一种可信隔离网关的制作方法

文档序号:7766534阅读:391来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种可信隔离网关的制作方法
技术领域
本发明涉及一种网关,特别是一种可信隔离网关。
背景技术
网关是一种重要的网络安全设备,目前国内外常见的网关设备包括防火墙、统一 威胁管理系统、防病毒网关等。这些网关设备均采用单主机结构,由主机板、网络接口卡组 成,基于TCP/IP协议对网络数据包包头及载荷进行匹配过滤的方式进行访问控制。但这 些网关设备存在以下不足基于数据包过滤的访问控制方法防护能力较弱;不能防御基于 TCP/IP协议的网络攻击;无法防止重要信息通过网络泄露;设备本身存在漏洞,如被攻击 可能成为攻击者的跳板。由于存在上述不足,出现了另一种网络安全设备--网闸,网闸普 遍采用双主机结构,由内网主机板、外网主机板、网络接口模块和隔离卡组成。两块主机板 分别连接内外网,双主机板间通过隔离卡连接。网闸的工作方式是对TCP/IP协议进行剥 离,提取协议内容并采用专用网络协议传输,因此可以实现机密信息的检查,防御基于TCP/ IP协议的网络攻击。但网间处理网络转发速度较慢,容易成为网络瓶颈,因此仅应用在对网 络安全要求较高的环境中。

发明内容
本发明的目的在于提供一种可信隔离网关,解决目前网关设备安全防护能力和网 络转发性能不能同时兼顾的问题。一种可信隔离网关,包括外网主机板、内网主机板、网络接口模块A、网络接口模 块B和安全隔离卡,还包括多核网络处理器A、多核网络处理器B、启动引导模块A、启动引 导模块B、安全控制模块A、安全控制模块B、内网协议处理板和外网协议处理板。其中,安 全控制模块A和安全控制模块B的组成相同,包括数据包分类单元、访问控制单元、协议 代理单元、内容检测单元、抗网络攻击单元、防病毒单元、可信接入单元、文件传输单元和安 全审计单元。其中,数据包分类单元用于对数据包进行分类,访问控制单元用于控制数据 包的转发,协议代理单元用于识别应用协议、提取协议数据,内容检测单元用于检测协议数 据,抗网络攻击单元用于检测和抵御网络攻击,防病毒单元用于检测协议数据包含的病毒, 可信接入单元用于验证接入计算机是否可信,文件传输单元用于在内网主机板和外网主机 板间通过安全隔离卡传输文件,安全审计单元用于记录安全审计信息。网络接口模块A、多核网络处理器A、启动引导模块A和安全控制模块A分别与外 网主机板连接,网络接口模块B、多核网络处理器B、启动引导模块B和安全控制模块B分别 与内网主机板连接。网络接口模块A的一端和网络接口模块B的一端相互连接,网络接口 模块A的另一端、外网协议处理板、安全隔离卡、内网协议处理板和网络接口模块B的另一 端顺次连接。安全控制模块A和安全控制模块B中,数据包分类单元的输出端分别与访问 控制单元、可信接入单元和抗网络攻击单元连接,可信接入单元和抗网络攻击单元的输出 端分别与访问控制单元连接,访问控制单元的输出端与协议代理单元连接,协议代理单元的输出端分别与内容检测单元和防病毒单元连接,防病毒单元和内容检测单元的输出端分 别与文件传输单元连接,抗网络攻击单元、可信接入单元、内容检测单元和防病毒单元的输 出端分别与安全审计单元连接。可信隔离网关加电后,内网主机板和外网主机板分别加电启动。启动引导模块A 首先对多核网络处理器A、网络接口模块A、安全控制模块A和外网协议处理板进行合法性 认证和工作状态检查,认证和检查完成后设置网络接口模块A的工作模式,调用多核网络 处理器A加载安全控制模块A,进入工作状态。启动引导模块B首先对多核网络处理器B、 网络接口模块B、安全控制模块B、内网协议处理板和安全隔离卡进行合法性认证和工作状 态检查,认证和检查完成后设置网络接口模块B的工作模式,调用多核网络处理器B加载安 全控制模块B,进入工作状态。内网主机板和外网主机板进入工作状态后等待接收并处理网络数据包。可信隔离 网关通过数据包分类单元,根据数据包的流向和数据包五元组对通过可信隔离网关的数据 包进行分类,对于不同类型的数据实现调用不同的模块和单元进行处理对于从外部广域网到内部局域网的网络访问,由网络接口模块A接收网络数据, 输出给数据包分类单元进行分类,然后输出给抗网络攻击单元进行抗网络攻击规则检查, 通过抗网络攻击检查的数据包输出给访问控制单元进行访问控制规则检查,根据访问控制 规则,丢弃数据包或转发数据包到网络接口模块B,最终转发数据包到内部局域网。对于从外部广域网到内部局域网的文件传输,网络接口模块A接收网络数据,输 出给数据包分类单元进行分类,然后输出给抗网络攻击单元进行抗网络攻击规则检查,通 过抗网络攻击检查的网络数据包输出给访问控制单元进行访问控制规则检查,根据访问控 制规则,丢弃数据包或将数据包输出给协议代理单元,协议代理单元解析数据包协议,提取 协议负载数据形成文件,输出给防病毒单元进行病毒检查,通过病毒检查的文件输入文件 传输单元,传输到外网协议处理板,外网协议处理板将接收到文件以专用隔离协议的格式 通过安全隔离卡发送到内网协议处理板,内网协议处理板解析专用隔离协议以文件的形式 发送到网络接口模块B,并最终转发数据包到内部局域网。对于从内部局域网到广域网的非授权用户访问,网络接口模块B接收网络数据, 输出给数据包分类单元进行分类,然后输出给访问控制单元进行访问控制规则检查,根据 访问控制规则,丢弃数据包或转发数据包到网络接口模块A,并最终转发数据包到外部广域 网。对于从内部局域网到广域网的授权用户访问,网络接口模块B接收网络数据,输 出给数据包分类单元进行分类,然后输出给可信接入单元进行可信接入认证,通过认证的 数据包输出给访问控制单元进行访问控制规则检查,根据访问控制规则,丢弃数据包或转 发数据包到网络接口模块A,最终转发数据包到外部广域网。对于从局域网到广域网的文件传输,网络接口模块B接收网络数据,输出给数据 包分类单元进行分类,然后输出给访问控制单元进行访问控制规则检查,根据访问控制规 则,丢弃数据包或将数据包输出给协议代理单元,协议代理单元解析数据包协议,提取协议 负载数据形成文件,输出给内容检测单元对文件内容进行检查,发现是否有敏感信息泄漏, 通过内容检测的文件输入文件传输单元,传输到内网协议处理板,内网协议处理板将接收 到文件以专用隔离协议的格式通过安全隔离卡发送到外网协议处理板,外网协议处理板解析专用隔离协议以文件的形式发送到网络接口模块A,最终实现到外部广域网的文件传输。本发明将防火墙、网闸、UTM、防病毒网关、可信网络接入认证设备集成在一套系统 中实现,通过在内网主机板和外网主机板间调用不同的模块实现对不同类型数据的传输, 解决了目前网关类设备网络转发性能和安全防护能力不能兼顾的问题,实现了网络边界安 全的一体化解决。


图1 一种可信隔离网关的结构示意图;图2 —种可信隔离网关的安全控制模块A和安全控制模块B的结构示意图;图3 —种可信隔离网关的外网到内网网络访问工作过程示意图;图4 一种可信隔离网关的外网到内网文件传输工作过程示意图;图5 —种可信隔离网关的内网到外网非授权访问工作过程示意图;图6 —种可信隔离网关的内网到外网授权访问工作过程示意图;图7 —种可信隔离网关的内网到外网文件传输工作过程示意图。1.外网主机板 2.内网主机板3.安全隔离卡4.网络接口模块A 5.多 核网络处理器A6.启动引导模块A 7.安全控制模块A 8.网络接口模块B 9.多核网络 处理器B10.启动引导模块B 11.安全控制模块B 12.外网协议处理板 13.内网 协议处理板14.抗网络攻击单元 15.访问控制单元 16.协议代理单元 17.防病毒单元 18.文件传输单元19.安全审计单元20.可信接入单元21.内容检测单元22.数据包分类单元
具体实施例方式一种可信隔离网关,包括外网主机板1、内网主机板2、网络接口模块A 4、网络接 口模块B 8和安全隔离卡3,还包括多核网络处理器A 5、多核网络处理器B 9、启动引导 模块A 6、启动引导模块B 10、安全控制模块A 7、安全控制模块B 11、内网协议处理13和 外网协议处理板12。其中,安全控制模块A 7和安全控制模块B 11的组成相同,包括数 据包分类单元22、访问控制单元15、协议代理单元16、内容检测单元21、抗网络攻击单元 14、防病毒单元17、可信接入单元20、文件传输单元18和安全审计单元19。其中,数据包 分类单元22用于对数据包进行分类,访问控制单元15用于控制数据包的转发,协议代理单 元16用于识别应用协议、提取协议数据,内容检测单元21用于检测协议数据,抗网络攻击 单元14用于检测和抵御网络攻击,防病毒单元17用于检测协议数据包含的病毒,可信接入 单元20用于验证接入计算机是否可信,文件传输单元18用于在内网主机板2和外网主机 板1间通过安全隔离卡3传输文件,安全审计单元19用于记录安全审计信息。网络接口模块A 4、多核网络处理器A 5、启动引导模块A 6和安全控制模块A 7 分别与外网主机板1连接,网络接口模块B 8、多核网络处理器B 9、启动引导模块B 10和 安全控制模块B 11分别与内网主机板2连接。网络接口模块A 4的一端和网络接口模块B 8的一端相互连接,网络接口模块A 4的另一端、外网协议处理板12、安全隔离卡3、内网 协议处理板13和网络接口模块B 8的另一端顺次连接。安全控制模块A 7和安全控制模 块B 11中,数据包分类单元22的输出端分别与访问控制单元15、可信接入单元20和抗网 络攻击单元14连接,可信接入单元20和抗网络攻击单元14的输出端分别与访问控制单元 15连接,访问控制单元15的输出端与协议代理单元16连接,协议代理单元16的输出端分 别与内容检测单元21和防病毒单元17连接,防病毒单元17和内容检测单元21的输出端 分别与文件传输单元18连接,抗网络攻击单元14、可信接入单元20、内容检测单元21和防 病毒单元17的输出端分别与安全审计单元19连接。可信隔离网关加电后,内网主机板2和外网主机板1分别加电启动。启动引导模 块A 6首先对多核网络处理器A 5、网络接口模块A 4、安全控制模块A 7和外网协议处理 板12进行合法性认证和工作状态检查,认证和检查完成后设置网络接口模块A 4的工作模 式,调用多核网络处理器A 5加载安全控制模块A 7,进入工作状态。启动引导模块B 10首 先对多核网络处理器B 9、网络接口模块B 8、安全控制模块B11、内网协议处理板13和安全 隔离卡3进行合法性认证和工作状态检查,认证和检查完成后设置网络接口模块B 8的工 作模式,调用多核网络处理器B 9加载安全控制模块B 11,进入工作状态。内网主机板2和外网主机板1进入工作状态后等待接收并处理网络数据包。可信 隔离网关通过数据包分类单元22,根据数据包的流向和数据包五元组对通过可信隔离网关 的数据包进行分类,对于不同类型的数据实现调用不同的模块和单元进行处理对于从外部广域网到内部局域网的网络访问,由网络接口模块A 4接收网络数 据,输出给数据包分类单元22进行分类,然后输出给抗网络攻击单元14进行抗网络攻击规 则检查,通过抗网络攻击检查的数据包输出给访问控制单元15进行访问控制规则检查,根 据访问控制规则,丢弃数据包或转发数据包到网络接口模块B 8,最终转发数据包到内部局 域网。对于从外部广域网到内部局域网的文件传输,网络接口模块A 4接收网络数据, 输出给数据包分类单元22进行分类,然后输出给抗网络攻击单元14进行抗网络攻击规则 检查,通过抗网络攻击检查的网络数据包输出给访问控制单元15进行访问控制规则检查, 根据访问控制规则,丢弃数据包或将数据包输出给协议代理单元16,协议代理单元16解析 数据包协议,提取协议负载数据形成文件,输出给防病毒单元17进行病毒检查,通过病毒 检查的文件输入文件传输单元18,传输到外网协议处理板12,外网协议处理板12将接收到 文件以专用隔离协议的格式通过安全隔离卡3发送到内网协议处理板13,内网协议处理板 13解析专用隔离协议以文件的形式发送到网络接口模块B 8,并最终转发数据包到内部局 域网。对于从内部局域网到广域网的非授权用户访问,网络接口模块B 8接收网络数 据,输出给数据包分类单元22进行分类,然后输出给访问控制单元15进行访问控制规则检 查,根据访问控制规则,丢弃数据包或转发数据包到网络接口模块A 4,并最终转发数据包 到外部广域网。对于从内部局域网到广域网的授权用户访问,网络接口模块B 8接收网络数据, 输出给数据包分类单元22进行分类,然后输出给可信接入单元20进行可信接入认证,通过 认证的数据包输出给访问控制单元15进行访问控制规则检查,根据访问控制规则,丢弃数据包或转发数据包到网络接口模块A 4,最终转发数据包到外部广域网。
对于从局域网到广域网的文件传输,网络接口模块B 8接收网络数据,输出给数 据包分类单元22进行分类,然后输出给访问控制单元15进行访问控制规则检查,根据访问 控制规则,丢弃数据包或将数据包输出给协议代理单元16,协议代理单元16解析数据包协 议,提取协议负载数据形成文件,输出给内容检测单元21对文件内容进行检查,发现是否 有敏感信息泄漏,通过内容检测的文件输入文件传输单元18,传输到内网协议处理板13, 内网协议处理板13将接收到文件以专用隔离协议的格式通过安全隔离卡3发送到外网协 议处理板12,外网协议处理板12解析专用隔离协议以文件的形式发送到网络接口模块A4, 最终实现到外部广域网的文件传输。
权利要求
1. 一种可信隔离网关,包括外网主机板(1)、内网主机板(2)、网络接口模块A(4)、 网络接口模块B(8)和安全隔离卡(3),其特征在于还包括多核网络处理器A(5)、多核网 络处理器B (9)、启动引导模块A (6)、启动引导模块B(IO)、安全控制模块A (7)、安全控制模 块B(ll)、内网协议处理(13)和外网协议处理板(12);其中,安全控制模块A(7)和安全控 制模块B(Il)的组成相同,包括数据包分类单元(22)、访问控制单元(15)、协议代理单元(16)、内容检测单元(21)、抗网络攻击单元(14)、防病毒单元(17)、可信接入单元(20)、文 件传输单元(18)和安全审计单元(19);其中,数据包分类单元(22)用于对数据包进行分 类,访问控制单元(15)用于控制数据包的转发,协议代理单元(16)用于识别应用协议、提 取协议数据,内容检测单元(21)用于检测协议数据,抗网络攻击单元(14)用于检测和抵御 网络攻击,防病毒单元(17)用于检测协议数据包含的病毒,可信接入单元(20)用于验证接 入计算机是否可信,文件传输单元(18)用于在内网主机板(2)和外网主机板(1)间通过安 全隔离卡(3)传输文件,安全审计单元(19)用于记录安全审计信息;网络接口模块A (4)、多核网络处理器A (5)、启动引导模块A (6)和安全控制模块A (7) 分别与外网主机板(1)连接,网络接口模块B(8)、多核网络处理器B(9)、启动引导模块 B(IO)和安全控制模块B(Il)分别与内网主机板(2)连接;网络接口模块A(4)的一端和网 络接口模块B(8)的一端相互连接,网络接口模块A(4)的另一端、外网协议处理板(12)、安 全隔离卡(3)、内网协议处理板(13)和网络接口模块B(8)的另一端顺次连接;安全控制 模块A(7)和安全控制模块B(Il)中,数据包分类单元(22)的输出端分别与访问控制单元 (15)、可信接入单元(20)和抗网络攻击单元(14)连接,可信接入单元(20)和抗网络攻击 单元(14)的输出端分别与访问控制单元(15)连接,访问控制单元(15)的输出端与协议代 理单元(16)连接,协议代理单元(16)的输出端分别与内容检测单元(21)和防病毒单元(17)连接,防病毒单元(17)和内容检测单元(21)的输出端分别与文件传输单元(18)连 接,抗网络攻击单元(14)、可信接入单元(20)、内容检测单元(21)和防病毒单元(17)的输 出端分别与安全审计单元(19)连接;可信隔离网关加电后,内网主机板(2)和外网主机板(1)分别加电启动;启动引导模块 A(6)首先对多核网络处理器A(5)、网络接口模块A(4)、安全控制模块A(7)和外网协议处理 板(12)进行合法性认证和工作状态检查,认证和检查完成后设置网络接口模块A(4)的工 作模式,调用多核网络处理器A(5)加载安全控制模块A(7),进入工作状态;启动引导模块 B (10)首先对多核网络处理器B (9)、网络接口模块B⑶、安全控制模块B (11)、内网协议处 理板(13)和安全隔离卡(3)进行合法性认证和工作状态检查,认证和检查完成后设置网络 接口模块B(8)的工作模式,调用多核网络处理器B(9)加载安全控制模块B(11),进入工作 状态;内网主机板(2)和外网主机板(1)进入工作状态后等待接收并处理网络数据包;可信 隔离网关通过数据包分类单元(22),根据数据包的流向和数据包五元组对通过可信隔离网 关的数据包进行分类,对于不同类型的数据实现调用不同的模块和单元进行处理对于从外部广域网到内部局域网的网络访问,由网络接口模块A(4)接收网络数据,输 出给数据包分类单元(22)进行分类,然后输出给抗网络攻击单元(14)进行抗网络攻击规 则检查,通过抗网络攻击检查的数据包输出给访问控制单元(15)进行访问控制规则检查, 根据访问控制规则,丢弃数据包或转发数据包到网络接口模块B (8),最终转发数据包到内部局域网;对于从外部广域网到内部局域网的文件传输,网络接口模块A(4)接收网络数据,输 出给数据包分类单元(22)进行分类,然后输出给抗网络攻击单元(14)进行抗网络攻击规 则检查,通过抗网络攻击检查的网络数据包输出给访问控制单元(15)进行访问控制规则 检查,根据访问控制规则,丢弃数据包或将数据包输出给协议代理单元(16),协议代理单 元(16)解析数据包协议,提取协议负载数据形成文件,输出给防病毒单元(17)进行病毒 检查,通过病毒检查的文件输入文件传输单元(18),传输到外网协议处理板(12),外网协 议处理板(12)将接收到文件以专用隔离协议的格式通过安全隔离卡(3)发送到内网协议 处理板(13),内网协议处理板(13)解析专用隔离协议以文件的形式发送到网络接口模块 B(8),并最终转发数据包到内部局域网;对于从内部局域网到广域网的非授权用户访问,网络接口模块B(8)接收网络数据,输 出给数据包分类单元(22)进行分类,然后输出给访问控制单元(15)进行访问控制规则检 查,根据访问控制规则,丢弃数据包或转发数据包到网络接口模块A (4),并最终转发数据包 到外部广域网;对于从内部局域网到广域网的授权用户访问,网络接口模块B(8)接收网络数据,输出 给数据包分类单元(22)进行分类,然后输出给可信接入单元(20)进行可信接入认证,通过 认证的数据包输出给访问控制单元(15)进行访问控制规则检查,根据访问控制规则,丢弃 数据包或转发数据包到网络接口模块A(4),最终转发数据包到外部广域网;对于从局域网到广域网的文件传输,网络接口模块B(8)接收网络数据,输出给数据包 分类单元(22)进行分类,然后输出给访问控制单元(15)进行访问控制规则检查,根据访问 控制规则,丢弃数据包或将数据包输出给协议代理单元(16),协议代理单元(16)解析数据 包协议,提取协议负载数据形成文件,输出给内容检测单元(21)对文件内容进行检查,发 现是否有敏感信息泄漏,通过内容检测的文件输入文件传输单元(18),传输到内网协议处 理板(13),内网协议处理板(13)将接收到文件以专用隔离协议的格式通过安全隔离卡(3) 发送到外网协议处理板(12),外网协议处理板(12)解析专用隔离协议以文件的形式发送 到网络接口模块A (4),最终实现到外部广域网的文件传输。
全文摘要
本发明公开了一种可信隔离网关,包括外网主机板(1)、网络接口模块A(4)和安全隔离卡(3),还包括多核网络处理器A(5)、启动引导模块A(6)、安全控制模块A(7)、内网协议处理(13)和外网协议处理板(12)。网络接口模块A(4)、多核网络处理器A(5)、启动引导模块A(6)和安全控制模块A(7)分别与外网主机板(1)连接。可信隔离网关启动后,启动引导模块A(6)调用多核网络处理器A(5)加载安全控制模块A(7);启动引导模块B(10)调用多核网络处理器B(9)加载安全控制模块B(11),进入工作状态。本发明实现了安全防护能力和网络转发速度的兼顾。
文档编号H04L29/06GK102006246SQ201010560870
公开日2011年4月6日 申请日期2010年11月26日 优先权日2010年11月26日
发明者刘向东, 张继业, 袁玉峰, 郭丽娜, 郭旭东 申请人:中国航天科工集团第二研究院七○六所
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:张继业;郭旭东;郭丽娜;刘向东;袁玉峰
  • 技术所有人:中国航天科工集团第二研究院七○六所
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
可信边界安全网关相关技术
可信边界网关相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2