一种采用具有防火墙功能的交换机的网络安全防护装置的制造方法
【技术领域】
[0001]本实用新型涉及一种采用具有防火墙功能的交换机的网络安全防护装置。
【背景技术】
[0002]计算机网络是信息社会的基础,己经进入社会的各个角落。但网络本身的开放性、无界性等等特性,在给工作、学习、生活带来巨大便利的同时,也带来了一些不容忽视的问题,网络安全就是其中最为显著的问题之一。
[0003]网络安全防护是一种网络安全技术,指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,装置安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
[0004]防火墙一般包括中央处理器、桥芯片、网卡芯片等,根据网卡芯片的速率的不同来确定该防火墙的端口速率,由于中央处理器的PCI总线标准的限制,所以网卡芯片的数量有限,造成其端口数量的有限。
【实用新型内容】
[0005]本实用新型的目的在于克服现有技术的不足,提供一种采用具有防火墙功能的交换机的网络安全防护装置,采用双链路结构提高安全性能,同时采用交换机与防火墙一体设计架构。
[0006]本实用新型的目的是通过以下技术方案来实现的:一种采用具有防火墙功能的交换机的网络安全防护装置,包括第一核心交换机、第二核心交换机和DMZ区;所述的DMZ区包括第一光纤交换机、第二光纤交换机、服务器组和数据库组;所述的第一核心交换机和第二核心交换机均与外网连接,第一核心交换机还分别与第一光纤交换机和第二光纤交换机连接,第二核心交换机还分别与第一光纤交换机和第二光纤交换机连接,第一光纤交换机分别与数据库组和服务器组连接,第二光纤交换机也分别与数据库组和服务器组连接,所述的第一核心交换机和第二核心交换机为具有防火墙功能的交换机,包括中央处理器、桥芯片、网卡芯片、交换芯片、PHY芯片和背板,所述交换芯片通过XLAUI接口连接网卡芯片,所述交换芯片通过PCI接口连接桥芯片,所述交换芯片连接多个千兆光接口,所述交换芯片通过SGMII接口连接背板,所述交换芯片通过XLAUI接口连接PHY芯片,所述PHY芯片连接多个万兆光接口;通过千兆光接口 /万兆光接口分别与第一防火墙、第二防火墙和外网连接。
[0007]所述背板设置有12个万兆光接口。
[0008]所述中央处理器采用RMI芯片。
[0009]所述交换芯片采用BCM56514。
[0010]所述PHY芯片采用AC524。
[0011]—种采用具有防火墙功能的交换机的网络安全防护装置还包括一个WAF设备,所述的WAF设备包括四个接口;其中,第一接口与第一核心交换机连接,第二接口与第二核心交换机连接,第三接口与第一光纤交换机连接,第四接口与第二光纤交换机。
[0012]—种采用具有防火墙功能的交换机的网络安全防护装置还包括一个流量控制设备,所述的流量控制设备分别与第一核心交换机和第二核心交换机连接。
[0013]本实用新型的有益效果是:
[0014](1)在数据向服务器或者数据库的发送过程中,数据通过核心交换机进入,然后再墙和光纤交换机进入服务器组和数据库组。核心交换机和光纤交换机均采用双链路结构,当其中一个设备损坏,不会影响整个装置的运行。比如,当第一核心交换机损坏,数据就通过第二核心交换机进行传输,光纤交换机同理。
[0015](2)核心交换机型采用交换机与防火墙一体设计架构,中央处理器采用高性能的RMI芯片,提供两个万兆光接口、八个千兆光接口,网络部署简明,提高了设备的利用率。
【附图说明】
[0016]图1为本实用新型结构框图;
[0017]图2为核心交换机模块框图。
【具体实施方式】
[0018]下面结合附图进一步详细描述本实用新型的技术方案,但本实用新型的保护范围不局限于以下所述。
[0019]如图1所示,一种采用具有防火墙功能的交换机的网络安全防护装置,包括第一核心交换机、第二核心交换机和DMZ区;所述的DMZ区包括第一光纤交换机、第二光纤交换机、服务器组和数据库组;所述的第一核心交换机和第二核心交换机均与外网连接,第一核心交换机还分别与第一光纤交换机和第二光纤交换机连接,第二核心交换机还分别与第一光纤交换机和第二光纤交换机连接,第一光纤交换机分别与数据库组和服务器组连接,第二光纤交换机也分别与数据库组和服务器组连接;通过千兆光接口 /万兆光接口分别与第一防火墙、第二防火墙和外网连接。
[0020]在数据向服务器或者数据库的发送过程中,数据通过核心交换机进入,然后再通过光纤交换机进入服务器组和数据库组。核心交换机和光纤交换机均采用双链路结构,当其中一个设备损坏,不会影响整个装置的运行。比如,当第一核心交换机损坏,数据就通过第二核心交换机进行传输,光纤交换机同理。
[0021 ]数据向外发送的过程也相同。
[0022]光纤交换机采用华为SNS2248,服务器组为华为RH5885V3服务器,数据库组为0CEANST0R 18800。均为现有设备,不需要对其软件进行改进。
[0023]DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全装置与安全装置之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
[0024]如图2所示,所述的第一核心交换机和第二核心交换机为具有防火墙功能的交换机,包括中央处理器、桥芯片、网卡芯片、交换芯片、PHY芯片和背板。在本实施例中,桥芯片采用的PCH(Platform Controller Hub,集成南桥),PCH是一个intel公司的集成南桥,其芯片具有原来的ICH(Input/Output Controller Hub,输入输出控制中心)的全部功能,又具有MCH芯片(Memory Controller Hub,内存控制中心)的管理引擎功能。中央处理器通过总线连接桥芯片,中央处理器通过PCI接口(Peripheral Component I