專利名稱:基于透明網(wǎng)絡(luò)地址翻譯的代理與防火墻網(wǎng)關(guān)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)關(guān),特別涉及一種基于透明網(wǎng)絡(luò)地址翻譯的代理與防火墻網(wǎng)關(guān)。
目前,由于國內(nèi)外防火墻在收費(fèi)、訪問控制、網(wǎng)絡(luò)安全控制、信息安全控制等模式和國內(nèi)防火墻有很大的區(qū)別,國內(nèi)/外IP地址塊的區(qū)分和基于其上的訪問控制在國外防火墻很難實(shí)現(xiàn),即使能實(shí)現(xiàn),效率相當(dāng)?shù)?。國?nèi)現(xiàn)在也開發(fā)了一些防火墻能實(shí)現(xiàn)區(qū)分國內(nèi)/外IP地址塊和基于其上的訪問控制和計(jì)費(fèi),但都基于主機(jī),采用軟件實(shí)現(xiàn),性能低,同時(shí)存在著活動信息不能很好保存,流量統(tǒng)計(jì)與查詢達(dá)不到實(shí)時(shí)等問題。
本發(fā)明的目的在于克服上述現(xiàn)有技術(shù)的缺點(diǎn),提出一種基于透明網(wǎng)絡(luò)地址翻譯的代理與防火墻網(wǎng)關(guān),采用硬卡實(shí)現(xiàn)活動信息斷電自動保存、用戶帳戶的自動定位和維護(hù)以及用戶權(quán)限的硬件解釋,采用IP地址翻譯軟件和硬卡配合實(shí)現(xiàn)內(nèi)部私有IP地址的代理,采用包過濾軟件和硬卡結(jié)合實(shí)現(xiàn)防火墻功能,它可以解決國內(nèi)/外IP地址塊的區(qū)分、實(shí)時(shí)流量的統(tǒng)計(jì)和查詢、內(nèi)外網(wǎng)絡(luò)IP地址的翻譯和防火墻功能的實(shí)現(xiàn)。
圖1是基于透明網(wǎng)絡(luò)地址翻譯的代理與防火墻網(wǎng)關(guān)的結(jié)構(gòu)。
圖2是本發(fā)明的硬卡結(jié)構(gòu)。
圖3是網(wǎng)關(guān)兩邊的吞吐量之和與網(wǎng)關(guān)每包時(shí)延平均值的關(guān)系。
圖4是網(wǎng)關(guān)兩邊的吞吐量之和與代理網(wǎng)關(guān)吞吐量的關(guān)系。
下面結(jié)合附圖對本發(fā)明的結(jié)構(gòu)原理作詳細(xì)說明。
基于透明網(wǎng)絡(luò)地址翻譯的代理與防火墻網(wǎng)關(guān)的結(jié)構(gòu)如圖1由1~5五個(gè)單元組成,它包括一個(gè)主板,主板內(nèi)存中運(yùn)行有Web服務(wù)器1和地址翻譯軟件2,Web服務(wù)器1允許內(nèi)部的私有網(wǎng)用戶訪問Web服務(wù)器頁面,允許私有網(wǎng)用戶通過網(wǎng)關(guān)上的CGI程序查詢費(fèi)用、修改訪問權(quán)限、維護(hù)帳戶等。IP地址翻譯軟件2,能夠?qū)崿F(xiàn)私有網(wǎng)IP地址的翻譯與代理、包過濾、包轉(zhuǎn)發(fā)、路由等功能。和主板連接有100/10Mbps以太網(wǎng)卡3、5和硬卡4。以太網(wǎng)卡3、5接收和發(fā)送數(shù)據(jù)幀;硬卡4實(shí)現(xiàn)用戶訪問權(quán)限表、流量表等動態(tài)信息的存取和斷電自動保存,權(quán)限表的解釋,用戶帳戶的定位和維護(hù)等功能。網(wǎng)關(guān)內(nèi)接內(nèi)部私有網(wǎng)6,外通過路由器7接入Internet網(wǎng)8。
參見圖2,硬卡4由9~16八個(gè)部分組成。總線緩沖器和鎖存器9,保存32位IP地址;可編程器件實(shí)現(xiàn)的譯碼電路10采用可編程器件實(shí)現(xiàn)對IP地址的譯碼;直流和電池雙路供電的存儲器11字長192位,保存權(quán)限和流量信息;以比較電路實(shí)現(xiàn)的電平監(jiān)視電路12在上電和掉電時(shí)禁止訪問權(quán)限和流量信息,以防止電壓過渡時(shí)對存儲器的誤寫入;可充電電池13在線充電,掉電時(shí)維持權(quán)限表、流量表內(nèi)容。緩沖器14儲存硬件解釋的權(quán)限表內(nèi)容;將192位字長映射到PC機(jī)總線的訪問電路和緩沖電路15;譯碼電路16主要用來緩沖命令。
下面結(jié)合
它們之間的連接方式Web服務(wù)器1以軟件的形式運(yùn)行在網(wǎng)關(guān)上,和以太網(wǎng)卡3的接收和發(fā)送緩沖區(qū)通信,采用CGI程序與硬卡4中的鎖存器9、緩沖器14、緩沖電路15和譯碼電路16通信。IP地址翻譯軟件2與以太網(wǎng)卡3和以太網(wǎng)卡5的緩沖區(qū)、硬卡4通信。網(wǎng)關(guān)是基于PC平臺,通信連接采用系統(tǒng)總線。以太網(wǎng)卡3通過網(wǎng)線與內(nèi)部私有網(wǎng)6相連,以太網(wǎng)卡5通過網(wǎng)線與路由器7相連。
總線緩沖器和鎖存器9、緩沖器14、緩沖電路15和譯碼電路16通過數(shù)據(jù)線、地址線和控制線與網(wǎng)關(guān)通信,總線緩沖器和鎖存器9通過數(shù)據(jù)線和譯碼電路10相連,譯碼電路10通過控制線和地址線和存儲器11相連,存儲器11采用譯碼電路和緩沖器14、緩沖電路15相連,可充電電池13和電平監(jiān)視電路12分別接入存儲器11。
本網(wǎng)關(guān)能使內(nèi)部私有IP地址通過一個(gè)全球統(tǒng)一IP地址訪問Internet,具體過程如下私有網(wǎng)中站點(diǎn)的一個(gè)客戶程序要訪問外部Internet上的一個(gè)服務(wù)器,客戶程序采用內(nèi)部私有IP地址和外部服務(wù)器進(jìn)行通信,當(dāng)客戶程序發(fā)出的包經(jīng)過網(wǎng)關(guān)時(shí),網(wǎng)關(guān)的處理過程為IP地址翻譯軟件2把IP包中的IP地址寫入鎖存器9,如果緩沖器14顯示合法,緩沖電路15中即是對應(yīng)的權(quán)限和流量信息。IP地址翻譯軟件2根據(jù)緩沖電路15中權(quán)限表中的服務(wù)類型等權(quán)限檢查包,允許或禁止包通過,根據(jù)包長發(fā)命令到譯碼電路16,更新存儲器11中的流量表,否則丟棄該包。對于檢查為合法的包,IP地址翻譯軟件2采用網(wǎng)絡(luò)地址翻譯技術(shù)(請見rfc1631)翻譯客戶程序發(fā)出的IP包,然后網(wǎng)關(guān)把該包發(fā)向外部Internet。
從服務(wù)器返回的包,經(jīng)過網(wǎng)關(guān)時(shí)的處理過程為IP地址翻譯軟件2采用網(wǎng)絡(luò)地址翻譯技術(shù)翻譯服務(wù)器發(fā)出的IP包,然后,IP地址翻譯軟件2把IP地址寫入總線緩沖器和鎖存器9中,如果緩沖器14顯示合法,緩沖電路15中顯示對應(yīng)的權(quán)限和流量信息,根據(jù)緩沖電路15中權(quán)限表中的服務(wù)類型等權(quán)限檢查包,允許或禁止包通過,根據(jù)包長發(fā)命令給譯碼電路16更新存儲器11中的流量表,然后把包發(fā)向私有網(wǎng),否則丟棄該包。
本網(wǎng)關(guān)通過Web服務(wù)器采用CGI程序接受用戶的請求,完成硬卡上的權(quán)限表的更改、流量查詢等功能。過程為CGI程序獲得用戶命令后進(jìn)行編碼,然后輸入到譯碼電路16中更改權(quán)限表,查詢流量信息等。
本說明以HTTP為例,假設(shè)1)客戶程序所在的站點(diǎn)的IP地址為10.10.10.2;2)本網(wǎng)關(guān)的全球統(tǒng)一IP地址為200.76.35.5,和內(nèi)部私有網(wǎng)相接的接口IP地址為10.10.10.1且為私有網(wǎng)的網(wǎng)關(guān);3)外部服務(wù)器的IP地址為203.4.2.3。
客戶程序首先發(fā)IP包,用P(10.10.10.22000,203.4.2.380)表示,其中10.10.10.2為源IP地址,2000為源端口號,203.4.2.3為目的IP地址,80為目的端口號。
IP包到達(dá)本網(wǎng)關(guān)后,IP地址翻譯軟件2把10.10.10.2寫入鎖存器9中,如果緩沖器14輸出一個(gè)非法值,IP地址翻譯軟件2把該包丟棄,如果判定為合法IP地址,IP地址翻譯軟件2讀取緩沖電路15中的權(quán)限表和流量信息,根據(jù)權(quán)限表檢查包的端口號、訪問的服務(wù)器的IP地址是否在國外等信息,從而允許或禁止包通過,并進(jìn)行分國內(nèi)、國外分別統(tǒng)計(jì)流量,最后把修改的流量信息輸入譯碼電路16更新存儲器11中的流量表。
如果包P(10.10.10.22000,203.4.2.380)判定為合法,IP地址翻譯軟件2采用透明地址翻譯技術(shù)對此包進(jìn)行翻譯(假如翻譯得到的包為P(200.76.35.53000,203.4.2.380)),然后發(fā)向外部Internet。
從外部返回的包為P(203.4.2.380,200.76.35.53000),IP地址翻譯軟件2采用透明地址翻譯技術(shù)把此包翻譯成P(10.10.10.22000,203.4.2.380),然后把10.10.10.2寫入鎖存器9中,如果緩沖器14輸出一個(gè)非法值,IP地址翻譯軟件2把該包丟棄,如果判定為合法IP地址,IP地址翻譯軟件2讀取緩沖電路15中的權(quán)限表和流量信息,根據(jù)權(quán)限表檢查包的端口號、源IP地址是否在國外等信息,從而允許或禁止包通過,并進(jìn)行分國內(nèi)、國外分別統(tǒng)計(jì)流量,最后把修改的流量信息輸入譯碼電路16更新存儲器11中的流量表。
本網(wǎng)關(guān)采用硬卡儲存權(quán)限表和流量表信息,電池保護(hù)信息等措施,避免了存盤過程,保證了活動信息不丟失,解決了網(wǎng)關(guān)中用戶權(quán)限不斷變化和實(shí)時(shí)流量統(tǒng)計(jì)與查詢的特殊情況。本網(wǎng)關(guān)又采用硬卡實(shí)現(xiàn)IP地址和用戶帳戶相綁定的策略,采用硬件實(shí)現(xiàn)IP地址直接定位用戶帳戶,加快了網(wǎng)關(guān)定位帳戶的速度,提高了網(wǎng)關(guān)的性能。本網(wǎng)關(guān)采用透明地址翻譯的策略,在性能上要高于應(yīng)用層代理服務(wù)器。
圖3是網(wǎng)關(guān)兩邊的吞吐量之和與代理網(wǎng)關(guān)每包時(shí)延平均值的關(guān)系,圖4是網(wǎng)關(guān)兩邊的吞吐量之和與網(wǎng)關(guān)吞吐量的關(guān)系,其中橫坐標(biāo)是網(wǎng)關(guān)兩邊吞吐量之和,單位為pps,縱坐標(biāo)是網(wǎng)關(guān)的吞吐量,單位為pps。
權(quán)利要求
1.基于透明網(wǎng)絡(luò)地址翻譯的代理與防火墻網(wǎng)關(guān),包括一個(gè)主板,其特征在于,主板內(nèi)存中運(yùn)行有Web服務(wù)器(1)和地址翻譯軟件(2),和主板連接有以太網(wǎng)卡(3)和以太網(wǎng)卡(5)和硬卡(4)。
2.根據(jù)權(quán)利要求1所述的網(wǎng)關(guān),其特征在于,以太網(wǎng)卡3的接收和發(fā)送緩沖區(qū)通信,采用CGI程序與硬卡(4)中的鎖存器(9)、緩沖器(14)、緩沖電路(15)和譯碼電路(16)通信,IP地址翻譯軟件2與以太網(wǎng)卡3和以太網(wǎng)卡5的緩沖區(qū)、硬卡4通信。
3.根據(jù)權(quán)利要求1或2所述的網(wǎng)關(guān),其特征在于,所說的硬卡(4)包括一總線緩沖器和鎖存器(9),總線緩沖器和鎖存器(9)、緩沖器(14)、緩沖電路(15)和譯碼電路(16)通過數(shù)據(jù)線、地址線和控制線與網(wǎng)關(guān)通信,總線緩沖器和鎖存器(9)通過數(shù)據(jù)線和譯碼電路(10)相連,譯碼電路(10)通過控制線和地址線和存儲器(11)相連,存儲器(11)采用譯碼電路和緩沖器(14)、緩沖電路(15)相連??沙潆婋姵?13)和電平監(jiān)視電路(12)分別接入存儲器(11)。
全文摘要
基于透明網(wǎng)絡(luò)地址翻譯的代理與防火墻網(wǎng)關(guān),包括一個(gè)主板,主板內(nèi)存中運(yùn)行在有Web服務(wù)器和地址翻譯軟件,和主板連接有以太網(wǎng)卡和以太網(wǎng)卡和硬卡,可以解決國內(nèi)/外IP地址塊的區(qū)分、實(shí)時(shí)流量的統(tǒng)計(jì)和查詢、內(nèi)外網(wǎng)絡(luò)IP地址的翻譯和防火墻功能的實(shí)現(xiàn)。
文檔編號G06F17/00GK1260545SQ9911595
公開日2000年7月19日 申請日期1999年12月29日 優(yōu)先權(quán)日1999年12月29日
發(fā)明者錢德沛, 陸月明, 劉軼, 王磊, 徐斌 申請人:西安交通大學(xué)