摘要：网络普及，安全问题正威胁着每一个网络用户。黑客攻击和信息泄漏等安全问题并不像病毒那样直截了当对系统进行破坏，故意隐藏自己行动，往往不能引起人们重视。，一旦网络安全问题发生，通常会带来严重后果。目前最常见网络安全防范工具是软件防火墙，这种防火墙缺点就是占用有限系统资源，防火墙等级提高，该防火墙将严重阻碍通信质量。本文对网络防火墙具体分析，来讨论嵌入式系统来实现网络硬件防火墙过程。
　　关键词：网络硬件防火墙，嵌入式系统，UCOSII，TCP/IP，USB2.0
　　1  引言
　　网络防火墙是一种控制用户计算机网络访问软件或硬件。对它各种规则设置，使合法链路以建立；而非法连接将被禁止，同时各种手段屏蔽掉用户隐私信息，以保障用户对网络访问安全。目前一般个人电脑是用软件防火墙，微电子快速发展，我们可以完全利用嵌入式系统来实现硬件防火墙，提高系统网络访问性能。
　　2  网络防火墙硬件实现
　　2．1  网络防火墙硬件结构
本系统中，主芯片 
采用菲利普LPC2210，它是一款采用ARM7TDMI核，工作频率可高达60M。网络芯片采用Realtek公司RTL8019AS，它是一款10M网络芯片。PC机通信芯片采用CypressUSB2.0接口芯片CY7C68013，它可以完成PC机和硬件防火墙高速通信。本系统中还提供2M字节FLASH和512K字节RAM，它们分别由芯片SST39VF160和IS61LV25616AL来实现。系统硬件结构如图1：

　　2．2  主芯片LPC2210
　　LPC2210是基于一个支持实时仿真和嵌入式跟踪16/32位ARM7TDMI-S微控制器对代码规模有严格控制应用可使用16位Thumb模式将代码规模降低超过30%而性能损失却很小。
LPC2210144脚封装极低功耗多个32位定时器8路10位ADCPWM输出以及多达9个外部中断使它们特别适用于工业控制医疗系统访问控制和POS机 。
配置总线LPC2210最多可提供76个GPIO内置了宽范围串行通信接口它们也非常适合于通信网关协议转换器嵌入式软modern以及其它各种类型应用。
　　2．3  网络通信芯片RTL8019
　　RTL8019AS网络芯片是REALTEK公司生产，基于ISA接口10M以太网通信芯片。 它采用全双工方式来进行接收以太网数据，非常容易和微处理器接口。该芯片集成了以太网物理层以及以太网收发器，数据封包形式完全符合IEEE802.3标准。
　　2．4   USB2.0接口芯片CY7C68013
　　CY7C68013是Cypress公司生产一款USB2.0接口芯片。它内部集成了8051核，可以单独对该芯片编程。由该芯片完成USB2.0接口，跟PC机通信速率可以高达10Mbyte/s。我们利用该款芯片来实现一个数据FIFO，即对微处理器来讲，它将数据写入该FIFO，然后该芯片就会将数据USB2.0协议发送给PC机。
　　3  网络防火墙软件实现
本系统中，软件一共分为两个部分：即嵌入式系统实现部分和PC机用户界面实现部分。嵌入式系统实现部分主要完成对网络封包过滤以及完成与PC人机界面接口。用户可以USB2.0接口对网络硬件防火墙进行设置，然后嵌入式系统用户设置安全规则来完成对网络封包进行过滤。
　　3．1  底层软件实现
　　这部分软件是网络硬件防火墙实现关键，它主要完成四个方面工作，即对网络封包过滤，日志记录并发送，对用户报警以及跟PC机接口。本系统中我们采用实时操作系统UCOS，配合自己编写TCP/IP协议栈来实现对各个网络层次封包过滤。
　　3．1．1   UC/OSIIARM7下移植
　　UCOSII是一个完整、可移植、可固化及可剪裁占先式实时多任务内核。它用ANSI C编写，包含一小部分汇编代码，使之可以供不同架构微处理器使用。移植该实时操作系统是实现底层软件第一步。移植操作系统其实是一件不简单事情，它必须要求开发人员对目标硬件平台有很深了解；对UCOS原理有相当了解；对所使用编译器有较深入了解。具备以上三点，才能成功移植该实时操作系统。要移植UCOS，编写三个文件即可，它们分别是：OS_CPU.H，OS_CPU_C.C，OS_CPU_A.ASM。下面就简单介绍该移植实现过程。

　　第一个是编写OS_CPU.H。该文件中主要完成以下几个方面工作。首先是几个数据类型定义，如INT8U、INT16U、INT16S等，之这样做是ANSI C中并没有明确定义short、int等数据类型实际长度，它与处理器类型有关，隐含着不可移植性。代之以移植性强INT8U、INT16U等数据类型，即直观又可移植。其次就是完成两个中断处理宏定义，一个是关中断宏OS_ENTER_CRITICAL( )，另一个就是开中断宏OS_EXIT_CRITICAL( )。考虑到所有版本C语言都支持C语言级开关中断，编写此宏来实现C语言级开关中断。最后就是定义栈生长方向和栈宽度，它们分别用变量OS_STK_GROWTH和OS_STK。
　　第二个是编写OS_CPU_C.C。该文件中主要完成函数OSTaskStkInit( )编写，该函数主要完成任务堆栈初始化工作，如初始化各个寄存器状态，以及用户添加一些任务变量等。
　　第三个是编写OS_CPU_A.ASM。该文件是移植关键所，本文件中必须完成四个函数编写工作，它们分别为OSIntCtxSw( )，OSCtxSw( 
)， OSStartHighRdy( )和OSTickISR( )。其中前两个函数是重中之重，它们必须用汇编语言编写，主要完成任务环境切换工作。
ARM7硬件平台下移植UCOSII要注意几个问题，首先是移植系统函数系统宏时要尽量调用软件中断，这样有助于简化移植工作；其次初始化任务堆栈时，可以添加任务变量OSEnterSum这个变量来监视中断开关次数，这是移植一个技巧；最后要注意方便编写中断服务程序，移植时还要提供相应汇编宏来简化用户层代码编写。
　　3．1．2 TCP/IP协议栈UCOSII下实现
　　TCP/IP协议分为四层，分别为应用层、传输层、网络层，物理层。本系统中物理层主要包括8019驱动程序，网络层包括IP协议和ARP协议，传输层主要包括TCP协议和UDP协议，应用层主要包括FTP、HTTP、SNMP和一些用户应用程序。该协议实现很复杂，这也是本系统实现难点，下面给出该协议栈实现函数框图：

　　图 3

　　箭头表示函数调用关系，该协议栈是一个较完整TCP/IP协议栈，它提供标准SOCKET API函数，非常方便用户来实现INTERNET通信。并集成了简单路由协议，可以跨越网关收发数据。TCP/TP协议栈实现都是调用图2框图来实现。
　　3．1．3 各协议层下网络封包过滤实现
　　实现了TCP/IP协议，该基础上实现网络封包过滤个原理实现问题。实现网络封包过滤时，一般不会直接协议里面进行数据包过滤，TCP/IP协议栈各个层次下嵌入用户过滤层，实现对改层数据包过滤。比如要将PING程序回显屏蔽掉，传输层之上嵌入用户过滤层，该用户层作用是，当传输层向用户层提交接收到以太网数据时，该用户层必须对所有IP数据包进行检查。若检查到某个IP数据包含有PING请求时，该用户层就会将该数据包屏蔽掉，即它不会将该数据包提交到网络层。若IP数据包正常时，它就会将数据包直接提交到网络层。这样，添加了该层协议之后，就可以对传输层协议包进行过滤。同样道理，可以各个协议层下添加用户过滤层来实现各种协议数据包过滤。具体实现过程见图4：

　　3．1．4 USB2.0接口模块实现
　　该模块采用CY7C68013，该芯片本身提供高速FIFO通道来实现通信数据到USB协议转换，程序初始化时，将该芯片置成SLAVE FIFO模式，那该芯片就会扮演一个协议转换器角色。它工作原理见图4。
　　由上图可以看出，LPC2210周期查询标志位，来判断FIFO是满空，接收FIFO有数据就立刻将数据读进来进行处理；若发送FIFO满，这时就不能将数据发送到FIFO中。CY7C68013初始化程序片段如下：
　　IFCONFIG = 0xCB;                                  //设置68013工作SLAVE FIFO模式
　　PINFLAGSAB = 0x98;                           //将FLAGA，FLAGB分别设置成FIFO满和空标志
　　FIFORESET = 0x02;                               //复位各个FIFO缓冲
　　FIFORESET = 0x04;
　　FIFORESET = 0x06;
　　FIFORESET = 0x08;
　　EP2FIFOCFG = 0x00;                            //将FIFO设置成自动输出，并是传输数据宽度为16位
CY7C68013中添加以上初始化程序，就可以将该芯片变成一个USB协议转换器，其传输速率可达10Mbyte/S。
　　3．2  PC机人机界面实现
　　该部分软件可以称为上位机软件，主WINDOWS环境下实现用户界面。该用户界面一共分为四个部分：封包监视、日志查询、控管规则以及系统设置。这四个部分都是USB2.0接口与硬件防火墙进行通信，用户它们就可以很方便实现对具体网络封包过滤，对日志进行查询以及对网络控管规则设置。
　　封包监视：该模块就是指硬件防火墙用户设置控制规则对网络封包进行过滤，当有网络封包被拦截之后，硬件防火墙会USB接口模块将拦截信息传给该模块。该模块接收到拦截信息后，就会PC机上以一定形式显示出来。
　　日志管理：该模块是用来设置查询条件并显示查询结果。该模块是非常实用，用户可以从某个日志文件中查找符合条件记录并显示，这极大方便了用户对网络封包数据分析。
　　控管规则：该模块是人机界面最重要部分，它用来设置和显示应用程序以及网络数据控管规则，这个模块需要提供对控管规则进行增加、修改和删除功能按钮。比如，用户希望对某个IP址IP范围进行屏蔽，就可以添加控制规则来实现该目。
　　系统设置：该模块其实是一个辅助模块，由它来设置系统配置参数。这些参数分为公共设置和报警设置，其中公共设置包括日志设置，是否自动启动以及是否显示欢迎界面。报警设置包括拦截时是否用声音报警和是否闪烁图标报警等。
　　4  结语
　　我们设计针对个人PC用户硬件防火墙，具有成本低，性能优越优点，它可以极大节约系统资源，为个人用户提供高效可靠网络环境。网络普及，个人网络硬件防火墙将会有很大发展空间，它出现将极大保障用户对网络访问安全。