摘要： 　　本文主要介紹了一種新的防火墻的設(shè)計(jì)與實(shí)現(xiàn)，其新穎的設(shè)計(jì)思想和可靠的功能具有推廣的價(jià)值。 關(guān)鍵詞： 　幀 防火墻 一、 前言 　　隨著鋼鐵行業(yè)競(jìng)爭(zhēng)的加劇，借助計(jì)算機(jī)和信息處理技術(shù)，提高企業(yè)管理水平和競(jìng)爭(zhēng)力，實(shí)現(xiàn)企業(yè)生產(chǎn)、經(jīng)營(yíng)和管理的科學(xué)化、規(guī)范化與數(shù)字化已經(jīng)成為鋼鐵企業(yè)的必由之路。目前，煉鋼廠已成功組建了廠局域網(wǎng)，并以此為平臺(tái)，自主開(kāi)發(fā)了網(wǎng)絡(luò)協(xié)同辦公系統(tǒng)、數(shù)據(jù)采集系統(tǒng)等各種管理軟件，信息化建設(shè)初見(jiàn)成效。然而，網(wǎng)絡(luò)中的黑客攻擊與病毒入侵日益猖獗，而生產(chǎn)車間的監(jiān)測(cè)與監(jiān)控系統(tǒng)一旦通過(guò)網(wǎng)絡(luò)遭到黑客攻擊或受到病毒感染，其后果與損失將是不堪設(shè)想的。因此，如何使生產(chǎn)現(xiàn)場(chǎng)的各種監(jiān)測(cè)與監(jiān)控系統(tǒng)所得到的數(shù)據(jù)實(shí)時(shí)傳送到廠局域網(wǎng)上，同時(shí)又能保證生產(chǎn)現(xiàn)場(chǎng)的各種監(jiān)測(cè)與監(jiān)控系統(tǒng)免受黑客攻擊或病毒感染，成為煉鋼廠信息化建設(shè)發(fā)展必須要解決的關(guān)鍵問(wèn)題。為了解決這個(gè)問(wèn)題，煉鋼廠技術(shù)人員與山東科技大學(xué)的教授聯(lián)合攻關(guān)，終于研制成功NDFS-1型網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)系統(tǒng)。 二、 系統(tǒng)設(shè)計(jì)實(shí)現(xiàn) 1、 設(shè)計(jì)思路 　　本系統(tǒng)工作在無(wú)IP方式下，對(duì)經(jīng)過(guò)的數(shù)據(jù)幀進(jìn)行單向過(guò)濾，僅允許內(nèi)網(wǎng)（上位機(jī)）發(fā)向外網(wǎng)的數(shù)據(jù)幀（信息幀）、外網(wǎng)（數(shù)據(jù)庫(kù)服務(wù)器）發(fā)向內(nèi)網(wǎng)的應(yīng)答幀通過(guò)，它工作起來(lái)就像一個(gè)單向透明的網(wǎng)橋，在保證內(nèi)網(wǎng)完全免遭黑客攻擊與病毒入侵的情況下實(shí)現(xiàn)了必要信息的傳輸，它對(duì)數(shù)據(jù)幀的過(guò)濾完全在操作系統(tǒng)的內(nèi)核中實(shí)現(xiàn)，直接操作網(wǎng)絡(luò)設(shè)備，使系統(tǒng)的處理速度與高速的網(wǎng)絡(luò)設(shè)備相匹配，不影響網(wǎng)絡(luò)的性能。 2、 系統(tǒng)結(jié)構(gòu) （1）系統(tǒng)聯(lián)網(wǎng)的邏輯結(jié)構(gòu) （2）系統(tǒng)硬件設(shè)計(jì) 　　本系統(tǒng)為專用硬件防火墻，對(duì)于傳送的數(shù)據(jù)包進(jìn)行分析，只允許數(shù)據(jù)單向通過(guò)，所以要對(duì)數(shù)據(jù)包進(jìn)行詳細(xì)的分析，然后根據(jù)分析的結(jié)果進(jìn)行數(shù)據(jù)傳送，因此其分析速度必須足夠快。本系統(tǒng)采用高速的DSP處理器，其邏輯框圖如下： 　　DSP作為主要的CPU，主要負(fù)責(zé)數(shù)據(jù)包的接收、發(fā)送和分析，由于DSP的速度非?？?，所以在連接其他外圍芯片時(shí)，必須采用橋接芯片。橋接芯片采用目前比較流行的CPLD、EEPROM、SRAM，系統(tǒng)帶有八個(gè)下行接口和一個(gè)上行接口，在軟件分配上，選擇其中的一個(gè)接口作為上行接口用來(lái)連接局域網(wǎng)，其余的網(wǎng)絡(luò)接口用來(lái)連接上位機(jī)。 （3） 算法設(shè)計(jì) 　　數(shù)據(jù)包由工作現(xiàn)場(chǎng)向數(shù)據(jù)服務(wù)器傳輸時(shí)的工作流程如下圖所示： （4） 軟件實(shí)現(xiàn) 　　在對(duì)數(shù)據(jù)報(bào)的分析過(guò)程中，首先對(duì)以太網(wǎng)首部中的幀類型字段進(jìn)行分析，當(dāng)為0X0608時(shí),當(dāng)前數(shù)據(jù)包為ARP數(shù)據(jù)包，不需其他的判斷，就可以直接讓當(dāng)前的數(shù)據(jù)通過(guò)；當(dāng)為0x0008時(shí)，當(dāng)前數(shù)據(jù)包為IP數(shù)據(jù)報(bào)，此時(shí)需要進(jìn)行更多的判斷。對(duì)于IP數(shù)據(jù)報(bào)，只有UDP的DNS響應(yīng)報(bào)文和TCP協(xié)議中的某些類型的數(shù)據(jù)報(bào)才可以通過(guò)物理防火墻到達(dá)工作現(xiàn)場(chǎng)。 　　同時(shí)為了防止惡意的數(shù)據(jù)報(bào)利用已經(jīng)建立的連結(jié)攻擊位于工作現(xiàn)場(chǎng)的計(jì)算機(jī)，每一個(gè)連接都指定了一個(gè)生存時(shí)間，當(dāng)一個(gè)連結(jié)的存活時(shí)間達(dá)到生存時(shí)間并且在一定的時(shí)間內(nèi)這個(gè)連結(jié)沒(méi)有被激活時(shí)，防火墻即將自動(dòng)釋放這個(gè)連結(jié)，以保證網(wǎng)絡(luò)傳輸?shù)陌踩浴? 三、 系統(tǒng)主要特點(diǎn) 1、安全性高 　　系統(tǒng)是專為煉鋼廠量身訂做的防火墻產(chǎn)品，針對(duì)性強(qiáng)，由于工作無(wú)IP方式下，對(duì)經(jīng)過(guò)的數(shù)據(jù)幀進(jìn)行單向過(guò)濾，在保證內(nèi)網(wǎng)完全免遭黑客攻擊與病毒入侵的情況下實(shí)現(xiàn)了必要信息的傳輸，與一般傳統(tǒng)意義上的防火墻產(chǎn)品、網(wǎng)絡(luò)/服務(wù)器隔離產(chǎn)品相比有更高的安全性。 2、使用簡(jiǎn)單 　　其使用十分簡(jiǎn)單，完全符合國(guó)際標(biāo)準(zhǔn)，就像普通的防火墻一樣使用，無(wú)需另外附加特殊元器件和接線。 3、使用壽命長(zhǎng) 　　本系統(tǒng)使用壽命長(zhǎng)，可以工作在惡劣的環(huán)境。 4、高速的處理速度 　　 　　本系統(tǒng)由于采用高速的DSP處理器，對(duì)數(shù)據(jù)幀的過(guò)濾完全在操作系統(tǒng)的內(nèi)核中實(shí)現(xiàn)，直接操作網(wǎng)絡(luò)設(shè)備，使系統(tǒng)的處理速度能與高速的網(wǎng)絡(luò)設(shè)備相匹配，不影響網(wǎng)絡(luò)的性能。 四、 結(jié)論 　　煉鋼廠網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)系統(tǒng)采用無(wú)IP 工作模式，利用先進(jìn)的硬件和軟件設(shè)計(jì)思想，針對(duì)煉鋼廠內(nèi)部網(wǎng)絡(luò)的實(shí)際需求，設(shè)計(jì)而成的一套穩(wěn)定、安全、高效的網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)產(chǎn)品。其先進(jìn)的技術(shù)和嚴(yán)謹(jǐn)?shù)脑O(shè)計(jì)結(jié)構(gòu)，充分擔(dān)當(dāng)起了企業(yè)局域網(wǎng)的安全防護(hù)工作，解決了企業(yè)內(nèi)網(wǎng)和外網(wǎng)的數(shù)據(jù)傳輸?shù)年P(guān)鍵問(wèn)題，為煉鋼廠數(shù)據(jù)的安全采集和信息化建設(shè)，為煉鋼廠領(lǐng)導(dǎo)及時(shí)了解生產(chǎn)情況和進(jìn)行決策，打下了堅(jiān)實(shí)的基礎(chǔ)。該系統(tǒng)投入使用半年多的時(shí)間，真正起到了防護(hù)黑客攻擊和病毒入侵的作用，使煉鋼廠的信息化建設(shè)有了全面高速的發(fā)展。