專利名稱:網(wǎng)固千兆防火墻系統(tǒng)的制作方法
技術領域:
本實用新型涉及一種網(wǎng)絡信息安全領域,特別是一種放置于內(nèi)部網(wǎng)和 外部網(wǎng)��、專用網(wǎng)和公共網(wǎng)之間的一種網(wǎng)絡信息安全系統(tǒng)����。
背景技術:
伴隨計算機技術的發(fā)展和網(wǎng)絡應用的普及,越來越多的行業(yè)���、企業(yè)與 個體都遭遇到不同程度的安全難題�,并在積極尋求更為可靠的安全解決方 案���。在目前采用的網(wǎng)絡安全的防范體系中����,防火墻占據(jù)著舉足輕重的位置��, 因此市場對防火墻的設備需求和技術要求都在不斷提升��。
與此同時,越來越嚴峻的網(wǎng)絡安全問題也要求防火墻技術有更快的提
高��。比如2003年爆發(fā)的"沖擊波"病毒已經(jīng)讓全球深切感受到維護網(wǎng)絡安 全的緊迫和嚴峻性�����。隨著信息技術的發(fā)展���,人們在工作和生活越來越依賴 于網(wǎng)絡����。但是近年來�����,網(wǎng)絡攻擊的發(fā)展趨勢是逐漸轉(zhuǎn)向高層應用���。根據(jù) Gartner的分析,目前對網(wǎng)絡的攻擊有70%以上是集中在應用層��,并且這 一數(shù)字呈上升趨勢��。應用層的攻擊有可能會造成非常嚴重的后果�,比如用 戶賬號丟失和公司機密泄漏等。同時,隨著新發(fā)現(xiàn)的漏洞和對這些漏洞的 快速攻擊�,各類組織和企業(yè)都面臨著越來越高的風險。各類入侵����、蠕蟲、 木馬����、間諜軟件和D0S攻擊等安全事件頻頻發(fā)生,并且造成了巨大的損失����。 因此,需要部署先進的前瞻性防護系統(tǒng)�,以抵御各類攻擊并保護其網(wǎng)絡基 礎架構和關鍵業(yè)務系統(tǒng)。
實用新型內(nèi)容
針對現(xiàn)有技術中存在的不足之處�,本實用新型提供一種網(wǎng)固千兆防火 墻系統(tǒng),其可保護內(nèi)部網(wǎng)免受非法用戶的侵入�,降低內(nèi)部網(wǎng)電腦遭受蠕 蟲、木馬���、間諜軟件等攻擊����,同時規(guī)范內(nèi)部網(wǎng)計算機用戶對網(wǎng)絡的有序使 用。
為實現(xiàn)上述目的�,本實用新型技術方案為
網(wǎng)固千兆防火墻系統(tǒng),其由內(nèi)/外網(wǎng)備用口依序連接處理器���、策略芯片 及數(shù)據(jù)存儲器�,處理器還連接有電源�、內(nèi)存、一C0M 口����、內(nèi)網(wǎng)網(wǎng)絡口及外 網(wǎng)網(wǎng)絡口 ;所述的數(shù)據(jù)存儲器還與處理器及內(nèi)網(wǎng)網(wǎng)絡口和外網(wǎng)網(wǎng)絡口連接����; 所述的內(nèi)網(wǎng)網(wǎng)絡口及外網(wǎng)網(wǎng)絡口與數(shù)據(jù)存儲器電源與處理器之間設置IDE 口;內(nèi)存與處理器之間設置內(nèi)存插槽��;電源與處理器之間設置ATX接口����; 所述的處理器負責響應和處理所有請求指令�����;所述的內(nèi)存插槽為內(nèi)存緩沖 區(qū),保存所有緩沖數(shù)據(jù)�����;IDE 口用于連接數(shù)據(jù)存儲器����;ATX接口用于連接電 源;COM 口為調(diào)試串口���,提供調(diào)試主板的接連口����;策略芯片主要中轉(zhuǎn)處理 設備中的規(guī)則策略��;內(nèi)網(wǎng)網(wǎng)絡口用于連接內(nèi)網(wǎng)網(wǎng)絡口���;內(nèi)/外網(wǎng)備用口為內(nèi) /外網(wǎng)的備用端口����;外網(wǎng)網(wǎng)絡口用于連接內(nèi)網(wǎng)網(wǎng)絡口�����。
上述技術方案的有益之處在于-
本實用新型網(wǎng)固千兆防火墻系統(tǒng)的產(chǎn)品硬件主要由工業(yè)控制主板、數(shù) 據(jù)存儲和電源組成一個1U的網(wǎng)絡設備�。其中工業(yè)控制主板是最核心硬件, 主板上整合處理器�、策略芯片、內(nèi)存等硬件��。
本新型專利首先在內(nèi)部網(wǎng)�����、外部網(wǎng)或外部網(wǎng)����、專用網(wǎng)之間架設設備。這樣在兩個網(wǎng)絡之間形成一個安全網(wǎng)關��,在兩個網(wǎng)絡之間進行數(shù)據(jù)流 動的時候必須通過設備才能進行流通��。對于受保護的信息�����,用戶只有在獲 得授權后才能訪問它��。防火墻的功能設計�,集中了包過濾、電路級網(wǎng)關��、 應用級網(wǎng)關等各類防火墻的主要特點�����,經(jīng)有機結合而成����。
圖1為本實用新型工作原理圖。
具體實施方式
現(xiàn)結合附圖和實施例說明本實用新型���。
如圖1所示的網(wǎng)固千兆防火墻系統(tǒng)��,其由內(nèi)/外網(wǎng)備用口 9依序連接處 理器l����、策略芯片6及數(shù)據(jù)存儲器��,處理器l還連接有電源�、內(nèi)存、一C0M 口 5��、內(nèi)網(wǎng)網(wǎng)絡口 7及外網(wǎng)網(wǎng)絡口 10�。所述的數(shù)據(jù)存儲器還與處理器1及 內(nèi)網(wǎng)網(wǎng)絡口 7和外網(wǎng)網(wǎng)絡口 10連接�;所述的內(nèi)網(wǎng)網(wǎng)絡口 7及外網(wǎng)網(wǎng)絡口 10與數(shù)據(jù)存儲器電源與處理器1之間設置IDE 口 3���。內(nèi)存與處理器1之間 設置內(nèi)存插槽2;電源與處理器1之間設置ATX接口4��。
處理器1為主板最核心部分��,主要由運算器和控制器組成�,負責響應 和處理所有請求指令��。主板上其他設備均圍繞著處理器1進行工作��。
內(nèi)存插槽2保存系統(tǒng)在啟動時的一些數(shù)據(jù)�����,同時作為緩沖區(qū)在數(shù)據(jù)進 行交換過程中進行一個中轉(zhuǎn)站的作用���。
IDE 口 3連接數(shù)據(jù)存儲器�����,在數(shù)據(jù)存儲器中保存著產(chǎn)品操作系統(tǒng)程序����。 系統(tǒng)會保存管理員設置的產(chǎn)品規(guī)則和策略���。處理器1發(fā)送請求經(jīng)過數(shù)據(jù)存 儲器中的驗證后進行下一步操作�����。ATX接口4����,提供主板供電���。
COM 口 5�����,主要對內(nèi)/外網(wǎng)主板進行配置�,主板在初始化時已經(jīng)進行了 默認配置��,在某些情況下需要對主板的BIOS進行設置以符合用戶要求����。
策略芯片6,基于神經(jīng)網(wǎng)絡的規(guī)則配置引擎��,根據(jù)管理員日常配置習 慣,自動產(chǎn)生專有的包過濾/訪問規(guī)則�,實現(xiàn)人工智能模型,自動根據(jù)用戶 操作行為生成各種分析和審計報告��。芯片會發(fā)送請求給處理器1��,然后訪問 數(shù)據(jù)處理中心對已經(jīng)有的規(guī)則和策略進行分析與整理���。
內(nèi)網(wǎng)網(wǎng)絡口 7�����,主要用于連接內(nèi)網(wǎng)的網(wǎng)絡端口�����,主要用于訪問外網(wǎng)網(wǎng) 絡數(shù)據(jù)時的連接通道��。同時當訪問請求得到通過后由外網(wǎng)返回的請求結果 數(shù)據(jù)也將由此進行轉(zhuǎn)發(fā)到對應的機器上��。
本實用新型還設有一連接處理器1的DMZ 口 8��。 一般網(wǎng)絡分成內(nèi)網(wǎng)和 外網(wǎng)�����,也就是LAN和WAN���,那么��,當你有1臺物理位置上的1臺服務器,需 要被外網(wǎng)訪問����,并且,也被內(nèi)網(wǎng)訪問的時候���,那么�,有2種方法�, 一種是 放在LAN中, 一種是放在DMZ�����。因為防火墻默認情況下��,是為了保護內(nèi)網(wǎng) 的���,所以�����, 一般的策略是禁止外網(wǎng)訪問內(nèi)網(wǎng)��,許可內(nèi)網(wǎng)訪問外網(wǎng)�����。但如果 這個服務器能被外網(wǎng)所訪問���,那么����,就意味著這個服務器已經(jīng)處于不可信 任的狀態(tài)�����,那么����,這個服務器就不能主動訪問內(nèi)網(wǎng)。所以���,如果服務器放 在內(nèi)網(wǎng)通過端口重定向讓外網(wǎng)訪問��, 一旦這個服務器被攻擊�,則內(nèi)網(wǎng)將會 處于非常不安全的狀態(tài)。但DMZ就是為了讓外網(wǎng)能訪問內(nèi)部的資源����,也就 是這個服務器,而內(nèi)網(wǎng)呢��,也能訪問這個服務器�,但這個服務器是不能主 動訪問內(nèi)網(wǎng)的��。DMZ就是這樣的一個區(qū)域�����。為了讓物理位置在內(nèi)網(wǎng)的��,且�����,希望能被外網(wǎng)所訪問的這樣的一個區(qū)域���。根據(jù)用戶需要來啟用����。
內(nèi)/外網(wǎng)備用口 9,為產(chǎn)品備用網(wǎng)絡端口���。
外網(wǎng)網(wǎng)絡口 IO:其等同于內(nèi)網(wǎng)網(wǎng)絡口 7����,用于響應內(nèi)網(wǎng)網(wǎng)絡口 7的請求�, 轉(zhuǎn)發(fā)請求所需要的數(shù)據(jù),經(jīng)過處理器1將數(shù)據(jù)包進行過濾后轉(zhuǎn)發(fā)到內(nèi)網(wǎng)網(wǎng) 絡口 7�����。
本新型專利網(wǎng)固千兆防火墻系統(tǒng)首先在內(nèi)部網(wǎng)�����、外部網(wǎng)或外部網(wǎng)����、專 用網(wǎng)之間架設設備。這樣在兩個網(wǎng)絡之間形成一個安全網(wǎng)關�����,在兩個網(wǎng)絡
之間進行數(shù)據(jù)流動的時候必須通過設備才能進行流通。設備工作過程如下 首先���,在內(nèi)部網(wǎng)和外部網(wǎng)或者外部網(wǎng)和專用網(wǎng)之間發(fā)生數(shù)據(jù)包交換的
時候��,這時主板的內(nèi)網(wǎng)網(wǎng)絡口 7或者外網(wǎng)網(wǎng)絡口 10會接收一個數(shù)據(jù)包請求����,
請求直接由處理器1接收�����。處理器1接收請求后進行處理��,在處理過程中
先將由內(nèi)網(wǎng)網(wǎng)絡口 7或者外網(wǎng)網(wǎng)絡口 10發(fā)送的數(shù)據(jù)包放入內(nèi)存插槽2���,同 時通過對該請求進行驗證其合法性。通過IDE 口 3連接的數(shù)據(jù)存儲器中的 安全操作系統(tǒng)進行驗證��,得到通過后再根據(jù)IDE 口 3連接的數(shù)據(jù)存儲器中 的已經(jīng)設置好的規(guī)則和策略對數(shù)據(jù)進行檢驗�����,比如關鍵字過濾、URL過 濾����、數(shù)據(jù)類型檢測等等。這些規(guī)則和策略是通過調(diào)試串口 5連接的服務器 進行配置和管理�。
當數(shù)據(jù)緩沖區(qū)的數(shù)據(jù)包得經(jīng)過檢驗后,再通過處理器1將數(shù)據(jù)發(fā)送到 對應內(nèi)網(wǎng)網(wǎng)絡口 7或者外網(wǎng)網(wǎng)絡口 10�。這時就完成一個數(shù)據(jù)包交換過程。 在此過程中��,內(nèi)存插槽2內(nèi)的數(shù)據(jù)的連接通道只不允許進行直接訪問��,只 有經(jīng)過身份授權才能得到訪問����,確保數(shù)據(jù)在傳輸過程中的安全性。同理��,假設兩個不同網(wǎng)絡要進行訪問�����,此時內(nèi)網(wǎng)網(wǎng)絡口 7或者外網(wǎng)網(wǎng) 絡口 IO發(fā)送一個請求訪問的請求����。處理器1接收并響應這個請求����,處理器 1會將請求發(fā)送到IDE 口 3連接的存儲器中的安全操作系統(tǒng)�����,系統(tǒng)會對該 請求進行規(guī)則和策略的驗證����,當請求不符合系統(tǒng)規(guī)則和策略設定的時候, 會拒絕響應該請求丟棄請求向處理器1發(fā)送請求不合格反饋�����。并在數(shù)據(jù)存 儲器的日志功能模塊中記錄該次請求的詳細過程��,供管理人員査看���。處理 器l會將結論返回到內(nèi)網(wǎng)網(wǎng)絡口 7或者外網(wǎng)網(wǎng)絡口 10。
如果請求符合系統(tǒng)規(guī)則和策略設定���,則該請求得到響應���,執(zhí)行請求的 內(nèi)容����。這時請求所需要的數(shù)據(jù)就會經(jīng)過主板驗證后發(fā)送到內(nèi)網(wǎng)網(wǎng)絡口 7或 者外網(wǎng)網(wǎng)絡口 10����, IDE 口 3連接的數(shù)據(jù)存儲器會記錄下該次請求的全過程 日志。
再者�����,在主板上集成一塊策略芯片6�。策略芯片6的主要作用在于 基于神經(jīng)網(wǎng)絡的規(guī)則配置引擎,根據(jù)管理員日常配置習慣��,自動產(chǎn)生專有 的包過濾/訪問規(guī)則����,實現(xiàn)人工智能模型,自動根據(jù)用戶操作行為生成各種 分析和審計報告�����。策略芯片的工作原理在于����,向處理器1發(fā)送請求��,請求 響應后直接轉(zhuǎn)發(fā)到IDE 口 3連接的數(shù)據(jù)存儲中心的操作系統(tǒng)����,操作系統(tǒng)會 根據(jù)請求進行響應����。最終策略和規(guī)則有一部分會根據(jù)策略芯片的自主整合 產(chǎn)生,提交到操作系統(tǒng)進行使用��。
權利要求1�、網(wǎng)固千兆防火墻系統(tǒng),特征在于其由內(nèi)/外網(wǎng)備用口(9)依序連接處理器(1)��、策略芯片(6)及數(shù)據(jù)存儲器���,處理器(1)還連接有電源��、內(nèi)存��、一COM口(5)�、內(nèi)網(wǎng)網(wǎng)絡口(7)及外網(wǎng)網(wǎng)絡口(10)��;所述的數(shù)據(jù)存儲器還與處理器(1)及內(nèi)網(wǎng)網(wǎng)絡口(7)和外網(wǎng)網(wǎng)絡口(10)連接��;所述的內(nèi)網(wǎng)網(wǎng)絡口(7)及外網(wǎng)網(wǎng)絡口(10)與數(shù)據(jù)存儲器電源與處理器(1)之間設置IDE口(3)�;內(nèi)存與處理器(1)之間設置內(nèi)存插槽(2);電源與處理器(1)之間設置ATX接口(4)�����;所述的處理器(1)負責響應和處理所有請求指令�����;內(nèi)存插槽(2)為內(nèi)存緩沖區(qū)���,保存所有緩沖數(shù)據(jù)��;IDE口(3)用于連接數(shù)據(jù)存儲器�;ATX接口(4)用于連接電源���;COM口(5)為調(diào)試串口����,提供調(diào)試主板的接連口���;策略芯片(6)主要中轉(zhuǎn)處理設備中的規(guī)則策略�;內(nèi)網(wǎng)網(wǎng)絡口(7)用于連接內(nèi)網(wǎng)網(wǎng)絡口;內(nèi)/外網(wǎng)備用口(9)為內(nèi)/外網(wǎng)的備用端口�����;外網(wǎng)網(wǎng)絡口(10)用于連接內(nèi)網(wǎng)網(wǎng)絡口�。
2、 如權利要求1所述的網(wǎng)固千兆防火墻系統(tǒng)��,特征在于所述的處理器(l)還連接一DMZ口 (8)��,該DMZ口 (8)用于隔離外部服務器�。
專利摘要本實用新型公開一種網(wǎng)固千兆防火墻系統(tǒng),其由內(nèi)/外網(wǎng)備用口依序連接處理器���、策略芯片及數(shù)據(jù)存儲器�����,處理器還連接有電源�����、內(nèi)存����、一COM口、內(nèi)網(wǎng)網(wǎng)絡口及外網(wǎng)網(wǎng)絡口����。所述的數(shù)據(jù)存儲器還與處理器及內(nèi)網(wǎng)網(wǎng)絡口和外網(wǎng)網(wǎng)絡口連接�;所述的內(nèi)網(wǎng)網(wǎng)絡口及外網(wǎng)網(wǎng)絡口與數(shù)據(jù)存儲器電源與處理器之間設置IDE口。內(nèi)存與處理器之間設置內(nèi)存插槽��;電源與處理器之間設置ATX接口�。與現(xiàn)有技術相比,本實用新型在內(nèi)部網(wǎng)�、外部網(wǎng)或外部網(wǎng)、專用網(wǎng)之間架設設備���。其可保護內(nèi)部網(wǎng)免受非法用戶的侵入���,降低內(nèi)部網(wǎng)電腦遭受蠕蟲、木馬�����、間諜軟件等攻擊��,同時規(guī)范內(nèi)部網(wǎng)計算機用戶對網(wǎng)絡的有序使用。
文檔編號H04L29/06GK201403102SQ20092013765
公開日2010年2月10日 申請日期2009年4月16日 優(yōu)先權日2009年4月16日
發(fā)明者陳京鷺 申請人:廈門柏事特信息科技有限公司