[发明专利]一种基于FPGA的网络安全防护设备

权利要求书

1.一种基于FPGA的网络安全防护设备，其特征在于，该设备包括万兆以太网接口模块、三速以太网接口模块、PCIe接口模块、配置与管理模块、FPGA模块、DDR3存储模块、数据库模块、电源模块及时钟模块；

所述万兆以太网接口模块与FPGA模块、电源模块相连，并串联接入到以太网数据链路中，用于接收与发送以太网数据包；

所述三速以太网接口模块与FPGA模块、配置与管理模块、数据库模块、电源模块及时钟模块相连，用于接收来自于配置与管理模块的配置信息以及发送FPGA模块产生的以太网流量统计数据和安全审计日志；

所述PCIe接口模块与FPGA模块、电源模块相连，用于发送被捕获的以太网数据包；

所述配置与管理模块与三速以太网接口模块相连，用于获取用户的配置信息，通过三速以太网接口模块将配置信息发送至FPGA模块；

所述FPGA模块与万兆以太网接口模块、三速以太网接口模块、DDR3存储模块、电源模块及时钟模块相连，接收来自以太网数据链路的以太网数据包，对以太网数据包进行解包与分析，结合用户的配置信息以及对以太网数据包的分析结果来决定对该以太网数据包采取拦截、放行或捕获策略；所述FPGA模块还产生以太网流量统计数据与安全审计日志，其中以太网流量统计数据包括：以太网数据流表统计信息、进出内部网络的数据传输速率、各以太网协议流量占比；其中安全审计日志包括：异常数据拦截记录、数据捕获记录及威胁预警记录；

所述DDR3存储模块与FPGA模块、电源模块及时钟模块相连，用于存储以太网数据包、TCP连接状态信息以及网络数据流表信息；

所述数据库模块与三速以太网接口模块相连，用于存储并管理以太网流量统计数据及安全审计日志；

所述电源模块与FPGA模块、三速以太网接口模块、万兆以太网接口模块、DDR3存储模块及时钟模块相连，用于向各个模块提供电源驱动；

所述时钟模块与FPGA模块、三速以太网接口模块及DDR3存储模块相连，用于向各个模块提供参考时钟；

所述FPGA模块包括以太网数据包解析模块、以太网数据包检测模块、以太网数据包捕获模块、以太网数据包过滤模块、流信息统计模块及数据输出模块；

所述以太网数据包解析模块与万兆以太网接口模块、以太网数据检测模块、流信息统计模块相连，用于对万兆以太网MAC层及IP层的数据进行解析，提取以太网数据包头部分字段发送给后级以太网数据检测模块及流信息统计模块处理；

所述以太网数据检测模块与DDR3存储模块、以太网数据包解析模块、以太网数据包捕获模块、以太网数据包过滤模块、数据输出模块相连，根据用户配置信息对以太网数据包进行匹配分析，并根据分析结果将产生的控制信息发送至以太网数据包过滤模块及以太网数据包捕获模块，同时将产生的安全审计日志发送至数据库模块进行存储与管理；

所述以太网数据包捕获模块与DDR3存储模块、PCIe接口模块、以太网数据包检测模块相连；根据以太网数据包检测模块发送的控制信息对以太网数据进行存储操作，通过PCIe接口模块高速将以太网数据发送至主机设备进行存储；

所述以太网数据包过滤模块与万兆以太网接口模块、以太网数据包检测模块相连，根据接收到来自于以太网数据包检测模块的控制信息判断是否对该以太网数据包进行拦截；

所述流信息统计模块与以太网数据包解析模块、DDR3存储模块、数据输出模块相连，用于接收以太网数据包解析模块发送的以太网数据包特征信息，并将不同类型的流量信息进行分类统计，最后通过数据输出模块及三速以太网接口模块将以太网流量数据统计结果发送给数据库模块进行存储与管理；

所述数据输出模块与以太网数据包解析模块、流信息统计模块、三速以太网接口模块相连，用于将以太网流量统计数据和安全审计日志组成以太网数据包，并通过三速以太网接口模块发送至数据库模块进行存储与管理。