专利名称:无线网络统一威胁管理网关的制作方法
技术领域:
本实用新型涉及一种无线网络统一威胁管理网关。
二背景技术:
2004年9月,IDC首度提出了“统一威胁管理”的概念,将防病毒、入侵检测和防火 墙等安全设备划归为统一威胁管理(Unified Threat Management,简称UTM)这一新类别。 该概念一经提出便引起了业界的广泛关注,并推动了以整合式安全设备为代表的细分化市 场的诞生。早期的UTM产品往往出自两个源头一种是基于原有防火墙架构的,并在其上增 加其它各项安全功能而实现;而另一种则是基于原有IDS/IPS架构的,并在其上增加各项 功能而实现。很多早期的UTM产品更像是防火墙或IDS/IPS产品的改进版,产品本身并没 有发生实质性的飞跃,UTM设备往往是大量安全功能简单堆砌而成的产物,并没有在底层做 好集成优化设计工作。因此,早期的UTM产品不但没能解决好安全问题,反而由于缺乏良好 的统一管理,足够的性能保证,导致诸多模块协同工作时成为网络的瓶颈和故障点。而广义上的网关是指一个网络连接到另一个网络的接口,比如一个企业的内部 网与外部互联网相连,就需要一个网关加以管理和控制。它是一种复杂的网络连接设备, 可以支持不同协议之间的转换,实现不同协议网络之间的互联。而无线网关是指集成有 简单路由功能的无线AP,即无线网关通过不同设置可完成无线网桥和无线路由器的功能, 也可以直接连接外部网络(如WAN),同时实现AP功能无线网关路一般具有一个IOMbps 或10/100Mbps的广域网口(WAN)、多个0 8)10/100Mbps的局域网口(LAN)、一个支 IEEE802. lib,802. Ilg或802. lla/g标准的无线局域网接入点、具网络地址转换功能(NAT) 以实现多用户的hternet共享接入的硬件设备。网关路由器广域网口能自动检测或手 工设定宽带运营商(如ADSL、CableModem、宽带城域网)的接入类型,具备宽带运营商客 户端发起功能(如其可是一个PPPoE的客户端,也可以是一个DHCP的客户端,也可以分配 固定的公网IP地址等),而局域网内的所有计算机不再需要安装任何客户端软件,也不用 设定任何代理服务器的地址。另外不同类型的网关路由器还具有一些如图形化的安装向 导(SmartWizard)、全状态数据包检测型防火墙(SPIFirewall)、防黑客攻击、虚拟专用网 (VPN).Internet内容过滤、日志记录、防病毒、虚拟服务或虚拟主机(DMZ机)等许多功能。 由此可以明显看出,无线网关是指集成了无线局域网接入点功能的网关路由器设备。随着我国网络的普及、新需求、新业务的大量出现,网络建设走向深入、走进更多 的家庭和中小企业,组网方式也从有线扩展到了无线,但也给管理上提出了新问题,至今未 见有无线网络统一威胁管理网关(设备)的报导,因此如何有效解决这一问题,对保证网络 应用与安全是具有重要意义的。
三、发明内容针对上述情况,为克服现有技术缺陷,本实用新型之目的就是提供一种无线网络统一威胁管理网关,可有效解决网络安全、统一管理的问题。本实用新型解决的技术方案是,包括外壳和工控机,工控机置于壳体内,工控机上 至少有2个PCI插槽,PCI插槽内分别插装有检测防御卡和网络通讯处理卡,检测防御卡是 集防火墙模块、VPN模块、入侵检测模块和内容过滤及反病毒模块为一体的ASIC芯片,网络 通讯处理卡为实现有线或无线接入的KS8695P芯片。本实用新型结构简单,新颖独特,使用方便,安全,可靠,性能稳定。
四
图1为本实用新型的结构主视图。图2为本实用新型检测防御卡的结构主视图。图3为本实用新型网络通讯处理卡的结构主视图。
五具体实施方式
以下结合附图对本实用新型的具体实施方式
作详细说明。由图1-3给出,本实用新型包括外壳和工控机,工控机1置于壳体内,工控机上至 少有2个PCI插槽,PCI插槽内分别插装有检测防御卡2和网络通讯处理卡3,检测防御卡 是集防火墙模块4、VPN模块5、入侵检测模块6和内容过滤及反病毒模块7为一体的ASIC 芯片,网络通讯处理卡为实现有线或无线接入的KS8695P芯片。为了保证使用效果,所说的网络通讯处理卡(又称网络通讯处理器或接入模块)3 上分别有移动上网接口 8、WLAN接口 9、无线传感器网接口 10、串口 11、JTAG接口 12、WAN接 口 14和LAN接口 13 ;所说的移动上网接口 8为连接CDMA/GPRS/3G无线上网卡的USB 口 ;所 说的WLAN接口 9为连接无线网卡的USB 口 ;所说的无线传感器网接口 10为IEEE802. 15.4 协议接口,连接ZigBee无线传感器网络。本实用新型接入模块实现有线或者无线的接入。移动上网接口 利用GPIO 口扩展 出来一个USB 口,连接CDMA/GPRS/3G无线上网卡。WLAN接口 利用GPIO 口扩展一个USB 口,用于连接无线网卡,实现软件AP的功能,无线传感器网接口 实现IEEE802. 15. 4协议接 口,连接ZigBee无线传感器网络。串口及JTAG接口,提供相关的接入。另外提供4到10 路以太网接口,实现千兆接入。网络通讯处理器是一种采用高集成化的接入模块,内核为166MHz主频,具有多个 带有MAC单元和收发器的网络接口,Flash :16M字节。SDRAM:32M字节。WAN:用于连接以 太网。将网络安全策略写入Flash中。防火墙模块基于ASIC芯片设计,主要包括千兆网络接口芯片和防火墙芯片组,完 成数据包交换、流量控制、负载均衡、QoS、CoS,以及根据五元组(源IP,目的IP,协议,源端 口,目的端口)对IP数据包进行硬件高速过滤,实现千兆防火墙功能。该芯片是一个集防 火墙、路由、交换功能为一体,集成度达1500万门的高可编程、高性能的国产防火墙路由器芯片。VPN模块基于ASIC芯片设计,包括加解密硬件芯片和软件实现,加解密芯片 (TS4300 IPSec)是对现有IPSEC协议的硬件实现,可以根据五元组(源IP,目的IP,协议, 源端口,目的端口)的任意掩码组合对出站数据包来确定加密流;对于入站数据,可以根据三元组(SPI,IKE_ADDR,协议)的任意组合来确定解密数据流;此外,芯片还提供与第三方 密码模块的接口。系统软件实现安全管理应用,包括配置管理、安全联盟(SA)的管理和安 全策略处理,并最终通过调用硬件完成数据的加解密工作。内容安全网关模块为入侵检测模块和内容过滤及反病毒模块,包括硬件内容过滤 平台和软件管理平台两个部分。硬件内容过滤平台基于ASIC芯片设计,能够以千兆线速进 行网络数据包处理、内容检测和分流,平台还提供了完善的开发接口,可以按照内容安全网 关的需要对其进行功能上的扩充,实现所需要的功能。软件管理平台主要包括用户界面、入 侵防御模块、反病毒模块、防Dos攻击模块、URL过滤模块、内容过滤模块、日志管理模块、规 则转换模块等功能模块,这些功能模块通过调用平台提供的开发接口实现各类过滤规范的 管理、转化和加载。千兆级内容安全网关实时地捕获网络数据,对整个数据包进行深度过滤,实现 千兆级防病毒网关、入侵防御系统(IPS)、应用网关、垃圾邮件过滤、统一资源定位(URL)、 关键字过滤或内容审计等网络安全功能。管理模块基于FREEBSD操作系统开发的管理安全软件,该软件将防火墙、VPN、内 容安全模块等各种模块的规则自动进行优化整合,从而提高系统的稳定性与高效性。并形 成日志以便日后审计。本实用新型在不降低网络应用性能的情况下,提供集成的网络层到应用层的安全 保护,主要技术原理包括(1)多种无线网络综合接入技术。网关可综合接入多种无线网络,可以实现无线局 域网、笔记本电脑、PDA、移动接入设备和ZigBee网络接入设备等利用一条信道进行数据通(2)完全性内容保护(CCP)完全性内容保护(Complete Content Protection,简称CCP)提供对OSI网络模 型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测(检查数据包头)和深 度包检测(在状态检测包过滤基础上提供额外检查)等技术先进。它具备在千兆网络环境 中,实时将网络层数据负载重组为应用层对象(如文件和文档)的能力,而且重组之后的应 用层对象可以通过对动态更新病毒和蠕虫的特征来进行扫描和分析。CCP还可探测其它各 种威胁,包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗等。(3) ASIC 加速技术ASIC芯片是UTM产品的一个关键组成部分。为了提供千兆级实时的应用层安全服 务(如防病毒和内容过滤)的平台,专门为骨干网络和边界上设计高性能内容处理的体系 结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力,提 供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形等加速功能。由于CCP 需要强劲的处理能力和更大容量的内存来支持,仅利用通用服务器和网络系统的资源实现 内容处理往往在性能上达不到要求。(4)定制的操作系统(OS)专用的强化安全OS提供精简的、高性能防火墙和内容安全检测平台。基于内容处 理加速模块的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到最 小,从而给用户提供最好的实时系统,有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDP等功能。(5)紧密型模式识别语言(CPRL)紧密型模式识别语言(CompactPatten Recognition Language,简称 CPRL)是针 对完全的内容防护中大量计算程式所需求的加速而设计的。状态检测防火墙、防病毒检测 和入侵检测的功能要求,引发了新的安全算法包括基于行为的启发式算法。通过硬件与软 件的结合,加上智能型检测方法,识别的效率得以提高。(6)动态威胁管理检测技术(CPRL)动态威胁防御系统(Dynamic Threat Prevention System,简称DTPS)是由针对 已知和未知威胁而增强检测能力的技术。DTPS将防病毒、IDS、IPS和防火墙等各种安全模 块无缝集成在一起,将其中的攻击信息相互关联和共享,以识别可疑的恶意流量特征。DTPS 通过将各种检测过程关联在一起,跟踪每一安全环节的检测活动,并通过启发式扫描和异 常检测引擎检查,提高整个系统的检测精确度。本实用新型的创新点本实用新型主要内容包括在实现多种无线网络综合接入的同时,整合包含了路由 器、病毒防护、流量控制、VPN、防火墙、网络和电子邮件的过滤等功能,使这些功能组成统一 的整体发挥作用,可用于全方位解决综合网络安全问题。完成基本的安全防御功能。为了构建一个使用简单,性能强大,功能完善的无线统一威胁管理系统,将其分为 管理平台和内容过滤平台两个层次,内容过滤平台由协作单位提供。管理平台负责对规则 的设置,主要包括用户界面、规则检查器、日志记录器、告警器和通信模块几个部分。(1)技术指标1)、支持的无线接口包括IEEE 802. Ilg无线AP、CDMA网关、GSM网关、3G网关、 IEEE 802. 15. 4 ZigBee 等接口 ;2)、支持的局域网接口包括2GE (线速)+8/16xFE (线速)+1控制台(管理);3)、协议支持包括HTTP、FTP、SMTP、P0P3、SOCKS 等;4)、支持L2-L7全包内容过滤和分流,在所有端口上实现10/100/1000M线速数据 包传输;5) XPU保护,大部分原始数据处理由ASIC芯片完成,在海量数据流量下(例如GE 端口线速下)和各种CPU攻击的情况下可有效保护CPU ;6)、CPU 管理界面的 GMII ;7)、网络应用过滤IG带宽;8)、基于数据流的跨包过滤;9)、大量规则(> 10,000条)的平行查找;10)、支持规则关联(带有通配符号);11)、一百万最大并发连接数;12)、较低的误报率和漏报率;13)、定制操作系统(OS)的安全级别,为B2级的定制安全操作系统。(2)本实用新型的创新点1)网关可综合接入多种无线网络,可以实现无线局域网、笔记本电脑、PDA、移动接 入设备和ZigBee网络接入设备等利用一条信道进行数据通信;[0053]2)网关集路由器、防火墙、防病毒、VPN、入侵检测与防御、P2P流量控制、垃圾邮件 过滤、关键字及内容过滤等安全功能于一体,实现统一威胁管理;3)通过对检测规则执行所需的时间周期,自动对规则进行排序和组合,整合各种 安全过滤功能,在有效实现其功能的同时,避免不必要的重复过滤,同时减少处理流水线中 的轮空,充分提高系统整体的检测性能;4)可在无线接口过滤模块中实现绝大多数的过滤操作,提高系统整体的运行效率 和健壮性。本实用新型可综合接入多种无线网络,可以实现无线局域网、笔记本电脑、PDA、移 动接入设备和ZigBee网络接入设备等利用一条信道进行数据通信;集路由器、防火墙、防 病毒、VPN、入侵检测与防御、P2P流量控制、垃圾邮件过滤、关键字及内容过滤等安全功能于 一体,对有线或无线网络提供智能化、全方位实时保护,实现统一威胁的管理。
权利要求1.一种无线网络统一威胁管理网关,包括外壳和工控机,其特征在于,工控机(1)置于 壳体内,工控机上至少有2个PCI插槽,PCI插槽内分别插装有检测防御卡(2)和网络通讯 处理卡(3),检测防御卡是集防火墙模块0)、VPN模块(5)、入侵检测模块(6)和内容过滤 及反病毒模块(7)为一体的ASIC芯片,网络通讯处理卡为实现有线或无线接入的KS8695P芯片。
2.根据权利要求1所述的无线网络统一威胁管理网关,其特征在于,所说的网络通讯 处理卡(3)上分别有移动上网接口(8)、WLAN接口(9)、无线传感器网接口(10)、串口(11)、 JTAG 接口(12)、WAN 接口 (14)和 LAN 接口(13)。
3.根据权利要求2所述的无线网络统一威胁管理网关,其特征在于,所说的移动上网 接口(8)为连接CDMA/GPRS/3G无线上网卡的USB 口。
4.根据权利要求2所述的无线网络统一威胁管理网关,其特征在于,所说的WLAN接口 (9)为连接无线网卡的USB 口。
5.根据权利要求2所述的无线网络统一威胁管理网关,其特征在于,所说的无线传感 器网接口(10)为IEEE802. 15. 4协议接口,连接ZigBee无线传感器网络。
专利摘要本实用新型涉及无线网络统一威胁管理网关,可有效解决网络安全、统一管理的问题,本实用新型解决的技术方案是,包括外壳和工控机,工控机置于壳体内,工控机上至少有2个PCI插槽,PCI插槽内分别插装有检测防御卡和网络通讯处理卡,检测防御卡是集防火墙模块、VPN模块、入侵检测模块和内容过滤及反病毒模块为一体的ASIC芯片,网络通讯处理卡为实现有线或无线接入的KS8695P芯片,本实用新型结构简单,新颖独特,使用方便,安全,可靠,性能稳定。
文档编号H04W88/16GK201910819SQ201120004459
公开日2011年7月27日 申请日期2011年1月7日 优先权日2011年1月7日
发明者刘志民, 刘艳威, 姚兵, 李红涛, 李雪梅, 王玉珏, 辛宝民, 辛宝玟, 辛昊然, 辛桉燃, 邓靖, 陈海波, 马睿琦 申请人:郑州优游网络科技有限公司