| 发明名称 | 一种可信隔离网关 | ||
| 摘要 | 本发明公开了一种可信隔离网关,包括:外网主机板(1)、网络接口模块A(4)和安全隔离卡(3),还包括:多核网络处理器A(5)、启动引导模块A(6)、安全控制模块A(7)、内网协议处理板(13)和外网协议处理板(12)。网络接口模块A(4)、多核网络处理器A(5)、启动引导模块A(6)和安全控制模块A(7)分别与外网主机板(1)连接。可信隔离网关启动后,启动引导模块A(6)调用多核网络处理器A(5)加载安全控制模块A(7);启动引导模块B(10)调用多核网络处理器B(9)加载安全控制模块B(11),进入工作状态。本发明实现了安全防护能力和网络转发速度的兼顾。 | ||
| 申请公布号 | CN102006246B | 申请公布日期 | 2012.04.18 |
| 申请号 | CN201010560870.6 | 申请日期 | 2010.11.26 |
| 申请人 | 中国航天科工集团第二研究院七○六所 | 发明人 | 张继业;郭旭东;郭丽娜;刘向东;袁玉峰 |
| 分类号 | H04L12/66(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04L12/66(2006.01)I |
| 代理机构 | 中国航天科工集团公司专利中心 11024 | 代理人 | 岳洁菱 |
| 主权项 | 一种可信隔离网关,包括:外网主机板(1)、内网主机板(2)、网络接口模块A(4)、网络接口模块B(8)和安全隔离卡(3),其特征在于还包括:多核网络处理器A(5)、多核网络处理器B(9)、启动引导模块A(6)、启动引导模块B(10)、安全控制模块A(7)、安全控制模块B(11)、内网协议处理板(13)和外网协议处理板(12);其中,安全控制模块A(7)和安全控制模块B(11)的组成相同,包括:数据包分类单元(22)、访问控制单元(15)、协议代理单元(16)、内容检测单元(21)、抗网络攻击单元(14)、防病毒单元(17)、可信接入单元(20)、文件传输单元(18)和安全审计单元(19);其中,数据包分类单元(22)用于对数据包进行分类,访问控制单元(15)用于控制数据包的转发,协议代理单元(16)用于识别应用协议、提取协议数据,内容检测单元(21)用于检测协议数据,抗网络攻击单元(14)用于检测和抵御网络攻击,防病毒单元(17)用于检测协议数据包含的病毒,可信接入单元(20)用于验证接入计算机是否可信,文件传输单元(18)用于在内网主机板(2)和外网主机板(1)间通过安全隔离卡(3)传输文件,安全审计单元(19)用于记录安全审计信息;网络接口模块A(4)、多核网络处理器A(5)、启动引导模块A(6)和安全控制模块A(7)分别与外网主机板(1)连接,网络接口模块B(8)、多核网络处理器B(9)、启动引导模块B(10)和安全控制模块B(11)分别与内网主机板(2)连接;网络接口模块A(4)的一端和网络接口模块B(8)的一端相互连接,网络接口模块A(4)的另一端、外网协议处理板(12)、安全隔离卡(3)、内网协议处理板(13)和网络接口模块B(8)的另一端顺次连接;安全控制模块A(7)和安全控制模块B(11)中,数据包分类单元(22)的输出端分别与访问控制单元(15)、可信接入单元(20)和抗网络攻击单元(14)连接,可信接入单元(20)和抗网络攻击单元(14)的输出端分别与访问控制单元(15)连接,访问控制单元(15)的输出端与协议代理单元(16)连接,协议代理单元(16)的输出端分别与内容检测单元(21)和防病毒单元(17)连接,防病毒单元(17)和内容检测单元(21)的输出端分别与文件传输单元(18)连接,抗网络攻击单元(14)、可信接入单元(20)、内容检测单元(21)和防病毒单元(17)的输出端分别与安全审计单元(19)连接;可信隔离网关加电后,内网主机板(2)和外网主机板(1)分别加电启动;启动引导模块A(6)首先对多核网络处理器A(5)、网络接口模块A(4)、安全控制模块A(7)和外网协议处理板(12)进行合法性认证和工作状态检查,认证和检查完成后设置网络接口模块A(4)的工作模式,调用多核网络处理器A(5)加载安全控制模块A(7),进入工作状态;启动引导模块B(10)首先对多核网络处理器B(9)、网络接口模块B(8)、安全控制模块B(11)、内网协议处理板(13)和安全隔离卡(3)进行合法性认证和工作状态检查,认证和检查完成后设置网络接口模块B(8)的工作模式,调用多核网络处理器B(9)加载安全控制模块B(11),进入工作状态;内网主机板(2)和外网主机板(1)进入工作状态后等待接收并处理网络数据包;可信隔离网关通过数据包分类单元(22),根据数据包的流向和数据包五元组对通过可信隔离网关的数据包进行分类,对于不同类型的数据实现调用不同的模块和单元进行处理:对于从外部广域网到内部局域网的网络访问,由网络接口模块A(4)接收网络数据,输出给数据包分类单元(22)进行分类,然后输出给抗网络攻击单元(14)进行抗网络攻击规则检查,通过抗网络攻击检查的数据包输出给访问控制单元(15)进行访问控制规则检查,根据访问控制规则,丢弃数据包或转发数据包到网络接口模块B(8),最终转发数据包到内部局域网;对于从外部广域网到内部局域网的文件传输,网络接口模块A(4)接收网络数据,输出给数据包分类单元(22)进行分类,然后输出给抗网络攻击单元(14)进行抗网络攻击规则检查,通过抗网络攻击检查的网络数据包输出给访问控制单元(15)进行访问控制规则检查,根据访问控制规则,丢弃数据包或将数据包输出给协议代理单元(16),协议代理单元(16)解析数据包协议,提取协议负载数据形成文件,输出给防病毒单元(17)进行病毒检查,通过病毒检查的文件输入文件传输单元(18),传输到外网协议处理板(12),外网协议处理板(12)将接收到的文件以专用隔离协议的格式通过安全隔离卡(3)发送到内网协议处理板(13),内网协议处理板(13)解析专用隔离协议以文件的形式发送到网络接口模块B(8),并最终转发数据包到内部局域网;对于从内部局域网到广域网的非授权用户访问,网络接口模块B(8)接收网络数据,输出给数据包分类单元(22)进行分类,然后输出给访问控制单元(15)进行访问控制规则检查,根据访问控制规则,丢弃数据包或转发数据包到网络接口模块A(4),并最终转发数据包到外部广域网;对于从内部局域网到广域网的授权用户访问,网络接口模块B(8)接收网络数据,输出给数据包分类单元(22)进行分类,然后输出给可信接入单元(20)进行可信接入认证,通过认证的数据包输出给访问控制单元(15)进行访问控制规则检查,根据访问控制规则,丢弃数据包或转发数据包到网络接口模块A(4),最终转发数据包到外部广域网;对于从局域网到广域网的文件传输,网络接口模块B(8)接收网络数据,输出给数据包分类单元(22)进行分类,然后输出给访问控制单元(15)进行访问控制规则检查,根据访问控制规则,丢弃数据包或将数据包输出给协议代理单元(16),协议代理单元(16)解析数据包协议,提取协议负载数据形成文件,输出给内容检测单元(21)对文件内容进行检查,发现是否有敏感信息泄漏,通过内容检测的文件输入文件传输单元(18),传输到内网协议处理板(13),内网协议处理板(13)将接收到的文件以专用隔离协议的格式通过安全隔离卡(3)发送到外网协议处理板(12),外网协议处理板(12)解析专用隔离协议以文件的形式发送到网络接口模块A(4),最终实现到外部广域网的文件传输。 | ||
| 地址 | 100854 北京市海淀区永定路51号 | ||