???????? IP 過濾是把IP 數據報文分成不同種類的過程，主要取決于IP 報頭中的信息。基于軟件的字符串匹配已經不能跟上高速的網絡傳輸速度，需要尋找硬件解決方案。這篇論文描述了基于FPGA 的動態可重配置內容可尋址存儲器CAM（Content Addressable Memory）在IP 過濾中的應用，同時在硬件中采用了Snort入侵監測系統（IDS）的字符串匹配規則。
關鍵字： TCAM; FPGA; Snort; 動態
???????? 網際協議（Internet Protocol) 是互聯網進行網際互連的基礎。隨著互聯網服務的快
速發展，對網絡的安全性提出了更高的要求，如何快速有效的過濾網絡中的IP數據報文是一個始終需要解決的問題。
過濾IP數據報文是為了防止未授權用戶訪問內部網資源，同時限制網內用戶非法使用外
部服務。進行過濾之后，局域網內用戶只能使用特定的服務（例如e-mail），網外的用戶也只能訪問經過授權的網內資源。由于網絡帶寬的飛速增長，傳統的基于軟件的查找算法已經不能適應網絡速度的飛速發展，迫切需要采用新的硬件過濾方法，方案之一就是采用內容可尋址存儲器TCAM（Ternary Content Addressable Memory）。
???????? TCAM利用三個數值存儲數據‘0’ 、‘1’ 、‘X’（不關心），每一個表項都包含數值比特串和掩碼比特串。TCAM能夠在一個硬件時鐘周期內完成關鍵字的精確匹配查找，只需要輸入關鍵字的內容，TCAM就會將此關鍵字與CAM中所有的表項同時進行匹配比較，最后返回匹配表項在TCAM中所對應的地址，如果存在多個匹配表項則返回地址最低的表項。目前主流的IDS（Intrusion Detection Systems），例如Snort，可以編寫相應規則來完成實時協議分析、內容查找／匹配、對網絡上的IP包登錄進行測試等功能。我們可以把類似于Snort的規則應用到TCAM中，通過制定符合特定規則的表項，來實現IP數據報的匹配。當數據報在TCAM中能夠找到相應的匹配項時，我們即認為它是合法的，否則予以攔截并送入后臺作為異常報文處理。
????????為了實現快速查找，設計者必須在PCB板上添加一個獨立的TCAM器件，這會增加片間延時，同時減少PCB板上的可用空間，從而降低電路板的系統性能。因此我們采用FPGA來實現TCAM，FPGA芯片采用ALTERA公司的APEX20K1500E。