基于FPGA的动态可重配置的IP报文过滤系统

         IP 过滤是把IP 数据报文分成不同种类的过程，主要取决于IP 报头中的信息。基于软件的字符串匹配已经不能跟上高速的网络传输速度，需要寻找硬件解决方案。这篇论文描述了基于FPGA 的动态可重配置内容可寻址存储器CAM（Content Addressable Memory）在IP 过滤中的应用，同时在硬件中采用了Snort入侵监测系统（IDS）的字符串匹配规则。
关键字： TCAM; FPGA; Snort; 动态
         网际协议（Internet Protocol) 是互联网进行网际互连的基础。随着互联网服务的快
速发展，对网络的安全性提出了更高的要求，如何快速有效的过滤网络中的IP数据报文是一个始终需要解决的问题。
过滤IP数据报文是为了防止未授权用户访问内部网资源，同时限制网内用户非法使用外
部服务。进行过滤之后，局域网内用户只能使用特定的服务（例如e-mail），网外的用户也只能访问经过授权的网内资源。由于网络带宽的飞速增长，传统的基于软件的查找算法已经不能适应网络速度的飞速发展，迫切需要采用新的硬件过滤方法，方案之一就是采用内容可寻址存储器TCAM（Ternary Content Addressable Memory）。
         TCAM利用三个数值存储数据‘0’ 、‘1’ 、‘X’（不关心），每一个表项都包含数值比特串和掩码比特串。TCAM能够在一个硬件时钟周期内完成关键字的精确匹配查找，只需要输入关键字的内容，TCAM就会将此关键字与CAM中所有的表项同时进行匹配比较，最后返回匹配表项在TCAM中所对应的地址，如果存在多个匹配表项则返回地址最低的表项。目前主流的IDS（Intrusion Detection Systems），例如Snort，可以编写相应规则来完成实时协议分析、内容查找／匹配、对网络上的IP包登录进行测试等功能。我们可以把类似于Snort的规则应用到TCAM中，通过制定符合特定规则的表项，来实现IP数据报的匹配。当数据报在TCAM中能够找到相应的匹配项时，我们即认为它是合法的，否则予以拦截并送入后台作为异常报文处理。
        为了实现快速查找，设计者必须在PCB板上添加一个独立的TCAM器件，这会增加片间延时，同时减少PCB板上的可用空间，从而降低电路板的系统性能。因此我们采用FPGA来实现TCAM，FPGA芯片采用ALTERA公司的APEX20K1500E。