网关设备的制作方法

本实用新型涉及通信设备领域，具体涉及网关设备。

背景技术：

互联网安全问题中的一种常见问题就是非法数据通过外网侵入内网，导致内网瘫痪。通常情况下我们都会认为内网是安全的，外网(外部互联网)是有危险的。为此诞生了基于报文过滤的防火墙技术及其解决方案和基于网络隔离的网闸技术及其解决方案。

由于基于报文过滤的防火墙技术和基于网络隔离的网闸技术并不能够解决所有的安全问题。再加上防火墙技术或网闸技术是类似于一个“闭关锁国”的政策，会导致内网访问外网的权限受到极大的限制，用户不能及时从外网获取所需的相关信息；如果只通过内网就能够解决用户的信息交流问题，通过实行严格的报文过滤甚至网络隔离来保证内网安全，内网处于自给自足的状态时，防火墙技术和网闸技术可以很好的解决安全问题。但是随着互联网的发展，网络开放的动力越来越强，尤其是面临着类似于网络到网络的通信需求，甚至跨国公司组建基于不同地理位置的内网时，防火墙技术或网闸技术就面临不足，迫切需要一种能够提供接入控制的网关设备来解决这一问题。

技术实现要素：

本实用新型的目的在于针对现有技术的不足，提供一种具有接入控制的网关设备，该网关设备可以提供网络与网络之间通信的IP层加密需求，并且提供安全隔离保障，为用户提供安全可靠的访问功能。

为达到上述要求，本实用新型采取的技术方案是：

一种网关设备，包括机箱；所述机箱的外表面设有认证接口和管理控制口，所述机箱的内部设有外网接入板、安全隔离板及内网接入板，所述外网接入板和所述内网接入板均与所述安全隔离板电性连接，所述外网接入板用于对网络报文进行封装和解封装，所述安全隔离板用于对网络报文进行加解密，所述内网接入板用于对网络报文进行规则过滤。

作为上述技术方案的进一步改进，所述认证接口为USB接口。

作为上述技术方案的进一步改进，所述管理控制口为RS232串口和/或RJ45接口。

作为上述技术方案的进一步改进，所述外网接入板上设有10/100/1000M自适应RJ-45以太网接口、主控单元、报文处理单元和数据转发单元。

作为上述技术方案的进一步改进，所述安全隔离板上设有主控单元、加密单元和数据转发单元。

作为上述技术方案的进一步改进，所述内网接入板上设有至少一个10/100/1000M自适应RJ-45以太网接口、主控单元、规则过滤单元和数据转发单元。

作为上述技术方案的进一步改进，所述主控单元包括：飞腾CPU、DDR3 1G容量内存颗粒和4G电子磁盘。

作为上述技术方案的进一步改进，所述外网接入板和所述内网接入板均分别通过PCIe总线连接到所述安全隔离板。

作为上述技术方案的进一步改进，所述网关设备采用主备双电源供电。

作为上述技术方案的进一步改进，所述机箱的外表面还设有电源指示灯、运行状态指示灯、至少两个网络状态指示灯。

采用本实用新型提供的技术方案，与已有的公知技术相比，至少具有如下有益效果：

(1)提供网络与网络之间通信的IP层加密需求，并且提供安全隔离

保障，为用户提供安全可靠的访问功能。

附图说明

为了更清楚地说明本实用新型实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本实用新型的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本实用新型一实施例提出的网关设备的结构示意图；

图2为本实用新型一实施例提出的网关设备的内部连接关系示意图。

主要元件符号说明：

10-外网接入板；20-安全隔离板；30-内网接入板；40-背板；50-认证接口；60-管理控制口。

具体实施方式

在下文中，将更全面地描述本公开的各种实施例。本公开可具有各种实施例，并且可在其中做出调整和改变。然而，应理解：不存在将本公开的各种实施例限于在此公开的特定实施例的意图，而是应将本公开理解为涵盖落入本公开的各种实施例的精神和范围内的所有调整、等同物和/或可选方案。

在下文中，可在本公开的各种实施例中使用的术语“包括”或“可包括”指示所公开的功能、操作或元件的存在，并且不限制一个或更多个功能、操作或元件的增加。此外，如在本公开的各种实施例中所使用，术语“包括”、“具有”及其同源词仅意在表示特定特征、数字、步骤、操作、元件、组件或前述项的组合，并且不应被理解为首先排除一个或更多个其它特征、数字、步骤、操作、元件、组件或前述项的组合的存在或增加一个或更多个特征、数字、步骤、操作、元件、组件或前述项的组合的可能性。

在本公开的各种实施例中，表述“A或/和B中的至少一个”包括同时列出的文字的任何组合或所有组合。例如，表述“A或B”或“A或/和B中的至少一个”可包括A、可包括B或可包括A和B二者。

在本公开的各种实施例中使用的表述(诸如“第一”、“第二”等)可修饰在各种实施例中的各种组成元件，不过可不限制相应组成元件。例如，以上表述并不限制所述元件的顺序和/或重要性。以上表述仅用于将一个元件与其它元件区别开的目的。例如，第一用户装置和第二用户装置指示不同用户装置，尽管二者都是用户装置。例如，在不脱离本公开的各种实施例的范围的情况下，第一元件可被称为第二元件，同样地，第二元件也可被称为第一元件。

应注意到：如果描述将一个组成元件“连接”到另一组成元件，则可将第一组成元件直接连接到第二组成元件，并且可在第一组成元件和第二组成元件之间“连接”第三组成元件。相反地，当将一个组成元件“直接连接”到另一组成元件时，可理解为在第一组成元件和第二组成元件之间不存在第三组成元件。

在本公开的各种实施例中使用的术语“用户”可指示使用电子装置的人或使用电子装置的装置(例如，人工智能电子装置)。

在本公开的各种实施例中使用的术语仅用于描述特定实施例的目的并且并非意在限制本公开的各种实施例。如在此所使用，单数形式意在也包括复数形式，除非上下文清楚地另有指示。除非另有限定，否则在这里使用的所有术语(包括技术术语和科学术语)具有与本公开的各种实施例所属领域普通技术人员通常理解的含义相同的含义。所述术语(诸如在一般使用的词典中限定的术语)将被解释为具有与在相关技术领域中的语境含义相同的含义并且将不被解释为具有理想化的含义或过于正式的含义，除非在本公开的各种实施例中被清楚地限定。

网关设备就是一个网络连接到另一个网络的“关口”。在Internet网中，网关设备是一种连接内部网与Internet上其它外部网的中间设备。网关设备上外网接口用于接入Internet上其它外部网，网关设备上内网接口用于接入内部网。

实施例1

如图1所示，本实用新型提供了一种网关设备，包括：机箱；所述机箱的内部设有外网接入板10、安全隔离板20和内网接入板30；外网接入板10和内网接入板30均与安全隔离板20电性连接；外网接入板10用于对网络报文进行封装和解封装；安全隔离板20用于对网络报文进行加解密；内网接入板30用于对网络报文进行规则过滤。所述机箱的外表面设有认证接口50和管理控制口60。

所述机箱的内部还设置有背板40，背板40上设有指示灯、认证接口50和管理控制口60。认证接口50和管理控制口60分别通过排线引出到所述机箱的前置接口处，以方便用户连接。

外网接入板10、安全隔离板20和内网接入板30均插在背板40上。通过背板40上的数据通道将外网接入板10、内网接入板30均与安全隔离板20建立电性连接。采用背板40将外网接入板10、安全隔离板20和内网接入板30连接起来，在某个板出现硬件故障时，只需要更换相应的板即可，不需要更换整个网关设备，用利于节约使用维修成本。

外网接入板10、内网接入板30及背板40均通过总线连接到安全隔离板20。

认证接口50采用USB接口，USB(Universal Serial Bus)，即通用串行总线，它是一个外部总线标准，用于规范电脑与外部设备的连接和通讯。它是一种广泛应用于PC领域的接口。

USB接口支持设备的即插即用和热插拔功能。

在本实施例中，认证接口50具体用A型插座标准USB母头。

管理控制口60可以选用RS232串口或者RJ45接口。

外网接入板10上设有1个10/100/1000M自适应RJ-45以太网接口、1个主控单元、1个报文处理单元和1个数据转发单元。外网接入板10上的以太网接口用于连接外部网络。报文处理单元进行隧道报文的封装和解析。

安全隔离板20上设有1个主控单元、1个加解密单元和1个数据转发单元。加解密单元进行私有算法的加解密。

内网接入板30上设有2个10/100/1000M自适应RJ-45以太网接口、1个主控单元、1个规则过滤单元和1个数据转发单元。内网接入板30上的以太网接口用于连接内部网络。规则过滤单元进行五元组过滤，即源地址、源端口、目的地址、目的端口和协议类型。

外网接入板10提供1个千兆自适应以太网接口以用于连接外部网络；内网接入板30提供2个千兆自适应以太网接口以用于连接内部网络；安全隔离板20对内部网络和外部网络的数据进行物理隔离。

外网接入板10上的主控单元，安全隔离板20上的主控单元，内网接入板30上的主控单元都包括：1颗飞腾CPU，DDR3 1G容量内存颗粒，4G电子磁盘。

外网接入板10和内网接入板30分别通PCIe总线连接到安全隔离板20上。

PCIe(PCI-express)是一种通用的总线规格，它由Intel所提倡和推广，其最终的设计目的是为了取代现有电脑系统内部的总线传输接口，用以解决现今系统内数据传输出现的瓶颈问题，并且为未来的周边产品性能提升作准备。以往计算机系统的各种设备共用一个带宽，采用并行互联，这大大影响了系统整体的性能表现，同时并行信号由于相互干扰也严重制约了日后速度的进一步提升。而PCIe则采用了串行互联方式，以点对点的形式进行数据传输，每个设备都可以单独的享用带宽，从而大大提高了传输速率，而且也为更高的频率提升创造了条件。

同时，PCIe还有多种不同速度的接口模式，这包括了1X、2X、4X、8X、16X以及更高速的32X。PCIe 1X模式的传输速率便可以达到250MB/S，接近原有PCI接口133MB/S的二倍，大大提升了系统总线的数据传输能力。

网关设备采用主备双电源供电。正常情况下主用电源供电，当主用电源异常时，由备用电源供电，以保障网关设备随时能够正常运行工作。

所述机箱的外部还设有1个电源指示灯、1个运行状态指示灯、3个网络状态指示灯。

实施例2

如图2所示，一种网关设备，包括：机箱；所述机箱的内部设有外网接入板10、安全隔离板20、内网接入板30和背板40；所述机箱的外表面设有认证接口50和管理控制口60。

外网接入板10、内网接入板30和背板40均与安全隔离板20电性连接。外网接入板10的CPU通过网卡芯片连接外网接口，内网接入板30的CPU通过网卡芯片连接内网接口，外网接入板10的CPU和内网接入板30的CPU均分别通过PCIe总线与安全隔离板20上的FPGA建立电性连接，安全隔离板20上的FPGA与安全隔离板20上的CPU通过PCIe总线连接。

外网接入板10用于对网络报文进行封装和解封装；安全隔离板20用于对网络报文进行加解密；内网接入板30用于对网络报文进行规则过滤。外网接入板10和内网接入板30分别通过PCIe总线连接到安全隔离板20，安全隔离板20分别通过USB、RJ45总线连接到背板40。外部网络的报文从外网接入板10的外网接口输入，外网接入板10上的CPU进行报文封装或者解封装后通过PCIe总线把报文转发到安全隔离板20；安全隔离板20上的FPGA利用加密卡对报文进行加解密后通过PCIe总线把报文转发到内网接入板30；内网接入板30对报文进行规则过滤后通过内网接口把报文转发到内部网络。

在本实施例中管理控制口60为RJ45接口，在其他实施例中管理控制口60可以为RS232串口。

在本实施例中网关设备具备1个外网接口和2个内网接口。在其它实施例中，内网接口可以为1个、3个等任意数值。

该网关设备在使用时先接上电源，电源开始给设备供电，设备进入初始化状态，外网接入板10、安全隔离板20和内网接入板30分别从各自的电子硬盘中读取软件镜像到内存存储器中，接着跳转到镜像中开始进行初始化。设备启动完成后，进入待机状态，等待管理员通过USB认证接口50进行USB认证后进入正常运行状态，外网终端可以与内部网络进行受控访问。

外网终端与外网接口之间交互报文时采用隧道技术进行传输，报文到达外网接入板10后剥离隧道，由安全隔离板20进行数据加解密，最终通过内网接入板30转发到内部网络。

隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息，以便通过互联网传递被封装的负载数据。

隧道技术是一种数据包封装技术，它是将原始IP包(其报头包含原始发送者和最终目的地)封装在另一个数据包(称为封装的IP包)的数据净荷中进行传输。

所谓隧道，实际上是路由器把一种网络层协议封装到另一个协议中以跨过网络传送到另一个路由器的处理过程。发送路由器将被传送的协议包进行封装，经过网络传送，接收路由器解开收到的包，取出原始协议；而在传输过程中的中间路由器并不在意封装的协议是什么。这里的封装协议，称之为传输协议，是跨过网络传输被封装协议的一种协议，IP协议是IOS唯一选择的传输协议。而被封装的协议在此为IPX协议或者AppleTAlk协议，通常可以称之为乘客协议。需要特别注意的是：隧道技术是一种点对点的链接，因而必须在链接的两端配置隧道协议。

我们假设在站点A和B之间交换数据。在IP协议下，数据包在路由器之间的传递直到到达目的地的过程，其线路是没有经过预先的设计和计划。然而在MPLS(多协议标记交换)协议下，在站点A和B之间传递的IP数据包必须沿由第一个路由器预先建立起来的通路传送。这条通路在IP网络中就像一条中空的隧道，直接连接A和B两个站点。

本领域技术人员可以理解附图只是一个优选实施场景的示意图，附图中的模块或流程并不一定是实施本实用新型所必须的。

本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中，也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

上述本实用新型序号仅仅为了描述，不代表实施场景的优劣。以上公开的仅为本实用新型的几个具体实施场景，但是，本实用新型并非局限于此，任何本领域的技术人员能思之的变化都应落入本实用新型的保护范围。