马海虎

（喀什大学，新疆 喀什 844000）

基于FPGA的网络监控与过滤系统设计

马海虎

（喀什大学，新疆 喀什 844000）

人类已经进入信息时代，互联网已经成为人们日常生活必不可少的工具，同时也带来了一定的安全威胁.本文在分析网络安全防护技术原理的基础上，建立网络监控与过滤系统，在网络通信过程中对以太网进行监控和关键字匹配过滤，采用关键字匹配技术手段对被监测站点的数据报文进行检查和监测，将有害信息排除在外，保证网络安全.

监控；FPGA；过滤网络安全

目前，网络入侵检测系统、网络安全监测系统发展迅猛，本文通过研究网络监控和过滤技术，促进互联网应用的良性发展.针对网络安全设计的特点，本文提出一种基于FPGA的网络监控与过滤系统，采用关键字匹配的技术手段对被监测站点的数据报文进行检查和监测，如果信息满足安全性的要求则进行正常的路由转发，如果不满足安全性的要求，则根据安全策略的规定进行安全处理，实现网络的安全监控和过滤，保证人们的信息安全.

1 网络监控与过滤原理

网络通信是在计算机网络上发生的主机与主机之前或者主机与服务器之间的一种全双工的通信.当通信建立连接后，主机与主机之间或主机与服务器之间产生数据交互，完成数据的收发、命令的交互等.网络监控采用的主要技术为网络监听和协议分析技术，其主要方式有三种：服务器端监控、客户端监控和网络通信过程监控.

服务器端监控思路的提出是因为很多不法分子私自搭建服务器，建立网站，从而传播不良信息，或者直接伪造银行、商场的网站，诱骗消费者登录网站，盗取消费者的账号信息和金钱.从服务器端进行监控采用的手段是对其资源进行核查，当发现某服务器在网络上发布了违法资源后，及时将其隔离，通过资源合法性审查和网络地址合法性审查，实现服务器端的网络监控.

客户端监控是指限制客户的访问权限或者使用权限，在客户端添加使用权限，使得客户不能访问和上传非法资源，主要通过两种方式实现：针对终端进行后台监控，对客户的权限进行限制，只能进行权限内的操作.针对终端的应用程序进行后台监控，程序开发时，开发者已经为公安监管部门提供了监管口令，用户上网时，程序已经对客户的网络行为进行了记录，只有具有最高权限的部门才能查看用户的浏览记录.后台口令一旦被不法分子获取，则会造成严重后果.

网络通信过程监控.对于通信过程监控是网络监控最为成熟的方法，以客户端和服务器端的通信过程作为突破口，当双方发生通信时，加入分光设备，对数据流进行监控.监控过程具有数据捕获、协议分析及还原、数据输出及分析过滤等功能.

客户端监控和服务器端监控都具有一定的局限性，服务器端监控需要资源提供者、客户主机和权威机构的多方支持，并且网络管理员能控制访问服务器的每个客户主机，监管的难度较大.客户端监控需要健全的法律支持来保护客户的隐私，还需要完整、安全的程序设计.基于上述分析，本文选用的是针对网络通信过程的网络监控，设计基于高速网络下的网络监控与过滤系统.

2 网络监控与过滤系统功能设计

2.1 网络监控与过滤系统需求分析

传统的千兆以太网已经不能满足人们对于快速上网的需求，万兆以太网（10GE）应运而生，万兆以太网继承低速网络的众多优点，保持了原有的以太网模型、网络的拓扑结构以及介质介入控制协议，并且提供了10Gbps的带宽，大大扩展了以太网技术的应用空间，使其将应用空间从局域网（LAN）扩展到城域网（MAN）和广域网（WAN）.网络监控与过滤系统采用数据捕获、协议分析与数据还原、数据过滤、数据输出等多种手段，最终实现网络行为的监控，使得监控者能够通过本系统实现网络数据的监控与过滤，保证网络安全，其主要功能包括：

（1）数据采集：能够在以太网环境下进行网络数据通信数据采集，将经过该网络的所有数据都经过系统处理，按照相关的规则和关键字分配到相应的处理模块中；（2）协议分析和数据还原：系统获取用户网络数据后，通过预先设定的关键字匹配，将数据包发送给协议分析和数据还原模块，该模块对网络数据进行过过滤.（3）规则过滤：系统根据监控人员的要求，设计不同的匹配关键字，设置黑名单和白名单，将含有设定关键字的信息流转发到指定的端口中，然后再由后台的工作站处理，防止用户受到有害信息的侵扰.（4）结果输出.网络通信数据经过规则过滤后，经过协议分析和数据还原，系统将数据输送给用户.

2.2 网络监控与过滤系统功能设计

本系统主要是安装在SONET/SDH分光线路中，通过在10Gbps网络中分光接收数据，将数据分配到多个服务器或者工作站中.通过将网络监控与过滤系统安装在某网络出口处，对网络内访问外部资源的数据包进行数据检测和特征信息识别，还可以安装在网络的内部，对网络内部的数据流进行监控.网络监测与过滤系统的工作流程为，首先将感兴趣的关键字存入到存储设备中，并且配置好需要转发的端口，当设备开始工作后，会对网络信息进行检测，设备会将含有设定关键字的信息流转发到指定的端口中，然后再由后台的工作站处理.根据系统的需要，存储器最多可以设置3K条关键字，关键字的长度限制在64字节，系统对数据流设置为黑名单和白名单，根据关注度将不关注的信息归入到白名单中，将关注的信息归入到黑名单中.设备从10Gbps网络中获取数据，通过黑白名单过滤，实现数据的实时监测，防止有害信息入侵，实现网络的安全监测.

3 基于FPGA的网络监控与过滤系统整体设计

本文设计的基于FPGA的网络监测与过滤系统分为五个主要组成部分，分别为：CPU单元，电源模块、10G接口模块、PPM模块和GE接口模块.

CPU模块能够实现系统控制，以及以太网和外部网络的通信，实现系统间的数据交互.10G接口模块可以介入网络，将光信号经过光电耦合元件进行光电转换、串并转换，实现数据转换，并且将数据帧传递给PPM功能模块.PPM功能模块由4块FPGA组成，主要功能是将IP包转发到GE端口，4块 FPGA 组成 PPM0、PPM1、PPM2和 PPM3，PPM 接收10G接口传入的数据，进行关键字的监控与过滤，不同的PPM模块实现不同的关键字匹配，并根据不同的需要转发到不同的端口.GE模块将PPM模块转发的数据帧进行处理，得到完整的以太网帧并进行并联转换以及实现电信号向光信号的转换，然后将以太网帧发送到GE链路上.电源模块为整个系统提供电能，首先对市电完成滤波处理，然后通过电压转换模块，提供±3V，±5V以及±12V的电压.

4 功能模式设计实现

4.1 10G接口模块设计

10G接口的功能是完成10G光信号的光电转换、串并转换，将数据帧传输给PPM模块.10G接口模块主要包含两路TransPonder和两路Framer，TransPonder主要用于将接口接收的光信号和16bit并行差分信号进行数据交换，光接口类型为LC.Framer主要用于对10G数据进行处理，转换为SPI-4.2接口模式，该接口是10G接口模块和PPM模块的连接通道.SPI-4.2是OIF定义的局部高速总线标准，分为数据通道和状态通道，数据通道16bit位宽，采用LVDS信号电平，按照cell格式传送数据，每个cell以控制字开始，包含逻辑端口号、报文起始标志位、报文结束标志位、控制字校验等信息.状态通道传输对端反馈的逻辑通道接收FIFO的状态，2bit位宽，TTL电平或者LVDS电平.

4.2 GE接口模块设计

GE接口模块将PPM模块传输过来的数据帧处理为完整的以太网帧，并进行并串转换，电光转换，将其发送到GE链路上去.光收发器件将接口的光信号和串行的电信号进行相互转换，接口类型为SFP.

4.3 网络监测与过滤模块设计

网络的监测与过滤即PPM模块采用的4片FPGA，分别为PPM0-3，每一片FPGA配置了独立的CAM和SRAM，PPM0与10G接口模块通过SPI-4.2接口连接，PPM模块之间也通过该种接口类型连接，并且PPM1和PPM2同GE模块之间设置有连接通道.PPM模块按照预制的关键字将进入到PPM中的网络数据转发到不同的GE端口上去，PPM0根据黑名单和白名单查找数据，PPM1～3采用基于内容的查找模式，关键字预存在CAM表中.

FPGA模块采用的是Altera公司的StratixⅡ系列的EP2S60F1020C5，4块FPGA根据网络监测和过滤的需要配置为不同的功能.PPM0接收10G模块的数据帧，解析得到IP包数据，对IP包的五元组进行查表处理，并且对照CAM表中的黑名单和白名单，白名单中的数据流直接丢弃，黑名单数据设置标签后通过PPM1端口转发，剩下的数据传送到PPM1进行关键字匹配查找.PPM1对数据包进行预处理，进行关键字匹配，如果匹配成功则直接确定转发端口并进行转发.PPM2接收到数据源有两种情况，如果是从PPM1接收的数据包则直接进行转发，如果需要进行关键字匹配，则需要提取有效数据进行匹配处理.PPM3接收的数据则肯定需要进行关键字匹配，然后决定转发端口，如果经过3片FPGA没有匹配成功，则通过CPU默认端口进行转发.

5 总结

互联网技术的发展给人们生活带来便利的同时也带来的巨大的挑战，网络安全问题已经成为人们面临的重大威胁.本文在结合万兆以太网络，设计了网络监控与过滤系统，采用CAM和SRAM相结合的关键字匹配查询模式，在网络通信环节实现网络的监控与过滤，设计了网络与监测系统的整体框架和主要功能模块，为网络安全防护提供了一定的技术基础.

〔1〕吕建军.基于文本特征提取算法的旁路监控系统设计与实现[D].四川大学,2005.

〔2〕李心霞.基于高职院校的网络监控与分析系统设计与实现[D].山东大学,2013.

〔3〕霍卫涛,田泽,李攀,杨海波,王玉欢.基于 FPGA 的光纤通道网络监控卡设计与实现[J].计算机技术与发展,2014,24(05):199-203.

〔4〕秦倩,谢宝娣,顾兆军,王超,黄宇宫.网络数据包还原和内容分析系统的设计与实现[J].中国民航大学学报,2011,29(03):24-27.

〔5〕许俊.网络监控系统对网络性能的影响分析[J].信息与电脑(理论版),2017,(03):182-183.

〔6〕安洁.基于SNMP协议的网络监控安全审计系统的设计与实现[D].南京航空航天大学,2011.

TP393

A

1673-260X（2017）11-0014-02

2017-08-12