专利名称:网固千兆防火墙系统的制作方法
技术领域:
本实用新型涉及一种网络信息安全领域,特别是一种放置于内部网和 外部网、专用网和公共网之间的一种网络信息安全系统。
背景技术:
伴随计算机技术的发展和网络应用的普及,越来越多的行业、企业与 个体都遭遇到不同程度的安全难题,并在积极寻求更为可靠的安全解决方 案。在目前采用的网络安全的防范体系中,防火墙占据着举足轻重的位置, 因此市场对防火墙的设备需求和技术要求都在不断提升。
与此同时,越来越严峻的网络安全问题也要求防火墙技术有更快的提
高。比如2003年爆发的"冲击波"病毒已经让全球深切感受到维护网络安 全的紧迫和严峻性。随着信息技术的发展,人们在工作和生活越来越依赖 于网络。但是近年来,网络攻击的发展趋势是逐渐转向高层应用。根据 Gartner的分析,目前对网络的攻击有70%以上是集中在应用层,并且这 一数字呈上升趋势。应用层的攻击有可能会造成非常严重的后果,比如用 户账号丢失和公司机密泄漏等。同时,随着新发现的漏洞和对这些漏洞的 快速攻击,各类组织和企业都面临着越来越高的风险。各类入侵、蠕虫、 木马、间谍软件和D0S攻击等安全事件频频发生,并且造成了巨大的损失。 因此,需要部署先进的前瞻性防护系统,以抵御各类攻击并保护其网络基 础架构和关键业务系统。
实用新型内容
针对现有技术中存在的不足之处,本实用新型提供一种网固千兆防火 墙系统,其可保护内部网免受非法用户的侵入,降低内部网电脑遭受蠕 虫、木马、间谍软件等攻击,同时规范内部网计算机用户对网络的有序使 用。
为实现上述目的,本实用新型技术方案为
网固千兆防火墙系统,其由内/外网备用口依序连接处理器、策略芯片 及数据存储器,处理器还连接有电源、内存、一C0M 口、内网网络口及外 网网络口 ;所述的数据存储器还与处理器及内网网络口和外网网络口连接; 所述的内网网络口及外网网络口与数据存储器电源与处理器之间设置IDE 口;内存与处理器之间设置内存插槽;电源与处理器之间设置ATX接口; 所述的处理器负责响应和处理所有请求指令;所述的内存插槽为内存缓冲 区,保存所有缓冲数据;IDE 口用于连接数据存储器;ATX接口用于连接电 源;COM 口为调试串口,提供调试主板的接连口;策略芯片主要中转处理 设备中的规则策略;内网网络口用于连接内网网络口;内/外网备用口为内 /外网的备用端口;外网网络口用于连接内网网络口。
上述技术方案的有益之处在于-
本实用新型网固千兆防火墙系统的产品硬件主要由工业控制主板、数 据存储和电源组成一个1U的网络设备。其中工业控制主板是最核心硬件, 主板上整合处理器、策略芯片、内存等硬件。
本新型专利首先在内部网、外部网或外部网、专用网之间架设设备。这样在两个网络之间形成一个安全网关,在两个网络之间进行数据流 动的时候必须通过设备才能进行流通。对于受保护的信息,用户只有在获 得授权后才能访问它。防火墙的功能设计,集中了包过滤、电路级网关、 应用级网关等各类防火墙的主要特点,经有机结合而成。
图1为本实用新型工作原理图。
具体实施方式
现结合附图和实施例说明本实用新型。
如图1所示的网固千兆防火墙系统,其由内/外网备用口 9依序连接处 理器l、策略芯片6及数据存储器,处理器l还连接有电源、内存、一C0M 口 5、内网网络口 7及外网网络口 10。所述的数据存储器还与处理器1及 内网网络口 7和外网网络口 10连接;所述的内网网络口 7及外网网络口 10与数据存储器电源与处理器1之间设置IDE 口 3。内存与处理器1之间 设置内存插槽2;电源与处理器1之间设置ATX接口4。
处理器1为主板最核心部分,主要由运算器和控制器组成,负责响应 和处理所有请求指令。主板上其他设备均围绕着处理器1进行工作。
内存插槽2保存系统在启动时的一些数据,同时作为缓冲区在数据进 行交换过程中进行一个中转站的作用。
IDE 口 3连接数据存储器,在数据存储器中保存着产品操作系统程序。 系统会保存管理员设置的产品规则和策略。处理器1发送请求经过数据存 储器中的验证后进行下一步操作。ATX接口4,提供主板供电。
COM 口 5,主要对内/外网主板进行配置,主板在初始化时已经进行了 默认配置,在某些情况下需要对主板的BIOS进行设置以符合用户要求。
策略芯片6,基于神经网络的规则配置引擎,根据管理员日常配置习 惯,自动产生专有的包过滤/访问规则,实现人工智能模型,自动根据用户 操作行为生成各种分析和审计报告。芯片会发送请求给处理器1,然后访问 数据处理中心对已经有的规则和策略进行分析与整理。
内网网络口 7,主要用于连接内网的网络端口,主要用于访问外网网 络数据时的连接通道。同时当访问请求得到通过后由外网返回的请求结果 数据也将由此进行转发到对应的机器上。
本实用新型还设有一连接处理器1的DMZ 口 8。 一般网络分成内网和 外网,也就是LAN和WAN,那么,当你有1台物理位置上的1台服务器,需 要被外网访问,并且,也被内网访问的时候,那么,有2种方法, 一种是 放在LAN中, 一种是放在DMZ。因为防火墙默认情况下,是为了保护内网 的,所以, 一般的策略是禁止外网访问内网,许可内网访问外网。但如果 这个服务器能被外网所访问,那么,就意味着这个服务器已经处于不可信 任的状态,那么,这个服务器就不能主动访问内网。所以,如果服务器放 在内网通过端口重定向让外网访问, 一旦这个服务器被攻击,则内网将会 处于非常不安全的状态。但DMZ就是为了让外网能访问内部的资源,也就 是这个服务器,而内网呢,也能访问这个服务器,但这个服务器是不能主 动访问内网的。DMZ就是这样的一个区域。为了让物理位置在内网的,且,希望能被外网所访问的这样的一个区域。根据用户需要来启用。
内/外网备用口 9,为产品备用网络端口。
外网网络口 IO:其等同于内网网络口 7,用于响应内网网络口 7的请求, 转发请求所需要的数据,经过处理器1将数据包进行过滤后转发到内网网 络口 7。
本新型专利网固千兆防火墙系统首先在内部网、外部网或外部网、专 用网之间架设设备。这样在两个网络之间形成一个安全网关,在两个网络
之间进行数据流动的时候必须通过设备才能进行流通。设备工作过程如下 首先,在内部网和外部网或者外部网和专用网之间发生数据包交换的
时候,这时主板的内网网络口 7或者外网网络口 10会接收一个数据包请求,
请求直接由处理器1接收。处理器1接收请求后进行处理,在处理过程中
先将由内网网络口 7或者外网网络口 10发送的数据包放入内存插槽2,同 时通过对该请求进行验证其合法性。通过IDE 口 3连接的数据存储器中的 安全操作系统进行验证,得到通过后再根据IDE 口 3连接的数据存储器中 的已经设置好的规则和策略对数据进行检验,比如关键字过滤、URL过 滤、数据类型检测等等。这些规则和策略是通过调试串口 5连接的服务器 进行配置和管理。
当数据缓冲区的数据包得经过检验后,再通过处理器1将数据发送到 对应内网网络口 7或者外网网络口 10。这时就完成一个数据包交换过程。 在此过程中,内存插槽2内的数据的连接通道只不允许进行直接访问,只 有经过身份授权才能得到访问,确保数据在传输过程中的安全性。同理,假设两个不同网络要进行访问,此时内网网络口 7或者外网网 络口 IO发送一个请求访问的请求。处理器1接收并响应这个请求,处理器 1会将请求发送到IDE 口 3连接的存储器中的安全操作系统,系统会对该 请求进行规则和策略的验证,当请求不符合系统规则和策略设定的时候, 会拒绝响应该请求丢弃请求向处理器1发送请求不合格反馈。并在数据存 储器的日志功能模块中记录该次请求的详细过程,供管理人员査看。处理 器l会将结论返回到内网网络口 7或者外网网络口 10。
如果请求符合系统规则和策略设定,则该请求得到响应,执行请求的 内容。这时请求所需要的数据就会经过主板验证后发送到内网网络口 7或 者外网网络口 10, IDE 口 3连接的数据存储器会记录下该次请求的全过程 日志。
再者,在主板上集成一块策略芯片6。策略芯片6的主要作用在于 基于神经网络的规则配置引擎,根据管理员日常配置习惯,自动产生专有 的包过滤/访问规则,实现人工智能模型,自动根据用户操作行为生成各种 分析和审计报告。策略芯片的工作原理在于,向处理器1发送请求,请求 响应后直接转发到IDE 口 3连接的数据存储中心的操作系统,操作系统会 根据请求进行响应。最终策略和规则有一部分会根据策略芯片的自主整合 产生,提交到操作系统进行使用。
权利要求1、网固千兆防火墙系统,特征在于其由内/外网备用口(9)依序连接处理器(1)、策略芯片(6)及数据存储器,处理器(1)还连接有电源、内存、一COM口(5)、内网网络口(7)及外网网络口(10);所述的数据存储器还与处理器(1)及内网网络口(7)和外网网络口(10)连接;所述的内网网络口(7)及外网网络口(10)与数据存储器电源与处理器(1)之间设置IDE口(3);内存与处理器(1)之间设置内存插槽(2);电源与处理器(1)之间设置ATX接口(4);所述的处理器(1)负责响应和处理所有请求指令;内存插槽(2)为内存缓冲区,保存所有缓冲数据;IDE口(3)用于连接数据存储器;ATX接口(4)用于连接电源;COM口(5)为调试串口,提供调试主板的接连口;策略芯片(6)主要中转处理设备中的规则策略;内网网络口(7)用于连接内网网络口;内/外网备用口(9)为内/外网的备用端口;外网网络口(10)用于连接内网网络口。
2、 如权利要求1所述的网固千兆防火墙系统,特征在于所述的处理器(l)还连接一DMZ口 (8),该DMZ口 (8)用于隔离外部服务器。
专利摘要本实用新型公开一种网固千兆防火墙系统,其由内/外网备用口依序连接处理器、策略芯片及数据存储器,处理器还连接有电源、内存、一COM口、内网网络口及外网网络口。所述的数据存储器还与处理器及内网网络口和外网网络口连接;所述的内网网络口及外网网络口与数据存储器电源与处理器之间设置IDE口。内存与处理器之间设置内存插槽;电源与处理器之间设置ATX接口。与现有技术相比,本实用新型在内部网、外部网或外部网、专用网之间架设设备。其可保护内部网免受非法用户的侵入,降低内部网电脑遭受蠕虫、木马、间谍软件等攻击,同时规范内部网计算机用户对网络的有序使用。
文档编号H04L29/06GK201403102SQ20092013765
公开日2010年2月10日 申请日期2009年4月16日 优先权日2009年4月16日
发明者陈京鹭 申请人:厦门柏事特信息科技有限公司