专利名称:新型集成路由交换功能的防火墙设备的制作方法
技术领域:
本发明涉及一种防火墙设备,具体涉及一种新型集成路由交换功能的防火墙设备。属数据通讯技术领域。
背景技术:
在互联网的流量和业务飞速发展的同时网络也出现了很大的负面问题,即网络安全问题日益突出,网络的安全性正在受到越来越多的用户的关注,防火墙设备成为网络中不可缺少的环节。
防火墙是一种高级访问控制设备,它是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。防火墙设备在网络中典型应用如图1所示。防火墙设备一般设有外网接口、内网接口、DMZ接口,特殊场合还需要多个外网接口或DMZ接口或内网接口。防火墙设备不具备交换路由机的功能。交换路由机既可以提供交换机高带宽的交换同时兼顾路由器组网的灵活性,因此在网络组成中得到广泛的应用。
网络处理器(NP)芯片是介于CPU和ASIC之间的一种芯片,也是在CPU和ASIC之间取得的一种平衡技术,同时具备了CPU的灵活性和ASIC的高性能。网络处理器技术是目前在多业务融合环境下路由器采用的一种主要的芯片技术,解决了在多业务环境下的各种协议支持和转发性能问题。现在NP已经在路由器、防火墙上广泛使用。ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理,虽然研发成本较高,灵活性受限制、无法支持太多的功能,但其性能具有先天的优势,非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。
传统的防火墙组网方式如图1所示,为增强网络的安全性,通常通过一个路由器1将外网接入内网,路由器1、防火墙2和多层交换机3通常位于网络的核心汇聚层,组网环节较多,增加了网络的复杂度,降低了网络的稳定性。
发明内容
本发明的目的是通过提供一种新型集成路由交换功能的防火墙设备,用于革新网络设备的组网模式,减少组网环节,降低组网成本,并在网络接入层,汇聚层实现网络威胁的防御,增强网络的稳定性和安全性。
本发明的目的是这样实现的一种新型集成路由交换功能的防火墙设备,其特征在于它由防火墙模块、交换路由模块和背板组成,防火墙模块与路由交换模块通过背板连接,所述的防火墙模块对外提供外网接口、内网接口和DMZ接口类型;所述的交换路由模块对外提供至少两个接口,防火墙模块、交换路由模块各设一个计算机系统,组成防火墙模块的计算机系统包括CPU和网络芯片,CPU采用X86架构、ARM架构、PowerPC架构或MIPS架构的处理器,网络芯片采用网卡芯片NIC、网络处理器NP芯片或防火墙专用芯片ASIC,CPU和网络芯片之间采用总线方式连接,组成防火墙模块的计算机系统包括CPU和网络芯片,CPU采用X86架构、ARM架构、PowerPC架构或MIPS架构的处理器,网络芯片采用网卡芯片NIC、网络处理器NP芯片或防火墙专用芯片ASIC,CPU和网络芯片之间采用总线方式连接。
本发明新型集成路由交换功能的防火墙设备,所述的背板具有以太网数据通道或总线方式的数据通道;所述的防火墙模块的CPU采用摩托罗拉公司出品的MPC8540,网卡芯片采用两片Intel公司出品的双路网卡芯片Intel82546;交换路由模块的CPU采用摩托罗拉公司出品的MPC8245,网络芯片采用Broadcom公司的一片或多片全千兆多层交换芯片BCM5690或BCM5695。
本发明通过在防火墙设备上集成交换路由功能,使得一台设备同时具备了三台设备的功能,革新了网络设备的组网模式,减少了组网环节,降低了组网成本,并在网络接入层或汇聚层实现网络威胁的防御,增强网络了的稳定性和安全性。典型的如图1所示的组网方式,可以简化为图2所示的组网方式,因为组网设备的减少从而大大降低了组网成本,又因为组网环节的减少可以达到减少故障环节的作用,增强了网络的稳定性。因为本发明所述的设备主要用于网络的接入或汇聚,通过防火墙模块可以在接入层和汇聚层实现网络威胁的防御,从而增强了网络的安全性和稳定性。
图1为传统的防火墙的组网方式示意图。
图2为本发明新型集成路由交换功能的防火墙设备的组网方式示意图。
图3为本发明新型集成路由交换功能的防火墙设备的逻辑框图。
图4为本发明新型集成路由交换功能的防火墙设备的一种具体实施方式
示意图。
图5本发明的具体实施方式
的防火墙模块的CPU和网络芯片的电路原理图。
图6本发明的具体实施方式
的防火墙模块的CPU到PHY的电路原理图。
图7为本发明的具体实施方式
的交换路由模块的CPU和网络芯片的电路原理图。
图8为本发明的具体实施方式
的交换路由模块的网络芯片和PHY之间的电路原理图。
图9为本发明的具体实施方式
的防火墙模块和交换路由模块PHY到背板以及背板的信号定义电路原理图。
图10为本发明的具体实施方式
的防火墙模块网络芯片到网络接口的电路信号图。
具体实施例方式参见图2,本发明新型集成路由交换功能的防火墙设备的组网方式。
参见图3,本发明新型集成路由交换功能的防火墙设备,由防火墙模块、交换路由模块和背板组成。防火墙模块对外提供外网接口、内网接口和DMZ接口。交换路由模块对外提供至少两个接口,交换路由模块的接口既可以单独作为交换路由接口也可扩展为防火墙模块的外网接口或内网接口或DMZ接口。背板设数据通道。背板所设数据通道通过以太网或总线方式实现。防火墙模块与交换路由模块通过背板的数据通道通讯。
所述的防火墙模块、交换路由模块各设一个计算机系统,所述的计算机系统,包括CPU和网络芯片,CPU可采用X86架构、ARM架构、PowerPC架构或MIPS架构的处理器,网络芯片可以是网卡芯片(NIC)、网络处理器(NP)芯片或防火墙专用芯片(ASIC),CPU和网络芯片之间采用总线方式连接。组成交换路由模块的计算机系统的网络芯片为可至少提供3层交换功能的多层交换芯片。
参见图4,图4为当防火墙模块的网络芯片采用网卡芯片时,本发明的一种实施方式,所述的防火墙设备PowerPC高性能CPU采用摩托罗拉公司出品的MPC8540,该CPU还集成了个千兆以太网控制器,可对外提供两个千兆接口F5和F6;千兆网卡芯片采用两片Intel公司出品的双路网卡芯片Intel82546,该网卡芯片相当于两片单路的千兆网卡芯片封装在一个芯片内;对外提供4个防火墙接口F1、F2、F3和F4。交换路由模块的CPU采用摩托罗拉公司出品的MPC8245,网络芯片采用Broadcom公司的全千兆多层交换芯片BCM5690。
防火墙模块的可提供接口F1、接口F2、接口F3、接口F4、F5和F6,接口F5和F6与背板数据通道相连。
交换路由模块的交换芯片可提供2/3/4/5/6/7层交换功能,交换路由模块提供12个物理接口,编号为S1至S12,交换路由模块将接口S1和接口S2与背板数据通道相连。交换路由模块的简化设计是采用只提供2层的交换功能或只提供路由功能的网络芯片。
为提高防火墙模块和交换路由模块数据通讯的带宽,可以通过软件方法将防火墙模块的F5和F6接口配置个聚合端口,同时将交换路由模块的S1和S2接口也配置成聚合端口,这样背板数据通道可以为防火墙模块和交换路由模块之间提供一个4Gpbs的带宽。
因为防火墙模块和交换路由模块可以通过背板的数据通道通讯,所以防火墙模块和交换路由模块通过软件方法既可以单独配置也可以通过另外一个模块进行配置。
图5至图10为上述具体实施方式
的关键电路原理图。
根据本发明提供的技术方案,具体实施方式
还可以是以下方式1)上述实施方案中防火墙模块和交换路由模块各提供一个或多个接口相连。
2)防火墙模块的网络芯片可以采用网络处理器(NP)来代替网卡芯片,Intel公司、Motorola以及Broadcom公司出品的网络处理器芯片均可满足本发明提供的技术方案的要求;3)防火墙模块的网络芯片可以采用防火墙专用芯片(ASIC)来代替网卡芯片。
4)交换路由模块的网络芯片根据处理能力的需求,可以是一片或者多片,从而在一个设备上提供更高的接口集成度。
5)背板的数据通道还可以是某种总线方式,例如PCI总线方式或者其他总线方式,根据所采用的总线技术不同,防火墙模块和交换路由模块之间在系统中可以是对等关系,也可以是主从关系。
权利要求
1.一种新型集成路由交换功能的防火墙设备,其特征在于它由防火墙模块、交换路由模块和背板组成,防火墙模块与路由交换模块通过背板连接,所述的防火墙模块对外提供外网接口、内网接口和DMZ接口类型;所述的交换路由模块对外提供至少两个接口,防火墙模块、交换路由模块各设一个计算机系统,组成防火墙模块的计算机系统包括CPU和网络芯片,CPU采用X86架构、ARM架构、PowerPC架构或MIPS架构的处理器,网络芯片采用网卡芯片NIC、网络处理器NP芯片或防火墙专用芯片ASIC,CPU和网络芯片之间采用总线方式连接,组成防火墙模块的计算机系统包括CPU和网络芯片,CPU采用X86架构、ARM架构、PowerPC架构或MIPS架构的处理器,网络芯片采用网卡芯片NIC、网络处理器NP芯片或防火墙专用芯片ASIC,CPU和网络芯片之间采用总线方式连接。
2.根据权利要求1所述的一种新型集成路由交换功能的防火墙设备,其特征在于所述的背板具有以太网数据通道或总线方式的数据通道。
3.根据权利要求1或2所述的一种新型集成路由交换功能的防火墙设备,其特征在于所述的防火墙模块的CPU采用摩托罗拉公司出品的MPC8540,网卡芯片采用两片Intel公司出品的双路网卡芯片Intel82546。
4.根据权利要求1或2所述的一种新型集成路由交换功能的防火墙设备,其特征在于交换路由模块的CPU采用摩托罗拉公司出品的MPC8245,网络芯片采用Broadcom公司的一片或多片全千兆多层交换芯片BCM5690或BCM5695。
全文摘要
本发明涉及一种新型集成路由交换功能的防火墙设备,属数据通讯技术领域。它由防火墙模块、交换路由模块和背板组成,防火墙模块与路由交换模块通过背板连接,所述的防火墙模块对外提供外网接口、内网接口和DMZ接口类型;所述的交换路由模块对外提供至少两个接口,防火墙模块、交换路由模块各设一个计算机系统,组成防火墙模块的计算机系统包括CPU和网络芯片,CPU和网络芯片之间采用总线方式连接,组成防火墙模块的计算机系统包括CPU和网络芯片,CPU和网络芯片之间采用总线方式连接。本发明减少了组网环节,降低了组网成本,并在网络接入层,汇聚层实现了网络威胁的防御,增强了网络的稳定性和安全性。
文档编号H04L12/24GK1809035SQ200610038210
公开日2006年7月26日 申请日期2006年2月10日 优先权日2006年2月10日
发明者丁贤根, 陈利海 申请人:江苏华丽网络工程有限公司