专利名称:基于透明网络地址翻译的代理与防火墙网关的制作方法
技术领域:
本发明涉及一种网关,特别涉及一种基于透明网络地址翻译的代理与防火墙网关。
目前,由于国内外防火墙在收费、访问控制、网络安全控制、信息安全控制等模式和国内防火墙有很大的区别,国内/外IP地址块的区分和基于其上的访问控制在国外防火墙很难实现,即使能实现,效率相当低。国内现在也开发了一些防火墙能实现区分国内/外IP地址块和基于其上的访问控制和计费,但都基于主机,采用软件实现,性能低,同时存在着活动信息不能很好保存,流量统计与查询达不到实时等问题。
本发明的目的在于克服上述现有技术的缺点,提出一种基于透明网络地址翻译的代理与防火墙网关,采用硬卡实现活动信息断电自动保存、用户帐户的自动定位和维护以及用户权限的硬件解释,采用IP地址翻译软件和硬卡配合实现内部私有IP地址的代理,采用包过滤软件和硬卡结合实现防火墙功能,它可以解决国内/外IP地址块的区分、实时流量的统计和查询、内外网络IP地址的翻译和防火墙功能的实现。
图1是基于透明网络地址翻译的代理与防火墙网关的结构。
图2是本发明的硬卡结构。
图3是网关两边的吞吐量之和与网关每包时延平均值的关系。
图4是网关两边的吞吐量之和与代理网关吞吐量的关系。
下面结合附图对本发明的结构原理作详细说明。
基于透明网络地址翻译的代理与防火墙网关的结构如图1由1~5五个单元组成,它包括一个主板,主板内存中运行有Web服务器1和地址翻译软件2,Web服务器1允许内部的私有网用户访问Web服务器页面,允许私有网用户通过网关上的CGI程序查询费用、修改访问权限、维护帐户等。IP地址翻译软件2,能够实现私有网IP地址的翻译与代理、包过滤、包转发、路由等功能。和主板连接有100/10Mbps以太网卡3、5和硬卡4。以太网卡3、5接收和发送数据帧;硬卡4实现用户访问权限表、流量表等动态信息的存取和断电自动保存,权限表的解释,用户帐户的定位和维护等功能。网关内接内部私有网6,外通过路由器7接入Internet网8。
参见图2,硬卡4由9~16八个部分组成。总线缓冲器和锁存器9,保存32位IP地址;可编程器件实现的译码电路10采用可编程器件实现对IP地址的译码;直流和电池双路供电的存储器11字长192位,保存权限和流量信息;以比较电路实现的电平监视电路12在上电和掉电时禁止访问权限和流量信息,以防止电压过渡时对存储器的误写入;可充电电池13在线充电,掉电时维持权限表、流量表内容。缓冲器14储存硬件解释的权限表内容;将192位字长映射到PC机总线的访问电路和缓冲电路15;译码电路16主要用来缓冲命令。
下面结合
它们之间的连接方式Web服务器1以软件的形式运行在网关上,和以太网卡3的接收和发送缓冲区通信,采用CGI程序与硬卡4中的锁存器9、缓冲器14、缓冲电路15和译码电路16通信。IP地址翻译软件2与以太网卡3和以太网卡5的缓冲区、硬卡4通信。网关是基于PC平台,通信连接采用系统总线。以太网卡3通过网线与内部私有网6相连,以太网卡5通过网线与路由器7相连。
总线缓冲器和锁存器9、缓冲器14、缓冲电路15和译码电路16通过数据线、地址线和控制线与网关通信,总线缓冲器和锁存器9通过数据线和译码电路10相连,译码电路10通过控制线和地址线和存储器11相连,存储器11采用译码电路和缓冲器14、缓冲电路15相连,可充电电池13和电平监视电路12分别接入存储器11。
本网关能使内部私有IP地址通过一个全球统一IP地址访问Internet,具体过程如下私有网中站点的一个客户程序要访问外部Internet上的一个服务器,客户程序采用内部私有IP地址和外部服务器进行通信,当客户程序发出的包经过网关时,网关的处理过程为IP地址翻译软件2把IP包中的IP地址写入锁存器9,如果缓冲器14显示合法,缓冲电路15中即是对应的权限和流量信息。IP地址翻译软件2根据缓冲电路15中权限表中的服务类型等权限检查包,允许或禁止包通过,根据包长发命令到译码电路16,更新存储器11中的流量表,否则丢弃该包。对于检查为合法的包,IP地址翻译软件2采用网络地址翻译技术(请见rfc1631)翻译客户程序发出的IP包,然后网关把该包发向外部Internet。
从服务器返回的包,经过网关时的处理过程为IP地址翻译软件2采用网络地址翻译技术翻译服务器发出的IP包,然后,IP地址翻译软件2把IP地址写入总线缓冲器和锁存器9中,如果缓冲器14显示合法,缓冲电路15中显示对应的权限和流量信息,根据缓冲电路15中权限表中的服务类型等权限检查包,允许或禁止包通过,根据包长发命令给译码电路16更新存储器11中的流量表,然后把包发向私有网,否则丢弃该包。
本网关通过Web服务器采用CGI程序接受用户的请求,完成硬卡上的权限表的更改、流量查询等功能。过程为CGI程序获得用户命令后进行编码,然后输入到译码电路16中更改权限表,查询流量信息等。
本说明以HTTP为例,假设1)客户程序所在的站点的IP地址为10.10.10.2;2)本网关的全球统一IP地址为200.76.35.5,和内部私有网相接的接口IP地址为10.10.10.1且为私有网的网关;3)外部服务器的IP地址为203.4.2.3。
客户程序首先发IP包,用P(10.10.10.22000,203.4.2.380)表示,其中10.10.10.2为源IP地址,2000为源端口号,203.4.2.3为目的IP地址,80为目的端口号。
IP包到达本网关后,IP地址翻译软件2把10.10.10.2写入锁存器9中,如果缓冲器14输出一个非法值,IP地址翻译软件2把该包丢弃,如果判定为合法IP地址,IP地址翻译软件2读取缓冲电路15中的权限表和流量信息,根据权限表检查包的端口号、访问的服务器的IP地址是否在国外等信息,从而允许或禁止包通过,并进行分国内、国外分别统计流量,最后把修改的流量信息输入译码电路16更新存储器11中的流量表。
如果包P(10.10.10.22000,203.4.2.380)判定为合法,IP地址翻译软件2采用透明地址翻译技术对此包进行翻译(假如翻译得到的包为P(200.76.35.53000,203.4.2.380)),然后发向外部Internet。
从外部返回的包为P(203.4.2.380,200.76.35.53000),IP地址翻译软件2采用透明地址翻译技术把此包翻译成P(10.10.10.22000,203.4.2.380),然后把10.10.10.2写入锁存器9中,如果缓冲器14输出一个非法值,IP地址翻译软件2把该包丢弃,如果判定为合法IP地址,IP地址翻译软件2读取缓冲电路15中的权限表和流量信息,根据权限表检查包的端口号、源IP地址是否在国外等信息,从而允许或禁止包通过,并进行分国内、国外分别统计流量,最后把修改的流量信息输入译码电路16更新存储器11中的流量表。
本网关采用硬卡储存权限表和流量表信息,电池保护信息等措施,避免了存盘过程,保证了活动信息不丢失,解决了网关中用户权限不断变化和实时流量统计与查询的特殊情况。本网关又采用硬卡实现IP地址和用户帐户相绑定的策略,采用硬件实现IP地址直接定位用户帐户,加快了网关定位帐户的速度,提高了网关的性能。本网关采用透明地址翻译的策略,在性能上要高于应用层代理服务器。
图3是网关两边的吞吐量之和与代理网关每包时延平均值的关系,图4是网关两边的吞吐量之和与网关吞吐量的关系,其中横坐标是网关两边吞吐量之和,单位为pps,纵坐标是网关的吞吐量,单位为pps。
权利要求
1.基于透明网络地址翻译的代理与防火墙网关,包括一个主板,其特征在于,主板内存中运行有Web服务器(1)和地址翻译软件(2),和主板连接有以太网卡(3)和以太网卡(5)和硬卡(4)。
2.根据权利要求1所述的网关,其特征在于,以太网卡3的接收和发送缓冲区通信,采用CGI程序与硬卡(4)中的锁存器(9)、缓冲器(14)、缓冲电路(15)和译码电路(16)通信,IP地址翻译软件2与以太网卡3和以太网卡5的缓冲区、硬卡4通信。
3.根据权利要求1或2所述的网关,其特征在于,所说的硬卡(4)包括一总线缓冲器和锁存器(9),总线缓冲器和锁存器(9)、缓冲器(14)、缓冲电路(15)和译码电路(16)通过数据线、地址线和控制线与网关通信,总线缓冲器和锁存器(9)通过数据线和译码电路(10)相连,译码电路(10)通过控制线和地址线和存储器(11)相连,存储器(11)采用译码电路和缓冲器(14)、缓冲电路(15)相连。可充电电池(13)和电平监视电路(12)分别接入存储器(11)。
全文摘要
基于透明网络地址翻译的代理与防火墙网关,包括一个主板,主板内存中运行在有Web服务器和地址翻译软件,和主板连接有以太网卡和以太网卡和硬卡,可以解决国内/外IP地址块的区分、实时流量的统计和查询、内外网络IP地址的翻译和防火墙功能的实现。
文档编号G06F17/00GK1260545SQ9911595
公开日2000年7月19日 申请日期1999年12月29日 优先权日1999年12月29日
发明者钱德沛, 陆月明, 刘轶, 王磊, 徐斌 申请人:西安交通大学