.z---..--總結(jié)資料目錄第一章緒論1引言1課題設(shè)計(jì)介紹1第二章防火墻介紹22.1什么是防火墻及防火墻的作用22.2防火墻的架構(gòu)22.3防火墻的技術(shù)實(shí)現(xiàn)22.4防火墻的特點(diǎn)3第三章硬件防火墻43.1硬件防火墻的根本功能43.2防火墻實(shí)現(xiàn)根底原理53.2.1包過濾防火墻63.2.2應(yīng)用網(wǎng)關(guān)防火墻63.2.3狀態(tài)檢測防火墻73.2.4復(fù)合型防火墻8第四章網(wǎng)絡(luò)防火墻的硬件實(shí)現(xiàn)94.1

網(wǎng)絡(luò)防火墻的硬件構(gòu)造94.1.2USB2.0接口芯片CY7C68013104.2TCP/IP協(xié)議棧在UCOSII下的實(shí)現(xiàn)10第五章利用PLD做一個(gè)硬件防火墻125.1MA*+PLUSⅡ軟件安裝和使用12概述125.2MA*+PLUSⅡ設(shè)計(jì)硬件防火墻程序?qū)嵗?45.2.1設(shè)計(jì)程序局部14波形仿真局部19完畢語20致謝21參考文獻(xiàn)22第一章緒論引言隨著現(xiàn)代科學(xué)技術(shù)的迅猛開展，能源問題、環(huán)境問題的日益成為人民所關(guān)注的問題。在電子科學(xué)領(lǐng)域也在以前所未有的革新速度，向著功能多樣化，體積最小化、功耗最低化的方向迅速開展?，F(xiàn)代電子產(chǎn)品在設(shè)計(jì)上有了新的突破：大量使用大規(guī)模的可編程邏輯器件，以提高產(chǎn)品的性能，縮小產(chǎn)品的體積，降低產(chǎn)品的消耗；廣泛使用現(xiàn)代計(jì)算機(jī)技術(shù)，以提高電子設(shè)計(jì)的自動(dòng)化程度，縮短開發(fā)周期，提高產(chǎn)品的競爭力。CPLD就是這樣一個(gè)例子，PLD技術(shù)的開展，將大量復(fù)雜電路縮小到一塊小芯片上實(shí)現(xiàn)原來電路的功能。課題設(shè)計(jì)介紹本設(shè)計(jì)就以硬件防火墻的實(shí)現(xiàn)為主要內(nèi)容，簡單介紹各類防火墻的實(shí)現(xiàn)，應(yīng)用、及功能。然后就PLD為設(shè)計(jì)實(shí)例來具體說明硬件防火墻的原理實(shí)現(xiàn)。就硬件防火墻而言，一般具備一下的根本功能要求：(1)當(dāng)設(shè)置的特真碼與輸入的代碼一樣時(shí)輸出就按照防火墻的功能對(duì)其處理。(2)當(dāng)設(shè)置的特真碼與輸入的代碼不同時(shí)輸出原代碼。2、對(duì)PLD設(shè)計(jì)硬件防火墻的要求：(1)能在MA*+PLUSII平臺(tái)上設(shè)計(jì)硬件代碼，并編譯通過。(2)用仿真能實(shí)現(xiàn)防火墻的根本功能。第二章防火墻介紹2.1什么是防火墻及防火墻的作用防火墻是指設(shè)置在不同網(wǎng)絡(luò)〔如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)〕或網(wǎng)絡(luò)平安域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的唯一出入口，能根據(jù)企業(yè)的平安政策控制〔允許、拒絕、監(jiān)測〕出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息平安效勞，實(shí)現(xiàn)網(wǎng)絡(luò)和信息平安的根底設(shè)施。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和開放性的增強(qiáng)，網(wǎng)絡(luò)上的很多敏感信息和**數(shù)據(jù)將受到很多主動(dòng)和被動(dòng)的人為攻擊。一種解決方法是為需要保護(hù)的網(wǎng)絡(luò)上的每個(gè)工作站和效勞器裝備上強(qiáng)大的平安特征(例如入侵檢測)，但這幾乎是一種不切合實(shí)際的方法，因?yàn)閷?duì)具有幾百個(gè)甚至上千個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)，它們可能運(yùn)行著不同的操作系統(tǒng)，當(dāng)發(fā)現(xiàn)了平安缺陷時(shí)，每個(gè)可能被影響的節(jié)點(diǎn)都必須加以改良以修復(fù)這個(gè)缺陷。另一種選擇就是防火墻(Firewall)，防火墻是用來在平安私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間平安連接的一個(gè)設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點(diǎn)存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障，它可以實(shí)施比擬廣泛的平安策略來控制信息流，防止不可預(yù)料的潛在的入侵破壞.DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。2.2防火墻的架構(gòu)防火墻產(chǎn)品的三代體系架構(gòu)主要為：第一代架構(gòu)：主要是以單一cpu作為整個(gè)系統(tǒng)業(yè)務(wù)和管理的核心，cpu有*86、powerpc、mips等多類型，產(chǎn)品主要表現(xiàn)形式是pc機(jī)、工控機(jī)、pc-bo*或risc-bo*等；

第二代架構(gòu)：以np或asic作為業(yè)務(wù)處理的主要核心，對(duì)一般平安業(yè)務(wù)進(jìn)展加速，嵌入式cpu為管理核心，產(chǎn)品主要表現(xiàn)形式為bo*等；

第三代架構(gòu)：iss〔integratedsecuritysystem〕集成平安體系架構(gòu)，以高速平安處理芯片作為業(yè)務(wù)處理的主要核心，采用高性能cpu發(fā)揮多種平安業(yè)務(wù)的高層應(yīng)用，產(chǎn)品主要表現(xiàn)形式為基于電信級(jí)的高可靠、背板交換式的機(jī)架式設(shè)備，容量大性能高，各單元及系統(tǒng)更為靈活。2.3防火墻的技術(shù)實(shí)現(xiàn)從Windows軟件防火墻的誕生開場，這種平安防護(hù)產(chǎn)品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭，不斷的進(jìn)化與升級(jí)。從最早期的只能分析來源地址，端口號(hào)以及未經(jīng)處理的報(bào)文原文的封包過濾防火墻，后來出現(xiàn)了能對(duì)不同的應(yīng)用程序設(shè)置不同的網(wǎng)絡(luò)權(quán)限的技術(shù)；近年來由ZoneAlarm等國外知名品牌牽頭，還開場流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻；最后，由于近來垃圾插件和流氓軟件的盛行，很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上，Windows軟件防火墻從開場的時(shí)候單純的一個(gè)截包丟包，堵截IP和端口的工具，開展到了今天功能強(qiáng)大的整體性的平安套件。2.4防火墻的特點(diǎn)一般防火墻具備以下特點(diǎn)：1、控制對(duì)特殊站點(diǎn)的，廣泛的效勞支持：通過將動(dòng)態(tài)的、應(yīng)用層的過濾能力和認(rèn)證相結(jié)合，可實(shí)現(xiàn)瀏覽器、HTTP效勞器、FTP等。2、提供監(jiān)視Internet平安和預(yù)警的方便端點(diǎn)，對(duì)私有數(shù)據(jù)的加密支持，保證通過Internet進(jìn)展的虛擬私人網(wǎng)絡(luò)和商務(wù)活動(dòng)不受損壞。3、客戶端認(rèn)證只允許指定的用戶內(nèi)部網(wǎng)絡(luò)或選擇效勞，過濾掉不平安效勞和非法用戶。4、反欺騙：欺騙是從外部獲取網(wǎng)絡(luò)權(quán)的常用手段，它令數(shù)據(jù)包像是來自網(wǎng)絡(luò)內(nèi)部。防火墻能監(jiān)視這樣的數(shù)據(jù)包并扔掉它們。5、C/S模式和跨平臺(tái)支持：能使運(yùn)行在一平臺(tái)的管理模塊控制另一平臺(tái)的監(jiān)視模塊。6、保護(hù)：保護(hù)網(wǎng)絡(luò)免受對(duì)電子效勞的攻擊。第三章硬件防火墻硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負(fù)擔(dān)，使路由更穩(wěn)定。網(wǎng)絡(luò)級(jí)防火墻一般根據(jù)源、目的地址做出決策，輸入單個(gè)的IP包。一臺(tái)簡單的路由器是“傳統(tǒng)的〞網(wǎng)絡(luò)級(jí)防火墻，因?yàn)樗荒茏龀鰪?fù)雜的決策，不能判斷出一個(gè)包的實(shí)際含意或包的實(shí)際出處。現(xiàn)代網(wǎng)絡(luò)級(jí)防火墻已變得越來越復(fù)雜，可以保持流經(jīng)它的接入狀態(tài)、一些數(shù)據(jù)流的內(nèi)容等等有關(guān)信息。許多網(wǎng)絡(luò)級(jí)防火墻之間的一個(gè)重要差異是防火墻可以使傳輸流直接通過，因此要使用這樣的防火墻通常需要分配有效的IP地址塊。網(wǎng)絡(luò)級(jí)防火墻一般速度都很快，對(duì)用戶很透明。3.1硬件防火墻的根本功能防火墻的根本功能防火墻系統(tǒng)可以說是網(wǎng)絡(luò)的第一道防線，因此一個(gè)企業(yè)在決定使用防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的平安時(shí)，它首先需要了解一個(gè)防火墻系統(tǒng)應(yīng)具備的根本功能，這是用戶選擇防火墻產(chǎn)品的依據(jù)和前提。一個(gè)成功的防火墻產(chǎn)品應(yīng)該具有下述根本功能：防火墻的設(shè)計(jì)謀略應(yīng)遵循平安防*的根本原則——“除非明確允許，否則就制止〞；防火墻本身支持平安策略，而不是添加上去的；如果組織機(jī)構(gòu)的平安策略發(fā)生改變，可以參加新的效勞；有先進(jìn)的認(rèn)證手段或有掛鉤程序，可以安裝先進(jìn)的認(rèn)證方法；如果需要，可以運(yùn)用過濾技術(shù)允許和制止效勞；可以使用FTP和Telnet等效勞代理，以便先進(jìn)的認(rèn)證手段可以被安裝和運(yùn)行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)展包過濾，數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等。如果用戶需要NNTP〔網(wǎng)絡(luò)消息傳輸協(xié)議〕、*Window、HTTP和Gopher等效勞，防火墻應(yīng)該包含相應(yīng)的代理效勞程序。防火墻也應(yīng)具有集中的功能，以減少SMTP效勞器和外界效勞器的直接連接，并可以集中處理整個(gè)站點(diǎn)的電子。防火墻應(yīng)允許公眾對(duì)站點(diǎn)的，應(yīng)把信息效勞器和其他內(nèi)部效勞器分開。防火墻應(yīng)該能夠集中和過濾撥入，并可以記錄網(wǎng)絡(luò)流量和可疑的活動(dòng)。此外，為了使日志具有可讀性，防火墻應(yīng)具有精簡日志的能力。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內(nèi)部使用的操作系統(tǒng)一樣，但在防火墻上運(yùn)行一個(gè)管理員熟悉的操作系統(tǒng)會(huì)使管理變得簡單。防火墻的強(qiáng)度和正確性應(yīng)該可被驗(yàn)證，設(shè)計(jì)盡量簡單，以便管理員理解和維護(hù)。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補(bǔ)丁程序進(jìn)展升級(jí)且升級(jí)必須定期進(jìn)展。正像前面提到的那樣，Internet每時(shí)每刻都在發(fā)生著變化，新的易攻擊點(diǎn)隨時(shí)可能會(huì)產(chǎn)生。當(dāng)新的危險(xiǎn)出現(xiàn)時(shí)，新的效勞和升級(jí)工作可能會(huì)對(duì)防火墻的安裝產(chǎn)生潛在的阻力，因此防火墻的可適應(yīng)性是很重要的。3.2防火墻實(shí)現(xiàn)根底原理防火墻通常使用的平安控制手段主要有包過濾、狀態(tài)檢測、代理效勞。下面，我們將介紹這些手段的工作機(jī)理及特點(diǎn)。包過濾技術(shù)是一種簡單、有效的平安控制技術(shù)，它通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、制止來自*些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則，對(duì)通過設(shè)備的數(shù)據(jù)包進(jìn)展檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過濾的最大優(yōu)點(diǎn)是對(duì)用戶透明，傳輸性能高。但由于平安控制層次在網(wǎng)絡(luò)層、傳輸層，平安控制的力度也只限于源地址、目的地址和端口號(hào)，因而只能進(jìn)展較為初步的平安控制，對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。狀態(tài)檢測是比包過濾更為有效的平安控制方法。對(duì)新建的應(yīng)用連接，狀態(tài)檢測檢查預(yù)先設(shè)置的平安規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。這種方式的好處在于：由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)展規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包〔通常是大量的數(shù)據(jù)包〕通過散列算法，直接進(jìn)展?fàn)顟B(tài)檢查，從而使得性能得到了較大提高；而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開通1024號(hào)以上的端口，使得平安性得到進(jìn)一步地提高。代理效勞型防火墻，代表*個(gè)專用網(wǎng)絡(luò)同互聯(lián)網(wǎng)進(jìn)展通訊的防火墻，類似在股東會(huì)上*人以你的名義代理你來投票。當(dāng)你將瀏覽器配置成使用代理功能時(shí)，防火墻就將你的瀏覽器的請(qǐng)求轉(zhuǎn)給互聯(lián)網(wǎng)；當(dāng)互聯(lián)網(wǎng)返回響應(yīng)時(shí)，代理效勞器再把它轉(zhuǎn)給你的瀏覽器。代理效勞器也用于頁面的緩存，代理效勞器在從互聯(lián)網(wǎng)上下載特定頁面前先從緩存器取出這些頁面。內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間不存在直接連接。代理效勞器提供了詳細(xì)的日志和審計(jì)功能，大大提高了網(wǎng)絡(luò)的平安性，也為改良現(xiàn)有軟件的平安性能提供了可能。但會(huì)降低網(wǎng)絡(luò)性能，所以在一般情況下都不使用。包過濾防火墻包過濾防火墻一般在路由器上實(shí)現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴(kuò)展能力強(qiáng)。但是，包過濾防火墻的平安性有一定的缺陷，因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無感知，也就是說，防火墻不理解通信的內(nèi)容，所以可能被黑客所攻破。圖4.1包過濾防火墻工作原理圖應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的平安性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)／效勞器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)／效勞器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到效勞器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的效勞程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的效勞程序，否則不能使用該效勞。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)?！矆D4.2〕圖4.2應(yīng)用網(wǎng)關(guān)防火墻工作原理圖狀態(tài)檢測防火墻狀態(tài)檢測防火墻根本保持了簡單包過濾防火墻的優(yōu)點(diǎn)，性能比擬好，同時(shí)對(duì)應(yīng)用是透明的，在此根底上，對(duì)于平安性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心局部建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來處理?？梢赃@樣說，狀態(tài)檢測包過濾防火墻規(guī)*了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理型防火墻則是規(guī)*了特定的應(yīng)用協(xié)議上的行為?！矆D4.3〕圖4.3狀態(tài)檢測防火墻工作原理圖復(fù)合型防火墻符合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進(jìn)一步基于ASIC架構(gòu)，把防病毒、內(nèi)容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊，在網(wǎng)絡(luò)界面對(duì)應(yīng)用層掃描，把防病毒、內(nèi)容過濾與防火墻結(jié)合起來，這表達(dá)了網(wǎng)絡(luò)與信息平安的新思路。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過濾等應(yīng)用層效勞措施?！矆D4.4〕圖4.4復(fù)合型防火墻工作原理第四章網(wǎng)絡(luò)防火墻的硬件實(shí)現(xiàn)概述

網(wǎng)絡(luò)防火墻是一種控制用戶計(jì)算機(jī)網(wǎng)絡(luò)的軟件或硬件。通過對(duì)它的各種規(guī)則設(shè)置，使得合法的鏈路得以建立；而非法的連接將被制止，同時(shí)通過各種手段屏蔽掉用戶的隱私信息，以保障用戶的對(duì)網(wǎng)絡(luò)的平安。目前一般個(gè)人電腦是用的軟件防火墻，隨著微電子的快速開展，我們可以完全利用嵌入式系統(tǒng)來實(shí)現(xiàn)硬件防火墻，從而提高系統(tǒng)的網(wǎng)絡(luò)性能。

4.1網(wǎng)絡(luò)防火墻的硬件構(gòu)造在本系統(tǒng)中，主芯片采用EPF10K100QC208-3。網(wǎng)絡(luò)芯片采用的Realtek公司的RTL8019AS，它是一款10M的網(wǎng)絡(luò)芯片。PC機(jī)的通信芯片采用Cypress的USB2.0的接口芯片CY7C68013，它可以完成PC機(jī)和硬件防火墻的高速通信。在本系統(tǒng)中還提供2M字節(jié)的FLASH和512K字節(jié)的RAM，它們分別由芯片SST39VF160和IS61LV25616AL來實(shí)現(xiàn)。如圖1：圖5.1網(wǎng)絡(luò)防火墻系統(tǒng)的硬件構(gòu)造

網(wǎng)絡(luò)通信芯片RTL8019

RTL8019AS網(wǎng)絡(luò)芯片是REALTEK公司生產(chǎn)的，基于ISA接口的10M以太網(wǎng)通信芯片。它采用全雙工方式來進(jìn)展接收以太網(wǎng)數(shù)據(jù)，非常容易和微處理器接口。該芯片集成了以太網(wǎng)的物理層以及以太網(wǎng)的收發(fā)器，數(shù)據(jù)封包形式完全符合IEEE802.3標(biāo)準(zhǔn)。

USB2.0接口芯片CY7C68013CY7C68013是Cypress公司生產(chǎn)的一款USB2.0的接口芯片。它內(nèi)部集成了8051的核，可以單獨(dú)對(duì)該芯片編程。由該芯片完成USB2.0接口，跟PC機(jī)的通信速率可以高達(dá)10Mbyte/s。我們利用該款芯片來實(shí)現(xiàn)一個(gè)數(shù)據(jù)FIFO，即對(duì)微處理器來講，它只要將數(shù)據(jù)寫入該FIFO，然后該芯片就會(huì)將數(shù)據(jù)按照USB2.0的協(xié)議發(fā)送4.2TCP/IP協(xié)議棧在UCOSII下的實(shí)現(xiàn)TCP/IP協(xié)議分為四層，分別為應(yīng)用層、傳輸層、網(wǎng)絡(luò)層，物理層。本系統(tǒng)中物理層主要包括8019的驅(qū)動(dòng)程序，網(wǎng)絡(luò)層包括IP協(xié)議和ARP協(xié)議，傳輸層主要包括TCP協(xié)議和UDP協(xié)議，應(yīng)用層主要包括FTP、HTTP、SNMP和一些用戶應(yīng)用程序。由于該協(xié)議實(shí)現(xiàn)很復(fù)雜，這也是本系統(tǒng)實(shí)現(xiàn)的難點(diǎn)，下面給出該協(xié)議棧實(shí)現(xiàn)的函數(shù)框圖：

用戶過濾層。該層主要實(shí)現(xiàn)對(duì)一些非法端口裁定行屏蔽TCPICMP用戶過濾層。該層主要實(shí)現(xiàn)對(duì)一些非法端口裁定行屏蔽TCPICMPIGMPUDP用戶過濾層，該層主要實(shí)現(xiàn)對(duì)IP地址和控制命令屏蔽IPARP物理層第五章利用PLD做一個(gè)硬件防火墻5.1MA*+PLUSⅡ軟件安裝和使用概述MA*+PLUSⅡ開發(fā)系統(tǒng)是易學(xué)易用的完全集成化的EDA設(shè)計(jì)開發(fā)環(huán)境。該軟件與LATTICE公司的iSPE*PERT及*ILIN*的ISE等軟件一樣都是CPLD/FPGA的根本開發(fā)環(huán)境，是CPLD/FPGA開發(fā)所必須的，它包含了開發(fā)CPLD/FPGA器件的全過程。下面將以MA*+PLUSⅡ的根本使用為根底介紹CPLD/FPGA器件的開發(fā)方法,CPLD/FPGA器件及其開發(fā)系統(tǒng)是極其復(fù)雜的，因此在學(xué)習(xí)使用時(shí)應(yīng)注意如下特點(diǎn)： 1、MA*+PLUSⅡ的使用與學(xué)習(xí)一定要與CPLD/FPGA硬件的學(xué)習(xí)相結(jié)合。2、注意學(xué)習(xí)軟件與動(dòng)手練習(xí)相配合，只有多動(dòng)手設(shè)計(jì)與調(diào)試才能真正掌握設(shè)計(jì)思想與設(shè)計(jì)方法。3、多參考相關(guān)的書籍或MA*+PLUSⅡ的幫助系統(tǒng)。4、在學(xué)習(xí)過程中要與數(shù)字電路、計(jì)算機(jī)語言等課程進(jìn)展比擬，找出一樣點(diǎn)與不同點(diǎn)，進(jìn)展比擬、類比地學(xué)習(xí)。5、概念的區(qū)分與使用：(1)器件與符號(hào)：如在數(shù)字電路中7400為一個(gè)器件，在MA*+PLUSⅡ中器件一般被CPLD/FPGA器件專用，而MA*+PLUSⅡ中調(diào)用的中小規(guī)模的器件都稱為符號(hào)。本文中有時(shí)出于習(xí)慣，也會(huì)在該使用“符號(hào)〞的地方而使用“器件〞名稱，因此在碰到像“器件〞、“符號(hào)〞這樣的詞，一定要注意上下文的聯(lián)系。〔2〕模塊與符號(hào)：傳統(tǒng)習(xí)慣，一般是將一個(gè)電路抽象后形成模塊，利用模塊進(jìn)展更高層次的設(shè)計(jì)。而在MA*+PLUSⅡ中電路抽象后形成的模塊依然稱為“符號(hào)〞。因此在見到“模塊〞與“符號(hào)〞這樣的詞語時(shí)，也要注意上下文的聯(lián)系。6)、通過本文學(xué)習(xí)，逐步掌握層次電路的設(shè)計(jì)，設(shè)計(jì)過程的功能仿真和時(shí)序仿真，同時(shí)學(xué)會(huì)底層編輯，利用硬件實(shí)驗(yàn)系統(tǒng)進(jìn)展硬件的驗(yàn)證。MA*+PLUSⅡ與其它軟件相比具有使用簡單，操作靈活，支持的器件多，設(shè)計(jì)輸入方法靈活多變等特點(diǎn)，掌握了MA*+PLUSⅡ后，對(duì)學(xué)習(xí)其它的EDA軟件會(huì)有很大的幫助。1.1常用的設(shè)計(jì)輸入方法如下：1．圖形設(shè)計(jì)輸入：MA*+PLUSⅡ的圖形設(shè)計(jì)輸入是較其他軟件更容易使用的，因?yàn)镸A*+PLUSⅡ提供了豐富的庫單元供設(shè)計(jì)者調(diào)用，尤其是在MA*+PLUSⅡ里提供的mf庫幾乎包含了所有的74系列的器件，在prim庫里提供了數(shù)字電路中所有的別離器件。因此只要具有數(shù)字電路的知識(shí)，幾乎不需要過多的學(xué)習(xí)就可以利用MA*+PLUSⅡ進(jìn)展CPLD/FPGA的設(shè)計(jì)。MA*+PLUSⅡ還包括多種特殊的邏輯宏功能〔Macro—Function〕以及新型的參數(shù)化的兆功能〔Mega—Function〕模塊。充分利用這些模塊進(jìn)展設(shè)計(jì)，可以大大減輕設(shè)計(jì)人員的工作量和成倍地縮短設(shè)計(jì)周期。2．文本編輯輸入：MA*+PLUSⅡ的文本輸入和編譯系統(tǒng)支持AHDL語言、VHDL語言、VERILOG語言三種輸入方式。3．波形輸入方式：如果知道輸入、輸出波形，也可以采用波形輸入方式。4．混合輸入方式：MA*+PLUSⅡ設(shè)計(jì)開發(fā)環(huán)境，可以進(jìn)展圖形設(shè)計(jì)輸入、文本編輯輸入、波形編輯輸入混合編輯。具體操作方法是：在圖形編輯、波形編輯時(shí)形成模塊，在文本編輯時(shí)通過include“模塊名.inc〞或者采用Function〔…..〕Return(….)的方式進(jìn)展調(diào)用。同樣，文本編輯輸入形成的模塊，也可以在圖形編輯時(shí)調(diào)用，AHDL語言編譯的結(jié)果可以在VHDL語言下使用，VHDL語言編譯的結(jié)果也可以在AHDL語言或圖形輸入時(shí)使用。這樣靈活多變的輸入方式，給設(shè)計(jì)使用者帶來了極大的方便。1.2設(shè)計(jì)與器件的構(gòu)造無關(guān)MA*+PLUSⅡ系統(tǒng)支持Altera公司的ACE*1K、FLE*10KE、FLE*10KB、FLE*10KA、FLE*10K、MA*9000、FLE*8000、MA*7000、FLE*6000、MA*5000、MA*3000及Classic等各種類型的可編程器件。而在設(shè)計(jì)輸入、編譯邏輯功能和功能仿真時(shí)并不關(guān)心器件的構(gòu)造。只有在形成具體應(yīng)用電路時(shí)，才會(huì)指定器件進(jìn)展底層編輯。1.3底層編輯方便形象MA*+PLUSⅡ的底層編輯〔FloorplanEditor〕與實(shí)際CPLD器件的管腳一一對(duì)應(yīng)，因此只需用鼠標(biāo)簡單的拖放即可完成I/O口等管腳的編輯任務(wù)。1.4MA*+PLUSⅡ系統(tǒng)完全集成化在MA*+PLUSⅡ系統(tǒng)環(huán)境下，可以完成所有的編輯、編譯、網(wǎng)表提取、邏輯綜合、適配、器件裝配以及功能時(shí)序仿真。這樣可以加快調(diào)試、縮短開發(fā)周期。1.5IP核豐富MA*+PLUSⅡ?qū)ο到y(tǒng)自帶的內(nèi)核具有開放的特性，即這些內(nèi)核既可以使用又可以瀏覽。同時(shí)，MA*+PLUSⅡ又允許設(shè)計(jì)人員將自己編輯的IPCORE添加到MA*+PLUSⅡ中。目前在ALTERA上發(fā)布了許多IP核，還有第三方的IP核都可以在MA*+PLUSⅡ系統(tǒng)中進(jìn)展綜合與驗(yàn)證，當(dāng)然有的IP核需要適宜的License文件。5.2MA*+PLUSⅡ設(shè)計(jì)硬件防火墻程序?qū)嵗O(shè)計(jì)程序局部根據(jù)防火墻原理我們可以想像，防火墻實(shí)際上就是一個(gè)病毒庫。當(dāng)網(wǎng)絡(luò)傳送過來的數(shù)據(jù)與防火墻中病毒數(shù)據(jù)一樣的時(shí)候就會(huì)被防火墻屏蔽掉，從而保障了計(jì)算機(jī)的平安。主程序：libraryieee;useieee.std_logic_1164.all;useieee.std_logic_unsigned.all;useieee.std_logic_arith.all;調(diào)用程序包；entityktsjisport(*,clk:instd_logic;y:outstd_logic);端口設(shè)置及端口數(shù)據(jù)類型設(shè)置；end;ARCHITECTUREarchOFktsjis實(shí)體；signalww1,ww2,ww3,ww4:std_logic;定義信號(hào)；beginprocess(*,clk)beginwaituntilclk='1';時(shí)鐘控制優(yōu)先ifww1='1'andww2='1'andww3='1'and*='1'then--定義:當(dāng)時(shí)鐘信號(hào)為'1111'ww1<='0';elseww1<=*;endif;endprocess;process(*,clk)第一個(gè)進(jìn)程進(jìn)程敏感信號(hào)執(zhí)行beginwaituntilclk='1';ifww1='1'andww2='1'andww3='1'and*='1'thenww2<='0';elseww2<=ww1;endif;endprocess;process(*,clk)第一個(gè)進(jìn)程進(jìn)程敏感信號(hào)beginwaituntilclk='1';ifww1='1'andww2='1'andww3='1'and*='1'thenww3<='0';elseww3<=ww2;endif;endprocess;process(*,clk)第一個(gè)進(jìn)程進(jìn)程敏感信號(hào)beginwaituntilclk='1';ifww1='1'andww2='1'andww3='1'and*='1'thenww4<='0';elseww4<=ww3;endif;endprocess;y<=ww4;end;--完畢波形仿真局部波形輸出如圖：完畢語在這次課題設(shè)計(jì)中，完成了基于PLD的硬件防火墻的設(shè)計(jì)。在這個(gè)過程中對(duì)于防火墻、PLD的應(yīng)用及設(shè)計(jì)