一種基于網絡處理器的小型單機防火墻裝置的制作方法

專利名稱：一種基于網絡處理器的小型單機防火墻裝置的制作方法
技術領域：
本實用新型涉及一種保護網絡或計算機信息安全的基于網絡處理器的小型單機 防火墻裝置。
背景技術：
現有的個人網絡防護技術主要采用軟件防火墻，在操作系統內核上對網絡數據包 進行過濾，阻止未允許的進程或IP地址、端口對受保護計算機的訪問。然而，有些最新的病 毒被黑客植入或感染后，可以解除殺毒軟件和防火墻軟件的防護，使得軟件級的防護失效。 有些黑客高手還可以利用操作系統漏洞，獲得高級訪問權限，繞過防護軟件，直接竊取用戶 數據。另外，防火墻運行將占據大量系統處理能力和資源，這使得通用計算機處理其它任務 的能力下降。因此，僅使用軟件級別的防護技術無法保證受保護計算機的安全，并消耗了大 量通用計算機資源。硬件防火墻設備可以提供更安全、可靠的安全防護，成為企業級用戶和高級個人 用戶的首選。國外設備的性能指標雖然較高，但由于國家信息安全規定的原因，從國外進口 的安全產品的使用受到政策制約。開實用新型具有自主知識產權的安全設備，成為我國信 息安全實用新型展的主要方向之一。目前，國內硬件加密設備基本采用工控機、網卡和PCI 加密卡組合結構，經過不同包裝加工后形成多種安全產品，例如加密機、VPN加密網關、加/ 解密服務器等。這些設備性能高、加密強度大、安全性好，但生產成本也較高，往往面向高端 企業用戶；而且體積較大，不易于隨身攜帶，不適于個人用戶和移動辦公。因此，目前缺少一 種價格低廉、性能適中、便于攜帶的個人安全設備。隨著電子信息技術的飛速實用新型展， 嵌入式芯片的處理速度越來越高，功能越來越強大，集成度也越來越高。采用高性能、低功 耗的嵌入式芯片開實用新型一種小型的個人信息安全防護設備成為可能。

實用新型內容本實用新型的目的就是為了解決上述問題，提供一種使用硬件將計算機與外部網 絡隔離，使得兩者之間不存在直接的數據鏈路，從而使受保護的計算機在可控的前提下與 外部網絡進行數據交換的基于網絡處理器的小型單機防火墻裝置。為實現上述目的，本實用新型采用如下技術方案一種基于網絡處理器的小型單機防火墻裝置，該防火墻裝置安裝在通用計算機與 外部網絡之間，它包括一個網絡處理器，該網絡處理器分別與至少一個USB接口、至少一個 存儲模塊、至少一個人機交互控制模塊和至少一個以太網控制器連接，以各太網控制器則 與至少一個網絡接口連接。所述人機交互控制模塊包括LED顯示模塊和開關控制模塊，兩者與網絡處理器雙 向通信所述以太網控制器有兩個，分別與各自的網絡接口連接，各網絡接口均為RJ45接[0009]所述存儲模塊有兩個，分別為flash模塊和SDRAM模塊。本實用新型的小型防火墻位于在通用計算機與外部網絡之間，可以實現硬件對鏈 路層的過濾和隔離，用于防止從外部網絡未授權的入侵行為，防止通用計算機中應用程序 訪問未授權的外部網絡。通過規則模塊，用戶可以設置防火墻設備上的通信規則，例如規則1 禁止外部網絡訪問通用計算機的TCP 80端口。規則2 允許外部網絡訪問被保護通用計算機的TCP 21端口。本實用新型采用帶有數據加/解密功能的高性能網絡處理器芯片，能夠對網絡數 據包進行過濾和轉實用新型處理，適合于對信息安全有一定要求的中小企業客戶和個人用 戶。本實用新型與以往基于x86處理器的防火墻相比，最大的不同在于以網絡處理器 為核心處理芯片和USB供電，實現了小型可攜帶的單機防火墻。網絡處理器(比如Intel公司IXP425芯片)是一種高集成度、低功耗、多接口的 嵌入式高速網絡及通信處理芯片。網絡處理器內部包含多個網絡處理引擎NPE，支持多線程 的高性能數據處理。多個網絡處理引擎專門針對網絡應用而設計，每個NPE協處理器都可 用來加速某一特定網絡應用，為網絡數據包過濾和加解密等提供了額外的硬件芯片支持， 能有效提高網絡數據處理性能。本實用新型利用網絡處理器中兩個獨立的、10/100MbpsMII (MediaIncbpendent Interface)接口，每一個MII接口都有一個與之關聯的網絡處理器引擎(NPE)，并依據 IEEE802. 3標準來處理物理層和協議層的數據通信。本實用新型充分利用NPE的特點，對防 火墻功能進行加速，其功能包括IP頭檢查和修改、數據包過濾、數據包錯誤檢查、校驗、插 入/刪除標記，以及加密等功能，可用對IPv4和IPv6協議的數據包進行檢查和過濾。RJ45接口收到以太網幀結構的數據包后，經過變壓器隔離和阻抗匹配后送到 PHY(物理接口芯片)，在此芯片中完成模擬信號到RMII接口的數字信號的變換，并獲得鏈 路狀態、沖突、信息是否超長，速率等信息。然后，數據包進入網絡處理器芯片，該芯片將獲 得數據包的目的地址和源地址，并對以太網幀進行差錯校驗。網絡處理器芯片將源地址保 存在自己的MAC地址表中，然后將目的地址與MAC地址表中的地址相匹配，以獲取數據將轉 實用新型的相應端口。如果目的端口在MAC地址表中，則取出數據轉實用新型到USB端口 或RJ45端口 ；如果在MAC地址表中沒有找到相應的目的地址，就將幀轉實用新型到除源端 口之外的其它屬于同一虛擬網的所有端口或者某一個上連端口。網絡處理器在每次開機或復位期間，首先讀取外接flash存儲器中存儲的配置信 息和規則庫對網絡處理器進行初始化配置。而flash存儲器的內容可以通過通用計算機上 應用程序進行讀寫，以此來修改或讀取flash存儲器中的規則庫。防火墻系統采用USB(UniversaISeriaIBus)接口與通用計算機通信。防火墻被 建立在內部網絡與外部網絡之間，處理通過網絡的每個數據包，其中入侵檢測系統通過對 數據包進行統計、分析，確定該數據包連接是否是具有入侵目的的連接，實用新型現異常訪 問，向通用計算機的日志管理模塊實用新型出報警日志，并連同防火墻功能完成阻止入侵 的連接。報警日志可以通過USB接口以專用格式實用新型送到通用計算機，也可以通過 UDP協議514端口實用新型送到通用計算機，日志格式符合RFC3164規范規定的Syslog協議。USB接口的作用有三個1.對防火墻硬件設備提供5v電壓供電；2.對設備工作參 數和規則庫進行管理和設置的通道；3.通過USB接口，硬件設備向通用計算機(200)的日 志管理模塊(206)實用新型送報警日志。本實用新型產品還具有以下優點1.支持全雙工10M/100MbpS以太網，自動網速識別，即插即用。2.指示燈四個LED (LightEmitting Diode,實用新型光二極管)指示燈，分別為 工作狀態燈、報警狀態燈、外網端口狀態燈和內網端口狀態燈。工作狀態燈指示防火墻是 否正常工作。報警狀態燈，指示防火墻產生報警的狀態。內網和外網端口狀態燈都具有三 種工作狀態，即對應端口是否連接好、對應端口是否正在接收數據包、對應端口是否正在實 用新型送數據包。

圖1為本實用新型硬件部分內部結構框圖。圖2網絡處理器與以太網控制器的連接圖。圖3為本實用新型實施例1。圖4為本實用新型實施例2。圖5為本實用新型實施例3。其中，1.網絡處理器，2. USB接口，3.太網控制器，4. LED顯示模塊，5.開關控制模 塊，6. RJ45接口，7. flash模塊，8. SDRAM模塊，9.防火墻裝置。
具體實施方式
以下結合附圖與實施例對本實用新型做如下說明。圖1中，該防火墻裝置9安裝在通用計算機與外部網絡之間，它包括一個網絡處理 器1，該網絡處理器1分別與至少一個USB接口 2、至少一個存儲模塊、至少一個人機交互控 制模塊和至少一個以太網控制器3連接，以各太網控制器則與至少一個網絡接口連接。人 機交互控制模塊包括LED顯示模塊4和開關控制模塊5，兩者與網絡處理器1雙向通信。網 絡處理器1與以太網控制器3的連接如圖2所示。以太網控制器3有兩個，分別與各自的網絡接口連接，各網絡接口均為RJ45接口 6。存儲模塊有兩個，分別為flash模塊7和SDRAM模塊8。本實用新型的防火墻裝置9，它一端通過RJ45接口連接內部局域網或廣域網，接 收網絡數據包；另一端通過USB接口或RJ45接口連接通用計算機，將通過內部規則庫驗證 的數據包轉實用新型給通用計算機。通用計算機，它與所述的外置硬件模塊相連，并通過驅 動程序和應用程序對作為一個防火墻的所述第一功能的內部規則庫進行編程，根據通用計 算機的應用需要，設置硬件設備中規則庫。本實用新型的功能為，a)分組或數據包過濾功能從所述外部網絡接收數據包，并解析數據包的源IP地 址、端口號和目的IP地址、端口號，根據規則庫中的規則有選擇的將收到的數據包轉實用新型到USB接口或RJ45接口 ；b)網絡地址轉換功能，重新設置受包含通用計算機的IP地址；和c)虛擬專用網(VPN)功能，硬件設備可以與VPN集中器相連，建立VPN隧道，然后 通用計算機就可以通過硬件設備使用這個VPN隧道。防火墻系統，其中由通用計算機中防火墻管理軟件完成的第二功能包括連接驗 證功能，用于識別和驗證試圖訪問通用計算機的連接身份。防火墻系統硬件設備通過USB供電，不需要外加電源。通用計算機防火墻應用軟 件通過USB2. 0接口對硬件設備的功能和規則庫進行設置，并支持通過USB2. 0接口接收防 火墻硬件轉實用新型的數據包和報警日志。實施例1 圖3中，本實用新型防火墻裝置9與通用計算機通過USB接口 2和RJ45接口 6相 連。USB接口 2用作設備供電接口和控制信息、報警信息傳輸通道。RJ45接口 6用作接收 數據包和發送數據包的傳輸通道。防火墻裝置9接收到來自LAN/WAN(401)的網絡數據包后，調用內部過濾規則對該 包進行判斷。經防火墻功能模塊分析判斷后，如果該包數據符合通過規則，硬件設備通過 RJ45接口 6將該包數據轉發給通用計算機。如果該包不符合通過規則，防火墻丟棄該包數 據，并通過USB接口 2向通用計算機的日志管理模塊發送報警日志。日志管理模塊接到報 警日志后，發出聲音、圖像報警，并將報警日志記錄到相應日志文件中。實施例2 圖4中，防火墻裝置9與通用計算機僅通過USB接口 2相連。USB接口 2用作設備 供電接口和控制信息、報警信息傳輸通道和接收數據包和發送數據包的傳輸通道。防火墻裝置9接收到來自LAN/WAN(401)的網絡數據包后，調用內部過濾規則對該 包進行判斷。經防火墻功能模塊分析判斷后，如果該包數據符合通過規則，硬件設備通過 USB接口 2將該包數據轉發給通用計算機。如果該包不符合通過規則，防火墻丟棄該包數 據，并通過USB接口 2向通用計算機的日志管理模塊發送報警日志。日志管理模塊接到報 警日志后，發出聲音、圖像報警，并將報警日志記錄到相應日志文件中。從通信速度角度分析，USB接口 2的通信速度達到了 480Mbps (即60MB/S)，而目前 常見的個人計算機網卡通信速度為100Mbps。該具體實施方式
的處理速度能夠滿足用戶的 當前需求，而且從實現技術上講是可行的。實施例3 本防火墻裝置9支持IPSec協議，可以作為VPN硬件客戶端，建立通用計算機與 VPN服務器之間的安全通道，來存取位于公司或其它位置的網絡資源。通用計算機端無須 安裝VPN軟件，只需在防火墻管理軟件中進行簡單設定，就可以輕松實現VPN的連接，進行 VPN網絡內部操作。
權利要求一種基于網絡處理器的小型單機防火墻裝置，其特征是，該防火墻裝置安裝在通用計算機與外部網絡之間，它包括一個網絡處理器，該網絡處理器分別與至少一個USB接口、至少一個存儲模塊、至少一個人機交互控制模塊和至少一個以太網控制器連接，以各太網控制器則與至少一個網絡接口連接。
2.如權利要求1所述的基于網絡處理器的小型單機防火墻裝置，其特征是，所述人機 交互控制模塊包括LED顯示模塊和開關控制模塊，兩者與網絡處理器雙向通信。
3.如權利要求1所述的基于網絡處理器的小型單機防火墻裝置，其特征是，所述以太 網控制器有兩個，分別與各自的網絡接口連接，各網絡接口均為RJ45接口。
4.如權利要求1所述的基于網絡處理器的小型單機防火墻裝置，其特征是，所述存儲 模塊有兩個，分別為flash模塊和SDRAM模塊。
專利摘要本實用新型公開了一種基于網絡處理器的小型單機防火墻裝置。它使用硬件將計算機與外部網絡隔離，使得兩者之間不存在直接的數據鏈路，從而使受保護的計算機在可控的前提下與外部網絡進行數據交換，其結構為該防火墻裝置安裝在通用計算機與外部網絡之間，它包括一個網絡處理器，該網絡處理器分別與至少一個USB接口、至少一個存儲模塊、至少一個人機交互控制模塊和至少一個以太網控制器連接，以各太網控制器則與至少一個網絡接口連接。
文檔編號H04L29/06GK201623727SQ20102030028
公開日2010年11月3日 申請日期2010年1月8日 優先權日2010年1月8日
發明者李新, 賈智平 申請人:山東大學