專利名稱:網(wǎng)固千兆防火墻系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及一種網(wǎng)絡(luò)信息安全領(lǐng)域�����,特別是一種放置于內(nèi)部網(wǎng)和 外部網(wǎng)���、專用網(wǎng)和公共網(wǎng)之間的一種網(wǎng)絡(luò)信息安全系統(tǒng)��。
背景技術(shù):
伴隨計(jì)算機(jī)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及�,越來越多的行業(yè)�����、企業(yè)與 個(gè)體都遭遇到不同程度的安全難題���,并在積極尋求更為可靠的安全解決方 案����。在目前采用的網(wǎng)絡(luò)安全的防范體系中����,防火墻占據(jù)著舉足輕重的位置, 因此市場對(duì)防火墻的設(shè)備需求和技術(shù)要求都在不斷提升��。
與此同時(shí)����,越來越嚴(yán)峻的網(wǎng)絡(luò)安全問題也要求防火墻技術(shù)有更快的提
高�����。比如2003年爆發(fā)的"沖擊波"病毒已經(jīng)讓全球深切感受到維護(hù)網(wǎng)絡(luò)安 全的緊迫和嚴(yán)峻性�。隨著信息技術(shù)的發(fā)展��,人們?cè)诠ぷ骱蜕钤絹碓揭蕾?于網(wǎng)絡(luò)��。但是近年來�����,網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)是逐漸轉(zhuǎn)向高層應(yīng)用��。根據(jù) Gartner的分析����,目前對(duì)網(wǎng)絡(luò)的攻擊有70%以上是集中在應(yīng)用層,并且這 一數(shù)字呈上升趨勢(shì)��。應(yīng)用層的攻擊有可能會(huì)造成非常嚴(yán)重的后果����,比如用 戶賬號(hào)丟失和公司機(jī)密泄漏等�。同時(shí)����,隨著新發(fā)現(xiàn)的漏洞和對(duì)這些漏洞的 快速攻擊�,各類組織和企業(yè)都面臨著越來越高的風(fēng)險(xiǎn)。各類入侵�����、蠕蟲�、 木馬、間諜軟件和D0S攻擊等安全事件頻頻發(fā)生�����,并且造成了巨大的損失�����。 因此����,需要部署先進(jìn)的前瞻性防護(hù)系統(tǒng),以抵御各類攻擊并保護(hù)其網(wǎng)絡(luò)基 礎(chǔ)架構(gòu)和關(guān)鍵業(yè)務(wù)系統(tǒng)�。
實(shí)用新型內(nèi)容
針對(duì)現(xiàn)有技術(shù)中存在的不足之處,本實(shí)用新型提供一種網(wǎng)固千兆防火 墻系統(tǒng)����,其可保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入��,降低內(nèi)部網(wǎng)電腦遭受蠕 蟲����、木馬��、間諜軟件等攻擊�,同時(shí)規(guī)范內(nèi)部網(wǎng)計(jì)算機(jī)用戶對(duì)網(wǎng)絡(luò)的有序使 用。
為實(shí)現(xiàn)上述目的�����,本實(shí)用新型技術(shù)方案為
網(wǎng)固千兆防火墻系統(tǒng)�����,其由內(nèi)/外網(wǎng)備用口依序連接處理器�����、策略芯片 及數(shù)據(jù)存儲(chǔ)器���,處理器還連接有電源���、內(nèi)存、一C0M 口�����、內(nèi)網(wǎng)網(wǎng)絡(luò)口及外 網(wǎng)網(wǎng)絡(luò)口 ���;所述的數(shù)據(jù)存儲(chǔ)器還與處理器及內(nèi)網(wǎng)網(wǎng)絡(luò)口和外網(wǎng)網(wǎng)絡(luò)口連接�; 所述的內(nèi)網(wǎng)網(wǎng)絡(luò)口及外網(wǎng)網(wǎng)絡(luò)口與數(shù)據(jù)存儲(chǔ)器電源與處理器之間設(shè)置IDE 口�;內(nèi)存與處理器之間設(shè)置內(nèi)存插槽;電源與處理器之間設(shè)置ATX接口����; 所述的處理器負(fù)責(zé)響應(yīng)和處理所有請(qǐng)求指令;所述的內(nèi)存插槽為內(nèi)存緩沖 區(qū)�����,保存所有緩沖數(shù)據(jù)���;IDE 口用于連接數(shù)據(jù)存儲(chǔ)器��;ATX接口用于連接電 源����;COM 口為調(diào)試串口,提供調(diào)試主板的接連口�;策略芯片主要中轉(zhuǎn)處理 設(shè)備中的規(guī)則策略;內(nèi)網(wǎng)網(wǎng)絡(luò)口用于連接內(nèi)網(wǎng)網(wǎng)絡(luò)口�;內(nèi)/外網(wǎng)備用口為內(nèi) /外網(wǎng)的備用端口;外網(wǎng)網(wǎng)絡(luò)口用于連接內(nèi)網(wǎng)網(wǎng)絡(luò)口���。
上述技術(shù)方案的有益之處在于-
本實(shí)用新型網(wǎng)固千兆防火墻系統(tǒng)的產(chǎn)品硬件主要由工業(yè)控制主板�����、數(shù) 據(jù)存儲(chǔ)和電源組成一個(gè)1U的網(wǎng)絡(luò)設(shè)備����。其中工業(yè)控制主板是最核心硬件����, 主板上整合處理器、策略芯片����、內(nèi)存等硬件。
本新型專利首先在內(nèi)部網(wǎng)、外部網(wǎng)或外部網(wǎng)����、專用網(wǎng)之間架設(shè)設(shè)備。這樣在兩個(gè)網(wǎng)絡(luò)之間形成一個(gè)安全網(wǎng)關(guān)����,在兩個(gè)網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)流 動(dòng)的時(shí)候必須通過設(shè)備才能進(jìn)行流通�。對(duì)于受保護(hù)的信息,用戶只有在獲 得授權(quán)后才能訪問它�����。防火墻的功能設(shè)計(jì)���,集中了包過濾�����、電路級(jí)網(wǎng)關(guān)��、 應(yīng)用級(jí)網(wǎng)關(guān)等各類防火墻的主要特點(diǎn)��,經(jīng)有機(jī)結(jié)合而成�����。
圖1為本實(shí)用新型工作原理圖�。
具體實(shí)施方式
現(xiàn)結(jié)合附圖和實(shí)施例說明本實(shí)用新型。
如圖1所示的網(wǎng)固千兆防火墻系統(tǒng)�����,其由內(nèi)/外網(wǎng)備用口 9依序連接處 理器l�、策略芯片6及數(shù)據(jù)存儲(chǔ)器,處理器l還連接有電源��、內(nèi)存���、一C0M 口 5�����、內(nèi)網(wǎng)網(wǎng)絡(luò)口 7及外網(wǎng)網(wǎng)絡(luò)口 10�。所述的數(shù)據(jù)存儲(chǔ)器還與處理器1及 內(nèi)網(wǎng)網(wǎng)絡(luò)口 7和外網(wǎng)網(wǎng)絡(luò)口 10連接��;所述的內(nèi)網(wǎng)網(wǎng)絡(luò)口 7及外網(wǎng)網(wǎng)絡(luò)口 10與數(shù)據(jù)存儲(chǔ)器電源與處理器1之間設(shè)置IDE 口 3�。內(nèi)存與處理器1之間 設(shè)置內(nèi)存插槽2;電源與處理器1之間設(shè)置ATX接口4。
處理器1為主板最核心部分����,主要由運(yùn)算器和控制器組成���,負(fù)責(zé)響應(yīng) 和處理所有請(qǐng)求指令。主板上其他設(shè)備均圍繞著處理器1進(jìn)行工作�����。
內(nèi)存插槽2保存系統(tǒng)在啟動(dòng)時(shí)的一些數(shù)據(jù)�����,同時(shí)作為緩沖區(qū)在數(shù)據(jù)進(jìn) 行交換過程中進(jìn)行一個(gè)中轉(zhuǎn)站的作用�。
IDE 口 3連接數(shù)據(jù)存儲(chǔ)器�,在數(shù)據(jù)存儲(chǔ)器中保存著產(chǎn)品操作系統(tǒng)程序。 系統(tǒng)會(huì)保存管理員設(shè)置的產(chǎn)品規(guī)則和策略���。處理器1發(fā)送請(qǐng)求經(jīng)過數(shù)據(jù)存 儲(chǔ)器中的驗(yàn)證后進(jìn)行下一步操作�����。ATX接口4�����,提供主板供電���。
COM 口 5���,主要對(duì)內(nèi)/外網(wǎng)主板進(jìn)行配置,主板在初始化時(shí)已經(jīng)進(jìn)行了 默認(rèn)配置�,在某些情況下需要對(duì)主板的BIOS進(jìn)行設(shè)置以符合用戶要求。
策略芯片6����,基于神經(jīng)網(wǎng)絡(luò)的規(guī)則配置引擎,根據(jù)管理員日常配置習(xí) 慣�,自動(dòng)產(chǎn)生專有的包過濾/訪問規(guī)則,實(shí)現(xiàn)人工智能模型�����,自動(dòng)根據(jù)用戶 操作行為生成各種分析和審計(jì)報(bào)告���。芯片會(huì)發(fā)送請(qǐng)求給處理器1��,然后訪問 數(shù)據(jù)處理中心對(duì)已經(jīng)有的規(guī)則和策略進(jìn)行分析與整理�����。
內(nèi)網(wǎng)網(wǎng)絡(luò)口 7�����,主要用于連接內(nèi)網(wǎng)的網(wǎng)絡(luò)端口�,主要用于訪問外網(wǎng)網(wǎng) 絡(luò)數(shù)據(jù)時(shí)的連接通道。同時(shí)當(dāng)訪問請(qǐng)求得到通過后由外網(wǎng)返回的請(qǐng)求結(jié)果 數(shù)據(jù)也將由此進(jìn)行轉(zhuǎn)發(fā)到對(duì)應(yīng)的機(jī)器上����。
本實(shí)用新型還設(shè)有一連接處理器1的DMZ 口 8。 一般網(wǎng)絡(luò)分成內(nèi)網(wǎng)和 外網(wǎng)��,也就是LAN和WAN��,那么���,當(dāng)你有1臺(tái)物理位置上的1臺(tái)服務(wù)器,需 要被外網(wǎng)訪問�����,并且�����,也被內(nèi)網(wǎng)訪問的時(shí)候,那么�����,有2種方法�����, 一種是 放在LAN中�, 一種是放在DMZ。因?yàn)榉阑饓δJ(rèn)情況下����,是為了保護(hù)內(nèi)網(wǎng) 的,所以��, 一般的策略是禁止外網(wǎng)訪問內(nèi)網(wǎng)����,許可內(nèi)網(wǎng)訪問外網(wǎng)。但如果 這個(gè)服務(wù)器能被外網(wǎng)所訪問���,那么�����,就意味著這個(gè)服務(wù)器已經(jīng)處于不可信 任的狀態(tài)�����,那么���,這個(gè)服務(wù)器就不能主動(dòng)訪問內(nèi)網(wǎng)��。所以����,如果服務(wù)器放 在內(nèi)網(wǎng)通過端口重定向讓外網(wǎng)訪問����, 一旦這個(gè)服務(wù)器被攻擊,則內(nèi)網(wǎng)將會(huì) 處于非常不安全的狀態(tài)�����。但DMZ就是為了讓外網(wǎng)能訪問內(nèi)部的資源����,也就 是這個(gè)服務(wù)器�����,而內(nèi)網(wǎng)呢,也能訪問這個(gè)服務(wù)器���,但這個(gè)服務(wù)器是不能主 動(dòng)訪問內(nèi)網(wǎng)的��。DMZ就是這樣的一個(gè)區(qū)域�����。為了讓物理位置在內(nèi)網(wǎng)的�����,且��,希望能被外網(wǎng)所訪問的這樣的一個(gè)區(qū)域�����。根據(jù)用戶需要來啟用����。
內(nèi)/外網(wǎng)備用口 9,為產(chǎn)品備用網(wǎng)絡(luò)端口����。
外網(wǎng)網(wǎng)絡(luò)口 IO:其等同于內(nèi)網(wǎng)網(wǎng)絡(luò)口 7,用于響應(yīng)內(nèi)網(wǎng)網(wǎng)絡(luò)口 7的請(qǐng)求���, 轉(zhuǎn)發(fā)請(qǐng)求所需要的數(shù)據(jù)����,經(jīng)過處理器1將數(shù)據(jù)包進(jìn)行過濾后轉(zhuǎn)發(fā)到內(nèi)網(wǎng)網(wǎng) 絡(luò)口 7�。
本新型專利網(wǎng)固千兆防火墻系統(tǒng)首先在內(nèi)部網(wǎng)、外部網(wǎng)或外部網(wǎng)��、專 用網(wǎng)之間架設(shè)設(shè)備�。這樣在兩個(gè)網(wǎng)絡(luò)之間形成一個(gè)安全網(wǎng)關(guān),在兩個(gè)網(wǎng)絡(luò)
之間進(jìn)行數(shù)據(jù)流動(dòng)的時(shí)候必須通過設(shè)備才能進(jìn)行流通�。設(shè)備工作過程如下 首先,在內(nèi)部網(wǎng)和外部網(wǎng)或者外部網(wǎng)和專用網(wǎng)之間發(fā)生數(shù)據(jù)包交換的
時(shí)候����,這時(shí)主板的內(nèi)網(wǎng)網(wǎng)絡(luò)口 7或者外網(wǎng)網(wǎng)絡(luò)口 10會(huì)接收一個(gè)數(shù)據(jù)包請(qǐng)求,
請(qǐng)求直接由處理器1接收����。處理器1接收請(qǐng)求后進(jìn)行處理,在處理過程中
先將由內(nèi)網(wǎng)網(wǎng)絡(luò)口 7或者外網(wǎng)網(wǎng)絡(luò)口 10發(fā)送的數(shù)據(jù)包放入內(nèi)存插槽2����,同 時(shí)通過對(duì)該請(qǐng)求進(jìn)行驗(yàn)證其合法性。通過IDE 口 3連接的數(shù)據(jù)存儲(chǔ)器中的 安全操作系統(tǒng)進(jìn)行驗(yàn)證����,得到通過后再根據(jù)IDE 口 3連接的數(shù)據(jù)存儲(chǔ)器中 的已經(jīng)設(shè)置好的規(guī)則和策略對(duì)數(shù)據(jù)進(jìn)行檢驗(yàn),比如關(guān)鍵字過濾�、URL過 濾、數(shù)據(jù)類型檢測等等����。這些規(guī)則和策略是通過調(diào)試串口 5連接的服務(wù)器 進(jìn)行配置和管理。
當(dāng)數(shù)據(jù)緩沖區(qū)的數(shù)據(jù)包得經(jīng)過檢驗(yàn)后�����,再通過處理器1將數(shù)據(jù)發(fā)送到 對(duì)應(yīng)內(nèi)網(wǎng)網(wǎng)絡(luò)口 7或者外網(wǎng)網(wǎng)絡(luò)口 10��。這時(shí)就完成一個(gè)數(shù)據(jù)包交換過程���。 在此過程中�����,內(nèi)存插槽2內(nèi)的數(shù)據(jù)的連接通道只不允許進(jìn)行直接訪問�,只 有經(jīng)過身份授權(quán)才能得到訪問,確保數(shù)據(jù)在傳輸過程中的安全性����。同理,假設(shè)兩個(gè)不同網(wǎng)絡(luò)要進(jìn)行訪問�,此時(shí)內(nèi)網(wǎng)網(wǎng)絡(luò)口 7或者外網(wǎng)網(wǎng) 絡(luò)口 IO發(fā)送一個(gè)請(qǐng)求訪問的請(qǐng)求。處理器1接收并響應(yīng)這個(gè)請(qǐng)求���,處理器 1會(huì)將請(qǐng)求發(fā)送到IDE 口 3連接的存儲(chǔ)器中的安全操作系統(tǒng)���,系統(tǒng)會(huì)對(duì)該 請(qǐng)求進(jìn)行規(guī)則和策略的驗(yàn)證,當(dāng)請(qǐng)求不符合系統(tǒng)規(guī)則和策略設(shè)定的時(shí)候����, 會(huì)拒絕響應(yīng)該請(qǐng)求丟棄請(qǐng)求向處理器1發(fā)送請(qǐng)求不合格反饋。并在數(shù)據(jù)存 儲(chǔ)器的日志功能模塊中記錄該次請(qǐng)求的詳細(xì)過程�,供管理人員査看。處理 器l會(huì)將結(jié)論返回到內(nèi)網(wǎng)網(wǎng)絡(luò)口 7或者外網(wǎng)網(wǎng)絡(luò)口 10���。
如果請(qǐng)求符合系統(tǒng)規(guī)則和策略設(shè)定�,則該請(qǐng)求得到響應(yīng)����,執(zhí)行請(qǐng)求的 內(nèi)容。這時(shí)請(qǐng)求所需要的數(shù)據(jù)就會(huì)經(jīng)過主板驗(yàn)證后發(fā)送到內(nèi)網(wǎng)網(wǎng)絡(luò)口 7或 者外網(wǎng)網(wǎng)絡(luò)口 10���, IDE 口 3連接的數(shù)據(jù)存儲(chǔ)器會(huì)記錄下該次請(qǐng)求的全過程 日志��。
再者�,在主板上集成一塊策略芯片6��。策略芯片6的主要作用在于 基于神經(jīng)網(wǎng)絡(luò)的規(guī)則配置引擎���,根據(jù)管理員日常配置習(xí)慣�,自動(dòng)產(chǎn)生專有 的包過濾/訪問規(guī)則�����,實(shí)現(xiàn)人工智能模型����,自動(dòng)根據(jù)用戶操作行為生成各種 分析和審計(jì)報(bào)告。策略芯片的工作原理在于����,向處理器1發(fā)送請(qǐng)求�����,請(qǐng)求 響應(yīng)后直接轉(zhuǎn)發(fā)到IDE 口 3連接的數(shù)據(jù)存儲(chǔ)中心的操作系統(tǒng)��,操作系統(tǒng)會(huì) 根據(jù)請(qǐng)求進(jìn)行響應(yīng)�����。最終策略和規(guī)則有一部分會(huì)根據(jù)策略芯片的自主整合 產(chǎn)生��,提交到操作系統(tǒng)進(jìn)行使用�。
權(quán)利要求1����、網(wǎng)固千兆防火墻系統(tǒng),特征在于其由內(nèi)/外網(wǎng)備用口(9)依序連接處理器(1)����、策略芯片(6)及數(shù)據(jù)存儲(chǔ)器,處理器(1)還連接有電源����、內(nèi)存、一COM口(5)�、內(nèi)網(wǎng)網(wǎng)絡(luò)口(7)及外網(wǎng)網(wǎng)絡(luò)口(10)��;所述的數(shù)據(jù)存儲(chǔ)器還與處理器(1)及內(nèi)網(wǎng)網(wǎng)絡(luò)口(7)和外網(wǎng)網(wǎng)絡(luò)口(10)連接�����;所述的內(nèi)網(wǎng)網(wǎng)絡(luò)口(7)及外網(wǎng)網(wǎng)絡(luò)口(10)與數(shù)據(jù)存儲(chǔ)器電源與處理器(1)之間設(shè)置IDE口(3);內(nèi)存與處理器(1)之間設(shè)置內(nèi)存插槽(2)����;電源與處理器(1)之間設(shè)置ATX接口(4);所述的處理器(1)負(fù)責(zé)響應(yīng)和處理所有請(qǐng)求指令��;內(nèi)存插槽(2)為內(nèi)存緩沖區(qū)���,保存所有緩沖數(shù)據(jù)�����;IDE口(3)用于連接數(shù)據(jù)存儲(chǔ)器���;ATX接口(4)用于連接電源;COM口(5)為調(diào)試串口�����,提供調(diào)試主板的接連口;策略芯片(6)主要中轉(zhuǎn)處理設(shè)備中的規(guī)則策略��;內(nèi)網(wǎng)網(wǎng)絡(luò)口(7)用于連接內(nèi)網(wǎng)網(wǎng)絡(luò)口���;內(nèi)/外網(wǎng)備用口(9)為內(nèi)/外網(wǎng)的備用端口�����;外網(wǎng)網(wǎng)絡(luò)口(10)用于連接內(nèi)網(wǎng)網(wǎng)絡(luò)口�。
2����、 如權(quán)利要求1所述的網(wǎng)固千兆防火墻系統(tǒng),特征在于所述的處理器(l)還連接一DMZ口 (8)�,該DMZ口 (8)用于隔離外部服務(wù)器。
專利摘要本實(shí)用新型公開一種網(wǎng)固千兆防火墻系統(tǒng)�,其由內(nèi)/外網(wǎng)備用口依序連接處理器、策略芯片及數(shù)據(jù)存儲(chǔ)器���,處理器還連接有電源�����、內(nèi)存�、一COM口、內(nèi)網(wǎng)網(wǎng)絡(luò)口及外網(wǎng)網(wǎng)絡(luò)口�。所述的數(shù)據(jù)存儲(chǔ)器還與處理器及內(nèi)網(wǎng)網(wǎng)絡(luò)口和外網(wǎng)網(wǎng)絡(luò)口連接;所述的內(nèi)網(wǎng)網(wǎng)絡(luò)口及外網(wǎng)網(wǎng)絡(luò)口與數(shù)據(jù)存儲(chǔ)器電源與處理器之間設(shè)置IDE口�。內(nèi)存與處理器之間設(shè)置內(nèi)存插槽;電源與處理器之間設(shè)置ATX接口�。與現(xiàn)有技術(shù)相比,本實(shí)用新型在內(nèi)部網(wǎng)���、外部網(wǎng)或外部網(wǎng)、專用網(wǎng)之間架設(shè)設(shè)備����。其可保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,降低內(nèi)部網(wǎng)電腦遭受蠕蟲����、木馬、間諜軟件等攻擊���,同時(shí)規(guī)范內(nèi)部網(wǎng)計(jì)算機(jī)用戶對(duì)網(wǎng)絡(luò)的有序使用��。
文檔編號(hào)H04L29/06GK201403102SQ20092013765
公開日2010年2月10日 申請(qǐng)日期2009年4月16日 優(yōu)先權(quán)日2009年4月16日
發(fā)明者陳京鷺 申請(qǐng)人:廈門柏事特信息科技有限公司