趙小剛　王創(chuàng)科

摘 要：簡單分析、介紹了網(wǎng)閘，并簡單設(shè)計(jì)了物理隔離網(wǎng)閘（MPIS）系統(tǒng)結(jié)構(gòu)；介紹了物理隔離網(wǎng)閘BIOS中的基本輸入、輸出模塊，并給出了解決問題的措施?；贛IPS網(wǎng)閘系統(tǒng)的高水平的計(jì)算機(jī)系統(tǒng)可以引導(dǎo)各種應(yīng)用程序開發(fā)、相關(guān)軟件系統(tǒng)的研究和移植，這對(duì)提升計(jì)算機(jī)應(yīng)用研究水平，提升我國產(chǎn)品的性能和競爭能力有很重要的現(xiàn)實(shí)意義。

關(guān)鍵詞：網(wǎng)閘；BIOS系統(tǒng)設(shè)計(jì)；SCSI技術(shù)；計(jì)算機(jī)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-6835（2014）18-0133-02

互聯(lián)網(wǎng)已經(jīng)成為了人們交流和探索知識(shí)的重要工具之一，同時(shí)，它也是進(jìn)行電子商務(wù)的全球性網(wǎng)絡(luò)。網(wǎng)絡(luò)的廣泛應(yīng)用在很大程度上可以提高使用者的工作效率，但是，網(wǎng)絡(luò)安全問題卻日益嚴(yán)重。隨著越來越多的個(gè)人和單位加入互聯(lián)網(wǎng)絡(luò)，日益惡化的網(wǎng)絡(luò)安全問題成為了人們關(guān)注的焦點(diǎn)。要想解決網(wǎng)絡(luò)安全問題，就需要開發(fā)一個(gè)采用物理隔離網(wǎng)閘的專用系統(tǒng)平臺(tái)。該平臺(tái)使用國產(chǎn)CPU，并且要求電路高度集成、性能優(yōu)異，這樣才可以提升整個(gè)系統(tǒng)的安全性，避免后門隱患出現(xiàn)，同時(shí)，還能為大力推廣我國的國產(chǎn)CPU，為供應(yīng)商采用國產(chǎn)系統(tǒng)平臺(tái)，研發(fā)、搭配國產(chǎn)軟件起到應(yīng)有的作用。

1 網(wǎng)閘的相關(guān)內(nèi)容

1.1 網(wǎng)閘的概念

網(wǎng)閘又被稱為物理隔離網(wǎng)閘或安全隔離網(wǎng)閘。它是具有多種控制功能的網(wǎng)絡(luò)安全專用設(shè)備，能在電路中實(shí)現(xiàn)切斷網(wǎng)絡(luò)之間通訊數(shù)據(jù)鏈路層的連接，還能在網(wǎng)絡(luò)上進(jìn)行較為安全的應(yīng)用數(shù)據(jù)交換。

網(wǎng)閘可以實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)在網(wǎng)絡(luò)OSI七層模型中的物理隔離，它是針對(duì)TCP/IP協(xié)議等應(yīng)用協(xié)議的進(jìn)一步剝離和重建，使得內(nèi)、外部主機(jī)可以在任意時(shí)間都能徹底斷開。網(wǎng)閘一般具備身份認(rèn)證、訪問控制、安全隔離、內(nèi)核防護(hù)、安全審計(jì)、協(xié)議轉(zhuǎn)換和病毒查殺等安全功能模塊，是由軟件和硬件一起構(gòu)成的整體系統(tǒng)。它的硬件設(shè)備體系主要是由三大部分構(gòu)成，即內(nèi)部處理單元、隔離硬件和外部處理單元。

網(wǎng)閘安全交換過程的實(shí)現(xiàn)是通過提取網(wǎng)絡(luò)通訊數(shù)據(jù)包中的應(yīng)用數(shù)據(jù)，經(jīng)過網(wǎng)閘安全審查后才可以繼續(xù)完成數(shù)據(jù)交換的過程。網(wǎng)閘的使用原理是采取單刀雙擲開關(guān)的方式，讓內(nèi)、外網(wǎng)的數(shù)據(jù)處理單元分開存取雙方共享在存儲(chǔ)設(shè)備上的數(shù)據(jù)信息，從而達(dá)到交換數(shù)據(jù)的目的，以此完成在物理上完全隔離情況下的數(shù)據(jù)交換任務(wù)。

網(wǎng)閘是對(duì)通訊數(shù)據(jù)包進(jìn)行基于訪問控制、審查安全策略、通訊協(xié)議的剝離等審查，只有經(jīng)過嚴(yán)格審查的通訊數(shù)據(jù)才可以流出外網(wǎng)或進(jìn)入內(nèi)網(wǎng)，這樣就可以有效制止泄露信息和入侵網(wǎng)絡(luò)的問題發(fā)生。它的安全原理是采用對(duì)應(yīng)用層數(shù)據(jù)提取并進(jìn)行安全審查，從而達(dá)到增強(qiáng)OSI模型應(yīng)用層的安全性和避免基于OSI模型協(xié)議層遭受攻擊的目的。

1.2 網(wǎng)閘實(shí)現(xiàn)的技術(shù)原理

現(xiàn)在的網(wǎng)閘實(shí)現(xiàn)實(shí)時(shí)開關(guān)的模式基本有兩類，即基于總線技術(shù)的開關(guān)模式和基于SCSI技術(shù)的開關(guān)模式。

基于SCSI技術(shù)的開關(guān)模式應(yīng)用的網(wǎng)閘，它采用的交換數(shù)據(jù)通道為SCSI模式的硬盤接口，存儲(chǔ)數(shù)據(jù)的介質(zhì)也采用的是SCSI硬盤，整個(gè)過程是通過數(shù)據(jù)的剝離、還原、審查、封裝來實(shí)現(xiàn)的，而控制單元采用的是專制的電路硬件。網(wǎng)閘采用總線技術(shù)的開關(guān)模式時(shí)，一般使用雙端口的靜態(tài)存儲(chǔ)設(shè)備，再配合使用基于獨(dú)立的EPGA或CPLD模式控制電路。

2個(gè)端口通過各自獨(dú)立的開關(guān)連接1臺(tái)物理獨(dú)立的計(jì)算機(jī)。FPGA或CPLA作為獨(dú)立的控制電路系統(tǒng)，需要保證在2個(gè)端口上，對(duì)應(yīng)的靜態(tài)存儲(chǔ)器要保證每個(gè)端口上都有1個(gè)開關(guān)，而且2個(gè)開關(guān)是不允許出現(xiàn)同時(shí)閉合情況的。

1.3 網(wǎng)閘的安全性分析

使用內(nèi)、外網(wǎng)的物理隔離方式能夠有效阻擋借用計(jì)算機(jī)操

作系統(tǒng)的漏洞和網(wǎng)絡(luò)通訊協(xié)議的漏洞進(jìn)行的網(wǎng)絡(luò)攻擊，還能夠有力地控制內(nèi)部與外界網(wǎng)絡(luò)間的數(shù)據(jù)傳送。采用靈活、高效的可擴(kuò)展安全機(jī)制，不僅可以提高系統(tǒng)的安全性，同時(shí)，系統(tǒng)還具有快速恢復(fù)的功能。

1.4 網(wǎng)閘系統(tǒng)與防火墻系統(tǒng)的功能對(duì)比

防火墻系統(tǒng)是在網(wǎng)絡(luò)處理IP數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)對(duì)IP包采取的特殊處置模式，以此實(shí)現(xiàn)對(duì)TCP會(huì)話的有效管理，但是，防火墻系統(tǒng)對(duì)應(yīng)用數(shù)據(jù)的內(nèi)容是不做任何檢查的。這樣的工作模式無法防止泄密情況發(fā)生，它不能確定許可通過的網(wǎng)絡(luò)數(shù)據(jù)流是否安全，也不能阻止黑客程序和網(wǎng)絡(luò)病毒的攻擊，所以，防火墻存在先天性設(shè)計(jì)缺陷。但是，物理隔離網(wǎng)閘可以避免這些問題。因?yàn)椴徽撌菑膶?shí)現(xiàn)原理，還是從它的功能上來說，防火墻系統(tǒng)和安全隔離網(wǎng)閘系統(tǒng)是完全不一樣的，防火墻系統(tǒng)是屬于保證在OSI網(wǎng)絡(luò)層安全的邊界安全工具，而安全隔離網(wǎng)閘系統(tǒng)重點(diǎn)在于保護(hù)內(nèi)部網(wǎng)絡(luò)的使用安全。

2 物理隔離（MPIS）網(wǎng)閘系統(tǒng)的設(shè)計(jì)要求

基于國內(nèi)網(wǎng)閘研究、開發(fā)的現(xiàn)狀可以確定，MPIS網(wǎng)閘支持可用于批量生產(chǎn)的商業(yè)用芯片組，比如南橋、北橋、網(wǎng)卡等，具體的使用型號(hào)則是由MPIS網(wǎng)閘項(xiàng)目組根據(jù)實(shí)際情況決定的。系統(tǒng)要安裝在微型機(jī)箱中，使用雙端口的RAM用作內(nèi)、外部網(wǎng)絡(luò)的交換通道，同時(shí)，它還可以提供標(biāo)準(zhǔn)的PS2鍵盤、鼠標(biāo)接口，并使用標(biāo)準(zhǔn)的ATX2.0版本為系統(tǒng)供電。整個(gè)系統(tǒng)要有能夠擴(kuò)展的兼容性，在不更改電路板的原則下更換部分兼容芯片能夠?qū)崿F(xiàn)系統(tǒng)的擴(kuò)展要求。該系統(tǒng)要求采用DDR3 SDRAM支持標(biāo)準(zhǔn)，提供了1個(gè)以上的PCI標(biāo)準(zhǔn)擴(kuò)展槽，擁有2個(gè)以上的SATA接口，擁有足夠大容量的FlashROM的BIOS，能夠滿足必要軟件的升級(jí)要求。另外，內(nèi)網(wǎng)與外網(wǎng)數(shù)據(jù)交換的速度可以實(shí)現(xiàn)千兆速率。

整個(gè)MPIS網(wǎng)閘系統(tǒng)必須由2塊構(gòu)造相同的電路板N，W和2個(gè)端口的靜態(tài)存儲(chǔ)卡組成。電路板N，W由被稱為MPIS主板，分別對(duì)應(yīng)MPIS網(wǎng)閘系統(tǒng)的內(nèi)部處理單元和外部處理單元。連接2個(gè)MPIS主板的雙端口靜態(tài)存儲(chǔ)卡是作為MPIS網(wǎng)閘的隔離硬件存在的。

3 MPIS網(wǎng)閘的BIOS規(guī)劃

BIOS是計(jì)算機(jī)操作系統(tǒng)與硬件平臺(tái)之間聯(lián)系的樞紐，它的主要作用是對(duì)設(shè)備底層硬件進(jìn)行基本的管理，并為操作系統(tǒng)供給可用的服務(wù)和資源等。BIOS的基本功能包括基本輸入輸出部分、開機(jī)加電系統(tǒng)自檢部分、系統(tǒng)啟動(dòng)自動(dòng)運(yùn)行的程序部分和系統(tǒng)設(shè)置中的信息程序等，其核心為支持上層的操作系統(tǒng)。BIOS的工作任務(wù)主要有五方面：①當(dāng)系統(tǒng)啟動(dòng)時(shí)，它處理CPU內(nèi)部寄存器的初始和中斷向量；②板級(jí)相關(guān)的初始化，包括對(duì)北橋、南橋和I/O功能的初始化；③配置系統(tǒng)PCI總線；④完成對(duì)外圍硬件設(shè)備的檢測；⑤載入操作系統(tǒng)內(nèi)核，將系統(tǒng)控制權(quán)交給操作系統(tǒng)。因此，MPIS網(wǎng)閘硬件電路的設(shè)計(jì)指標(biāo)可以采用龍芯CPU開發(fā)時(shí)所應(yīng)用的BIOS解決方案里面的PMON架構(gòu)，依據(jù)MPIS網(wǎng)閘的實(shí)際狀態(tài)進(jìn)行移植和開發(fā)。PMON的核心在于保證程序所需基礎(chǔ)環(huán)境的運(yùn)行，如圖1所示。PMON調(diào)用BIOS的系統(tǒng)啟動(dòng)自運(yùn)行、硬件初始化、運(yùn)行開機(jī)自檢程序、記錄系統(tǒng)設(shè)置值，但是，PMON卻沒能為系統(tǒng)提供基本的輸入、輸出保證，這對(duì)調(diào)試是非常不便的。

BIOS的特點(diǎn)和功能是：擁有類似于LINUX的使用環(huán)境；具有TCP/IP協(xié)議棧，可以將環(huán)境變量保存在EEPROM中，并支持網(wǎng)絡(luò)或串口下載應(yīng)用程序；擁有功能強(qiáng)大的匯編調(diào)試程序；能夠進(jìn)行硬件初始化任務(wù)，包括南橋、北橋、存儲(chǔ)器、處理器、PCI設(shè)備等；擁有豐富的調(diào)試和檢測模塊，可以檢查和設(shè)置內(nèi)存、寄存器、反匯編內(nèi)存中的內(nèi)容，并在內(nèi)存中查找和復(fù)制指定的內(nèi)容；能夠?qū)Τ绦蜻M(jìn)行單步執(zhí)行或特殊斷點(diǎn)設(shè)置。

圖1 PMON運(yùn)行的基礎(chǔ)環(huán)境

因?yàn)椴捎肞MON中的BIOS解決設(shè)計(jì)中存在的問題，所以，就需要在設(shè)計(jì)硬件平臺(tái)時(shí)設(shè)計(jì)支持PMON運(yùn)行的硬件，而在軟件設(shè)計(jì)上則需要針對(duì)硬件初始化進(jìn)行相應(yīng)的修改和完善，例如加入所需的基本輸入、輸出系統(tǒng)和設(shè)備驅(qū)動(dòng)支持的修改。PMON的工作流程則為：①進(jìn)行硬件檢測、寄存器初始化，包括CPU內(nèi)部寄存器的初始化和中斷向量的處理；②對(duì)棧進(jìn)行初始化，對(duì)南北橋芯片組、內(nèi)存的初始化，待初始化完畢后進(jìn)行代碼段復(fù)制——段初始化、加載異常處理程序、緩存初始化、外圍設(shè)備初始化、檢查客戶程序運(yùn)行環(huán)境；③進(jìn)入Shell狀態(tài)。

4 結(jié)束語

本文敘述了MPIS網(wǎng)閘系統(tǒng)需要達(dá)到的基本性能和指標(biāo)要求，并進(jìn)一步闡述了根據(jù)這些性能、指標(biāo)設(shè)計(jì)的MPIS網(wǎng)閘系統(tǒng)結(jié)構(gòu)，規(guī)劃了MPIS網(wǎng)閘硬件平臺(tái)的系統(tǒng)功能，描述了MPIS網(wǎng)閘的BIOS解決方案。研發(fā)基于MPIS架構(gòu)的計(jì)算機(jī)平臺(tái)，不但可以帶動(dòng)相關(guān)操作系統(tǒng)的研發(fā)，還可以帶動(dòng)各種各樣應(yīng)用程序的研發(fā)，這對(duì)于提高國產(chǎn)計(jì)算機(jī)的研究應(yīng)用水平，提高國產(chǎn)產(chǎn)品性能和競爭力具有很重要的現(xiàn)實(shí)意義。

參考文獻(xiàn)

[1]王勇強(qiáng).基于PCI總線的網(wǎng)閘數(shù)據(jù)交換系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].西安：西安電子科技大學(xué)，2012.

[2]顧斌杰，葉賓，潘豐，等.基于MIPS核的物理隔離網(wǎng)閘引導(dǎo)設(shè)計(jì)[J].微計(jì)算機(jī)信息，2009（06）.

[3]王珺，李立新，李福林.物理隔離和網(wǎng)閘的技術(shù)原理淺析[J].微計(jì)算機(jī)信息，2012（24）.

[4]Steinberg，Joseph.Introducing Air Gap Technology[M].USA：Price water house Coopers Cryptographic Centre of Excellence，2002.

作者簡介：趙小剛，陜西興平人，主要從事計(jì)算機(jī)教學(xué)和校園網(wǎng)方面的工作。王創(chuàng)科，陜西楊凌人，主要從事無線電和網(wǎng)絡(luò)安全方面的工作。

〔編輯：白潔〕

BIOS的特點(diǎn)和功能是：擁有類似于LINUX的使用環(huán)境；具有TCP/IP協(xié)議棧，可以將環(huán)境變量保存在EEPROM中，并支持網(wǎng)絡(luò)或串口下載應(yīng)用程序；擁有功能強(qiáng)大的匯編調(diào)試程序；能夠進(jìn)行硬件初始化任務(wù)，包括南橋、北橋、存儲(chǔ)器、處理器、PCI設(shè)備等；擁有豐富的調(diào)試和檢測模塊，可以檢查和設(shè)置內(nèi)存、寄存器、反匯編內(nèi)存中的內(nèi)容，并在內(nèi)存中查找和復(fù)制指定的內(nèi)容；能夠?qū)Τ绦蜻M(jìn)行單步執(zhí)行或特殊斷點(diǎn)設(shè)置。

圖1 PMON運(yùn)行的基礎(chǔ)環(huán)境

因?yàn)椴捎肞MON中的BIOS解決設(shè)計(jì)中存在的問題，所以，就需要在設(shè)計(jì)硬件平臺(tái)時(shí)設(shè)計(jì)支持PMON運(yùn)行的硬件，而在軟件設(shè)計(jì)上則需要針對(duì)硬件初始化進(jìn)行相應(yīng)的修改和完善，例如加入所需的基本輸入、輸出系統(tǒng)和設(shè)備驅(qū)動(dòng)支持的修改。PMON的工作流程則為：①進(jìn)行硬件檢測、寄存器初始化，包括CPU內(nèi)部寄存器的初始化和中斷向量的處理；②對(duì)棧進(jìn)行初始化，對(duì)南北橋芯片組、內(nèi)存的初始化，待初始化完畢后進(jìn)行代碼段復(fù)制——段初始化、加載異常處理程序、緩存初始化、外圍設(shè)備初始化、檢查客戶程序運(yùn)行環(huán)境；③進(jìn)入Shell狀態(tài)。

4 結(jié)束語

本文敘述了MPIS網(wǎng)閘系統(tǒng)需要達(dá)到的基本性能和指標(biāo)要求，并進(jìn)一步闡述了根據(jù)這些性能、指標(biāo)設(shè)計(jì)的MPIS網(wǎng)閘系統(tǒng)結(jié)構(gòu)，規(guī)劃了MPIS網(wǎng)閘硬件平臺(tái)的系統(tǒng)功能，描述了MPIS網(wǎng)閘的BIOS解決方案。研發(fā)基于MPIS架構(gòu)的計(jì)算機(jī)平臺(tái)，不但可以帶動(dòng)相關(guān)操作系統(tǒng)的研發(fā)，還可以帶動(dòng)各種各樣應(yīng)用程序的研發(fā)，這對(duì)于提高國產(chǎn)計(jì)算機(jī)的研究應(yīng)用水平，提高國產(chǎn)產(chǎn)品性能和競爭力具有很重要的現(xiàn)實(shí)意義。

參考文獻(xiàn)

[1]王勇強(qiáng).基于PCI總線的網(wǎng)閘數(shù)據(jù)交換系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].西安：西安電子科技大學(xué)，2012.

[2]顧斌杰，葉賓，潘豐，等.基于MIPS核的物理隔離網(wǎng)閘引導(dǎo)設(shè)計(jì)[J].微計(jì)算機(jī)信息，2009（06）.

[3]王珺，李立新，李福林.物理隔離和網(wǎng)閘的技術(shù)原理淺析[J].微計(jì)算機(jī)信息，2012（24）.

[4]Steinberg，Joseph.Introducing Air Gap Technology[M].USA：Price water house Coopers Cryptographic Centre of Excellence，2002.

作者簡介：趙小剛，陜西興平人，主要從事計(jì)算機(jī)教學(xué)和校園網(wǎng)方面的工作。王創(chuàng)科，陜西楊凌人，主要從事無線電和網(wǎng)絡(luò)安全方面的工作。

〔編輯：白潔〕

BIOS的特點(diǎn)和功能是：擁有類似于LINUX的使用環(huán)境；具有TCP/IP協(xié)議棧，可以將環(huán)境變量保存在EEPROM中，并支持網(wǎng)絡(luò)或串口下載應(yīng)用程序；擁有功能強(qiáng)大的匯編調(diào)試程序；能夠進(jìn)行硬件初始化任務(wù)，包括南橋、北橋、存儲(chǔ)器、處理器、PCI設(shè)備等；擁有豐富的調(diào)試和檢測模塊，可以檢查和設(shè)置內(nèi)存、寄存器、反匯編內(nèi)存中的內(nèi)容，并在內(nèi)存中查找和復(fù)制指定的內(nèi)容；能夠?qū)Τ绦蜻M(jìn)行單步執(zhí)行或特殊斷點(diǎn)設(shè)置。

圖1 PMON運(yùn)行的基礎(chǔ)環(huán)境

因?yàn)椴捎肞MON中的BIOS解決設(shè)計(jì)中存在的問題，所以，就需要在設(shè)計(jì)硬件平臺(tái)時(shí)設(shè)計(jì)支持PMON運(yùn)行的硬件，而在軟件設(shè)計(jì)上則需要針對(duì)硬件初始化進(jìn)行相應(yīng)的修改和完善，例如加入所需的基本輸入、輸出系統(tǒng)和設(shè)備驅(qū)動(dòng)支持的修改。PMON的工作流程則為：①進(jìn)行硬件檢測、寄存器初始化，包括CPU內(nèi)部寄存器的初始化和中斷向量的處理；②對(duì)棧進(jìn)行初始化，對(duì)南北橋芯片組、內(nèi)存的初始化，待初始化完畢后進(jìn)行代碼段復(fù)制——段初始化、加載異常處理程序、緩存初始化、外圍設(shè)備初始化、檢查客戶程序運(yùn)行環(huán)境；③進(jìn)入Shell狀態(tài)。

4 結(jié)束語

本文敘述了MPIS網(wǎng)閘系統(tǒng)需要達(dá)到的基本性能和指標(biāo)要求，并進(jìn)一步闡述了根據(jù)這些性能、指標(biāo)設(shè)計(jì)的MPIS網(wǎng)閘系統(tǒng)結(jié)構(gòu)，規(guī)劃了MPIS網(wǎng)閘硬件平臺(tái)的系統(tǒng)功能，描述了MPIS網(wǎng)閘的BIOS解決方案。研發(fā)基于MPIS架構(gòu)的計(jì)算機(jī)平臺(tái)，不但可以帶動(dòng)相關(guān)操作系統(tǒng)的研發(fā)，還可以帶動(dòng)各種各樣應(yīng)用程序的研發(fā)，這對(duì)于提高國產(chǎn)計(jì)算機(jī)的研究應(yīng)用水平，提高國產(chǎn)產(chǎn)品性能和競爭力具有很重要的現(xiàn)實(shí)意義。

參考文獻(xiàn)

[1]王勇強(qiáng).基于PCI總線的網(wǎng)閘數(shù)據(jù)交換系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].西安：西安電子科技大學(xué)，2012.

[2]顧斌杰，葉賓，潘豐，等.基于MIPS核的物理隔離網(wǎng)閘引導(dǎo)設(shè)計(jì)[J].微計(jì)算機(jī)信息，2009（06）.

[3]王珺，李立新，李福林.物理隔離和網(wǎng)閘的技術(shù)原理淺析[J].微計(jì)算機(jī)信息，2012（24）.

[4]Steinberg，Joseph.Introducing Air Gap Technology[M].USA：Price water house Coopers Cryptographic Centre of Excellence，2002.

作者簡介：趙小剛，陜西興平人，主要從事計(jì)算機(jī)教學(xué)和校園網(wǎng)方面的工作。王創(chuàng)科，陜西楊凌人，主要從事無線電和網(wǎng)絡(luò)安全方面的工作。

〔編輯：白潔〕