网络安全装置的制造方法
【技术领域】
[0001]本发明涉及一种网络安全装置,尤指以MAC转换技术为主要网络安全手段的一种网络安全装置。
【背景技术】
[0002]通信的目的在于将数据从一端传送到另一端,达到远程信息的交流,例如计算机与计算机间的数据传送、无线广播、卫星通信等。其中,通过服务器与网络设备将个人计算机或大型主机以线或无线的方式达到资源共享与信息交换者,便称之为网络。
[0003]就公司企业而言,通过网络进行信息交流有助于加速公司企业之业务推展,然而却也带来了机密外泄的隐忧。为了防止机密外泄,公司企业通常采用如图1所示的网络安全架构与外界进行网络通信。其中,公司内部计算机11’所传出的数据(数据包)需先传送至网络访问控制设备12’ (包含路由装置),经过网络访问控制设备12’辨识数据包的IP源地址与IP目的地地址,再将该数据包传送至因特网(Internet) 13’,进而通过因特网13’将数据包传送至IP目的地地址所在的接收端计算机14’。其中,最常见的网络访问控制装置12’例如防火墙。
[0004]众所周知,防火墙所提供的安全性仅覆盖TCP (Transmiss1n Control Protocol)的部分而无法覆盖UDP (User Datagram Protocol)的部分,原因在于通过TCP协议进行数据传输的时候,必须通过IP协议来传送封包;相反地,通过UDP协议进行数据传输的时侯,则不需要验证IP,因此也不保证数据传输的正确性。
[0005]由于传统的传统TCP/IP是不甚安全的协议,其数据传输应用在因特网上产生许多安全上的漏洞,故进阶型的防火墙包括了 IP转换与/或DNS转换的功能,以达到保护公司内部组织信息不外漏的目的。进阶型的防火墙内部具备一个IP地址的对映机制。进行IP转换有两个好处:其一是隐藏内部网络真正的IP,使黑客无法直接攻击内部网络;另一好处是可以让内部使用者使用保留的IP,这对许多IP不足的企业是很有帮助的。
[0006]然而,TCP/IP协议最终仍无法有效防止公司企业的机密外泄,原因在于企业员工仍旧可以通过IP转换网页(如NewIPNow.com)或者IP转换软件(如SafelP)将其所属计算机的IP转换成他人计算机的IP后,再将公司机密数据对外传送;这么一来,即使公司的网络访问控制设备12’监控到公司机密数据外泄一事,也很难追查将公司机密资料外泄的元凶。
[0007]因此,本发明的发明人有鉴于现有的网络访问控制技术仍具有缺点与不足,故极力加以研究发明,终于研发完成本发明的一种网络安全装置。
【发明内容】
[0008]在下文中给出关于本发明的简要概述,以便提供关于本发明的某些方面的基本理解。应当理解,这个概述并不是关于本发明的穷举性概述。它并不是意图确定本发明的关键或重要部分,也不是意图限定本发明的范围。其目的仅仅是以简化的形式给出某些概念,以此作为稍后论述的还详细描述的前序。
[0009]本发明的主要目的,在于提供一种网络安全装置,其连接于一第一数据传收终端与一因特网之间,用以将该第一数据传收终端通过该因特网传送至远程一第二数据传收终端的数据封包中所包含的MAC地址进行转换,通过此方式提供网络数据传输的安全性。并且,当第二数据传收终端通过因特网传送数据予第一数据传收终端时,本发明的网络安全装置也会将第二数据传收终端所送出的的数据封包中所包含的MAC地址进行转换,通过此方式提供有效的双向数据传输上的安全防护。
[0010]因此,为了达成本发明上述的目的,本发明提供一种网络安全装置,包括:
[0011]— USB接口,用以电连接至外部的一第一数据传收终端(data transceiverterminal),其中,该第一数据传收终端具有一第一媒体访问控制地址;
[0012]至少一控制与处理模块,耦接该USB接口,并具有一第一转换单元与第二转换单元;以及
[0013]一以太网络接口,具有一第二媒体访问控制地址,并用以与外部的一因特网达成通信,使得该第一数据传收终端可通过该因特网与远程一第二数据传收终端进行信息交换,其中,该第二数据传收终端具有一第三媒体访问控制地址。如此,当该第一数据传收终端向该第二数据传收终端传送一第一数据封包时该控制与处理模块通过该第一转换单元将该第一数据封包之中的该第一媒体访问控制地址转换成该第二媒体访问控制地址。并且,当该第二数据传收终端向该第一数据传收终端传送一第二数据封包时,该控制与处理模块通过该第二转换单元将该第二数据封包之中的该第三媒体访问控制地址转换成该第二媒体访问控制地址。
[0014]进一步地,该USB接口至少包括:
[0015]一 USB物理层,用以电连接至外部的该第一数据传收终端;以及
[0016]一 USB串行接口引擎,通过一 USB收发单元而耦接至该USB物理层。
[0017]进一步地,该控制与处理模块还包括一记忆单元,储存有该第一媒体访问控制地址与该第三媒体访问控制地址,以供该第一转换单元与该第二转换单元存取之。
[0018]进一步地,该以太网络接口至少包括:
[0019]一网络物理层,用以与外部的该因特网达成通信;以及
[0020]一媒体访问控制层,透过一媒体独立接口(Media Independent Interface, Mil)而耦接至该网络物理层。
[0021]进一步地,该至少一 USB接口与该至少一控制与处理模块的数量为2组以上。
[0022]进一步地,还包括一交换核心模块(switching fabric),稱接于该至少一控制与处理模块与该以太网络接口之间。
[0023]与现有技术相比,本发明的有益效果是:
[0024]本发明的网络安全装置连接于一第一数据传收终端与一因特网之间,用以将该第一数据传收终端通过该因特网传送至远程一第二数据传收终端的数据封包中所包含的MAC地址进行转换,通过此方式提供网络数据传输的安全性。并且,当第二数据传收终端通过因特网传送数据予第一数据传收终端时,本发明的网络安全装置也会将第二数据传收终端所送出的数据封包中所包含的MAC地址进行转换,提供有效的双向数据传输上的安全防护。
【附图说明】
[0025]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0026]图1为网络安全架构的示意图;
[0027]图2为本发明的一种网络安全装置的应用示意图;
[0028]图3为网络安全装置的方块架构图;以及
[0029]图4为网络安全装置的第二实施架构的应用示意图。
[0030]图中:
[0031]1 网络安全装置
[0032]2 第一资料传收终端
[0033]3 因特网
[0034]11 USB 界面
[0035]12 控制与处理模块
[0036]13 以太网络接口
[0037]111 USB 物理层
[0038]112 USB串行接口引擎
[0039]113 USB收发单元
[0040]121 第一转换单元
[0041]122 第二转换单元
[0042]123 记忆单元
[0043]4 第二资料传收终端
[0044]131 网络物理层
[0045]132 媒体访问控制层
[0046]133 媒体独立接口
[0047]2a 第三资料传收终端
[0048]14 交换核心模块
[0049]11’ 公司内部计算机
[0050]12’ 网络访问控制装置
[0051]13’ 因特网
[0052]14’ 接收端计算机
【具体实施方式】
[0053]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。在本发明的一个附图或一种实施方式中描述的元素和特征可以与一个或更多个其它附图或实施方式中示出的元素和特征相结合。应当注意,为了清楚的目的,附图和说明中省略了与本发明无关的、本领域普通技术人员已知的部件和处理的表示和描述。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0054]请参阅图2,本发明的一种网络安全装置的应用示意图;并且,请同时参阅图3,网络安全装置的方块架构图。如图2与图3所示,本发明的网络安全装置1主要包括:一 USB接口 11、一控制与处理模块12与一以太网络接口 13,其中,该USB接口 11以其USB物理层111电连接至外部的一第一数据传收终端2,例如:具有媒体访问控制地址(Media AccessCont