摘要： 　　本文主要介紹了一種新的防火墻的設計與實現，其新穎的設計思想和可靠的功能具有推廣的價值。 關鍵詞： 　幀 防火墻 一、 前言 　　隨著鋼鐵行業競爭的加劇，借助計算機和信息處理技術，提高企業管理水平和競爭力，實現企業生產、經營和管理的科學化、規范化與數字化已經成為鋼鐵企業的必由之路。目前，煉鋼廠已成功組建了廠局域網，并以此為平臺，自主開發了網絡協同辦公系統、數據采集系統等各種管理軟件，信息化建設初見成效。然而，網絡中的黑客攻擊與病毒入侵日益猖獗，而生產車間的監測與監控系統一旦通過網絡遭到黑客攻擊或受到病毒感染，其后果與損失將是不堪設想的。因此，如何使生產現場的各種監測與監控系統所得到的數據實時傳送到廠局域網上，同時又能保證生產現場的各種監測與監控系統免受黑客攻擊或病毒感染，成為煉鋼廠信息化建設發展必須要解決的關鍵問題。為了解決這個問題，煉鋼廠技術人員與山東科技大學的教授聯合攻關，終于研制成功NDFS-1型網絡數據安全防護系統。 二、 系統設計實現 1、 設計思路 　　本系統工作在無IP方式下，對經過的數據幀進行單向過濾，僅允許內網（上位機）發向外網的數據幀（信息幀）、外網（數據庫服務器）發向內網的應答幀通過，它工作起來就像一個單向透明的網橋，在保證內網完全免遭黑客攻擊與病毒入侵的情況下實現了必要信息的傳輸，它對數據幀的過濾完全在操作系統的內核中實現，直接操作網絡設備，使系統的處理速度與高速的網絡設備相匹配，不影響網絡的性能。 2、 系統結構 （1）系統聯網的邏輯結構 （2）系統硬件設計 　　本系統為專用硬件防火墻，對于傳送的數據包進行分析，只允許數據單向通過，所以要對數據包進行詳細的分析，然后根據分析的結果進行數據傳送，因此其分析速度必須足夠快。本系統采用高速的DSP處理器，其邏輯框圖如下： 　　DSP作為主要的CPU，主要負責數據包的接收、發送和分析，由于DSP的速度非常快，所以在連接其他外圍芯片時，必須采用橋接芯片。橋接芯片采用目前比較流行的CPLD、EEPROM、SRAM，系統帶有八個下行接口和一個上行接口，在軟件分配上，選擇其中的一個接口作為上行接口用來連接局域網，其余的網絡接口用來連接上位機。 （3） 算法設計 　　數據包由工作現場向數據服務器傳輸時的工作流程如下圖所示： （4） 軟件實現 　　在對數據報的分析過程中，首先對以太網首部中的幀類型字段進行分析，當為0X0608時,當前數據包為ARP數據包，不需其他的判斷，就可以直接讓當前的數據通過；當為0x0008時，當前數據包為IP數據報，此時需要進行更多的判斷。對于IP數據報，只有UDP的DNS響應報文和TCP協議中的某些類型的數據報才可以通過物理防火墻到達工作現場。 　　同時為了防止惡意的數據報利用已經建立的連結攻擊位于工作現場的計算機，每一個連接都指定了一個生存時間，當一個連結的存活時間達到生存時間并且在一定的時間內這個連結沒有被激活時，防火墻即將自動釋放這個連結，以保證網絡傳輸的安全性。 三、 系統主要特點 1、安全性高 　　系統是專為煉鋼廠量身訂做的防火墻產品，針對性強，由于工作無IP方式下，對經過的數據幀進行單向過濾，在保證內網完全免遭黑客攻擊與病毒入侵的情況下實現了必要信息的傳輸，與一般傳統意義上的防火墻產品、網絡/服務器隔離產品相比有更高的安全性。 2、使用簡單 　　其使用十分簡單，完全符合國際標準，就像普通的防火墻一樣使用，無需另外附加特殊元器件和接線。 3、使用壽命長 　　本系統使用壽命長，可以工作在惡劣的環境。 4、高速的處理速度 　　 　　本系統由于采用高速的DSP處理器，對數據幀的過濾完全在操作系統的內核中實現，直接操作網絡設備，使系統的處理速度能與高速的網絡設備相匹配，不影響網絡的性能。 四、 結論 　　煉鋼廠網絡數據安全防護系統采用無IP 工作模式，利用先進的硬件和軟件設計思想，針對煉鋼廠內部網絡的實際需求，設計而成的一套穩定、安全、高效的網絡數據安全防護產品。其先進的技術和嚴謹的設計結構，充分擔當起了企業局域網的安全防護工作，解決了企業內網和外網的數據傳輸的關鍵問題，為煉鋼廠數據的安全采集和信息化建設，為煉鋼廠領導及時了解生產情況和進行決策，打下了堅實的基礎。該系統投入使用半年多的時間，真正起到了防護黑客攻擊和病毒入侵的作用，使煉鋼廠的信息化建設有了全面高速的發展。