摘要： 　　本文主要介紹了一種新的防火墻的設(shè)計與實現(xiàn)，其新穎的設(shè)計思想和可靠的功能具有推廣的價值。 關(guān)鍵詞： 　幀 防火墻 一、 前言 　　隨著鋼鐵行業(yè)競爭的加劇，借助計算機和信息處理技術(shù)，提高企業(yè)管理水平和競爭力，實現(xiàn)企業(yè)生產(chǎn)、經(jīng)營和管理的科學化、規(guī)范化與數(shù)字化已經(jīng)成為鋼鐵企業(yè)的必由之路。目前，煉鋼廠已成功組建了廠局域網(wǎng)，并以此為平臺，自主開發(fā)了網(wǎng)絡(luò)協(xié)同辦公系統(tǒng)、數(shù)據(jù)采集系統(tǒng)等各種管理軟件，信息化建設(shè)初見成效。然而，網(wǎng)絡(luò)中的黑客攻擊與病毒入侵日益猖獗，而生產(chǎn)車間的監(jiān)測與監(jiān)控系統(tǒng)一旦通過網(wǎng)絡(luò)遭到黑客攻擊或受到病毒感染，其后果與損失將是不堪設(shè)想的。因此，如何使生產(chǎn)現(xiàn)場的各種監(jiān)測與監(jiān)控系統(tǒng)所得到的數(shù)據(jù)實時傳送到廠局域網(wǎng)上，同時又能保證生產(chǎn)現(xiàn)場的各種監(jiān)測與監(jiān)控系統(tǒng)免受黑客攻擊或病毒感染，成為煉鋼廠信息化建設(shè)發(fā)展必須要解決的關(guān)鍵問題。為了解決這個問題，煉鋼廠技術(shù)人員與山東科技大學的教授聯(lián)合攻關(guān)，終于研制成功NDFS-1型網(wǎng)絡(luò)數(shù)據(jù)安全防護系統(tǒng)。 二、 系統(tǒng)設(shè)計實現(xiàn) 1、 設(shè)計思路 　　本系統(tǒng)工作在無IP方式下，對經(jīng)過的數(shù)據(jù)幀進行單向過濾，僅允許內(nèi)網(wǎng)（上位機）發(fā)向外網(wǎng)的數(shù)據(jù)幀（信息幀）、外網(wǎng)（數(shù)據(jù)庫服務(wù)器）發(fā)向內(nèi)網(wǎng)的應(yīng)答幀通過，它工作起來就像一個單向透明的網(wǎng)橋，在保證內(nèi)網(wǎng)完全免遭黑客攻擊與病毒入侵的情況下實現(xiàn)了必要信息的傳輸，它對數(shù)據(jù)幀的過濾完全在操作系統(tǒng)的內(nèi)核中實現(xiàn)，直接操作網(wǎng)絡(luò)設(shè)備，使系統(tǒng)的處理速度與高速的網(wǎng)絡(luò)設(shè)備相匹配，不影響網(wǎng)絡(luò)的性能。 2、 系統(tǒng)結(jié)構(gòu) （1）系統(tǒng)聯(lián)網(wǎng)的邏輯結(jié)構(gòu) （2）系統(tǒng)硬件設(shè)計 　　本系統(tǒng)為專用硬件防火墻，對于傳送的數(shù)據(jù)包進行分析，只允許數(shù)據(jù)單向通過，所以要對數(shù)據(jù)包進行詳細的分析，然后根據(jù)分析的結(jié)果進行數(shù)據(jù)傳送，因此其分析速度必須足夠快。本系統(tǒng)采用高速的DSP處理器，其邏輯框圖如下： 　　DSP作為主要的CPU，主要負責數(shù)據(jù)包的接收、發(fā)送和分析，由于DSP的速度非常快，所以在連接其他外圍芯片時，必須采用橋接芯片。橋接芯片采用目前比較流行的CPLD、EEPROM、SRAM，系統(tǒng)帶有八個下行接口和一個上行接口，在軟件分配上，選擇其中的一個接口作為上行接口用來連接局域網(wǎng)，其余的網(wǎng)絡(luò)接口用來連接上位機。 （3） 算法設(shè)計 　　數(shù)據(jù)包由工作現(xiàn)場向數(shù)據(jù)服務(wù)器傳輸時的工作流程如下圖所示： （4） 軟件實現(xiàn) 　　在對數(shù)據(jù)報的分析過程中，首先對以太網(wǎng)首部中的幀類型字段進行分析，當為0X0608時,當前數(shù)據(jù)包為ARP數(shù)據(jù)包，不需其他的判斷，就可以直接讓當前的數(shù)據(jù)通過；當為0x0008時，當前數(shù)據(jù)包為IP數(shù)據(jù)報，此時需要進行更多的判斷。對于IP數(shù)據(jù)報，只有UDP的DNS響應(yīng)報文和TCP協(xié)議中的某些類型的數(shù)據(jù)報才可以通過物理防火墻到達工作現(xiàn)場。 　　同時為了防止惡意的數(shù)據(jù)報利用已經(jīng)建立的連結(jié)攻擊位于工作現(xiàn)場的計算機，每一個連接都指定了一個生存時間，當一個連結(jié)的存活時間達到生存時間并且在一定的時間內(nèi)這個連結(jié)沒有被激活時，防火墻即將自動釋放這個連結(jié)，以保證網(wǎng)絡(luò)傳輸?shù)陌踩浴? 三、 系統(tǒng)主要特點 1、安全性高 　　系統(tǒng)是專為煉鋼廠量身訂做的防火墻產(chǎn)品，針對性強，由于工作無IP方式下，對經(jīng)過的數(shù)據(jù)幀進行單向過濾，在保證內(nèi)網(wǎng)完全免遭黑客攻擊與病毒入侵的情況下實現(xiàn)了必要信息的傳輸，與一般傳統(tǒng)意義上的防火墻產(chǎn)品、網(wǎng)絡(luò)/服務(wù)器隔離產(chǎn)品相比有更高的安全性。 2、使用簡單 　　其使用十分簡單，完全符合國際標準，就像普通的防火墻一樣使用，無需另外附加特殊元器件和接線。 3、使用壽命長 　　本系統(tǒng)使用壽命長，可以工作在惡劣的環(huán)境。 4、高速的處理速度 　　 　　本系統(tǒng)由于采用高速的DSP處理器，對數(shù)據(jù)幀的過濾完全在操作系統(tǒng)的內(nèi)核中實現(xiàn)，直接操作網(wǎng)絡(luò)設(shè)備，使系統(tǒng)的處理速度能與高速的網(wǎng)絡(luò)設(shè)備相匹配，不影響網(wǎng)絡(luò)的性能。 四、 結(jié)論 　　煉鋼廠網(wǎng)絡(luò)數(shù)據(jù)安全防護系統(tǒng)采用無IP 工作模式，利用先進的硬件和軟件設(shè)計思想，針對煉鋼廠內(nèi)部網(wǎng)絡(luò)的實際需求，設(shè)計而成的一套穩(wěn)定、安全、高效的網(wǎng)絡(luò)數(shù)據(jù)安全防護產(chǎn)品。其先進的技術(shù)和嚴謹?shù)脑O(shè)計結(jié)構(gòu)，充分擔當起了企業(yè)局域網(wǎng)的安全防護工作，解決了企業(yè)內(nèi)網(wǎng)和外網(wǎng)的數(shù)據(jù)傳輸?shù)年P(guān)鍵問題，為煉鋼廠數(shù)據(jù)的安全采集和信息化建設(shè)，為煉鋼廠領(lǐng)導及時了解生產(chǎn)情況和進行決策，打下了堅實的基礎(chǔ)。該系統(tǒng)投入使用半年多的時間，真正起到了防護黑客攻擊和病毒入侵的作用，使煉鋼廠的信息化建設(shè)有了全面高速的發(fā)展。