专利名称:网络隔离装置的制作方法
技术领域:
本实用新型涉及一种网络隔离装置。
背景技术:
信息化是发展我国经济的必由之路,可以说,在当今世界上,谁的信息化程度愈高,谁就占据着经济发展的主动。电子政务作为国家信息化建设的重点工程,对于提高政府办公效率、增加政府办公透明度有重要作用。但是,电子政务建设的发展也给我们提出了新的问题。尽管防火墙(Firewall)在安全防御中作为一种核心的访问控制手段,起到了不可替代的作用,但以防火墙为核心的防御体系已经不能满足网络安全的真正需求,因为防火墙始终保持了可信网络与不可信网络之间的TCP/IP连接。这样就不可能真正解决内外网络之间信息交互的安全问题。一旦防火墙因攻击或故障失效,或不能正确实现其职能时, 始终存在的TCP/IP连接就成为攻击者攻击受保护网络的罪恶之手。因此,设计一种TCP/IP 连接断开同时逻辑连接的安全设备是意义重大的。正是基于以上的想法,产生了新的协议隔离技术(GAP)。协议隔离的指导思想与防火墙有很大的不同(1)防火墙的思路是在保障互联互通的前提下,尽可能安全,而(2)协议隔离的思路是在保证必须安全的前提下,尽可能互联互通。通过协议隔离设备可以解决目前防火墙(Firewall)存在的根本问题1)防止TCP/IP的协议漏洞其中一段不用TCP/IP,使用独立的GAP协议;2)屏蔽防火墙中内网、外网和DMZ同时直接TCP/IP连接采用双主机结构;3)防护应用协议的漏洞,因为应用协议的命令和指令可能是非法的进行应用层级别的协议内容检查。在国内,目前许多公司开展了隔离技术研究,并推出了自己产品,但性能不如国夕卜。最初第一代隔离技术提出的是双网的概念、即每个用户拥有两台独立的计算机,这种方式的最大缺点就是对资源的严重浪费,随着硬件和软件产品的飞速发展第二代第三代隔离产品相继问世。这些新产品在技术上比较第一代有了很大的改进与提高,方便了客户,降低了成本,但还是有很多问题没有得到妥善的解决,如内外网络物理隔离问题、内外网的信息高速交换问题等。国内现有的网络隔离产品,有的只是实现了隔离功能,但是内、外网络之间不能进行信息交换;有的产品虽然有内、外网信息交换功能,但是速度很慢,不能满足当今网络数据进行高速交换的需求。总之,目前国内的隔离技术存在如下问题1)有的是单纯基于开关方式隔离,不能在内外网络之间方便地进行数据交换;2)即使是有基于开关方式数据交换功能的隔离技术,也是速度很慢,最高不过 10Mbit/s ;3)没有高级的应用层检查功能、也没有病毒检测功能;4)支持的用户数目少,只能针对很小的网络等诸多问题。
实用新型内容本实用新型所要解决的技术问题是提出一种网络双向协议隔离装置,实现可信网络与不可信网络的之间的真正隔离,确保可信网络不受攻击,增强其安全系数。本实用新型所提供的技术方案是一种网络双向协议隔离装置,该隔离装置包括有两个PCI总线接口、两个隔离卡和LVDS总线,所述两个隔离卡上都设置有依次连接的 TCP/IP协议栈、协议分析模块、协议重构模块和会话模块;所述PCI总线接口分别与两个隔离卡的TCP/IP协议栈连接,而LVDS总线与两个隔离卡的会话模块连接。该隔离装置包括有两块安全板,两块隔离卡分别通过两个PCI总线接口插接在两块安全板上;该两块安全板上都设有网线插槽和电源接口 ;一主备电源,用于通过该电源接口为安全板单独供电。所述两块安全板上都插有内存条。本实用新型有如下优点结构简单,使用方便,真正实现内外网络之间的协议隔离,保证内部网络安全,黑客不能与内部网络建立直接TCP/IP的会话,其中核心的隔离卡的功能不可编程的;提供内容审查,DNS保护,能抵抗恶意攻击行为;数据可以双向传输,即提供用户很好的安全性,也方便用户的数据访问。
以下结合附图和具体实施例来说明本实用新型。
图1为本实用新型的原理框图;图2为本实用新型的结构框图。其中1:不可信端隔离卡2:可信端隔离卡3:LVDS总线11 不可信端安全板21 可信端安全板4:外网接口5:内网接口6:内存条7:外接电源
具体实施方式
如图1所示的一种网络双向协议隔离装置的原理图,包括有两个PCI总线接口、两个隔离卡(不可信端隔离卡1、可信端隔离卡2)和LVDS总线3,不可信端隔离卡1和可信端隔离卡2 (图中虚线框所示)上都设置有依次连接的TCP/IP协议栈、协议分析模块、协议重构模块和会话模块;所述PCI总线接口分别与两个隔离卡的TCP/IP协议栈连接,而LVDS 总线3与两个隔离卡的会话模块连接。如图1所示的一种网络双向协议隔离装置,包括有不可信端隔离卡1、可信端隔离卡2、LVDS总线3,还包括有不可信安全板11和可信端安全板21,不可信端隔离卡1通过不可信端网络PCI总线接口插接在不可信端安全板11上,可信端隔离卡2通过可信端网络 PCI总线接口插接在可信端安全板21上;不可信端安全板11上设有外网接口 4和电源接口,可信端安全板21上设有内网接口 5和电源接口,两处的电源接口与外接电源7连接;不可信端安全板11和可信端安全板21上都插有内存条6,内存条6储存启动隔离卡的程序。通过外网接口 4与外部网络相连的计算机相连,内网接口 5与内部网络相连的计算机相连,LVDS总线3用于在两个隔离卡之间传输数据,其交换速率可以达到lG/bps。不可信端隔离卡1和可信端隔离卡2的功能是对称的,它们的功能主要表现在将可信/不可信端计算机传输的专用格式的应用数据包进行源鉴别、缓存、中继等处理,并通过程序隔离开关传送到对端。一主备电源,用于通过该电源接口为安全板单独供电。关于隔离装置的具体电路,可采用现有的Dl型号为PCI9054C芯片,为PLX公司开发的PCI总线接口芯片,主要功能为实现安全板和计算机之间的PCI连接和数据传输;D2型号为)(C2S100PQ208芯片,为XILINX公司开发的FPGA芯片,主要功能为实现安全板高速数据传输,以及完成安全板内部接口控制功能;D3和D4型号为IDT72V3670芯片,为IDT公司开发的大容量同步FIFO芯片,主要功能为实现数据的发送和接收,在进行LVDS信号转化发送之前起到缓存数据的作用;D5型号为XCFOlS芯片,为XILINX公司开发的串行PR0M,存储的XC2S100PQ208的执行逻辑,用于)(C2S100PQ208的在线配置;D9和DlO的型号分别为SN65LVDS96和SN65LVDS95芯片,为TI公司开发的多通道高速LVDS串行总线的串行调制器和解调器,其中,SN65LVDS95为串行发送芯片, SN65LVDS96为串行解调器接收芯片,主要功能为实现安全板间高速数据连接。使用时,网络数据通过网络双向协议隔离装置的步骤为a、网络数据为TCP/IP数据,通过不可信端网络接口层传递TCP/IP协议栈;b、TCP/IP协议栈根据对网络数据依据全局安全策略库中的访问控制规则进行简单的访问控制;c、TCP/IP数据在由TCP/IP协议栈传递给协议分析模块,协议分析模块根据应用协议不同采用不同应用协议状态机处理,其中,协议分析模块中输入的是TCP/IP应用协议数据,输出的GAP协议数据包;d、GAP协议数据包由协议分析模块传递给会话模块,会话模块启动具体的隔离程序,把合理的数据摆渡带对方的会话模块中;e、当数据传输到对端时,对端会话模块依据数据的会话ID,把GAP数据连同控制信息交到特定的协议重构模块,协议重构模块依据全局安全策略库的设置,完成应用数据协议重组,并交给TCP/IP协议栈处理;其中,协议重构模块中输入的是GAP协议数据包,输出的TCP/IP应用协议数据;f、通过网络,TCP/IP协议栈构造合法数据包,通过可信端网络进行传输处理;g、在需将内部网络中的TCP/IP数据传输到外部网络时,通过可信端网络接口层传递TCP/IP协议栈;h、重复上述步骤b;i、重复上述步骤C;j、重复上述步骤d;k、重复上述步骤e;1、通过网络,TCP/IP协议栈构造合法数据包,通过不可信端网络进行传输处理。由上述步骤可知,当数据通过该隔离装置,其格式经过变化TCP/IP协议与GAP协议进行互换,从而实现协议隔离作用。
权利要求1.一种网络隔离装置,其特征在于该隔离装置包括有两个PCI总线接口、两个隔离卡和LVDS总线,所述两个隔离卡上都设置有依次连接的TCP/IP协议栈、协议分析模块、协议重构模块和会话模块;所述PCI总线接口分别与两个隔离卡的TCP/IP协议栈连接,而LVDS 总线与两个隔离卡的会话模块连接;该隔离装置包括有两块安全板,两块隔离卡分别通过两个PCI总线接口插接在两块安全板上;该两块安全板上都设有网线插槽和电源接口 ;一主备电源,用于通过该电源接口为安全板单独供电。
2.根据权利要求1所述的隔离装置,其特征在于所述两块安全板上都插有内存条。
专利摘要本实用新型涉及一种网络隔离装置,该隔离装置包括有两个PCI总线接口、两个隔离卡和LVDS总线,所述两个隔离卡上都设置有依次连接的TCP/IP协议栈、协议分析模块、协议重构模块和会话模块;所述PCI总线接口分别与两个隔离卡的TCP/IP协议栈连接,而LVDS总线与两个隔离卡的会话模块连接。本实用新型结构简单,使用方便,真正实现内外网络之间的协议隔离,保证内部网络安全,黑客不能与内部网络建立直接TCP/IP的会话,其中核心的隔离卡的功能不可编程的;提供内容审查,DNS保护,能抵抗恶意攻击行为;数据可以双向传输,即提供用户很好的安全性,也方便用户的数据访问。
文档编号H04L29/06GK202231742SQ20112036546
公开日2012年5月23日 申请日期2011年9月28日 优先权日2011年9月28日
发明者焦利, 郑治国 申请人:辽宁国兴科技有限公司