來源：微計算機信息   作者：趙德安 周俊華 洪劍青

摘要：隨著網(wǎng)絡的普及，安全問題正在威脅著每一個網(wǎng)絡用戶。由于黑客攻擊和信息泄漏等安全問題并不像病毒那樣直截了當?shù)膶ο到y(tǒng)進行破壞，而是故意隱藏自己的行動，所以往往不能引起人們的重視。但是，一旦網(wǎng)絡安全問題發(fā)生，通常會帶來嚴重的后果。目前最常見的網(wǎng)絡安全防范工具是軟件防火墻，這種防火墻的缺點就是占用有限系統(tǒng)資源，隨著防火墻的等級提高，該防火墻將嚴重阻礙通信的質量。本文對網(wǎng)絡防火墻的具體分析，來討論通過嵌入式系統(tǒng)來實現(xiàn)網(wǎng)絡硬件防火墻的過程。
關鍵詞：網(wǎng)絡硬件防火墻，嵌入式系統(tǒng)，UCOSII，TCP/IP，USB2.0

1  引言

網(wǎng)絡防火墻是一種控制用戶計算機網(wǎng)絡訪問的軟件或硬件。通過對它的各種規(guī)則設置，使得合法的鏈路得以建立；而非法的連接將被禁止，同時通過各種手段屏蔽掉用戶的隱私信息，以保障用戶的對網(wǎng)絡訪問的安全。目前一般個人電腦是用的軟件防火墻，隨著微電子的快速發(fā)展，我們可以完全利用嵌入式系統(tǒng)來實現(xiàn)硬件防火墻，從而提高系統(tǒng)的網(wǎng)絡訪問性能。

2  網(wǎng)絡防火墻的硬件實現(xiàn)

2．1  網(wǎng)絡防火墻的硬件結構

在本系統(tǒng)中，主芯片采用菲利普的LPC2210，它是一款采用ARM7TDMI的核，工作頻率可高達60M。網(wǎng)絡芯片采用的Realtek公司的RTL8019AS，它是一款10M的網(wǎng)絡芯片。PC機的通信芯片采用Cypress的USB2.0的接口芯片CY7C68013，它可以完成PC機和硬件防火墻的高速通信。在本系統(tǒng)中還提供2M字節(jié)的FLASH和512K字節(jié)的RAM，它們分別由芯片SST39VF160和IS61LV25616AL來實現(xiàn)。系統(tǒng)的硬件結構如圖1：

2．2  主芯片LPC2210

LPC2210是基于一個支持實時仿真和嵌入式跟蹤的16/32位ARM7TDMI-S的微控制器對代碼規(guī)模有嚴格控制的應用可使用16位Thumb模式將代碼規(guī)模降低超過30%而性能的損失卻很小。

由于LPC2210的144腳封裝極低的功耗多個32位定時器8路10位ADCPWM輸出以及多達9個外部中斷使它們特別適用于工業(yè)控制醫(yī)療系統(tǒng)訪問控制和POS機 。

通過配置總線LPC2210最多可提供76個GPIO由于內置了寬范圍的串行通信接口它們也非常適合于通信網(wǎng)關協(xié)議轉換器嵌入式軟modern以及其它各種類型的應用。

2．3  網(wǎng)絡通信芯片RTL8019

RTL8019AS網(wǎng)絡芯片是REALTEK公司生產(chǎn)的，基于ISA接口的10M以太網(wǎng)通信芯片。 它采用全雙工方式來進行接收以太網(wǎng)數(shù)據(jù)，非常容易和微處理器接口。該芯片集成了以太網(wǎng)的物理層以及以太網(wǎng)的收發(fā)器，數(shù)據(jù)封包形式完全符合IEEE802.3標準。

2．4   USB2.0接口芯片CY7C68013

   CY7C68013是Cypress公司生產(chǎn)的一款USB2.0的接口芯片。它內部集成了8051的核，可以單獨對該芯片編程。由該芯片完成USB2.0接口，跟PC機的通信速率可以高達10Mbyte/s。我們利用該款芯片來實現(xiàn)一個數(shù)據(jù)FIFO，即對微處理器來講，它只要將數(shù)據(jù)寫入該FIFO，然后該芯片就會將數(shù)據(jù)按照USB2.0的協(xié)議發(fā)送給PC機。

3  網(wǎng)絡防火墻的軟件實現(xiàn)

在本系統(tǒng)中，軟件一共分為兩個部分：即嵌入式系統(tǒng)實現(xiàn)部分和PC機用戶界面實現(xiàn)部分。嵌入式系統(tǒng)實現(xiàn)部分主要完成對網(wǎng)絡封包的過濾以及完成與PC的人機界面的接口。用戶可以通過USB2.0接口對網(wǎng)絡硬件防火墻進行設置，然后嵌入式系統(tǒng)根據(jù)用戶設置的安全規(guī)則來完成對網(wǎng)絡封包進行過濾。

3．1  底層軟件的實現(xiàn)

這部分軟件是網(wǎng)絡硬件防火墻實現(xiàn)的關鍵，它主要完成四個方面的工作，即對網(wǎng)絡封包的過濾，日志的記錄并發(fā)送，對用戶的報警以及跟PC機的接口。在本系統(tǒng)中我們采用實時操作系統(tǒng)UCOS，配合自己編寫的TCP/IP協(xié)議棧來實現(xiàn)對各個網(wǎng)絡層次封包的過濾。

3．1．1   UC/OSII在ARM7下的移植

UCOSII是一個完整、可移植、可固化及可剪裁的占先式實時多任務內核。它用ANSI C編寫，包含一小部分匯編代碼，使之可以供不同架構的微處理器使用。移植該實時操作系統(tǒng)是實現(xiàn)底層軟件的第一步。移植操作系統(tǒng)其實是一件不簡單的事情，它必須要求開發(fā)人員對目標硬件平臺有很深的了解；對UCOS的原理有相當?shù)牧私猓粚λ褂玫木幾g器有較深入的了解。只有具備以上三點，才能成功移植該實時操作系統(tǒng)。要移植UCOS，只要編寫三個文件即可，它們分別是：OS_CPU.H，OS_CPU_C.C，OS_CPU_A.ASM。下面就簡單介紹該移植的實現(xiàn)過程。

 第一個是編寫OS_CPU.H。在該文件中主要完成以下幾個方面的工作。首先是幾個數(shù)據(jù)類型的定義，如INT8U、INT16U、INT16S等，之所以這樣做是因為ANSI C中并沒有明確定義short、int等數(shù)據(jù)類型的實際長度，它與處理器的類型有關，