专利名称:一种基于网络处理器的小型单机防火墙装置的利记博彩app
技术领域:
本实用新型涉及一种保护网络或计算机信息安全的基于网络处理器的小型单机 防火墙装置。
背景技术:
现有的个人网络防护技术主要采用软件防火墙,在操作系统内核上对网络数据包 进行过滤,阻止未允许的进程或IP地址、端口对受保护计算机的访问。然而,有些最新的病 毒被黑客植入或感染后,可以解除杀毒软件和防火墙软件的防护,使得软件级的防护失效。 有些黑客高手还可以利用操作系统漏洞,获得高级访问权限,绕过防护软件,直接窃取用户 数据。另外,防火墙运行将占据大量系统处理能力和资源,这使得通用计算机处理其它任务 的能力下降。因此,仅使用软件级别的防护技术无法保证受保护计算机的安全,并消耗了大 量通用计算机资源。硬件防火墙设备可以提供更安全、可靠的安全防护,成为企业级用户和高级个人 用户的首选。国外设备的性能指标虽然较高,但由于国家信息安全规定的原因,从国外进口 的安全产品的使用受到政策制约。开实用新型具有自主知识产权的安全设备,成为我国信 息安全实用新型展的主要方向之一。目前,国内硬件加密设备基本采用工控机、网卡和PCI 加密卡组合结构,经过不同包装加工后形成多种安全产品,例如加密机、VPN加密网关、加/ 解密服务器等。这些设备性能高、加密强度大、安全性好,但生产成本也较高,往往面向高端 企业用户;而且体积较大,不易于随身携带,不适于个人用户和移动办公。因此,目前缺少一 种价格低廉、性能适中、便于携带的个人安全设备。随着电子信息技术的飞速实用新型展, 嵌入式芯片的处理速度越来越高,功能越来越强大,集成度也越来越高。采用高性能、低功 耗的嵌入式芯片开实用新型一种小型的个人信息安全防护设备成为可能。
实用新型内容本实用新型的目的就是为了解决上述问题,提供一种使用硬件将计算机与外部网 络隔离,使得两者之间不存在直接的数据链路,从而使受保护的计算机在可控的前提下与 外部网络进行数据交换的基于网络处理器的小型单机防火墙装置。为实现上述目的,本实用新型采用如下技术方案一种基于网络处理器的小型单机防火墙装置,该防火墙装置安装在通用计算机与 外部网络之间,它包括一个网络处理器,该网络处理器分别与至少一个USB接口、至少一个 存储模块、至少一个人机交互控制模块和至少一个以太网控制器连接,以各太网控制器则 与至少一个网络接口连接。所述人机交互控制模块包括LED显示模块和开关控制模块,两者与网络处理器双 向通信所述以太网控制器有两个,分别与各自的网络接口连接,各网络接口均为RJ45接[0009]所述存储模块有两个,分别为flash模块和SDRAM模块。本实用新型的小型防火墙位于在通用计算机与外部网络之间,可以实现硬件对链 路层的过滤和隔离,用于防止从外部网络未授权的入侵行为,防止通用计算机中应用程序 访问未授权的外部网络。通过规则模块,用户可以设置防火墙设备上的通信规则,例如规则1 禁止外部网络访问通用计算机的TCP 80端口。规则2 允许外部网络访问被保护通用计算机的TCP 21端口。本实用新型采用带有数据加/解密功能的高性能网络处理器芯片,能够对网络数 据包进行过滤和转实用新型处理,适合于对信息安全有一定要求的中小企业客户和个人用 户。本实用新型与以往基于x86处理器的防火墙相比,最大的不同在于以网络处理器 为核心处理芯片和USB供电,实现了小型可携带的单机防火墙。网络处理器(比如Intel公司IXP425芯片)是一种高集成度、低功耗、多接口的 嵌入式高速网络及通信处理芯片。网络处理器内部包含多个网络处理引擎NPE,支持多线程 的高性能数据处理。多个网络处理引擎专门针对网络应用而设计,每个NPE协处理器都可 用来加速某一特定网络应用,为网络数据包过滤和加解密等提供了额外的硬件芯片支持, 能有效提高网络数据处理性能。本实用新型利用网络处理器中两个独立的、10/100MbpsMII (MediaIncbpendent Interface)接口,每一个MII接口都有一个与之关联的网络处理器引擎(NPE),并依据 IEEE802. 3标准来处理物理层和协议层的数据通信。本实用新型充分利用NPE的特点,对防 火墙功能进行加速,其功能包括IP头检查和修改、数据包过滤、数据包错误检查、校验、插 入/删除标记,以及加密等功能,可用对IPv4和IPv6协议的数据包进行检查和过滤。RJ45接口收到以太网帧结构的数据包后,经过变压器隔离和阻抗匹配后送到 PHY(物理接口芯片),在此芯片中完成模拟信号到RMII接口的数字信号的变换,并获得链 路状态、冲突、信息是否超长,速率等信息。然后,数据包进入网络处理器芯片,该芯片将获 得数据包的目的地址和源地址,并对以太网帧进行差错校验。网络处理器芯片将源地址保 存在自己的MAC地址表中,然后将目的地址与MAC地址表中的地址相匹配,以获取数据将转 实用新型的相应端口。如果目的端口在MAC地址表中,则取出数据转实用新型到USB端口 或RJ45端口 ;如果在MAC地址表中没有找到相应的目的地址,就将帧转实用新型到除源端 口之外的其它属于同一虚拟网的所有端口或者某一个上连端口。网络处理器在每次开机或复位期间,首先读取外接flash存储器中存储的配置信 息和规则库对网络处理器进行初始化配置。而flash存储器的内容可以通过通用计算机上 应用程序进行读写,以此来修改或读取flash存储器中的规则库。防火墙系统采用USB(UniversaISeriaIBus)接口与通用计算机通信。防火墙被 建立在内部网络与外部网络之间,处理通过网络的每个数据包,其中入侵检测系统通过对 数据包进行统计、分析,确定该数据包连接是否是具有入侵目的的连接,实用新型现异常访 问,向通用计算机的日志管理模块实用新型出报警日志,并连同防火墙功能完成阻止入侵 的连接。报警日志可以通过USB接口以专用格式实用新型送到通用计算机,也可以通过 UDP协议514端口实用新型送到通用计算机,日志格式符合RFC3164规范规定的Syslog协议。USB接口的作用有三个1.对防火墙硬件设备提供5v电压供电;2.对设备工作参 数和规则库进行管理和设置的通道;3.通过USB接口,硬件设备向通用计算机(200)的日 志管理模块(206)实用新型送报警日志。本实用新型产品还具有以下优点1.支持全双工10M/100MbpS以太网,自动网速识别,即插即用。2.指示灯四个LED (LightEmitting Diode,实用新型光二极管)指示灯,分别为 工作状态灯、报警状态灯、外网端口状态灯和内网端口状态灯。工作状态灯指示防火墙是 否正常工作。报警状态灯,指示防火墙产生报警的状态。内网和外网端口状态灯都具有三 种工作状态,即对应端口是否连接好、对应端口是否正在接收数据包、对应端口是否正在实 用新型送数据包。
图1为本实用新型硬件部分内部结构框图。图2网络处理器与以太网控制器的连接图。图3为本实用新型实施例1。图4为本实用新型实施例2。图5为本实用新型实施例3。其中,1.网络处理器,2. USB接口,3.太网控制器,4. LED显示模块,5.开关控制模 块,6. RJ45接口,7. flash模块,8. SDRAM模块,9.防火墙装置。
具体实施方式
以下结合附图与实施例对本实用新型做如下说明。图1中,该防火墙装置9安装在通用计算机与外部网络之间,它包括一个网络处理 器1,该网络处理器1分别与至少一个USB接口 2、至少一个存储模块、至少一个人机交互控 制模块和至少一个以太网控制器3连接,以各太网控制器则与至少一个网络接口连接。人 机交互控制模块包括LED显示模块4和开关控制模块5,两者与网络处理器1双向通信。网 络处理器1与以太网控制器3的连接如图2所示。以太网控制器3有两个,分别与各自的网络接口连接,各网络接口均为RJ45接口 6。存储模块有两个,分别为flash模块7和SDRAM模块8。本实用新型的防火墙装置9,它一端通过RJ45接口连接内部局域网或广域网,接 收网络数据包;另一端通过USB接口或RJ45接口连接通用计算机,将通过内部规则库验证 的数据包转实用新型给通用计算机。通用计算机,它与所述的外置硬件模块相连,并通过驱 动程序和应用程序对作为一个防火墙的所述第一功能的内部规则库进行编程,根据通用计 算机的应用需要,设置硬件设备中规则库。本实用新型的功能为,a)分组或数据包过滤功能从所述外部网络接收数据包,并解析数据包的源IP地 址、端口号和目的IP地址、端口号,根据规则库中的规则有选择的将收到的数据包转实用新型到USB接口或RJ45接口 ;b)网络地址转换功能,重新设置受包含通用计算机的IP地址;和c)虚拟专用网(VPN)功能,硬件设备可以与VPN集中器相连,建立VPN隧道,然后 通用计算机就可以通过硬件设备使用这个VPN隧道。防火墙系统,其中由通用计算机中防火墙管理软件完成的第二功能包括连接验 证功能,用于识别和验证试图访问通用计算机的连接身份。防火墙系统硬件设备通过USB供电,不需要外加电源。通用计算机防火墙应用软 件通过USB2. 0接口对硬件设备的功能和规则库进行设置,并支持通过USB2. 0接口接收防 火墙硬件转实用新型的数据包和报警日志。实施例1 图3中,本实用新型防火墙装置9与通用计算机通过USB接口 2和RJ45接口 6相 连。USB接口 2用作设备供电接口和控制信息、报警信息传输通道。RJ45接口 6用作接收 数据包和发送数据包的传输通道。防火墙装置9接收到来自LAN/WAN(401)的网络数据包后,调用内部过滤规则对该 包进行判断。经防火墙功能模块分析判断后,如果该包数据符合通过规则,硬件设备通过 RJ45接口 6将该包数据转发给通用计算机。如果该包不符合通过规则,防火墙丢弃该包数 据,并通过USB接口 2向通用计算机的日志管理模块发送报警日志。日志管理模块接到报 警日志后,发出声音、图像报警,并将报警日志记录到相应日志文件中。实施例2 图4中,防火墙装置9与通用计算机仅通过USB接口 2相连。USB接口 2用作设备 供电接口和控制信息、报警信息传输通道和接收数据包和发送数据包的传输通道。防火墙装置9接收到来自LAN/WAN(401)的网络数据包后,调用内部过滤规则对该 包进行判断。经防火墙功能模块分析判断后,如果该包数据符合通过规则,硬件设备通过 USB接口 2将该包数据转发给通用计算机。如果该包不符合通过规则,防火墙丢弃该包数 据,并通过USB接口 2向通用计算机的日志管理模块发送报警日志。日志管理模块接到报 警日志后,发出声音、图像报警,并将报警日志记录到相应日志文件中。从通信速度角度分析,USB接口 2的通信速度达到了 480Mbps (即60MB/S),而目前 常见的个人计算机网卡通信速度为100Mbps。该具体实施方式
的处理速度能够满足用户的 当前需求,而且从实现技术上讲是可行的。实施例3 本防火墙装置9支持IPSec协议,可以作为VPN硬件客户端,建立通用计算机与 VPN服务器之间的安全通道,来存取位于公司或其它位置的网络资源。通用计算机端无须 安装VPN软件,只需在防火墙管理软件中进行简单设定,就可以轻松实现VPN的连接,进行 VPN网络内部操作。
权利要求一种基于网络处理器的小型单机防火墙装置,其特征是,该防火墙装置安装在通用计算机与外部网络之间,它包括一个网络处理器,该网络处理器分别与至少一个USB接口、至少一个存储模块、至少一个人机交互控制模块和至少一个以太网控制器连接,以各太网控制器则与至少一个网络接口连接。
2.如权利要求1所述的基于网络处理器的小型单机防火墙装置,其特征是,所述人机 交互控制模块包括LED显示模块和开关控制模块,两者与网络处理器双向通信。
3.如权利要求1所述的基于网络处理器的小型单机防火墙装置,其特征是,所述以太 网控制器有两个,分别与各自的网络接口连接,各网络接口均为RJ45接口。
4.如权利要求1所述的基于网络处理器的小型单机防火墙装置,其特征是,所述存储 模块有两个,分别为flash模块和SDRAM模块。
专利摘要本实用新型公开了一种基于网络处理器的小型单机防火墙装置。它使用硬件将计算机与外部网络隔离,使得两者之间不存在直接的数据链路,从而使受保护的计算机在可控的前提下与外部网络进行数据交换,其结构为该防火墙装置安装在通用计算机与外部网络之间,它包括一个网络处理器,该网络处理器分别与至少一个USB接口、至少一个存储模块、至少一个人机交互控制模块和至少一个以太网控制器连接,以各太网控制器则与至少一个网络接口连接。
文档编号H04L29/06GK201623727SQ20102030028
公开日2010年11月3日 申请日期2010年1月8日 优先权日2010年1月8日
发明者李新, 贾智平 申请人:山东大学