Celem planowanych badań było poszukiwanie optymalnej architektury wewnętrznej oraz metod implementacji systemów bezpieczeństwa informatycznego typu Firewall, realizowanych dotychczasowo na drodze programowej, w układach logiki programowalnej FPGA. W efekcie końcowym realizacji prac projektowych powstała kompletna, w pełni funkcjonalna, sprzętowa zapora ogniowa, charakteryzująca się bardzo dużą wydajnością pracy, jak również zapewniająca wysoki poziom bezpieczeństwa procesu weryfikacji danych, adekwatny do wymagań współczesnych sieci teleinformatycznych o dużych przepływnościach.
Ponieważ jednym z głównych priorytetów projektu było uzyskanie maksymalnej wydajności funkcjonowania rozwiązania, zdecydowano się na pełną realizację sprzętową wszystkich niezbędnych bloków sprzętowych architektury Firewalla. Zaprojektowanie od początku wszystkich modułów funkcjonalnych z wykorzystaniem układów FPGA pozwoliło na optymalizację szybkości działania każdego elementu składowego zapory ogniowej, co jest niemożliwe do osiągnięcia przy zastosowaniu komercyjnych, zamkniętych modułów, tzw. IP Cores.
Opracowany sprzętowy Firewall został poddany praktycznym testom porównawczym z komercyjnymi rozwiązaniami zabezpieczającymi. Uzyskał on najlepsze wyniki spośród wszystkich badanych konfiguracji, potwierdzając teoretycznie oszacowane parametry wydajnościowe oraz ogromny potencjał wykorzystania technologii logiki reprogramowalnej FPGA w obszarze bezpieczeństwa systemów teleinformatycznych.
W efekcie przeprowadzonych badań opracowano bardzo wydajny, skalowany oraz w pełni deterministyczny sprzętowy klasyfikator pakietów, oparty na dwóch niezależnych blokach filtrujących adresy i porty sieciowe, umożliwiający przetwarzanie do 160 milionów pakietów na sekundę (maksymalna częstotliwość pracy 160,4 MHz, opóźnienie ścieżki kombinacyjnej 1,67 ns przy wykorzystaniu 2771 bloków slice i 3660 bloków LUT 4-wejściowych dostępnych w układzie Virtex 2vp30ff896-7).
Reconfigured firewall-type data transmission security system for high bitrate Ethernet networks implemented in FPGA logic.
The objective of the planned research was to search for an optimum internal architecture and methods of implementation of firewall-type IT security systems, currently implemented by software methods, in FPGA programmable logic. As a final result of the design works, a complete, fully functional, hardware firewall was created which features very high operational efficiency as well as a high level of security of the data verification process, adequate to the requirements of contemporary IT networks with a high bitrate.
As one of the main objectives of the project was to maximise the operational efficiency of the solution, full hardware implementation of all the necessary hardware blocks of firewall architecture was chosen. From the start, design of all functional modules using FPGA systems allowed for the optimisation of the operational rate of each element of the firewall, which would be impossible to achieve using commercial, closed modules, i.e. IP Cores.
The hardware firewall that was developed underwent practical comparative tests with commercial security solutions. This obtained the best results out of all of the tested configurations, theoretically confirming the estimated performance parameters and the huge potential for the use of reprogrammable FPGA logic technology in IT security systems.
As a result of the design works, the structure of an efficient, scalable and fully deterministic hardware packet classifier based on two independent blocks filtrating network ports and addresses, enabling processing up to 160 million packets per second was created (maximum frequency 160.4 MHz, combinational path delay 1.67 ns, Virtex 2vp30ff896-7 circuit's resources utilization: 2771 Slices and 3660 blocks of 4-input LUTs).
