本实用新型涉及通信设备领域,具体涉及网络安全监测设备。
背景技术:
随着网络的飞速发展,网络安全逐渐成为一个潜在的巨大问题,特别是面对各种层出不穷的应用时,传统的入侵检测设备只能根据已有特征库,按照特征库中的规则信息,对已有攻击进行检测,当有新的攻击出现时,由于特征库限制,往往不能及时发现新的攻击,需要等到相关厂商提供新特征库后,才能检测出新的攻击,因此传统的入侵检测设备对于新攻击的检测具有滞后性。
技术实现要素:
本实用新型的目的在于针对现有技术的不足,提供一种采用简单、通用的特征库规则描述语法,同时支持用户自定义规则配置,并提供多种方式辅助用户分析未知攻击,可以大大缩短对未知攻击的检测时间。
为解决上述问题,本实用新型采取的技术方案是:
一种网络安全监测设备,应用于局域网,其特征在于,包括:机箱和一个可插拔的接口子卡;所述机箱内设有一背板、至少一业务处理板和一灯板;所述接口子卡、所述业务处理板和所述灯板均与所述背板电性相连;所述接口子卡用于引入网络流量;所述业务处理板上集成有SDRAM、硬盘、串口、管理口、数据口、USB口;所述串口、所述管理口、所述数据口和所述USB口作为对外提供的操作控制口,所述业务处理板实现报文解码、分片处理、流管理、协议解析、特征检测和日志告警。
作为上述技术方案的进一步改进,所述接口子卡为1个千兆以太接口子卡。
作为上述技术方案的进一步改进,所述千兆以太接口子卡上设置有4个SFP千兆以太接口。
作为上述技术方案的进一步改进,所述业务处理板的个数为1个。
作为上述技术方案的进一步改进,所述机箱的前面板上设有所述操作控制口。
作为上述技术方案的进一步改进,所述机箱的后面设有220V供电接口。
作为上述技术方案的进一步改进,所述灯板上设置有电源灯和运行灯,所述电源灯和运行灯均为LED指示灯。
作为上述技术方案的进一步改进,所述网络安全监测设备采用主备双电源供电。
作为上述技术方案的进一步改进,所述串口为RS232串口;所述管理口和所述数据口均为RJ-45口;所述USB口口为标准USB接口。
作为上述技术方案的进一步改进,所述接口子卡、所述业务处理板均通过PCIe总线与所述背板11电性相连。
作为上述技术方案的进一步改进,所述硬盘为电子磁盘。
采用本实用新型提供的技术方案,与已有的公知技术相比,至少具有如下有益效果:
用户在使用该网络安全监测设备时,可以针对网络流量实际情况,利用设备提供的各种辅助分析方式,自行配置规则,用于实现攻击检测和敏感信息提取。规则描述语言支持IP五元组,报文协议号,报文内容等,可针对单个报文和TCP流进行详细分析,同时规则描述语言还支持各种形式的速率统计,有一定的DDoS防御能力。
附图说明
为了更清楚地说明本实用新型实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本实用新型的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本实用新型一实施例提出的网络安全监测设备的结构示意图。
主要元件符号说明:
10-接口子卡;11-背板;12-业务处理板;14-灯板;101-千兆以太接口子卡。
具体实施方式
在下文中,将更全面地描述本公开的各种实施例。本公开可具有各种实施例,并且可在其中做出调整和改变。然而,应理解:不存在将本公开的各种实施例限于在此公开的特定实施例的意图,而是应将本公开理解为涵盖落入本公开的各种实施例的精神和范围内的所有调整、等同物和/或可选方案。
在下文中,可在本公开的各种实施例中使用的术语“包括”或“可包括”指示所公开的功能、操作或元件的存在,并且不限制一个或更多个功能、操作或元件的增加。此外,如在本公开的各种实施例中所使用,术语“包括”、“具有”及其同源词仅意在表示特定特征、数字、步骤、操作、元件、组件或前述项的组合,并且不应被理解为首先排除一个或更多个其它特征、数字、步骤、操作、元件、组件或前述项的组合的存在或增加一个或更多个特征、数字、步骤、操作、元件、组件或前述项的组合的可能性。
在本公开的各种实施例中,表述“A或/和B中的至少一个”包括同时列出的文字的任何组合或所有组合。例如,表述“A或B”或“A或/和B中的至少一个”可包括A、可包括B或可包括A和B二者。
在本公开的各种实施例中使用的表述(诸如“第一”、“第二”等)可修饰在各种实施例中的各种组成元件,不过可不限制相应组成元件。例如,以上表述并不限制所述元件的顺序和/或重要性。以上表述仅用于将一个元件与其它元件区别开的目的。例如,第一用户装置和第二用户装置指示不同用户装置,尽管二者都是用户装置。例如,在不脱离本公开的各种实施例的范围的情况下,第一元件可被称为第二元件,同样地,第二元件也可被称为第一元件。
应注意到:如果描述将一个组成元件“连接”到另一组成元件,则可将第一组成元件直接连接到第二组成元件,并且可在第一组成元件和第二组成元件之间“连接”第三组成元件。相反地,当将一个组成元件“直接连接”到另一组成元件时,可理解为在第一组成元件和第二组成元件之间不存在第三组成元件。
在本公开的各种实施例中使用的术语“用户”可指示使用电子装置的人或使用电子装置的装置(例如,人工智能电子装置)。
在本公开的各种实施例中使用的术语仅用于描述特定实施例的目的并且并非意在限制本公开的各种实施例。如在此所使用,单数形式意在也包括复数形式,除非上下文清楚地另有指示。除非另有限定,否则在这里使用的所有术语(包括技术术语和科学术语)具有与本公开的各种实施例所属领域普通技术人员通常理解的含义相同的含义。所述术语(诸如在一般使用的词典中限定的术语)将被解释为具有与在相关技术领域中的语境含义相同的含义并且将不被解释为具有理想化的含义或过于正式的含义,除非在本公开的各种实施例中被清楚地限定。
实施例1
如图1所示,一种网络安全监测设备,应用于局域网,包括:机箱和1个可插拔的接口子卡10;机箱内设有一背板11、一业务处理板12和一灯板14。
接口子卡10、业务处理板12和灯板14均与背板11电性相连。
接口子卡10用于引入网络流量。
业务处理板12上集成有SDRAM、硬盘、串口、管理口、数据口、USB口;所述串口、所述管理口、所述数据口和所述USB口作为对外提供的操作控制口,业务处理板12实现报文解码、分片处理、流管理、协议解析、特征检测和日志告警。
在本实施例中,接口子卡10具体为1个千兆以太接口子卡。千兆以太接口子卡上设置有4个SFP(Small Form Pluggable,小型可插拔)千兆以太接口。
SFP千兆以太接口用于安装SFP光模块。
SFP光模块是SFP封装的热插拔小封装模块,目前最高速率可达10.3G。SFP光模块主要由激光器构成。SFP光模块的构成有:激光器(包括发射器TOSA跟接收器ROSA)和线路板IC及外部配件构成,外部配件则有外壳、底座、PCBA、拉环、卡扣、解锁件、橡胶塞组成,为了辨认方便一般以拉环的颜色辨别模块的参数类型。
SFP光模块按照速率分有155M/622M/1.25G/2.125G/4.25G/8G/10G,155M和1.25G市场上用的较多,10G的技术正在逐渐成熟,需求量正以上升的姿态发展。SFP光模块按照波长分有850nm/1310nm/1550nm/1490nm/1530nm/1610nm,波长为850nm为SFP多模,传输距离在2KM以下,波长是1310/1550nm的为单模,传输距离在2KM以上,相对来说这三种波长的价格较其他三种要便宜。模式分类多模几乎所有的多模光纤尺寸均为50/125um或62.5/125um,并且带宽(光纤的信息传输量)通常为200MHz到2GHz。多模光端机通过多模光纤可进行长达5公里的传输。以发光二极管或激光器为光源。拉环或者体外颜色为黑色。单模单模光纤的尺寸为9-10微米的径直径,并且较之多模光纤具有无限量带宽和更低损耗的特性。而单模光端机多用于长距离传输,有时可达到150至200公里。采用LD或光谱线较窄的LED作为光源。
在本实施例中,业务处理板的个数为1个。在其他实施例中,业务处理板的个数为2个,2个业务处理板构成主备保护板。当主用业务处理板发生异常时,备用业务处理板进行工作,可以确保网络安全监测的稳定性。如果局域网对于网络安全监测的稳定性要求比较严可以选用2个业务处理板构成主备保护板。
在本实施例中,网络安全监测设备还包括:灯板14;灯板14与背板11电性相连,灯板14用于显示运行情况。
在本实施例中,灯板14上设置有电源灯和运行灯,所述电源灯和运行灯均为LED指示灯。例如:电源灯可以通过绿色显示为电源工作正常,红色显示电源工作异常。
在本实施例中,网络安全监测设备采用主备双电源供电。
网络安全监测设备采用主备双电源供电。正常情况下主用电源供电,当主用电源异常时,由备用电源供电,以保障网络安全监测设备随时能够正常运行工作。
在本实施例中,机箱前面板上设有串口、管理口、数据口、USB口等操作控制口和电源灯、运行灯等指示灯,机箱后设有220V电源接口以及电源开关。
在本实施例中,所述串口为RS232串口;所述管理口和所述数据口均为RJ-45口;所述USB口口为标准USB接口。
目前RS232是PC机与通信工业中应用最广泛的一种串行接口。RS232被定义为一种在低速率串行通讯中增加通讯距离的单端标准。RS232采取不平衡传输方式,即所谓单端通讯。其传送距离最大为约15米,最高速率为20kb/s。RS232是为点对点通讯而设计的,其驱动器负载为3~7kΩ。所以RS232适合本地设备之间的通信。RS-232串行速率。
RJ-45是布线系统中信息插座(即通信引出端)连接器的一种,连接器由插头(接头、水晶头)和插座(模块)组成,插头有8个凹槽和8个触点。RJ是Registered Jack的缩写,意思是“注册的插座”。在FCC(美国联邦通信委员会标准和规章)中RJ是描述公用电信网络的接口,计算机网络的RJ45是标准8位模块化接口的俗称。RJ45由插头和插座组成,这两种元器件组成的连接器连接于导线之间,以实现导线的电气连续性。RJ45模块的核心是模块化插孔。镀金的导线或插座孔可维持与模块化的插座弹片间稳定而可靠的电器连接。由于弹片与插孔间的摩擦作用,电接触随着插头的插入而得到进一步加强。插孔主体设计采用整体锁定机制,这样当模块化插头插入时,插头和插孔的界面外可产生最大的拉拔强度。RJ45模块上的接线模块通过“U”形接线槽来连接双绞线,锁定弹片可以在面板等信息出口装置上固定RJ45模块。RJ45插头常使用一种防滑插头护套,用于保护连插头、防滑动和便于插拔。
USB(Universal Serial Bus),即通用串行总线,它是一个外部总线标准,用于规范电脑与外部设备的连接和通讯。它是一种广泛应用于PC领域的接口。
在本实施例中,所述硬盘为电子硬盘。
在本实施例中,网络安全监测设备的机架为19英寸标准机架;所述机架上设置的机箱高度为2U。上述尺寸规格的机架和机箱是最常用的一种尺寸规格,在其他实施例中,可以选取其他尺寸。
19英寸标准机架的长度尺寸为19英寸,即482.6mm。机架上设置的机箱高度为2U。1U为1.75英寸,即44.45mm,高度为2U的机箱就是指面板高度为88.9mm的机箱。
接口子卡10、业务处理板12均通过PCIe总线与背板11电性相连。
PCIe(PCI-express)是一种通用的总线规格,它由Intel所提倡和推广,其最终的设计目的是为了取代现有电脑系统内部的总线传输接口,用以解决现今系统内数据传输出现的瓶颈问题,并且为未来的周边产品性能提升作准备。以往计算机系统的各种设备共用一个带宽,采用并行互联,这大大影响了系统整体的性能表现,同时并行信号由于相互干扰也严重制约了日后速度的进一步提升。而PCIe则采用了串行互联方式,以点对点的形式进行数据传输,每个设备都可以单独的享用带宽,从而大大提高了传输速率,而且也为更高的频率提升创造了条件。
同时,PCIe还有多种不同速度的接口模式,这包括了1X、2X、4X、8X、16X以及更高速的32X。PCIe 1X模式的传输速率便可以达到250MB/S,接近原有PCI接口133MB/S的二倍,大大提升了系统总线的数据传输能力。
该应用于局域网的网络安全监测设备在使用时,先接上220V交流电源给网络安全监测设备部件供电,设备进入初始化状态,从硬盘中读取软件镜像到SDRAM存储器中,接着跳转到镜像中开始进行初始化。设备启动完成后,进入正常工作状态。通过接口子卡,将网络流量引入设备,接口子卡将流量先上传到业务处理板,经过业务处理板上的软件处理单元对网络流量进行分析,提取出可能存在的攻击信息,形成日志,通过管理口或者数据口,将日志上传到日志服务器。
用户在使用设备时,可以针对网络流量实际情况,利用设备提供的各种辅助分析方式,自行配置规则,用于实现攻击检测和敏感信息提取。规则描述语言支持IP五元组(即源IP地址,源端口,目的IP地址,目的端口和传输层协议),报文协议号,报文内容等,可针对单个报文进行详细分析,同时规则描述语言还支持各种形式的速率统计,有一定的DDoS防御能力。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本实用新型所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本实用新型序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本实用新型的几个具体实施场景,但是,本实用新型并非局限于此,任何本领域的技术人员能思之的变化都应落入本实用新型的保护范围。