内外测网间隔离计算的制造方法
【专利摘要】本发明属于网络通信【技术领域】,是一种具有高速过滤和隔离以太网数据包的电子设备,名叫内外测网间隔离计算机。目前对某个子网进行边界防护,一般可以选用网闸、防火网等设备,但该类设备有如下缺点:1)一般只对网络协议或端口进行过滤,2)一般对病毒等恶意程序敏感,3)常常存在比较大的过滤延迟,4)无法对应用数据进行过滤。本发明针对上述缺点进行专门设计,彻底解决了问题。基于超大规模FPGA逻辑器件进行全硬件设计实现,无操作系统,对病毒或恶意数据包不敏感;部署在物理层、可根据需要设置包头过滤字段和数据段中的各个过滤规则,可靠防止非法数据进出关键子网边界;系统内部采用硬件并行处理方法,保证设备的附加网络延迟小于120us。
【专利说明】内外测网间隔离计算机
所属【技术领域】
[0001]本发明涉及一种网络通信安全防护装置,尤其是一种具有网络数据线速过滤和隔离功能的内外测网间隔离计算机。
【背景技术】
[0002]目前,公知的能在网络上起到通信安全防护作用的防火墙、网闸一般采取存储转发的方式工作。由于对所有接收到的网络帧都进行转发,其中可能包含病毒、木马等数据帧,这些数据帧会影响“关键部位”内网的数据安全,并可能会窃取内部机密数据传播到外部的网络中,造成数据泄密。因此,在现阶段以太网数据通信中,保障关键内网的数据安全,进行数据过滤、隔离尤为重要。本发明中的网间隔离计算机,是一种专门用于为各部门外部网以及内部不同密级网络之间的隔离和安全防护而设计的一款双向网络信息安全隔离设备,可以有效地保护部门内部网络的边界安全,高速可靠地实现内网和外网的隔离通信,既保证了正常的数据交互通信需求,有保证了数据交互的安全、可靠、可控。
【发明内容】
[0003]为了克服防火墙、网闸的无法对网路数据内容进行过滤和直接线速处理的不足,本发明提供一种网间隔离计算机,该隔离计算机不仅能控制网间数据交换,而且能可考虑地对通信数据的特征进行判断,从而保证内外网间的数据安全。
[0004]本发明解决其技术问题所采用的技术方案是:不使用通用计算机附加常规数据摆渡外设的形式;系统设计采用自适应的10M/100M/1000M网口方案,同时设计光口和电口,由系统配置决定工作状态;一个网口用于与单位内部以太网相连,用来接收内网数据或者转发经过滤隔离后的外网数据;另一个网口与外网的数据交换设备相连,根据转发协议的规范以组播的形式分发给外网的可靠接收端的计算机;由于内外网分别使用专用网口,且两个网口之间采用的是非网络的数据摆渡方式,加上数据流向的控制和数据过滤,从而实现两侧网络的物理隔离。网间隔离计算机的工作模式由ARM管理(用户通过配套设置软件可方便配置系统工作状态),系统设计网络接口与以太网完全兼容。
[0005]本发明的实施效果是,可以在完全线速处理的条件下完成网间数据包的过滤和隔离,即完成了网络数据的安全传输,又保证了数据传输速率不会由于本设备的加入而降低。
【专利附图】
【附图说明】
[0006]下面结合附图和实施实例对本发明做进一步说明。
[0007]图1是网间隔离计算机整体结构组成示意图,是本发明的接口组成框图。
[0008]图2是网络隔离计算机主控板原理设计框图,是本发明的原理框图。
[0009]如说明书附图中图1所示,本发明的隔离计算机由主控板、内网光口和电口、外网光口和电口、IXD接口、按键接口组成。主控板完成内网网络接口数据物理层接入、传输层手法、以太网包过滤等功能;内网光口和电口用于连接内网的交换机系统,可以使用千兆以太网口,也可以使用1.25Gbps的光纤接口 ;同理,外网光口和电口也可以使用千兆以太网口和1.25Gbps的光纤接口 ;IXD接口用来显示系统工作状态、自检信息、统计信息等;按键用来查看系统状态。
[0010]如说明书附图中图2所示,网络接口的PHY芯片为88E1111,MAC控制器为AX88180,逻辑控制FPGA型号为XC5VLC060,ARM控制单元型号为LPC2478。隔离计算机的工作原理如下:从10/100/1000M Base-T网络来的数据首先经过物理层协议芯片(PHY),然后由10/100/1000M Base-T网络控制器接收;接收端的FPGA使用硬件逻辑的方式缓冲每一包UDP(TCP/IP)协议数据(依据网络标准,每包最多1512字节,最少64字节,由于网络芯片内部已经有缓存,此处设计最多4包缓存量),同时完成数据分析,关键字(标志位)的判断(例如:是否该数据包是发送给本机的,是则处理,否则扔掉),然后将合法数据根据设置进行处理后,使用32位并行总线将数据转发给FPGA-2 ;FPGA-2收到数据以后,根据关键字(标志位)的内容,从映射IP列表中取得IP地址(组播策略),然后分发(组播)数据;分发策略由单片机管理,根据具体设计由单片机将每个终端IP(或组播策略)写入到相应寄存器中;由于整个物理层均在系统控制当中,因此完全可以完成设备两端网口的“非正常”访问数据的隔离。
【具体实施方式】
[0011]如说明书附图中图2所示,首先根据电路板的CAD图纸加工PCB板,然后根据器件清单和位号进行焊接。焊接完毕进行质检工作,检验合格的板子首先需要进行加电测试,然后再一次烧写FPGA软件和ARM处理器软件,再进行通信测试,通过测试则表明系统可以正常工作了。
[0012]使用时,首先将内外网的网线分别接在网间隔离计算机后面板的两个不同的网口上,然后将交流220V电压接到网间隔离计算机的后面板上,开启前面板开关按钮,网间隔离计算机启动。通过系统隔离设置软件,对隔离计算机进行过滤规则的设置;设置完毕之后,隔离计算机就可以按照设置好的隔离规则进行内外网数据的隔离通信,正常工作。用户可以随时添加或者删除网络隔离计算的隔离规则。
【权利要求】
1.一种网间隔离计算机,两组网口分别连接内网和外网,完成内网和外网间数据交换的过滤和隔离,其特征是:网间数据直接线速处理,硬件流水线原理实现数据特征的匹配、识别与过滤,数据包的通过规则可使用配套软件灵活配置。
2.根据权利要求1所述的网间隔离计算机,其特征是:部署于网络物理层,采用光电接口自动适应的方式工作,光口和电口首先建立连接的即为首选工作模式。
3.根据权利要求1所述的网间隔离计算机,其特征是:核心功能采用超大规模FPGA逻辑芯片实现,芯片内部实现高效并行过滤算法,具备设备网络出入口附加时标的功能。
4.根据权利要求1所述的网间隔离计算机,其特征是:采用数据包过滤规则可灵活配置的实现方式,可分别针对数据包包头字段和数据字段进行过滤规则和特征字配置,要求保护这种实时配置的实现方式。
【文档编号】H04L29/06GK103944858SQ201310018617
【公开日】2014年7月23日 申请日期:2013年1月18日 优先权日:2013年1月18日
【发明者】赵凯瑞, 孙群利 申请人:北京睿骊通电子技术有限公司, 西北工业大学