìn)行過濾之后，局域網(wǎng)內(nèi)用戶只能使用特定的服務(wù)（例如e-mail），網(wǎng)外的用戶也只能訪問經(jīng)過授權(quán)的網(wǎng)內(nèi)資源。由于網(wǎng)絡(luò)帶寬的飛速增長，傳統(tǒng)的基于軟件的查找算法已經(jīng)不能適應(yīng)網(wǎng)絡(luò)速度的飛速發(fā)展，迫切需要采用新的硬件過濾方法，方案之一就是采用內(nèi)容可尋址存儲(chǔ)器TCAM（Ternary Content Addressable Memory）。
???????? TCAM利用三個(gè)數(shù)值存儲(chǔ)數(shù)據(jù)‘0’ 、‘1’ 、‘X’（不關(guān)心），每一個(gè)表項(xiàng)都包含數(shù)值比特串和掩碼比特串。TCAM能夠在一個(gè)硬件時(shí)鐘周期內(nèi)完成關(guān)鍵字的精確匹配查找，只需要輸入關(guān)鍵字的內(nèi)容，TCAM就會(huì)將此關(guān)鍵字與CAM中所有的表項(xiàng)同時(shí)進(jìn)行匹配比較，最后返回匹配表項(xiàng)在TCAM中所對(duì)應(yīng)的地址，如果存在多個(gè)匹配表項(xiàng)則返回地址最低的表項(xiàng)。目前主流的IDS（Intrusion Detection Systems），例如Snort，可以編寫相應(yīng)規(guī)則來完成實(shí)時(shí)協(xié)議分析、內(nèi)容查找／匹配、對(duì)網(wǎng)絡(luò)上的IP包登錄進(jìn)行測試等功能。我們可以把類似于Snort的規(guī)則應(yīng)用到TCAM中，通過制定符合特定規(guī)則的表項(xiàng)，來實(shí)現(xiàn)IP數(shù)據(jù)報(bào)的匹配。當(dāng)數(shù)據(jù)報(bào)在TCAM中能夠找到相應(yīng)的匹配項(xiàng)時(shí)，我們即認(rèn)為它是合法的，否則予以攔截并送入后臺(tái)作為異常報(bào)文處理。
????????為了實(shí)現(xiàn)快速查找，設(shè)計(jì)者必須在PCB板上添加一個(gè)獨(dú)立的TCAM器件，這會(huì)增加片間延時(shí)，同時(shí)減少PCB板上的可用空間，從而降低電路板的系統(tǒng)性能。因此我們采用FPGA來實(shí)現(xiàn)TCAM，F(xiàn)PGA芯片采用ALTERA公司的APEX20K1500E。