一種網(wǎng)絡(luò)安全管理系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通訊安全技術(shù)�,尤其涉及一種網(wǎng)絡(luò)通訊安全的管理系統(tǒng)及方法�����。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)+時代的發(fā)展��,網(wǎng)絡(luò)化的社會不僅給人們?nèi)粘I顜碇T多便利�,但是也危及個人或企業(yè)的信息安全,甚至對國家安全和國際關(guān)系也產(chǎn)生了深刻的影響�����。
[0003]目前網(wǎng)絡(luò)通訊安全通常采用的技術(shù)方案是:設(shè)置多種訪問權(quán)限��,每一位訪問者根據(jù)不同的訪問權(quán)限來對相應(yīng)的內(nèi)容進行訪問�����,但是一旦某一位訪問者的密碼被破解�����,相應(yīng)的網(wǎng)絡(luò)安全防線也被破解����,尤其是當administrator的密碼被破解,所有安全防線將全部報廢����。
[0004]還有的企業(yè)將企業(yè)內(nèi)部網(wǎng)絡(luò)定義為內(nèi)網(wǎng),對應(yīng)的外部網(wǎng)絡(luò)為外網(wǎng)�����,他們?yōu)槊恳晃挥性L問外網(wǎng)需求的員工配置兩臺工作電腦�,一臺工作電腦僅能訪問內(nèi)網(wǎng)�����,一臺工作電腦僅能訪問外網(wǎng)�����,同時對內(nèi)網(wǎng)的所有電腦進行監(jiān)控�����,這樣有效地提高了內(nèi)部網(wǎng)絡(luò)的安全�����,可以有效防范設(shè)置訪問權(quán)項產(chǎn)生的安全漏洞�����,但是同時也會導(dǎo)致工作上的不便�,例如����,工作中需要到外網(wǎng)下載一個參考資料,需要先訪問外網(wǎng)將資料下載在外網(wǎng)工作電腦中,然后通過U盤等外部設(shè)備進行拷貝����,將資料再傳輸?shù)絻?nèi)網(wǎng)工作電腦上���,十分耗費精力����,導(dǎo)致工作效率降低���。
[0005]因此���,如何提供一種有效的、方便的網(wǎng)絡(luò)安全管理系統(tǒng)及方法是業(yè)界亟待解決的技術(shù)問題��。
【發(fā)明內(nèi)容】
[0006]本發(fā)明為了解決上述現(xiàn)有技術(shù)的問題�,提出一種網(wǎng)絡(luò)安全管理系統(tǒng),包括連接外網(wǎng)網(wǎng)域的外網(wǎng)網(wǎng)口����,連接內(nèi)網(wǎng)網(wǎng)域的內(nèi)網(wǎng)網(wǎng)口,還包括:
中間網(wǎng)口��,所述中間網(wǎng)口包括第一中間網(wǎng)口至第N中間網(wǎng)口�,所述第N中間網(wǎng)口可與內(nèi)網(wǎng)網(wǎng)口進行通訊�,N為自然數(shù)����;
切換電路,設(shè)有兩種狀態(tài)��,在第一種狀態(tài)下根據(jù)外網(wǎng)網(wǎng)口���、第一中間網(wǎng)口至第N中間網(wǎng)口����、內(nèi)網(wǎng)網(wǎng)口的順序?qū)W(wǎng)口進行兩兩分組����,允許同一組內(nèi)的兩個網(wǎng)口之間進行通訊;在第二種狀態(tài)下根據(jù)第一中間網(wǎng)口至第N中間網(wǎng)口、內(nèi)網(wǎng)網(wǎng)口的順序?qū)W(wǎng)口進行兩兩分組��,允許同一組內(nèi)的兩個網(wǎng)口之間進行通訊��;
切換模塊�,與外網(wǎng)網(wǎng)口相連接,通過切換電路與中間網(wǎng)口及內(nèi)網(wǎng)網(wǎng)口相連接����,根據(jù)切換電路的不同狀態(tài)��,控制相應(yīng)的網(wǎng)口之間連通�;
控制模塊���,對切換電路及切換模塊進行控制����,使切換電路不停地進行狀態(tài)轉(zhuǎn)換�����,直至外網(wǎng)網(wǎng)口/內(nèi)網(wǎng)網(wǎng)口的命令或數(shù)據(jù)傳遞至內(nèi)網(wǎng)網(wǎng)口/外網(wǎng)網(wǎng)口為止����。
[0007]數(shù)據(jù)處理模塊���,通過上述模塊以及網(wǎng)口與外網(wǎng)進行間接通訊���,既隔離了內(nèi)網(wǎng)和外網(wǎng),又可以使內(nèi)�����、外網(wǎng)之間的數(shù)據(jù)可以被間接傳遞。
[0008]優(yōu)選的���,數(shù)據(jù)處理模塊可以采用至少一種加密策略����,對通訊的數(shù)據(jù)/命令進行加密�����,從而進一步提高系統(tǒng)的安全性���?����?刂颇K和數(shù)據(jù)處理模塊還分別具有用于存儲數(shù)據(jù)或算法的存儲器�。
[0009]本技術(shù)方案中�����,切換模塊具有切換芯片�,根據(jù)切換芯片端口的順序來順次與外網(wǎng)網(wǎng)口�、第一中間網(wǎng)口至第N中間網(wǎng)口�、內(nèi)網(wǎng)網(wǎng)口直接連接或間接連接,當相鄰兩個端口對應(yīng)的網(wǎng)口需要通訊時����,切換模塊將所述兩個端口對應(yīng)的VLAN寄存器的值置為I。
[0010]控制模塊具有控制芯片�,所述數(shù)據(jù)處理模塊具有數(shù)據(jù)處理芯片,所述控制芯片和數(shù)據(jù)處理芯片的型號均為AM335X�,所述切換芯片的型號為88E6172,所述切換芯片與控制芯片之間�、控制芯片與數(shù)據(jù)處理芯片之間均通過RGMII接口連接。
[0011]在一實施例中�,所述外網(wǎng)網(wǎng)口通過網(wǎng)橋芯片與切換芯片相連接�,所述中間網(wǎng)口及內(nèi)網(wǎng)網(wǎng)口分別通過不同的網(wǎng)橋芯片與切換電路相連接,所述內(nèi)網(wǎng)網(wǎng)口與控制芯片的ethO處于同一網(wǎng)段��。
[0012]本發(fā)明還公開了基于上述技術(shù)方案中的網(wǎng)絡(luò)安全管理系統(tǒng)的網(wǎng)絡(luò)安全管理方法�,包括如下步驟:
步驟1:控制模塊監(jiān)聽各網(wǎng)口與內(nèi)網(wǎng)之間是否需要通訊;若是不需要通訊,則繼續(xù)進行監(jiān)聽�,若是需要進行通訊,則執(zhí)行下一步驟�����;
步驟2:控制模塊對通訊的方向、通訊的發(fā)起端���、通訊的目的端進行判斷����;
步驟3:根據(jù)判斷后的結(jié)果�����,對切換電路的狀態(tài)進行控制��,使其進行至少一次狀態(tài)切換����,從而使第一網(wǎng)口至第N-1網(wǎng)口順次兩兩進行通訊或者使第二網(wǎng)口至第N網(wǎng)口順次兩兩進行通訊,直至通訊的發(fā)起端至通訊的目的端之間的通訊完成��。
[0013]本發(fā)明設(shè)置了中間網(wǎng)口�����,使內(nèi)�、外網(wǎng)在物理上隔離的同時,通過控制機制又使內(nèi)�、外網(wǎng)可連接�����,并且還可以對內(nèi)��、外網(wǎng)之間的數(shù)據(jù)進行加密���,進一步保障內(nèi)網(wǎng)的數(shù)據(jù)安全。系統(tǒng)會根據(jù)具體的通訊需要來對切換電路��、切換模塊等進行控制�,使得員工無需再手動地導(dǎo)數(shù)據(jù)來保障內(nèi)網(wǎng)的安全,既實現(xiàn)了便利通訊又保障了有效的安全性能��。
【附圖說明】
[0014]圖1是本發(fā)明的系統(tǒng)結(jié)構(gòu)圖��;
圖2是本發(fā)明的切換電路處于開啟狀態(tài)時網(wǎng)口之間的通訊路徑示意圖�����;
圖3是本發(fā)明的切換電路處于關(guān)閉狀態(tài)時網(wǎng)口之間的通訊路徑示意圖�����;
圖4是切換電路的電路圖��;
圖5是切換電路與網(wǎng)口之間的連接原理圖��;
圖6是切換芯片的一具體實施例原理圖��;
圖7是控制模塊的流程圖�����;
圖8是數(shù)據(jù)處理模塊的流程圖���。
【具體實施方式】
[0015]以下結(jié)合附圖和實施例���,詳細說明本發(fā)明的結(jié)構(gòu)及原理。
[0016]如圖1所示���,本發(fā)明一實施例提供的網(wǎng)絡(luò)安全管理系統(tǒng)基于AM335X芯片搭建在Linux系統(tǒng)中�。
[0017]該網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)置有五個網(wǎng)口���,分別為網(wǎng)口 1��、網(wǎng)口2��、網(wǎng)口3����、網(wǎng)口4和網(wǎng)口5,其中網(wǎng)口 I為外網(wǎng)網(wǎng)口���,連接外網(wǎng)網(wǎng)域����。網(wǎng)口 2至網(wǎng)口 4為中間網(wǎng)口�����,它們分別對應(yīng)不同的網(wǎng)域����。網(wǎng)口 5為內(nèi)網(wǎng)網(wǎng)口,連接內(nèi)網(wǎng)網(wǎng)域���,可以訪問內(nèi)網(wǎng)的數(shù)據(jù)處理模塊�。網(wǎng)口 I至網(wǎng)口 4在物理上都是連通的��,但是網(wǎng)口 I至網(wǎng)口4與網(wǎng)口 5的內(nèi)網(wǎng)在物理上均不是連通的�����,網(wǎng)口 I至網(wǎng)口 5均屬于同一網(wǎng)段��。
[0018]中間網(wǎng)口(網(wǎng)口 I至網(wǎng)口4)以及內(nèi)網(wǎng)網(wǎng)口(網(wǎng)口 5)均與切換電路連接����,在切換電路開啟的狀態(tài)下,由于網(wǎng)口 I至4在物理上均連通著����,所以網(wǎng)口 I與網(wǎng)口 2之間的設(shè)備可以正常通訊,網(wǎng)口 3和網(wǎng)口4之間的設(shè)備可以正常通訊�。在切換電路關(guān)閉的狀態(tài)下,切斷原來的網(wǎng)口之間的兩兩通訊方式����,使網(wǎng)口 2和網(wǎng)口 3之間的設(shè)備進行通訊,使網(wǎng)口 4和網(wǎng)口 5之間的設(shè)備進行通訊����。即我們按照網(wǎng)口 I至網(wǎng)口 5的順序進行排序,切換芯片設(shè)有兩種狀態(tài)���,在第一種狀態(tài)下(開啟狀態(tài))��,從網(wǎng)口 I開始與相鄰的網(wǎng)口進行兩兩分組��,使它們之間可以進行通訊���,然后在第二種狀態(tài)下(關(guān)閉狀態(tài))���,從網(wǎng)口 2開始與相鄰的網(wǎng)口進行兩兩分組,使它們之間可以進行通訊����。
[0019]為了使網(wǎng)口之間可以兩兩之間進行通訊,網(wǎng)口 1-5分別與一繼電器組對應(yīng)��,各繼電器的引腳I接電源�����,引腳8為控制端���,引腳3�、6與對應(yīng)的網(wǎng)口連接�,網(wǎng)口 2-4對應(yīng)的繼電器的引腳2、7與引腳4��、5分別與左、右相鄰的網(wǎng)口連接��。網(wǎng)口 5對應(yīng)的繼電器的引腳2�����、7與引腳4����、5分別與網(wǎng)口 4���、控制模塊連接��。
[0020]如圖4所示����,切換電路包括二極管DB1����、三極管Q55、場效應(yīng)管Q54����、Q56; 二極管DBl的正極為輸入端,二極管DBl的負極接三極管Q55的基極,三極管Q55的發(fā)射極接地�����,三極管Q55的集電極分別與場效應(yīng)管Q54�����、Q56的柵極連接��,場效應(yīng)管的Q54����、Q56的源極分別接地,場效應(yīng)管的Q54���、Q56的漏極分別接電源���,且場效應(yīng)管的Q54的漏極連接上述繼電器的控制端,場效應(yīng)管Q56的漏極為監(jiān)測端��。
[0021]控制模塊的控制芯片AM335X通過控制引腳GP102_23輸出高/低電平至切換電路的輸入端CPU_BypaSS端��,來控制圖4切換電路中的三極管Q55的狀態(tài)���,從而間接控制場效應(yīng)管Q54的狀態(tài)����,實現(xiàn)對BYPASS_CRTL端輸出電平的控制,而各網(wǎng)口通過繼電器與切換電路的BYPASS_CRTL端連接�,且各網(wǎng)口之間也通過繼電器連接��,通過接收BYPASS_CRTL端輸出的高/低電平�����,從而實現(xiàn)導(dǎo)通或斷開�。同時,控制芯片AM335X通過引腳GP102_25連接切換電路的監(jiān)測端�,可以獲取當前切換電路所處的狀態(tài)。
[0022]圖5是網(wǎng)口與繼電器之間的具體連接方式���,給出的是網(wǎng)口2與網(wǎng)口 3對應(yīng)的繼電器K1-K8�����,其中網(wǎng)口 2 (WAN2 )的 4組數(shù)據(jù)線分別為LAN3_A+�����、LAN3_A_���、LAN3_B+��、LAN3_B -�����、LAN3_C+�、LAN3_C-���、LAN3_D+�����、LAN3_D-�����,它們分別接到g6k-2p-y型號的繼電器kl-k4上的引腳3和引腳6�。網(wǎng)口 3 (WAN3 )的 4組數(shù)據(jù)線LAN4_A+��、LAN4_A_�、LAN4_B+��、LAN4_B -�����、LAN