专利名称:一种拨号安全网关装置的制作方法
技术领域:
本实用新型涉及一种拨号安全网关装置,特别是针对电力系统高安全性、 低速率要求而设计的拨号安全网关装置。
背景技术:
目前,IPSec-VPN在VPN技术当中占主导地位,但大多数IPSec-VPN产 品都是通过Internet建立连接,相对电话网而言,Internet上的安全威胁 要大很多,数据、信息的传输也更容易被发现进而遭受攻击。也有采用电话 拨号的方式建立连接的,但其PPP拨号IP地址的分配是由电信公网来动态分 配的,其每次拨号建立连接所获得的IP地址都不一样,这样通信就很不方便, 更重要的是所获得的IP地址会暴露在公共Internet上,这就对系统总体安 全构成威胁,为攻击提供了机会。因此现有技术存在不足通信不方便,使 用不安全,容易遭受攻击。
实用新型内容
本实用新型所要解决的技术问题是克服现有技术的不足,提供一种通信 方便、使用安全、不易遭受攻击的拨号安全网关装置。
本实用新型所采用的技术方案是本实用新型包括普通PC机、拨号安全 网关、网络设备,所述普通PC机与所述拨号安全网关连接,所述网络设备通 过串口线与所述拨号安全网关连接,所述拨号安全网关包括至少一个调制解 调器、计算机主板、网卡接口、 USB外接口、电话线接口、电源,所述计算 机主板上设置有CPU、内存条、存储卡、网卡、USB接口、串口,所述电话线 接口与所述调制解调器相连接,所述调制解调器通过所述串口与所述计算机 主板相连接,所述网卡通过所述网卡接口与内部网相连接,所述USB接口与 所述USB外接口相连接。
3所述拨号安全网关还包括外接串口 ,所述外接串口通过所述串口与所述 计算机主板相连接,所述外接串口还与所述调制解调器相连接。
本实用新型的有益效果是本实用新型由于包括普通PC机、拨号安全网 关、网络设备,所述普通PC机与所述拨号安全网关连接,所述网络设备通过 串口线与所述拨号安全网关连接,本实用新型可以直接与电话连接拨号方式 的PPP拨号连接,由人工静态地分配IP地址,而且IP地址不会暴露在 Internet上,降低了数据通过Internet传输时遭受攻击的可能性,解决了 IP地址动态分配的局限性以及IP地址在Internet上暴露等问题,而且解决 了网络转串口即网络设备通过串口的远程配置与维护问题,所以通信方便,
使用安全,不易遭受攻击;由于设置有外接串口,可以通过串口对一些网络 设备进行远程的配置和维护,所以通信方便。
图1是本实用新型拨号安全网关的结构示意图; 图2是本实用新型使用实施例的结构示意图。
具体实施方式
如图1、图2所示,本实用新型包括普通PC机32、拨号安全网关31、 网络设备33,所述普通PC机32与所述拨号安全网关31连接,所述拨号安 全网关31与内部网30通过网络接线连接,所述网络设备33通过串口线与所 述拨号安全网关31连接,远程客户端34通过电话线与所述拨号安全网关31 连接。所述拨号安全网关31包括两个调制解调器1、计算机主板2、网卡接 口3、外接串口4、 USB外接口5、电话线接口6、电源7。所述计算机主板2 上设置有串口20、 USB接口21、网卡22、 CPU23、储存卡24、内存条25, 所述电话线接口 6与所述调制解调器1相连接,所述调制解调器1和所述外 接串口 4通过串口 20与计算机主板2相连接,所述网卡接口3、所述USB个 接口 5分别与USB接口 21、网卡22相连接,所述电源7分别与所述调制解
4调器1和所述计算机主板2相连接。
所述储存卡24中设置有管理与配置模块、PPP网络接入模块、身份验证 模块、VPN模块、防火墙模块、日志与审计模块。其中所述管理与配置模块 用于配置所述拨号安全网关装置和各拔号用户的静态IP,将各拔号用户的用 户名、密码以及静态IP进行绑定;所述PPP网络接入模块提供直连拨号服 务器的功能,所述远程客户端通过拨打拨号安全网关装置的电话号码,安全 网关装置的所述调制解调器1给予响应,CPU通过串口线向所述调制解调器1 发送指令或数据,就可以通过普通电话线建立起通讯链路;所述身份验证模 块用于身份验证功能,拨号安全网关和远程客户端必须向对方出示自己的电 子证书,各自验证对方为自己所信任才能开始发送数据,并且发送的数据被 加密,电子证书存储在智能卡中,CPU通过USB接口线获得该证书;所述VPN 模块提供加密服务,和远程客户端访问内部网多台主机的能力,从网卡收到 的通讯数据,将被本模块加密后通过所述调制解调器1发送给远程客户端; 所述从调制解调器收到的数据,将被解密然后从网卡通过网卡接口发送到内 部网的主机;所述防火墙模块用于控制远程客户端能访问那些内部网主机; 所述日志与审计模块用于对远程客户端的通讯进行记录、查询,为日后追查 提供依据。
由于远程客户端通过拨打所述拨号安全网关装置的电话号码,所述PPP 网络接入模块采用直接与电话连接拨号方式的PPP拨号连接,由人工静态地 分配IP地址,而且IP地址不会暴露在Internet上,所以使用安全;由于用 于配置拨号安全网关参数的所述管理与配置模块对有关参数进行管理,采用 的是电话网拨号连接,在建立PPP拨号连接前,先对本拨号安全网关装置进 行配置,此时分配好服务器和各拨号用户的静态IP,将各拨号用户的用户名、 密码以及静态IP进行绑定,在建立PPP拨号连接时,采用电话直连拨号的方 式,通过拨号用户的用户名和密码的标识在服务器上获得已经分配好的静态 IP地址,用于身份验证的所述身份验证模块和用于提供加密服务和远程客户 端访问内部网多台主机的所述VPN模块在建立拨号用的用户名和密码不以明 文方式记录在文件/etc/ppp/pap-secrets或/etc/ppp/ch即-secrets中,而是使用操作系统验证本地用户的方法对拨号用户进行验证,既密码经过
shadow编码加密后存储,并且该拨号用户不能从本地登录系统,只能通过拨 号得到网络连接,该用户所分配的IP地址保存在7.ppprc下,每个拨号用 户都用不同的.ppprc文件,以分配不同的IP地址,创建拨号用户是通过脚 本vpnuser完成,该脚本读取使用标准命令useradd命令创建一个本地用户, 登录shell为/sbin/nologin,即不能使用shell登录本地,useradd命令并 完成用户密码的加密存储vpnuser脚本在该用户的home目录下创建.ppprc 文件,写入要分配给该用户的PPPIP地址,这样该用户在拨号的过程中,通 过输入的用户名和密码,就可以获得已经分配好的PPPIP地址,所以通信方 便,使用安全,由于本实用新型还提供了网络转串口技术,可以通过串口对 一些网络设备进行远程的配置和维护,所以通信方便。总的来说,本实用新 型可以在使用IPSec-VPN技术进行数据传输与通信的时候更有效的提高其安 全性,降低了数据通过Internet传输时遭受攻击的可能性;解决了 IP地址 动态分配的局限性以及IP地址在Internet上暴露等问题,而且解决了网络 转串口即网络设备通过串口的远程配置与维护问题。
工作原理将本实用新型连接好后,首先通过一台所述普通PC机32对 所述拨号安全网关31进行配置。在配置的过程中,除了对网络接口、路由、 防火墙规则等进行设置外,还预先设定好每个所述远程客户端34的用户名、 密码以及PPP IP并将其绑定在一起,当所述远程客户端34进行电话拨号时, 输入自己合法的用户名和密码,即可以连接到所述拨号安全网关31上并获得 pppIP。在通过双向的身份认证后,在所述远程客户端34与所述拨号安全网 关31之间建立一个安全的VPN隧道连接,所有数据包都要经过防火墙模块的 检测,符合规则的数据包将经过所述VPN模块的处理后在两者之间传输。在 VPN安全隧道建立好以后,所述远程客户端34即已经虚拟成了所述内部网30 中的一台计算机,可以实现局域网内的资源共享。还可以在所述拨号安全网 关31与待调试或维护的所述网络设备33之间连接一根串口线,通过网络转 串口技术,所述远程客户端34可以对待调试或维护的所述网络设备33进行 远程维护。
权利要求1、一种拨号安全网关装置,包括普通PC机(32)、拨号安全网关(31)、网络设备(33),所述普通PC机(32)与所述拨号安全网关(31)连接,所述网络设备(33)通过串口线与所述拨号安全网关(31)连接,其特征在于所述拨号安全网关(31)包括至少一个调制解调器(1)、计算机主板(2)、网卡接口(3)、USB外接口(5)、电话线接口(6)、电源(7),所述计算机主板(2)上设置有CPU(23)、内存条(25)、存储卡(24)、网卡(22)、USB接口(21)、串口(20),所述电话线接口(6)与所述调制解调器(1)相连接,所述调制解调器(1)通过所述串口(20)与所述计算机主板(2)相连接,所述网卡(22)通过所述网卡接口(3)与内部网相连接,所述USB接口(21)与所述USB外接口(5)相连接。
2、 根据权利要求2所述的拨号安全网关装置,其特征在于所述拨号安全网 关(31)还包括外接串口 (4),所述外接串口 (4)通过所述串口与所述 计算机主板(2)相连接,所述外接串口 (4)还与所述调制解调器(1) 相连接。
专利摘要本实用新型公开了一种拨号安全网关装置,旨在提供一种通信方便、使用安全、不易遭受攻击的拨号安全网关装置。该拨号安全网关装置包括普通PC机(32)、拨号安全网关(31)、网络设备(33),所述普通PC机(32)与所述拨号安全网关(31)连接,所述网络设备(33)通过串口线与所述拨号安全网关(31)连接,所述拨号安全网关(31)包括至少一个调制解调器(1)、计算机主板(2)、网卡接口(3)、USB外接口(5)、电话线接口(6)、电源(7),所述计算机主板(2)上设置有CPU(23)、内存条(25)、存储卡(24)、网卡(22)、USB接口(21)、串口(20)。本实用新型可广泛用于高安全性、低速率要求网络通信系统中。
文档编号H04L9/00GK201315596SQ200820205700
公开日2009年9月23日 申请日期2008年12月22日 优先权日2008年12月22日
发明者刘智勇 申请人:珠海市鸿瑞软件技术有限公司