[发明专利]一种基于FPGA的网络安全防护设备

说明书

本发明公开了一种基于FPGA的网络安全防护设备，该设备包括：万兆以太网接口模块、PCIe接口模块、三速以太网接口模块、配置与管理模块、FPGA模块、DDR3存储模块、数据库模块、电源模块及时钟模块，其中，FPGA模块包括以太网数据包解析模块、以太网数据包检测模块、以太网数据包捕获模块、以太网数据过滤模块、流信息统计模块及数据输出模块。本发明实现了对海量网络数据流量的实时监控、统计与分析，对异常网络数据流量的拦截与报警，对底层网络数据的管理。本发明解决了现代化办公楼宇实际应用场景中内部网络环境的安全性问题。

技术领域

本发明涉及网络安全技术、网络通信技术领域，适用于对办公楼宇内部网络与外部网络之间的数据传输过程进行监控与防护的一种基于FPGA的网络安全防护设备。

背景技术

随着互联网技术的大力发展，社会运行对网络设施依赖性大幅度提升，同时也给网络安全领域带来了诸多全新的挑战。安全漏洞、数据泄露、网络诈骗、勒索病毒、拒绝服务攻击等网络安全威胁日益凸显，有组织、有目的的网络攻击形式愈加明显。

为了解决实际网络环境下的网络安全问题，对网络环境中的网络数据进行高速地捕获、统计与分析，亟待需要网络安全防护设备。

发明内容

本发明的目的是提供一种基于FPGA的网络安全防护设备，该设备可以拦截分布式拒绝服务攻击、扫描窥探攻击、畸形报文攻击等恶意网络攻击；可以对内外部网络之间的以太网数据信息进行系统级的流量统计和监控；可以根据配置信息对以太网数据包进行过滤与隔离；可以作为PCIe Add-in设备通过PCIe接口插入主机设备完成对高速以太网数据的捕获与存储。解决了在办公楼宇等实际网络环境下外网与内网之间数据传输的安全性问题。

实现本发明目的的具体技术方案是：

一种基于FPGA的网络安全防护设备，特点是：该设备包括万兆以太网接口模块、三速以太网接口模块、PCIe接口模块、配置与管理模块、FPGA模块、DDR3存储模块、数据库模块、电源模块及时钟模块。

所述万兆以太网接口模块与FPGA模块、电源模块相连，并串联接入到以太网数据链路中，用于接收与发送以太网数据包；

所述三速以太网接口模块与FPGA模块、配置与管理模块、数据库模块、电源模块及时钟模块相连，用于接收来自于配置与管理模块的配置信息以及发送FPGA模块产生的以太网流量统计数据和安全审计日志；

所述PCIe接口模块与FPGA模块、电源模块相连，用于发送被捕获的以太网数据包。

所述配置与管理模块与三速以太网接口模块相连，用于获取用户的配置信息，通过三速以太网接口模块将配置信息发送至FPGA模块。

所述FPGA模块与万兆以太网接口模块、三速以太网接口模块、DDR3存储模块、电源模块及时钟模块相连，接收来自以太网数据链路的以太网数据包，对以太网数据包进行解包与分析，结合用户的配置信息以及对以太网数据包的分析结果来决定对该以太网数据包采取拦截、放行或捕获策略；所述FPGA模块还产生以太网流量统计数据与安全审计日志，其中以太网流量统计数据包括：以太网数据流表统计信息、进出内部网络的数据传输速率、各以太网协议流量占比。其中安全审计日志包括：异常数据拦截记录、数据捕获记录、威胁预警记录；

所述DDR3存储模块与FPGA模块、电源模块及时钟模块相连，用于存储以太网数据包、TCP连接状态信息以及网络数据流表信息；

所述数据库模块与三速以太网接口模块相连，用于存储并管理以太网流量统计数据及安全审计日志；

所述电源模块与FPGA模块、三速以太网接口模块、万兆以太网接口模块、DDR3存储模块、时钟模块相连，用于向各个模块提供电源驱动；

所述时钟模块与FPGA模块、三速以太网接口模块及DDR3存储模块相连，用于向各个模块提供参考时钟。