???????? IP 過濾是把IP 數(shù)據(jù)報文分成不同種類的過程，主要取決于IP 報頭中的信息。基于軟件的字符串匹配已經(jīng)不能跟上高速的網(wǎng)絡(luò)傳輸速度，需要尋找硬件解決方案。這篇論文描述了基于FPGA 的動態(tài)可重配置內(nèi)容可尋址存儲器CAM（Content Addressable Memory）在IP 過濾中的應(yīng)用，同時在硬件中采用了Snort入侵監(jiān)測系統(tǒng)（IDS）的字符串匹配規(guī)則。
關(guān)鍵字： TCAM; FPGA; Snort; 動態(tài)
???????? 網(wǎng)際協(xié)議（Internet Protocol) 是互聯(lián)網(wǎng)進行網(wǎng)際互連的基礎(chǔ)。隨著互聯(lián)網(wǎng)服務(wù)的快
速發(fā)展，對網(wǎng)絡(luò)的安全性提出了更高的要求，如何快速有效的過濾網(wǎng)絡(luò)中的IP數(shù)據(jù)報文是一個始終需要解決的問題。
過濾IP數(shù)據(jù)報文是為了防止未授權(quán)用戶訪問內(nèi)部網(wǎng)資源，同時限制網(wǎng)內(nèi)用戶非法使用外
部服務(wù)。進行過濾之后，局域網(wǎng)內(nèi)用戶只能使用特定的服務(wù)（例如e-mail），網(wǎng)外的用戶也只能訪問經(jīng)過授權(quán)的網(wǎng)內(nèi)資源。由于網(wǎng)絡(luò)帶寬的飛速增長，傳統(tǒng)的基于軟件的查找算法已經(jīng)不能適應(yīng)網(wǎng)絡(luò)速度的飛速發(fā)展，迫切需要采用新的硬件過濾方法，方案之一就是采用內(nèi)容可尋址存儲器TCAM（Ternary Content Addressable Memory）。
???????? TCAM利用三個數(shù)值存儲數(shù)據(jù)‘0’ 、‘1’ 、‘X’（不關(guān)心），每一個表項都包含數(shù)值比特串和掩碼比特串。TCAM能夠在一個硬件時鐘周期內(nèi)完成關(guān)鍵字的精確匹配查找，只需要輸入關(guān)鍵字的內(nèi)容，TCAM就會將此關(guān)鍵字與CAM中所有的表項同時進行匹配比較，最后返回匹配表項在TCAM中所對應(yīng)的地址，如果存在多個匹配表項則返回地址最低的表項。目前主流的IDS（Intrusion Detection Systems），例如Snort，可以編寫相應(yīng)規(guī)則來完成實時協(xié)議分析、內(nèi)容查找／匹配、對網(wǎng)絡(luò)上的IP包登錄進行測試等功能。我們可以把類似于Snort的規(guī)則應(yīng)用到TCAM中，通過制定符合特定規(guī)則的表項，來實現(xiàn)IP數(shù)據(jù)報的匹配。當(dāng)數(shù)據(jù)報在TCAM中能夠找到相應(yīng)的匹配項時，我們即認(rèn)為它是合法的，否則予以攔截并送入后臺作為異常報文處理。
????????為了實現(xiàn)快速查找，設(shè)計者必須在PCB板上添加一個獨立的TCAM器件，這會增加片間延時，同時減少PCB板上的可用空間，從而降低電路板的系統(tǒng)性能。因此我們采用FPGA來實現(xiàn)TCAM，F(xiàn)PGA芯片采用ALTERA公司的APEX20K1500E。