本实用新型涉及通信设备领域,尤其是涉及隔离网关。
背景技术:
在现有网络中,多个不同安全级别的网络存在互通要求,对网域间通信网络安全意识和要求越来越高,其中,安全接入、信息交换控制、管理信息交互控制、域间流量控制及监测分析和网络业务内容检查等要求在网络部署中占有越来越大的比重。目前常用的网络监控和业务控制大都采用在网络边缘通过旁路设置一套监控系统,通过交换机的镜像功能将业务数据镜像到监控系统中,对通讯的数据报文进行业务分析,例如:通讯双方IP地址、应用协议、端口号以及通信行为;或者是在网络边缘上串行一台防火墙,对报文进行协议过滤进而达到对业务数据的控制。目前常用的网络监控和业务控制结构简单,业务处理不够深入,不能满足多业务需求。
技术实现要素:
本实用新型的目的在于针对现有技术的不足,提供了一种隔离网关,用于解决现有技术的不足。
具体地,本实用新型提供了一种隔离网关,包括:认证隔离单元、至少一内网后台处理单元和至少一外网后台处理单元;
所述至少一内网后台处理单元和所述至少一外网后台处理单元均与所述认证隔离单元电性连接;
所述内网后台处理单元对跨网数据进行格式检查以及规则匹配确认后,将跨网数据通过所述认证隔离单元摆渡到所述外网后台处理单元中,所述外网后台处理单元继续对跨网数据进行格式检查以及规则匹配,完成格式检查以及规则匹配后将跨网数据转发到目标终端;
所述外网后台处理单元对跨网数据进行格式检查以及规则匹配确认后,将跨网数据通过所述认证隔离单元摆渡到所述内网后台处理单元中,所述内网后台处理单元继续对跨网数据进行格式检查以及规则匹配,完成格式检查以及规则匹配后将跨网数据转发到目标终端;
所述认证隔离单元用于对用户安全接入的认证许可以及对内外网的网络隔离。
作为上述技术方案的进一步改进,所述内网后台处理单元包括:处理机板、转发引擎板及业务接口板;所述处理机板和所述业务接口板均与所述转发引擎板电性连接;所述转发引擎板与所述认证隔离单元电性连接。
作为上述技术方案的进一步改进,所述外网后台处理单元包括:处理机板、转发引擎板及业务接口板;所述处理机板和所述业务接口板均与所述转发引擎板电性连接;所述转发引擎板与所述认证隔离单元电性连接。
作为上述技术方案的进一步改进,所述业务接口板为100M/1000M自适应以太网业务接口板。
作为上述技术方案的进一步改进,所述认证隔离单元包括:隔离交换硬件模块板和处理机板;所述隔离交换硬件模块板与所述处理机板电性连接;所述隔离交换硬件模块板与所述内网后台处理单元和所述外网后台处理单元均电性连接。
作为上述技术方案的进一步改进,所述隔离交换硬件模块板上设置有FPGA和TCAM。
作为上述技术方案的进一步改进,所述隔离交换硬件模块板上还设置有电源及故障指示灯。
作为上述技术方案的进一步改进,所述处理机板采用FT1500。
作为上述技术方案的进一步改进,所述认证隔离单元包括:1个100M/1000M管理口、1个RJ45串口、一个USB接口和一个MiniUSB接口。
作为上述技术方案的进一步改进,所述隔离网关的机架为19英寸标准机架;所述机架上设置的机箱高度为6U。
采用本实用新型提供的技术方案,与已有的公知技术相比,至少具有如下有益效果:该隔离网关设备对网络业务做格式检查、规则匹配以及认证隔离,可实现内外网之间通信的安全可控。
附图说明
为了更清楚地说明本实用新型实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本实用新型的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本实用新型一实施例提出的隔离网关的结构示意图。
图2为本实用新型一实施例提出的隔离网关的电气连接示意图。
图3为本实用新型另一实施例提出的隔离网关的电气连接示意图。
主要元件符号说明:
10-认证隔离单元;20-内网后台处理单元;30-外网后台处理单元;101-处理机板;102-隔离交换硬件模块板;201、301-处理机板;202、302-转发引擎板;203、303-业务接口板。
具体实施方式
在下文中,将更全面地描述本公开的各种实施例。本公开可具有各种实施例,并且可在其中做出调整和改变。然而,应理解:不存在将本公开保护范围限于在此公开的特定实施例的意图,而是应将本公开理解为涵盖落入本公开的各种实施例的精神和范围内的所有调整、等同物和/或可选方案。
在下文中,可在本公开的各种实施例中使用的术语“包括”或“可包括”指示所公开的功能、操作或元件的存在,并且不限制一个或更多个功能、操作或元件的增加。此外,如在本公开的各种实施例中所使用,术语“包括”、“具有”及其同源词仅意在表示特定特征、数字、步骤、操作、元件、组件或前述项的组合,并且不应被理解为首先排除一个或更多个其它特征、数字、步骤、操作、元件、组件或前述项的组合的存在或增加一个或更多个特征、数字、步骤、操作、元件、组件或前述项的组合的可能性。
在本公开的各种实施例中,表述“A或/和B中的至少一个”包括同时列出的文字的任何组合或所有组合。例如,表述“A或B”或“A或/和B中的至少一个”可包括A、可包括B或可包括A和B二者。
在本公开的各种实施例中使用的表述(诸如“第一”、“第二”等)可修饰在各种实施例中的各种组成元件,不过可不限制相应组成元件。例如,以上表述并不限制所述元件的顺序和/或重要性。以上表述仅用于将一个元件与其它元件区别开的目的。例如,第一用户装置和第二用户装置指示不同用户装置,尽管二者都是用户装置。例如,在不脱离本公开的各种实施例的范围的情况下,第一元件可被称为第二元件,同样地,第二元件也可被称为第一元件。
应注意到:如果描述将一个组成元件“连接”到另一组成元件,则可将第一组成元件直接连接到第二组成元件,并且可在第一组成元件和第二组成元件之间“连接”第三组成元件。相反地,当将一个组成元件“直接连接”到另一组成元件时,可理解为在第一组成元件和第二组成元件之间不存在第三组成元件。
在本公开的各种实施例中使用的术语“用户”可指示使用电子装置的人或使用电子装置的装置(例如,人工智能电子装置)。
在本公开的各种实施例中使用的术语仅用于描述特定实施例的目的并且并非意在限制本公开的各种实施例。除非另有限定,否则在这里使用的所有术语(包括技术术语和科学术语)具有与本公开的各种实施例所属领域普通技术人员通常理解的含义相同的含义。所述术语(诸如在一般使用的词典中限定的术语)将被解释为具有与在相关技术领域中的语境含义相同的含义并且将不被解释为具有理想化的含义或过于正式的含义,除非在本公开的各种实施例中被清楚地限定。
实施例1
如图1所示,本实用新型提供了一种隔离网关,包括:认证隔离单元10、至少一内网后台处理单元20和至少一外网后台处理单元30。
内网后台处理单元20和外网后台处理单元30均与认证隔离单元10电性连接。
在本实施例中,内网后台处理单元20和外网后台处理单元30的数量均为一个。在另一实施例中,内网后台处理单元20和外网后台处理单元30的个数为多个,内网后台处理单元20和外网后台处理单元30的数量相等。多个内网后台处理单元20和多个外网后台处理单元30均与一个认证隔离单元10电性连接。在其他实施例中,内网后台处理单元20和外网后台处理单元30的数量不等,例如,内网后台处理单元20的数量为两个,外网后台处理单元30的数量为三个。
内网后台处理单元20对跨网数据进行格式检查以及规则匹配确认后,将跨网数据通过认证隔离单元10摆渡到外网后台处理单元30中,外网后台处理单元30继续对跨网数据进行格式检查以及规则匹配,完成格式检查以及规则匹配后将跨网数据转发到目标终端。
外网后台处理单元30对跨网数据进行格式检查以及规则匹配确认后,将跨网数据通过认证隔离单元10摆渡到内网后台处理单元20中,内网后台处理单元20继续对跨网数据进行格式检查以及规则匹配,完成格式检查以及规则匹配后将跨网数据转发到目标终端。
认证隔离单元10用于对用户安全接入的认证许可以及对内外网的网络隔离。
认证隔离单元10、内网后台处理单元20和外网后台处理单元30都设置机箱内,机箱设置在机架上。
如图2所示,内网后台处理单元20包括:处理机板201、转发引擎板202及业务接口板203。
处理机板201和业务接口板203均与转发引擎板202电性连接;转发引擎板202与认证隔离单元10电性连接。
处理机板201完成格式检查和规则匹配。
业务接口板203优选以太网业务接口板,具体可以为100M/1000M自适应以太网业务接口板。
外网后台处理单元30包括:处理机板301、转发引擎板302及业务接口板303。
处理机板301和业务接口板303均与转发引擎板302电性连接;转发引擎板302与认证隔离单元10电性连接。
处理机板301完成格式检查和规则匹配。
业务接口板303优选以太网业务接口板,具体可以为100M/1000M自适应以太网业务接口板。
认证隔离单元10包括:隔离交换硬件模块板102和处理机板101。隔离交换硬件模块板102与处理机板101电性连接。
隔离交换硬件模块板102与内网后台处理单元20和外网后台处理单元30均电性连接。
处理机板101完成网域路由、接入认证和管理控制。
隔离交换硬件模块板102上设置有FPGA和TCAM。
FPGA(Field Programmable Gate Array,即现场可编程门阵列)是在PAL、GAL、CPLD等可编程器件的基础上进一步发展的产物。它是作为专用集成电路(ASIC)领域中的一种半定制电路而出现的,既解决了定制电路的不足,又克服了原有可编程器件门电路数有限的缺点。
TCAM(Ternary Content Addressable Memory,即三态内容寻址存储器)主要用于快速查找ACL、路由等表项。
TCAM是从CAM的基础上发展而来的。一般的CAM存储器中每个bit位的状态只有两个,“0”或“1”,而TCAM中每个bit位有三种状态,除掉“0”和“1”外,还有一个“don't care”状态,所以称为“三态”,它是通过掩码来实现的,正是TCAM的这个第三种状态特征使其既能进行精确匹配查找,又能进行模糊匹配查找,而CAM没有第三种状态,所以只能进行精确匹配查找。
TCAM具有如下特点:1、TCAM表内所有条目都可以并行访问。可增加反应处理速度。2、支持更抽象的操作,通常是基于二进制关键字匹配,查询相当快。
隔离交换硬件模块板102上还设置有电源及故障指示灯。
处理机板101、处理机板201和处理机板301均采用FT1500。
FT1500系列处理器是64位通用CPU,兼容ARM V8指令集,采用国际先进的28nm工艺流片,具有高性能、低功耗等特点,关键技术国内领先,可实现对Intel中高端“至强”服务器芯片的替代。FT1500系列目前包括4核和16核两款产品。其中4核处理器芯片主要面向桌面终端和轻量级服务器应用领域,主频2GHz,功耗15W,两个DDR3-1600存储通道,支持电源关断、DVFS等低功耗技术,适用于构建台式终端、一体机、便携笔记本、微服务器等产品;16核处理器芯片面向服务器应用领域,主频2GHz,功耗35W,4个DDR3-1600存储通道,支持虚拟化功能,适用于构建网络前端接入服务器、事务处理服务器、邮件服务器、数据库服务器、存储服务器等产品。
认证隔离单元10还包括:1个100M/1000M管理口,1个RJ45串口,一个USB接口,一个MiniUSB接口。
内网后台处理单元20主要完成:内网侧用户接入满足高密度网络连接要求,支持100M/1000M以太网接入,对内网用户报文内容进行格式以及规则匹配确认;报文转发满足网域接口间受控的转发交换转发功能,支持基于VRF的虚拟隔离转发;路由计算满足一般的路由组网的路由要求。
外网后台处理单元30主要完成:外网侧用户接入满足高密度网络连接要求,支持100M/1000M以太网接入,对外网用户报文内容进行格式检查和规则匹配确认;报文转发满足网域接口间受控的转发交换转发功能,支持基于VRF的虚拟隔离转发;路由计算满足一般的路由组网的路由要求。
认证隔离单元10主要完成:对用户安全接入的认证许可以及对内外网的网络隔离;基于包过滤简单的异常数据流(ping、TCP SYN DOS攻击)监测。
在本实施例中,所述隔离网关的机架为19英寸标准机架;所述机架上设置的机箱高度为6U。上述尺寸规格的机架和机箱是最常用的一种尺寸规格,在其他实施例中,可以选取其他尺寸,具体需要根据认证隔离单元10、内网后台处理单元20和外网后台处理单元30对应的电路板的尺寸确定。
19英寸标准机架的长度尺寸为19英寸,即482.6mm。机架上设置的机箱高度为6U。1U为1.75英寸,即44.45mm,高度为6U的机箱就是指面板高度为266.7mm的机箱。
实施例2
如图3所示,本实用新型提供了一种隔离网关,用于提供路由可通域间隔离通信功能;包括适配19英寸标准机架、高度6U的机箱;安装在机箱内部的多个内网后台处理单元20、多个外网后台处理单元30、认证隔离单元10。
认证隔离单元10包括处理机板(用于完成网域路由、接入认证和管理控制)和隔离交换硬件模块板。
处理机板采用FT1500。FT1500内部包含16个可编程的处理单元,每个处理单元及其外围的9种协处理器(如树搜索引擎协处理器、校验和计算协处理器)共同完成对接收分组的分类、过滤、查表、排队、调度等处理。
认证隔离单元10还包括1个RJ45串口,一个USB接口,一个MiniUSB接口,1个100M/1000M自适应以太网管理口。
内网后台处理单元20包括1张处理机板(用于完成格式检查和规则匹配)、1张转发引擎板及1个100M/1000M自适应以太网业务口;处理机板采用FT1500。
外网后台处理单元30包括1张处理机板(用于完成规则匹配)、1张转发引擎板及1个100M/1000M自适应以太网业务口;处理机板采用FT1500。
内网后台处理单元20主要完成:内网侧用户接入满足高密度网络连接要求,支持100M/1000M以太网接入,对内网用户报文内容进行格式以及规则匹配确认;报文转发满足网域接口间受控的转发交换转发功能,支持基于VRF的虚拟隔离转发;路由计算满足一般的路由组网的路由要求。
外网后台处理单元30主要完成:外网侧用户接入满足高密度网络连接要求,支持100M/1000M以太网接入,对外网用户报文内容进行格式以及规则匹配确认;报文转发满足网域接口间受控的转发交换转发功能,支持基于VRF的虚拟隔离转发;路由计算满足一般的路由组网的路由要求。
认证隔离单元10主要完成:对用户安全接入的认证许可以及对内外网的网络隔离;基于包过滤简单的异常数据流(例如:ping、TCP SYN DOS攻击)监测。
隔离网关还包括:内外网后台处理单元;内外网后台处理单元主要完成安全控制以满足设备本身对通用和专用网络安全的要求,基于应用代理的异常数据流监测和内容检查。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本实用新型所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本实用新型序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本实用新型的几个具体实施场景,但是,本实用新型并非局限于此,任何本领域的技术人员能思之的变化都应落入本实用新型的保护范围。