一种防火墙安全测试设备的制造方法
【技术领域】
[0001]本实用新型涉及一种网络安全测试设备,具体涉及一种防火墙安全测试设备。
【背景技术】
[0002]随着信息安全要求越来越高,防火墙成为必不可少的网络元素。但防火墙设备在网络中的主要作用不是报文转发,而是进行报文检测和访问控制,防火墙的存在必然会对安全用户正常使用网络带来一定影响。因此在满足安全功能的前提下,选择一款高性能、满足网络要求、符合预算的产品是非常重要的,这是防火墙测试的第一阶段。
[0003]在日常运维过程中,对于企业网络中的安全人员来说,并非部署上防火墙就万事大吉,还需要定期的测试防火墙是否还足够安全,此时需要对防火墙进行规则分析、漏洞扫描、数据侦听、日志分析、性能测试等工作,这是防火墙测试的第二阶段。
[0004]通过防火墙测试工作能够确信防火墙实际能完成我们对它的预期任务,然而防火墙测试并不是一件容易的事情,尤其在具有多个处理设备、处理多个接口的环境中更是麻烦,测试过程可能非常耗时和费力,同时需要借助于很多软、硬件工具。
[0005]另外,在传统网络处理器架构中,任务是由预先根据需求编写好的任务模块组成,并且可以在运行过程中在协处理器中动态加载新的任务模块,具有极大的灵活性,可以满足大部分应用业务。但是此种方式需要在每个协处理器上所运行的程序使用微码编程,其软件实现的难度比较大,同时由于网络处理器架构每个网口上的网络处理器性能不高,所以同样无法完成多类型测试等复杂功能。
【实用新型内容】
[0006]本实用新型的目的是提供一种软硬件扩展性与兼容性。
[0007]为了实现以上目的,本实用新型采用如下技术方案:一种防火墙安全测试设备,包括控制管理模块和数据处理模块,所述控制管理模块包括:第一存储模块、CPU、管理接口电路、第一控制接口电路;所述第一存储模块经CPU接至管理接口电路,所述CPU还与控制接口电路通信连接;所述控制管理模块用于控制所述防火墙安全测试设备的运行;所述数据处理模块包括:第二控制接口电路,用于将电信号转换为数据包并转发所述数据包,对TCP/IP第二层和第三层的数据进行分类和转发;网络处理器,用于数据转发;第二存储模块,用于对数据包进行存储和复制;处理器,用于处理数据;网络接口模块,用于将电信号转换为数据包并转发所述数据包;所述处理器经网络处理器接至第二存储模块,所述网络处理器还与第二控制接口电路通信连接;所述第一控制接口电路和第二控制接口电路通信连接。
[0008]处理器为专用集成电路处理器。提高了所述防火墙安全测试设备的软硬件扩展性与兼容性。
[0009]处理器还用于把任务指令或计算逻辑固化到所述处理器中。处理器获得了很高的处理能力,因而明显提升了硬件的性能。
[0010]第二存储模块还用于对数据包进行归类和分组。
[0011]第二控制接口电路嵌入嵌入式TCP/IP第四层处理器。
[0012]第一控制接口电路嵌入嵌入式TCP/IP第四层处理器。
[0013]防火墙安全测试设备通过专门设计的专用集成电路处理器逻辑进行硬件加速处理,专用集成电路处理器通过把指令或计算逻辑固化到自身芯片中,获得了很高的处理能力,因而明显提升了硬件的性能,新一代的高可编程专用集成电路处理器采用了更灵活的设计,能够通过软件改变应用逻辑,具有更广泛的适应能力。
【附图说明】
[0014]图1是本实用新型实施例提供的一种防火墙安全测试设备的硬件结构示意图;
[0015]图2是本实用新型实施例提供的一种防火墙安全测试设备的整体系统结构示意图。
【具体实施方式】
[0016]实施例
[0017]见图1-2所示,本实施例提供的一种防火墙安全测试设备,包括控制管理模块I和数据处理模块2,所述控制管理模块I包括:第一存储模块、CPU、管理接口电路、第一控制接口电路;所述第一存储模块经CPU接至管理接口电路,所述CPU还与控制接口电路通信连接;所述管理接口电路用于将电信号转换为数据包并转发所述数据包,对TCP/IP第二层和第三层的数据进行分类和转发;所述第一控制接口电路用于将电信号转换为数据包并转发所述数据包,对TCP/IP第二层和第三层的数据进行分类和转发;所述CPU为快速数据通路,包括控制单元和异常处理单元;所述第一存储模块用于对数据包进行存储和复制;所述控制管理模块I用于控制所述防火墙安全测试设备的运行;所述数据处理模块2包括:第二控制接口电路,用于将电信号转换为数据包并转发所述数据包,对TCP/IP第二层和第三层的数据进行分类和转发;网络处理器,用于数据转发;第二存储模块,用于对数据包进行存储和复制;处理器,用于处理数据;网络接口模块,用于将电信号转换为数据包并转发所述数据包;所述处理器经网络处理器接至第二存储模块,所述网络处理器还与第二控制接口电路通信连接;所述第一控制接口电路和第二控制接口电路通信连接。
[0018]处理器为专用集成电路处理器。提高了所述防火墙安全测试设备的软硬件扩展性与兼容性。
[0019]处理器还用于把任务指令或计算逻辑固化到所述处理器中。处理器获得了很高的处理能力,因而明显提升了硬件的性能。
[0020]第二存储模块还用于对数据包进行归类和分组。
[0021]第二控制接口电路嵌入嵌入式TCP/IP第四层处理器。
[0022]第一控制接口电路嵌入嵌入式TCP/IP第四层处理器。
[0023]所述防火墙安全测试设备通过网络接口模块与防火墙通讯,数据处理模块2向防火墙发送测试数据包,对防火墙进行功能测试、性能测试等。
[0024]控制管理模块I工作过程:
[0025]控制管理模块I是做管理用,主要用做前台管理界面,电讯号进入管理接口电路后,从二层帧格式转换成三层IP数据包格式,进入CPU被处理,CPU把数据包进行数据整合归类,并进行分组,然后根据任务的轻重缓急把紧急任务进行处理(非紧急任务信息存储到第一存储模块当中以待随后处理),CPU处理完任务后将处理结果发回到第一控制接口电路。
[0026]数据处理模块2工作过程:
[0027]从第一控制接口电路发来的电信号进入第二控制接口电路后,从二层帧格式转换成三层IP数据包格式,进入网络处理器被处理,网络处理器把数据包进行数据整合归类,并进行分组,然后根据任务的轻重缓急把紧急任务发送到专用集成电路处理器进行任务处理(非紧急任务信息存储到第二存储模块当中以待随后处理),专用集成电路处理器处理完任务后将处理结果发回到网络处理器,网络处理器将任务再发送回第二控制接口电路。
[0028]防火墙安全测试设备米用网络处理器NP (Network Processor)+ASIC混合架构,完美解决转发速度问题,完全由硬件来进行制定好的报文处理动作。网络处理器是将计算、存储和媒体资源控制高度集成的,能够对报文进行深度匹配并以线速进行转发的技术,它符合如下定义:
[0029]1.具有灵活的可编程能力,通用CPU的可编程性;
[0030]2.高速进行L2-L4+的数据处理能力;
[0031]3.高度集成的处理器。
[0032]4.微码编程的和/或硬件的加速引擎;
[0033]5.高效的存储器子系统控制器;
[0034]6.良好的数据流管理,内部通信支持能力;
[0035]7.存储器时延屏蔽技术。
[0036]芯片级硬件体系结构设计:防火墙安全测试设备属于硬件型千兆线速产品,采用4G性能的NP+ASIC芯片,具有高性能、高安全、高可用、高可控、自主知识产权的特点。它拥有先进的体系结构、强大的数据处理能力和并发响应能力、严谨的安全机制、灵活的更级方式、方便配置管理方式。它在硬件板级设计、安全体系结构、安全芯片之微码、配置管理操作系统、配套的管理软件等方面有重大创新。具体说明如下:
[0037]采用主控板3与网络处理板4配合的体系结构,这两个计算机处理系统并行工作。网络数据报文的处理由网络处理器主板完成,配置管理报文和相关控制报文交付主控板3处理,保证了防火墙安全测试设备在千兆环境下的线速处理。同时,实现与优化网络处理板4与主控板3之间的接口层和通信协议,提高了系统性能、稳定性和可移植性。
[0038]网络处理板4:采用网络处理器(NP)芯片设计,利用微码实现原操作系统及实时性高的防火墙安全测试设备功能模块,系统启动后转发到ASIC芯片中执行。
[0039]主控板3:采用高性能主板,实现对专用网络处理板4进行配置与控制,保证网络数据处理与系统配置管理及控制功能相分离。
【主权项】
1.一种防火墙安全测试设备,包括控制管理模块和数据处理模块,所述控制管理模块包括:第一存储模块、CPU、管理接口电路、第一控制接口电路;所述第一存储模块经CPU接至管理接口电路,所述CPU还与控制接口电路通信连接;所述控制管理模块用于控制所述防火墙安全测试设备的运行;其特征在于,所述数据处理模块包括:第二控制接口电路,用于将电信号转换为数据包并转发所述数据包,对TCP/IP第二层和第三层的数据进行分类和转发;网络处理器,用于数据转发;第二存储模块,用于对数据包进行存储和复制;处理器,用于处理数据;网络接口模块,用于将电信号转换为数据包并转发所述数据包;所述处理器经网络处理器接至第二存储模块,所述网络处理器还与第二控制接口电路通信连接;所述第一控制接口电路和第二控制接口电路通信连接。
2.根据权利要求1所述的防火墙安全测试设备,其特征在于,所述处理器为专用集成电路处理器。
3.根据权利要求2所述的防火墙安全测试设备,其特征在于,所述处理器还用于把任务指令或计算逻辑固化到所述处理器中。
4.根据权利要求3所述的防火墙安全测试设备,其特征在于,所述第二存储模块还用于对数据包进行归类和分组。
5.根据权利要求4所述的防火墙安全测试设备,其特征在于,所述第二控制接口电路嵌入嵌入式TCP/IP第四层处理器。
6.根据权利要求5所述的防火墙安全测试设备,其特征在于,所述第一控制接口电路嵌入嵌入式TCP/IP第四层处理器。
【专利摘要】本实用新型公开了一种防火墙安全测试设备,包括控制管理模块和数据处理模块,所述控制管理模块包括:第一存储模块、CPU、管理接口电路、第一控制接口电路;第一存储模块经CPU接至管理接口电路,CPU还与控制接口电路通信连接;数据处理模块包括:第二控制接口电路,网络处理器,用于数据转发;第二存储模块,用于对数据包进行存储和复制;处理器,用于处理数据;网络接口模块,用于转发所述数据包;所述处理器经网络处理器接至第二存储模块,所述网络处理器还与第二控制接口电路通信连接;所述第一控制接口电路和第二控制接口电路通信连接。本实用新型的技术方案能实现对防火墙从宏观层面制定测试任务、自动执行测试、展示综合测试结果的功能。
【IPC分类】H04L12-26, H04L29-06
【公开号】CN204316521
【申请号】CN201420829820
【发明人】吴涛
【申请人】郑州向心力通信技术股份有限公司
【公开日】2015年5月6日
【申请日】2014年12月24日