专利名称:网络安全网卡的制作方法
技术领域:
本实用新型涉及网络领域,特别是一种用于有线或无线上网方式的网络安全网卡。
背景技术:
目前,公知的网络通信设备是网卡,可用于终端设备上网和不同网络间的通信。对于各种网络终端设备,包括PC、笔记本、服务器、智能移动通信设备(PDA、手机等),均采用独立的或集成的网卡、上网卡或无线调制解调器(Modem)采用有线或无线方式连接Internet。面对日益严重的网络安全问题,一般采用各种硬件和软件措施,包括防火墙、加密、口令等各种系统。但是,这些安全措施主要针对来自网络外部的安全威胁,用于对网络间通信进行监管。对单个终端特别是个人使用的PC、笔记本、智能手机、PDA等的保护不足,主要是杀毒、windows防火墙、木马查杀等软件措施,缺乏有力的硬件保障措施。而来自内部网络的攻击和用户权力滥用才是威胁个人终端的最常被攻击点。
发明内容
本实用新型所要解决的技术问题是提供一种用于有线或无线上网方式的网络安全网卡,以解决上述网卡、上网卡或无线调制解调器本身不具备硬件保护能力和难以保护上网终端设备免受来自Internet和内部局域网络攻击的问题,本实用新型解决其技术问题采用的技术方案是包括传统网卡、上网卡或无线调制解调器的通信部分,通信部分由网络通讯装置和内部通信装置组成;还包括集成硬件级的安全保护部分,其主要由路由或NAT组成,NAT为网络地址转换;路由或NAT位于网络通讯装置和内部通信装置之间,网络通讯装置接收网络通信后,经路由转发给内部通信装置。
本实用新型具有如下优点本实用新型通过将路由、NAT、包过滤等硬件级网络安全防护系统简化集成于单一网卡、上网卡或无线调制解调器中,通过加入路由或NAT功能使得本终端对外部访问者而言不可见,实现了终端设备和网络的物理分开,从而达到降低被攻击的风险,提高网络安全的有益效果。由于均采用现有成熟技术,并加以简化,使得生产容易成本较低。
本实用新型与传统网卡、上网卡或无线调制解调器功能相兼容。用户不需作任何设置即可正常访问Internet和外部网络,同时允许用户自行启用或停止网卡中集成的路由和防火墙系统,通过软件配置或硬件一键式开关,可允许一次关闭所有功能或自行配置关闭部分功能。
图1是本实用新型的的结构原理图。
图2是实现图1的一种电路框架图。
图3是本实用新型的的通信过程图。
具体实施方式
本实用新型涉及一种提高网络安全性的网卡、上网卡或无线调制解调器,用于有线和无线上网方式。通过加入路由或NAT功能将独立或集成网卡对应的单一终端伪装为一个只有一台终端组成的虚拟内部局域网络,屏蔽内部网络结构对外部访问者不可见。将路由、NAT、包过滤、DHCP服务、虚拟服务等全部或部分功能和单一网卡的通信功能集成,将保护网络的硬件保护措施简化集成到单个网卡中,构筑硬件级网络安全防护系统,用于保护单台终端。
图1反映了本实用新型的设计思想,这是本实用新型的结构原理图。本实用新型是由传统网卡、上网卡或无线调制解调器的通信部分和集成硬件级的安全保护部分组成的网络安全网卡,其中通信部分由网络通讯装置和内部通信装置组成,安全保护部分主要由路由或NAT组成,NAT为网络地址转换。
根据需要,安全保护部分还设有动态主机分配服务器、虚拟服务器。
上述路由可以是包过滤路由器。
本实用新型可用于各种终端设备的上网需要。其中网络通信装置用于连接Internet和外部网络,可采用各种有线(电缆、双绞线、光纤等)和无线(无线宽窄带接入、移动通信等)通信方式。内部通信装置用于连接通信终端,可采用集成(PC和笔记本主板集成、智能手机、PDA等)、内置(PCI、PCMCIA接口等)和外置(USB接口等)等方式。
整个硬件级安全保护系统组成中,包过滤路由器提供路由功能,屏蔽内部网络结构,由于内部虚拟网络只有单一的一台计算机,路由功能极为简单,允许自动或手动配置路由表,加入虚拟服务器后路由功能会相应复杂化。集成NAT功能,进行IP网络地址转换。也可简化设计,只使用NAT进行伪装。包过滤路由器可同时提供硬件级的数据包级防火墙,是最外层。对于包过滤功能,由于内部计算机的不可见性和只有单一的一台计算机,可以很简单的实现该功能,也可选择启用或停止该项功能。为了安全性可完整实现,可加入ACL(防问控制列表)等功能,为了简化也可以不要包过滤功能。为了达到最高的安全性,可采用两级包过滤路由器,在图1中包过滤路由器、动态主机分配服务器、虚拟服务器之下内部通信装置之上再增加一个包过滤路由器,不推荐采用。
动态主机分配服务器提供DHCP服务,为本网络自动分配内部IP地址。由于内部虚拟网络只有单一的一台计算机,功能可相应简化,也可选择启用或停止该项功能,可允许用户配置DHCP服务,也可允许用户手工配置本机IP地址。
虚拟服务器,提供外部用户访问本地服务的虚拟接口。当启用安全保护功能时只能由本终端访问Internet和外部网络,不允许外部访问本地终端,通过这种方式来保护本机。但是某些情况下用户又希望对外提供一定的访问窗口(如Web服务、Ftp服务等),这与安全的需求相矛盾,这时可通过提供虚拟服务器功能来解决。虚拟服务器将所有来自外部的服务请求重新定位给内部虚拟网络(即本机)中的服务器。可通过集成代理和NAT功能来实现。为了简化也可以不要该功能。
如图2中所示,这是本实用新型的一种实现电路框架图,根据设计思想的一种典型实现方式,并不代表所有可能的具体设计实现。
图2中方框1为物理层接口(PHY),其可根据需要选用各种有线或无线通信方式,如100/1000BaseT以太网、RF等。方框2为介质访问控制(MAC)。方框3为电可擦写可编程只读存储器(EEPROM),其用于存储资源配置、参数和数据等。方框1-3共同构成网络通信装置,连接局域或广域网络,可根据需要自行选用独立或集成的芯片。
方框4为中央处理器(CPU)负责路由的配置、管理和数据包的转发工作,完成相关协议程序的运算,如维护路由所需的各种表格以及路由运算等;可选用合适的嵌入式微处理器,如典型的RISC(精简指令集计算机)微控制器ARM等。
方框5为随机存储器(RAM)运行期间暂时存放操作系统和数据,包含路由表项目、ARP缓冲项目、日志项目和队列中排队等待发送的分组等;除此之外,还包括运行配置文件、正在执行的代码、IOS操作系统程序和一些临时数据信息;典型的可选用SDRAM、DDR等。方框6为引导程序只读存储器(BootROM)主要用于系统初始化等功能。加电自检,启动路由器并载入IOS操作系统,备份的IOS操作系统。方框7为闪存(Flash),可读可写的存储器,存放着当前使用中的IOS操作系统内核、文件系统映像和用户程序文件。方框8为非易失性存储器(NVRAM),用于保存启动配置文件。方框5-8构成存储子系统,每种内存以不同方式协助路由和过滤工作,可根据需要选用各式只读和动态存储类型,DRAM/SDRAM、DDR、ROM、SRAM、Flash等。
方框9为现场可编程门阵列(FPGA),可用于编程,使之实现特定的辅助逻辑功能;也可用其他类型可编程的逻辑电路。
方框4-9构成集成硬件级网络安全防护系统,完成路由和过滤工作以及相关协议功能;也可采用高集成的解决方案,提供RISC CPU、Cache(高速缓存)、以太控制器、HDLC(高级数据链路控制)、UART(通用异步收发)通道、定时器、通用可编程I/O端口、系统总线、中断控制器、DRAM/SDRAM控制器、ROM/SRAM和闪存控制器的全部或部分功能。以上功能特点可集成在单芯片中,作为路由器的核心,大大减少系统成本。
方框10为周边元件扩展接口(PCI,Peripheral Component Interface),内部通信装置,接系统总线,可根据具体应用选择各种内置和外置方式,如PCMCIA、USB等。主板集成方式下不需要,直接接系统总线到南桥芯片。
方框11为外围电路元件,包括电源、时钟、LED显示、复位等相关功能。
本实用新型的设计与传统网卡、上网卡或无线调制解调器功能相兼容。用户不需作任何设置即可正常访问Internet和外部网络,优化设计中允许用户自行启用或停止网卡中集成的网络安全防护系统,可通过软件配置或硬件一键式开关,可允许一次关闭所有功能或自行配置关闭部分功能。
本实用新型可采用各种有线(电缆、双绞线、光纤等)和无线(无线宽窄带接入、移动通信等)通信方式,可采用集成(PC和笔记本主板集成、智能手机等)、内置(PCI、PCMCIA接口等)和外置(USB接口等)等方式,可在主板上分别独立集成网卡、路由、NAT、包过滤等,可用于各种终端设备的上网需要。
本实用新型的工作原理是通过加入路由或NAT功能将独立或集成网卡对应的单一终端伪装为一个只有一台终端组成的虚拟内部局域网络,屏蔽内部网络结构对外部访问者不可见。通过路由或NAT功能,将拥有独立合法IP地址(如A、B、C类IP地址)的或内部局域网IP地址(如10.*.*.*和192.168.*.*)的可由外部网络(如Internet)和内部网络(如机构、公司、小区的内部局域网等)直接访问的终端(PC、笔记本、服务器(Web、Ftp等)、智能移动通信设备(PDA、手机等)),转变为只拥有一台终端的内部局域网。简而言之,即将一台计算机变为一个只有一台计算机的虚拟网络。拥有独立合法IP地址的计算机可被整个Internet的用户访问,只有内部局域网IP地址的计算机只能被本局域网内部用户访问。当一台计算机变为一个只有一台计算机的网络时,就没有任何人可以直接访问,对外部访问者而言只能看到内部网络的对外接口而无法了解内部网络结构,而本内部网络只有一台网卡所对应的计算机,也就不存在内部网络攻击的可能性。将保护网络的硬件保护措施简化集成到单个网卡、上网卡或无线调制解调器中,用于保护单台终端。通过将路由、NAT、包过滤、DHCP(动态主机分配协议)服务、虚拟服务等全部或部分功能和单一网卡的通信功能集成,构筑硬件级防火墙。本实用新型设计主要用于单一终端上网时的通信,不适用于网络间通信和多个终端连接成内部网络再与Internet或外部网络通信,区别于集成防火墙的路由器和其它集成防火墙或路由功能的通信设备,网络间通信已有成熟的安全保护系统。
本实用新型的通讯过程如图3所示当用户正常上网时,由本地终端发起通信连接,请求网络上的服务器提供信息或服务(见图中向上箭头所反映的通信过程)。用户发起的通信将按一般网卡的通信方式正常进行,不会受网络安全保护系统的干扰。
当本地终端作为服务器接受外部的访问请求时或是遭受到网络攻击时(见图中向下箭头所反映的通信过程),网络安全保护系统起作用,不会直接将来自外部网络的不明数据包转发给本地终端。
如果本地终端作为服务器提供特定服务端口,包过滤路由器检查来自外部网络的数据包后转发给虚拟服务器,由虚拟服务器按照用户设定的端口映射或服务代理方案进行检查和转发,如果有对应服务则转发给内部通信装置提交给本地终端的服务端口,如果没有对应服务则虚拟服务器将阻截服务请求。
如果本地终端不作为服务器,没有提供特定服务端口,所有来自外部的连接访问请求可以视为无意义或是恶意的,将在包过滤路由器处被阻截,不会到达本地终端。通过这种严格限制流入的方式保护用户上网时通信的安全。
权利要求1.一种网络安全网卡,包括传统网卡、上网卡或无线调制解调器的通信部分,通信部分由网络通讯装置和内部通信装置组成,其特征是还包括集成硬件级的安全保护部分,该安全保护部分主要由路由或NAT组成,NAT为网络地址转换;路由或NAT位于网络通讯装置和内部通信装置之间,网络通讯装置接收网络通信后,经路由转发给内部通信装置。
2.根据权利要求1所述的网络安全网卡,其特征是路由是包过滤路由器。
3.根据权利要求1所述的网络安全网卡,其特征是安全保护部分还设有动态主机分配服务器。
4根据权利要求1所述的网络安全网卡,其特征是安全保护部分还设有虚拟服务器。
专利摘要本实用新型是网络安全网卡,包括传统网卡、上网卡或无线调制解调器的通信部分;还包括由路由或NAT组成的安全保护部分,其位于网络通讯装置和内部通信装置之间,网络通讯装置接收网络通信后,经路由转发给内部通信装置。本实用新型通过加入路由或NAT功能将独立或集成网卡对应的单一终端伪装为一个只有一台终端组成的虚拟内部局域网络,屏蔽内部网络结构对外部访问者不可见;将路由、NAT、包过滤、DHCP服务、虚拟服务等全部或部分功能和单一网卡的通信功能集成,将保护网络的硬件保护措施简化集成到单个网卡中,构筑硬件级网络安全防护系统,用于保护单台终端;实现了终端设备和网络的物理分开,从而提高了网络安全的有益效果。
文档编号H04L29/06GK2922301SQ200620095899
公开日2007年7月11日 申请日期2006年3月30日 优先权日2006年3月30日
发明者汤长风, 汤云帆 申请人:汤长风