專利名稱:具有防火墻功能的交換設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信和網(wǎng)絡(luò)安全技術(shù)領(lǐng)域��,尤其涉及一種具有防火墻功能的交換設(shè)備�����。
背景技術(shù):
隨著網(wǎng)絡(luò)規(guī)模的發(fā)展和應(yīng)用領(lǐng)域的擴(kuò)大���,結(jié)構(gòu)復(fù)雜����、設(shè)備眾多的網(wǎng)絡(luò)的運(yùn)營和維護(hù)成本越來越高����。尤其在一些中、小型網(wǎng)絡(luò)中��,傳統(tǒng)的功能單一的網(wǎng)絡(luò)設(shè)備正在被集成多種功能的網(wǎng)絡(luò)設(shè)備取代�。
中國專利CN1556633A公開了一種集成防火墻的路由交換機(jī),其結(jié)構(gòu)如圖1所示�。路由交換機(jī)的防火墻模塊由主控模塊通過控制總線進(jìn)行工作參數(shù)配置,并通過數(shù)據(jù)總線與交換模塊交換數(shù)據(jù)�。防火墻模塊本身具有內(nèi)網(wǎng)、DMZ(Demilitarized Zone���,隔離區(qū))和外網(wǎng)接口�����,或者也可以將交換模塊的物理端口設(shè)置為內(nèi)網(wǎng)�、DMZ和外網(wǎng)接口。
這種技術(shù)方案將防火墻模塊直接與交換機(jī)的總線連接�����,由于交換機(jī)的總線結(jié)構(gòu)通常與防火墻設(shè)備不同,因而采用這種連接方式一般需要為防火墻模塊單獨(dú)設(shè)計(jì)與交換機(jī)總線的適配模塊�����,實(shí)現(xiàn)復(fù)雜成本較高����;同時��,這種方式需要交換機(jī)背板預(yù)先設(shè)置接入防火墻模塊和接入交換模塊的接口����,不能滿足用戶根據(jù)組網(wǎng)環(huán)境選擇交換模塊和防火墻模塊的需求。
發(fā)明內(nèi)容
本發(fā)明要解決的是現(xiàn)有技術(shù)中具有防火墻功能的交換機(jī)實(shí)現(xiàn)復(fù)雜和不能提供組網(wǎng)靈活性的問題。
本發(fā)明所述具有防火墻功能的交換設(shè)備包括至少一個接口單板和至少一個防火墻插板����,其中防火墻插板接入接口單板���,用來對從接口單板接收的報(bào)文進(jìn)行安全處理����,并對報(bào)文進(jìn)行轉(zhuǎn)發(fā)�;接口單板用來進(jìn)行報(bào)文交換。
優(yōu)選地����,所述接口單板包括至少兩個物理端口和交換單元,物理端口分別用來連接內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)��;交換單元用來在物理端口之間����、物理端口與防火墻插板之間轉(zhuǎn)發(fā)報(bào)文,其中包括將內(nèi)部網(wǎng)絡(luò)物理端口與外部網(wǎng)絡(luò)物理端口之間傳輸?shù)膱?bào)文轉(zhuǎn)發(fā)至防火墻插板����。
優(yōu)選地,所述交換單元轉(zhuǎn)發(fā)報(bào)文包括對內(nèi)部網(wǎng)絡(luò)物理端口之間傳輸?shù)膱?bào)文進(jìn)行二層轉(zhuǎn)發(fā),將需要三層轉(zhuǎn)發(fā)的內(nèi)部網(wǎng)絡(luò)物理端口之間傳輸?shù)膱?bào)文發(fā)送至防火墻插板�����;所述防火墻插板進(jìn)行報(bào)文轉(zhuǎn)發(fā)包括對內(nèi)部網(wǎng)絡(luò)物理端口之間傳輸?shù)膱?bào)文進(jìn)行三層轉(zhuǎn)發(fā)���。
優(yōu)選地�,所述交換單元轉(zhuǎn)發(fā)報(bào)文包括將內(nèi)部網(wǎng)絡(luò)物理端口發(fā)送到外部網(wǎng)絡(luò)物理端口的報(bào)文二層轉(zhuǎn)發(fā)至防火墻插板����,以及將外部網(wǎng)絡(luò)物理端口發(fā)送到內(nèi)部網(wǎng)絡(luò)物理端口的報(bào)文三層轉(zhuǎn)發(fā)至防火墻插板;所述防火墻插板進(jìn)行報(bào)文轉(zhuǎn)發(fā)包括對內(nèi)部網(wǎng)絡(luò)物理端口與外部網(wǎng)絡(luò)物理端口之間傳輸?shù)膱?bào)文進(jìn)行三層轉(zhuǎn)發(fā)����。
優(yōu)選地,所述交換單元轉(zhuǎn)發(fā)報(bào)文包括對外部網(wǎng)絡(luò)物理端口之間傳輸?shù)膱?bào)文進(jìn)行二層和三層轉(zhuǎn)發(fā)�。
優(yōu)選地,所述內(nèi)部網(wǎng)絡(luò)包括內(nèi)部網(wǎng)Intranet和隔離區(qū)DMZ���,Intranet和DMZ之間的傳輸報(bào)文通過防火墻插板進(jìn)行三層轉(zhuǎn)發(fā)�����。
優(yōu)選地����,所述交換設(shè)備還包括數(shù)據(jù)總線,用來在接口單板之間進(jìn)行報(bào)文傳輸����。
優(yōu)選地,所述交換設(shè)備還包括主控板和控制總線��,主控板和防火墻插板分別與控制總線連接��,用來通過主控板對防火墻插板進(jìn)行工作參數(shù)配置和工作狀態(tài)監(jiān)測����。
優(yōu)選地��,所述防火墻插板與接口單板通過千兆介質(zhì)無關(guān)接口GMII連接��。
本發(fā)明提供了另一種具有防火墻功能的交換設(shè)備���,包括交換單元和防火墻單元�����,其中防火墻單元與交換單元連接�,對來自交換單元的報(bào)文進(jìn)行安全處理,以及將報(bào)文轉(zhuǎn)發(fā)至交換單元���;交換單元用來轉(zhuǎn)發(fā)接收的報(bào)文��。
優(yōu)選地�����,所述交換設(shè)備還包括第一網(wǎng)絡(luò)端口組和第二網(wǎng)絡(luò)端口組���,分別用來連接第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò);所述交換單元將第一網(wǎng)絡(luò)端口組與第二網(wǎng)絡(luò)端口組之間傳輸?shù)膱?bào)文轉(zhuǎn)發(fā)至防火墻單元����。
優(yōu)選地,所述交換單元包括二層轉(zhuǎn)發(fā)模塊����,用來進(jìn)行報(bào)文的二層轉(zhuǎn)發(fā);所述防火墻單元包括防火墻轉(zhuǎn)發(fā)模塊����,用來通過二層轉(zhuǎn)發(fā)模塊與第一網(wǎng)絡(luò)端口組在二層連通,并對來自和去向第一網(wǎng)絡(luò)端口組的報(bào)文進(jìn)行三層轉(zhuǎn)發(fā)�。
優(yōu)選地�,所述防火墻單元還包括安全處理模塊��,用來對從交換單元接收的報(bào)文進(jìn)行安全處理后發(fā)送至防火墻轉(zhuǎn)發(fā)模塊��;所述交換單元還包括三層轉(zhuǎn)發(fā)模塊�,用來使防火墻模塊與第二網(wǎng)絡(luò)端口組在三層連通。
優(yōu)選地���,所述二層轉(zhuǎn)發(fā)模塊進(jìn)行報(bào)文的二層轉(zhuǎn)發(fā)包括對第一網(wǎng)絡(luò)端口組內(nèi)傳輸?shù)膱?bào)文和第二網(wǎng)絡(luò)端口組內(nèi)傳輸?shù)膱?bào)文進(jìn)行二層轉(zhuǎn)發(fā)��;所述第二網(wǎng)絡(luò)端口組內(nèi)傳輸?shù)膱?bào)文由三層轉(zhuǎn)發(fā)模塊進(jìn)行三層轉(zhuǎn)發(fā)。
優(yōu)選地�,所述第一網(wǎng)絡(luò)包括內(nèi)部網(wǎng)Intranet和隔離區(qū)DMZ,Intranet和DMZ通過防火墻單元在三層連通�;所述第二網(wǎng)絡(luò)包括互聯(lián)網(wǎng)Internet。
優(yōu)選地��,所述交換設(shè)備包括主控單元和防火墻控制單元���,其中防火墻控制單元用來對防火墻單元進(jìn)行工作參數(shù)配置和工作狀態(tài)監(jiān)測����;主控單元用來提供對防火墻控制單元進(jìn)行工作參數(shù)配置和工作狀態(tài)顯示的通道。
優(yōu)選地�����,所述主控單元為防火墻控制單元提供對外通道包括接收和顯示防火墻控制單元發(fā)送的工作狀態(tài)信息�����、將對防火墻單元的控制指令傳輸至防火墻控制單元和顯示防火墻控制單元返回的控制指令執(zhí)行結(jié)果��。
本發(fā)明將防火墻插板接入接口單板����,采用通用接口即可實(shí)現(xiàn)防火墻插板與接口單板的硬件集成;同時防火墻插板通過接口單板對報(bào)文進(jìn)行安全處理和轉(zhuǎn)發(fā)����,實(shí)現(xiàn)了防火墻功能與交換功能的集成。本發(fā)明中防火墻插板不需要匹配交換設(shè)備的總線結(jié)構(gòu)���,簡化了硬件實(shí)現(xiàn)���;并且可以在本發(fā)明所述交換設(shè)備的接口單板上根據(jù)具體應(yīng)用環(huán)境的需要來接入防火墻插板����,提供了良好的組網(wǎng)靈活性���。
圖1為現(xiàn)有技術(shù)中集成防火墻的路由交換機(jī)結(jié)構(gòu)示意圖��;圖2為本發(fā)明中具有防火墻功能的交換設(shè)備的物理結(jié)構(gòu)示意圖�;圖3為本發(fā)明中具有防火墻功能的交換設(shè)備的邏輯結(jié)構(gòu)示意圖�;圖4為本發(fā)明應(yīng)用示例中各網(wǎng)絡(luò)與交換單元、防火墻單元的三層連接示意圖���。
具體實(shí)施例方式
在交換設(shè)備中的接口單板上�����,用來實(shí)現(xiàn)報(bào)文交換功能的轉(zhuǎn)發(fā)芯片組通常具有通用接口,可以方便地實(shí)現(xiàn)與防火墻插板的連接����。同時,通過對接口單板和防火墻插板的轉(zhuǎn)發(fā)功能進(jìn)行適當(dāng)?shù)嘏渲?�,即可使交換設(shè)備具有防火墻的功能����。
本發(fā)明所述具有防火墻功能的交換設(shè)備的實(shí)施例一具有圖2所示的結(jié)構(gòu)示意圖�。接口單板210通過數(shù)據(jù)總線240與接口單板230連接�,接口單板210包括相互連接的交換單元211、物理端口212和213�����,接口單板230包括相互連接的交換單元231����、物理端口232和233,交換單元211和231均連接至數(shù)據(jù)總線240����。交換單元211通過通用接口與防火墻插板220連接。主控板260��、接口單板210���、接口單板230和防火墻插板220均連接至控制總線220���。
不難理解,本發(fā)明中的交換設(shè)備可以不包括不與防火墻插板連接的接口單板230,也可以包括多個與防火墻插板連接的接口單板和多個不與防火墻插板連接的接口單板���。同樣�����,每個接口單板上的物理端口可以是1個到多個����,而防火墻插板220可以提供1個到多個物理端口�����,也可以不帶物理端口�����。
連接交換單元211與防火墻插板220的通用接口可以根據(jù)具體的硬件選型和所需的接口帶寬確定�����,例如可以是GMII(Gigabit Medium IndependentInterface��,千兆介質(zhì)無關(guān)接口)接口形成的GE(Gigabit Ethernet�����,千兆以太網(wǎng))捆綁鏈路�����。
主控板260通過控制總線250對接口單板210�、230進(jìn)行管理,所進(jìn)行的管理操作與現(xiàn)有技術(shù)中相同���,而用戶對防火墻插板220的管理通過主控板260進(jìn)行���。用戶通過主控板260向防火墻插板220發(fā)送控制指令,防火墻插板220通過主控板260向用戶返回控制指令的執(zhí)行結(jié)果�,控制指令主要包括配置防火墻插板220的工作參數(shù)和監(jiān)測其工作狀態(tài)。主控板260可以是一個主控單板��,也可以是互為備份的主控主板和主控備板��。
接口單板210和230上的交換單元211和231可以包括接口單板控制CPU(Central Process Unit�,中央處理器)和交換設(shè)備轉(zhuǎn)發(fā)ASIC(ApplicationSpecific Integrated Circuit,專用集成電路)����,其中接口單板控制CPU和控制總線250連接,根據(jù)用戶的控制指令設(shè)置交換設(shè)備轉(zhuǎn)發(fā)ASIC的工作參數(shù);交換設(shè)備轉(zhuǎn)發(fā)ASIC與數(shù)據(jù)總線240連接��,進(jìn)行報(bào)文的轉(zhuǎn)發(fā)工作�。數(shù)據(jù)總線240在各個接口單板的交換單元之間傳輸報(bào)文。
接口單板230不連接防火墻插板����,其工作方式與現(xiàn)有技術(shù)中的接口單板相同,即交換單元231根據(jù)物理端口232和233的設(shè)置與連接這兩個物理端口的網(wǎng)絡(luò)節(jié)點(diǎn)對報(bào)文進(jìn)行二層或三層轉(zhuǎn)發(fā)�。
防火墻插板220從接口單板210接收報(bào)文,對接收的報(bào)文進(jìn)行安全處理�����,將安全處理后的報(bào)文根據(jù)其目的地址進(jìn)行轉(zhuǎn)發(fā)����。防火墻插板220仍將報(bào)文轉(zhuǎn)發(fā)至接口單板210,由接口單板210將報(bào)文交換轉(zhuǎn)發(fā)至其目的物理端口����。
防火墻插板220對報(bào)文進(jìn)行的安全處理可以包括下列各項(xiàng)及其組合根據(jù)過濾規(guī)則對報(bào)文進(jìn)行過濾;對報(bào)文進(jìn)行會話處理�,基于會話進(jìn)行轉(zhuǎn)發(fā);基于會話狀態(tài)進(jìn)行報(bào)文檢測�����;進(jìn)行NAT(Network Address Translation��,網(wǎng)絡(luò)地址轉(zhuǎn)換)轉(zhuǎn)發(fā)�����;對會話及其異常報(bào)文進(jìn)行日志記錄并將異常報(bào)文直接丟棄�。
對防火墻插板220所進(jìn)行的安全處理,本發(fā)明中采用與現(xiàn)有技術(shù)中相同的實(shí)現(xiàn)方式���,此處不再贅述�。
物理端口212��、213�����、232���、233可以根據(jù)需要分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連接��,其中內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)為需要防火墻來進(jìn)行隔離���,以為其中一個提供信息安全保護(hù)的兩個網(wǎng)絡(luò)����。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分別包括至少一個二層網(wǎng)絡(luò)�����,二層網(wǎng)絡(luò)可以是一個子網(wǎng)或者VLAN(Virtual Local Area Network�,虛擬局域網(wǎng))。內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通過交換單元211����、231和防火墻插板220在三層連通。
交換單元211��、231在各個物理端口之間�����、各個物理端口與防火墻插板220之間進(jìn)行報(bào)文的二層或三層轉(zhuǎn)發(fā)����。對內(nèi)部網(wǎng)絡(luò)物理端口和外部網(wǎng)絡(luò)物理端口之間交互的報(bào)文,交換單元211���、231將其轉(zhuǎn)發(fā)至防火墻插板220��,以便進(jìn)行報(bào)文的安全處理�,通過防火墻插板220實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離��。
由于防火墻插板220具有三層轉(zhuǎn)發(fā)功能�����,當(dāng)交換單元211也具有三層轉(zhuǎn)發(fā)功能時�,根據(jù)報(bào)文的源地址和目的地址,有多種方法可以實(shí)現(xiàn)將內(nèi)部網(wǎng)絡(luò)物理端口和外部網(wǎng)絡(luò)物理端口之間交互的報(bào)文轉(zhuǎn)發(fā)至防火墻插板220��,并將經(jīng)防火墻插板220安全處理后的報(bào)文轉(zhuǎn)發(fā)至正確的目的物理端口��。例如�,將防火墻插板220作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)路徑上必經(jīng)的一跳(hop),而其入口和出口為對應(yīng)的交換單元即可�����。
本發(fā)明推薦采用如下方法實(shí)現(xiàn)報(bào)文的轉(zhuǎn)發(fā)以防火墻插板220作為內(nèi)部網(wǎng)絡(luò)中各個二層網(wǎng)絡(luò)的網(wǎng)關(guān)�����,而防火墻插板220與外部網(wǎng)絡(luò)之間的報(bào)文傳輸需要經(jīng)過交換單元211或231的三層轉(zhuǎn)發(fā),以實(shí)現(xiàn)防火墻對內(nèi)部網(wǎng)絡(luò)的保護(hù)�����。
具體而言�,對內(nèi)部網(wǎng)絡(luò)的二層網(wǎng)絡(luò)內(nèi)節(jié)點(diǎn)間交互的報(bào)文,由交換單元211或231完成二層轉(zhuǎn)發(fā)����,對外部網(wǎng)絡(luò)的二層網(wǎng)絡(luò)內(nèi)節(jié)點(diǎn)間交換的報(bào)文也是如此;對內(nèi)部網(wǎng)絡(luò)的二層網(wǎng)絡(luò)間交互的報(bào)文��,其三層轉(zhuǎn)發(fā)由防火墻插板220進(jìn)行����,同時防火墻插板可以根據(jù)報(bào)文的源地址和目的地址配置為對報(bào)文進(jìn)行不同的安全處理,也可以配置為不對報(bào)文進(jìn)行安全處理而只做路由���;對外部網(wǎng)絡(luò)的二層網(wǎng)絡(luò)間交互的報(bào)文�����,這些報(bào)文屬于不需要經(jīng)過安全處理的流量����,由交換單元211或231直接進(jìn)行三層轉(zhuǎn)發(fā);對內(nèi)部網(wǎng)絡(luò)發(fā)往外部網(wǎng)絡(luò)的報(bào)文��,由交換單元211或231將該報(bào)文二層轉(zhuǎn)發(fā)至防火墻插板220�,防火墻插板220對其進(jìn)行安全處理后將報(bào)文三層轉(zhuǎn)發(fā)至對應(yīng)的交換單元,由該交換單元將報(bào)文三層轉(zhuǎn)發(fā)至外部網(wǎng)絡(luò)�����;對外部網(wǎng)絡(luò)發(fā)往內(nèi)部網(wǎng)絡(luò)的報(bào)文�,其過程正好相反���,由接收該報(bào)文的交換單元將其三層轉(zhuǎn)發(fā)至防火墻插板220�����,防火墻插板220將進(jìn)行安全處理后的該報(bào)文三層轉(zhuǎn)發(fā)至與其目的物理端口連接的交換單元�����,由該交換單元將該報(bào)文二層轉(zhuǎn)發(fā)至目的物理端口����。
當(dāng)內(nèi)部網(wǎng)絡(luò)包括Intranet(內(nèi)部網(wǎng))和DMZ時�����,Intranet和DMZ不屬于同一個二層網(wǎng)絡(luò),這兩個網(wǎng)絡(luò)之間傳輸?shù)膱?bào)文需要由防火墻插板220進(jìn)行三層轉(zhuǎn)發(fā)�。通常防火墻插板220需要對這兩個網(wǎng)絡(luò)間傳輸?shù)膱?bào)文進(jìn)行一定程度的安全處理。
本發(fā)明所述具有防火墻功能的交換設(shè)備的實(shí)施例二具有圖3所示的邏輯結(jié)構(gòu)示意圖���。第一網(wǎng)絡(luò)端口組330�����、第二網(wǎng)絡(luò)端口組340和防火墻單元分別連接交換單元310�;交換單元310包括二層轉(zhuǎn)發(fā)模塊311和三層轉(zhuǎn)發(fā)模塊312�,均與第二網(wǎng)絡(luò)端口組340連接,二層轉(zhuǎn)發(fā)模塊311與第一網(wǎng)絡(luò)端口組330連接���;防火墻單元320包括安全處理模塊321和防火墻轉(zhuǎn)發(fā)模塊322����,與二層轉(zhuǎn)發(fā)模塊311和三層轉(zhuǎn)發(fā)模塊312相互連接����;主控單元350分別連接交換單元310和防火墻控制單元360,防火墻控制單元360連接至防火墻單元320。
第一網(wǎng)絡(luò)端口組330用來連接需要防火墻單元320提供信息安全保護(hù)的第一網(wǎng)絡(luò)���,第一網(wǎng)絡(luò)可能包括一個或一個以上的子網(wǎng)或VLAN����,第一網(wǎng)絡(luò)端口組330包括至少一個物理端口�;第二網(wǎng)絡(luò)端口組340用來連接需要防火墻單元320實(shí)現(xiàn)與第一網(wǎng)絡(luò)隔離的第二網(wǎng)絡(luò),第二網(wǎng)絡(luò)可能包括一個或一個以上的子網(wǎng)或VLAN�����,第二網(wǎng)絡(luò)端口組330同樣包括至少一個物理端口��。
交換單元310進(jìn)行第一網(wǎng)絡(luò)端口組330和第二網(wǎng)絡(luò)端口組340與防火墻單元320之間�、第一網(wǎng)絡(luò)端口組330內(nèi)部����、第二網(wǎng)絡(luò)端口組340內(nèi)部的報(bào)文轉(zhuǎn)發(fā),并且將第一網(wǎng)絡(luò)端口組330和第二網(wǎng)絡(luò)端口組340之間的交互報(bào)文轉(zhuǎn)發(fā)至防火墻單元320�。防火墻單元320從交換單元310接收報(bào)文,對報(bào)文進(jìn)行安全處理��,并將報(bào)文轉(zhuǎn)發(fā)至交換單元310�����。
與實(shí)施例一中相同,以下為交換單元310和防火墻單元320實(shí)現(xiàn)報(bào)文轉(zhuǎn)發(fā)的一種優(yōu)選方式防火墻單元320通過二層轉(zhuǎn)發(fā)模塊311與第一網(wǎng)絡(luò)端口組330在二層連通�����,即第一網(wǎng)絡(luò)端口組330與防火墻單元320之間的交互報(bào)文由二層轉(zhuǎn)發(fā)模塊311進(jìn)行二層轉(zhuǎn)發(fā)���;而防火墻單元320通過三層轉(zhuǎn)發(fā)模塊312與第二網(wǎng)絡(luò)端口組340在三層連通��,即第二網(wǎng)絡(luò)端口組340與防火墻單元320之間的交互報(bào)文由三層轉(zhuǎn)發(fā)模塊312進(jìn)行三層轉(zhuǎn)發(fā)�;第一網(wǎng)絡(luò)端口組330的三層轉(zhuǎn)發(fā)由防火墻轉(zhuǎn)發(fā)模塊320進(jìn)行�,這樣,第一網(wǎng)絡(luò)端口組330與第二網(wǎng)絡(luò)端口組340之間交互的報(bào)文需要通過防火墻單元320和三層轉(zhuǎn)發(fā)模塊312的兩次三層轉(zhuǎn)發(fā)才能到達(dá)目的網(wǎng)絡(luò)�����。在第一網(wǎng)絡(luò)端口組330與第二網(wǎng)絡(luò)端口組340之間交互的報(bào)文達(dá)到防火墻單元320時�����,先由安全處理模塊321進(jìn)行安全處理后將報(bào)文輸出至防火墻轉(zhuǎn)發(fā)模塊322����,再由防火墻轉(zhuǎn)發(fā)模塊322進(jìn)行三層轉(zhuǎn)發(fā)���;當(dāng)?shù)谝痪W(wǎng)絡(luò)端口組330包括一個以上的子網(wǎng)和/或VLAN時,這些子網(wǎng)和/或VLAN之間交互的報(bào)文由二層轉(zhuǎn)發(fā)模塊311發(fā)送至防火墻單元320��。如果設(shè)置為對這些子網(wǎng)和/或VLAN之間交互的報(bào)文進(jìn)行安全處理��,則先由安全處理模塊321進(jìn)行安全處理�,再由防火墻轉(zhuǎn)發(fā)模塊322將該報(bào)文三層轉(zhuǎn)發(fā)至目的子網(wǎng)或VLAN內(nèi),由二層轉(zhuǎn)發(fā)模塊311轉(zhuǎn)發(fā)至目的端口�;如果設(shè)置為對這些子網(wǎng)和/或VLAN之間交互的報(bào)文不進(jìn)行安全處理,則直接由防火墻轉(zhuǎn)發(fā)模塊322將該報(bào)文三層轉(zhuǎn)發(fā)至目的子網(wǎng)或VLAN內(nèi)�,由二層轉(zhuǎn)發(fā)模塊311轉(zhuǎn)發(fā)至目的端口;當(dāng)?shù)诙W(wǎng)絡(luò)端口組340包括一個以上的子網(wǎng)和/或VLAN時�,這些子網(wǎng)和/或VLAN之間交互的報(bào)文由三層轉(zhuǎn)發(fā)模塊312直接進(jìn)行三層轉(zhuǎn)發(fā)至目的子網(wǎng)或VLAN內(nèi),由二層轉(zhuǎn)發(fā)模塊311轉(zhuǎn)發(fā)至目的端口���;所有涉及第一網(wǎng)絡(luò)端口組330和第二網(wǎng)絡(luò)端口組340的二層轉(zhuǎn)發(fā)均由二層轉(zhuǎn)發(fā)模塊311進(jìn)行�����,包括第一網(wǎng)絡(luò)端口組330和第二網(wǎng)絡(luò)端口組340內(nèi)部同一子網(wǎng)或VLAN內(nèi)的報(bào)文轉(zhuǎn)發(fā)。
當(dāng)防火墻單元320用來保護(hù)企業(yè)內(nèi)部網(wǎng)時���,第一網(wǎng)絡(luò)可能包括分屬于不同子網(wǎng)或VLAN的Intranet和DMZ���,第二網(wǎng)絡(luò)可以是Internet����;當(dāng)防火墻單元用來保護(hù)Internet至某個企業(yè)內(nèi)部網(wǎng)的出口時�,第一網(wǎng)絡(luò)可能包括Internet出口部分的各個子網(wǎng)或VLAN,而第二網(wǎng)絡(luò)可能是某個企業(yè)的Intranet和DMZ�����。
防火墻控制單元360對防火墻單元320進(jìn)行管理�����,主要包括工作參數(shù)配置和工作狀態(tài)監(jiān)測���。主控單元350根據(jù)用戶的控制指令對交換單元310進(jìn)行管理�����,同時還向用戶提供對防火墻控制單元360進(jìn)行控制的通道�。用戶通過主控單元350向防火墻控制單元360發(fā)送對防火墻單元320的控制指令�����,防火墻控制單元360根據(jù)指令進(jìn)行相應(yīng)管理操作后,通過主控單元350向用戶返回結(jié)果�����;用戶還需要通過主控單元350顯示防火墻控制單元360發(fā)送的工作狀態(tài)信息���。
本發(fā)明推薦的一種主控單元350和防火墻控制單元360的交互方式如下在交換設(shè)備加電啟動后��,防火墻控制單元360向主控單元350發(fā)出握手信號���;主控單元350收到握手信號,發(fā)出回應(yīng)信號�;防火墻控制單元360收到回應(yīng)信號,將防火墻單元320的硬件信息�、版本信息和私有的IP地址等信息通知主控單元350;主控單元350與防火墻控制單元360建立永久連接�����;通過永久連接通道�,每隔預(yù)定周期���,防火墻控制單元360將工作狀態(tài)信息通知主控單元350����;工作狀態(tài)信息中包括當(dāng)前防火墻單元320的工作狀態(tài)、版本信息���、運(yùn)行情況等��,主控單元350可以隨時向用戶顯示這些信息���。
主控單元350將對防火墻單元320的控制指令通過永久連接通道發(fā)送給防火墻控制單元360;防火墻控制單元360將對控制指令的執(zhí)行結(jié)果也通過該永久連接通道返回給主控單元350���,然后顯示給用戶�。
在本實(shí)施例中�����,可以根據(jù)需要配置多個交換單元和多個防火墻單元320����,防火墻單元的數(shù)量可以少于交換單元的數(shù)量或與其相同。根據(jù)第一網(wǎng)絡(luò)端口組330和第二網(wǎng)絡(luò)端口組340的物理端口所連接的交換單元�,可以通過對交換單元和防火墻單元與具體物理端口相關(guān)的配置來靈活實(shí)現(xiàn)具有防火墻功能的報(bào)文交換。
以下舉例說明本發(fā)明實(shí)施例二中實(shí)現(xiàn)交換單元和防火墻單元報(bào)文轉(zhuǎn)發(fā)優(yōu)選方案的具體配置方法�����。具有防火墻功能的交換設(shè)備用來將Intranet和DMZ網(wǎng)絡(luò)接入Internet,Intranet中包括VLAN 10�、VLAN 20和VLAN 80,DMZ網(wǎng)絡(luò)為VLAN 60�����,需要為VLAN 10�����、VLAN 20和DMZ網(wǎng)絡(luò)的信息安全提供保護(hù)�。對交換單元和防火墻單元進(jìn)行如下配置1)登錄到交換設(shè)備的命令行;2)在交換設(shè)備的命令行中��,對交換設(shè)備的4個物理端口進(jìn)行VLAN配置����;這四個物理端口可以在交換設(shè)備的同一塊接口單板上,也可以分布到交換設(shè)備的不同接口單板上����;3)將與DMZ網(wǎng)絡(luò)、Intranet的VLAN 20、VLAN 80和VLAN 10連接的四個物理端口分別配置成VLAN 60��、VLAN 20�、VLAN 80和VLAN 10���;4)敲入命令firewall��;5)命令行自動登錄到firewall中����;在firewall模塊的命令行提示符下����,在防火墻單元和交換單元相連接的兩個GE端口上配置VLAN 30;設(shè)本例中防火墻單元通過兩個捆綁的GE端口連接至交換單元�����;6)然后將VLAN 10���、VLAN 20��、VLAN 60���、VLAN 80分別采用attach命令和VLAN 30進(jìn)行綁定�;這條命令通知防火墻單元交換設(shè)備的外圍接口VLAN 60��、VLAN 80���、VLAN 10��、VLAN 20已經(jīng)和防火墻單元連接起來��,到達(dá)VLAN 10����、VLAN 20�、VLAN 80和VLAN 60的報(bào)文需要經(jīng)過路由到達(dá)VLAN 30,然后進(jìn)入防火墻單元進(jìn)行處理���。
經(jīng)上述配置后��,各個網(wǎng)絡(luò)與交換單元和防火墻單元的三層連接如圖4所示���。Intranet的VLAN 10、VLAN 20和DMZ網(wǎng)絡(luò)的VLAN 60由防火墻單元三層連接��,防火墻單元通過VLAN 30與交換單元連接,Internet和VLAN 80通過交換單元三層連接至防火墻單元����。
對VLAN 10或VLAN 20發(fā)往Internet的報(bào)文,由源節(jié)點(diǎn)將報(bào)文發(fā)送至防火墻單元��,經(jīng)過防火墻單元檢測過濾�、地址轉(zhuǎn)換后����,三層轉(zhuǎn)發(fā)至交換單元;交換單元將報(bào)文三層轉(zhuǎn)發(fā)至Internet�����。
對從Internet返回的報(bào)文����,由于防火墻單元進(jìn)行了地址轉(zhuǎn)換,報(bào)文的目的地址為防火墻的地址池地址�,因而交換單元將報(bào)文三層轉(zhuǎn)發(fā)至防火墻單元;防火墻單元對報(bào)文進(jìn)行檢測過濾�、地址轉(zhuǎn)換后,將報(bào)文三層轉(zhuǎn)發(fā)至Intranet節(jié)點(diǎn)�����。
對VLAN 10或VLAN 20訪問DMZ網(wǎng)絡(luò)即VLAN 60的報(bào)文,由源節(jié)點(diǎn)將報(bào)文發(fā)送至防火墻單元����,防火墻單元對報(bào)文進(jìn)行檢測和會話狀態(tài)記錄后,將報(bào)文三層轉(zhuǎn)發(fā)至VLAN 60�����。返回的報(bào)文轉(zhuǎn)發(fā)過程類似���。
對VLAN 80訪問DMZ網(wǎng)絡(luò)的報(bào)文��,由源節(jié)點(diǎn)將報(bào)文發(fā)送至交換單元�,交換單元將報(bào)文三層轉(zhuǎn)發(fā)至防火墻單元�����,防火墻單元對報(bào)文進(jìn)行檢測和會話狀態(tài)記錄后�,將報(bào)文三層轉(zhuǎn)發(fā)至DMZ網(wǎng)絡(luò)。返回的報(bào)文轉(zhuǎn)發(fā)過程類似��。
通過本發(fā)明��,可以直接在中高端交換設(shè)備上嵌入防火墻插板或單元,在交換設(shè)備上增加防火墻的功能���;同時可以根據(jù)實(shí)際應(yīng)用需求為多個物理端口配置一個或多個防火墻插板或單元�,滿足性能需求�;還可以通過控制總線方便地實(shí)現(xiàn)對防火墻插板或單元的管理和配置。
以上所述的本發(fā)明實(shí)施方式�,并不構(gòu)成對本發(fā)明保護(hù)范圍的限定。任何在本發(fā)明的精神和原則之內(nèi)所作的任何修改����、等同替換和改進(jìn)等�,均應(yīng)包含在本發(fā)明的權(quán)利要求保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種具有防火墻功能的交換設(shè)備����,其特征在于,包括至少一個接口單板和至少一個防火墻插板���,其中防火墻插板接入接口單板��,用來對從接口單板接收的報(bào)文進(jìn)行安全處理����,并對報(bào)文進(jìn)行轉(zhuǎn)發(fā);接口單板用來進(jìn)行報(bào)文交換���。
2.如權(quán)利要求1所述具有防火墻功能的交換設(shè)備���,其特征在于所述接口單板包括至少兩個物理端口和交換單元,物理端口分別用來連接內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)�����;交換單元用來在物理端口之間�����、物理端口與防火墻插板之間轉(zhuǎn)發(fā)報(bào)文�,其中包括將內(nèi)部網(wǎng)絡(luò)物理端口與外部網(wǎng)絡(luò)物理端口之間傳輸?shù)膱?bào)文轉(zhuǎn)發(fā)至防火墻插板。
3.如權(quán)利要求2所述具有防火墻功能的交換設(shè)備����,其特征在于,所述交換單元轉(zhuǎn)發(fā)報(bào)文包括對內(nèi)部網(wǎng)絡(luò)物理端口之間傳輸?shù)膱?bào)文進(jìn)行二層轉(zhuǎn)發(fā)�����,將需要三層轉(zhuǎn)發(fā)的內(nèi)部網(wǎng)絡(luò)物理端口之間傳輸?shù)膱?bào)文發(fā)送至防火墻插板�;所述防火墻插板進(jìn)行報(bào)文轉(zhuǎn)發(fā)包括對內(nèi)部網(wǎng)絡(luò)物理端口之間傳輸?shù)膱?bào)文進(jìn)行三層轉(zhuǎn)發(fā)�����。
4.如權(quán)利要求2所述具有防火墻功能的交換設(shè)備����,其特征在于���,所述交換單元轉(zhuǎn)發(fā)報(bào)文包括將內(nèi)部網(wǎng)絡(luò)物理端口發(fā)送到外部網(wǎng)絡(luò)物理端口的報(bào)文二層轉(zhuǎn)發(fā)至防火墻插板�����,以及將外部網(wǎng)絡(luò)物理端口發(fā)送到內(nèi)部網(wǎng)絡(luò)物理端口的報(bào)文三層轉(zhuǎn)發(fā)至防火墻插板����;所述防火墻插板進(jìn)行報(bào)文轉(zhuǎn)發(fā)包括對內(nèi)部網(wǎng)絡(luò)物理端口與外部網(wǎng)絡(luò)物理端口之間傳輸?shù)膱?bào)文進(jìn)行三層轉(zhuǎn)發(fā)�����。
5.如權(quán)利要求2所述具有防火墻功能的交換設(shè)備��,其特征在于����,所述交換單元轉(zhuǎn)發(fā)報(bào)文包括對外部網(wǎng)絡(luò)物理端口之間傳輸?shù)膱?bào)文進(jìn)行二層和三層轉(zhuǎn)發(fā)。
6.如權(quán)利要求2所述具有防火墻功能的交換設(shè)備��,其特征在于所述內(nèi)部網(wǎng)絡(luò)包括內(nèi)部網(wǎng)Intranet和隔離區(qū)DMZ���,Intranet和DMZ之間的傳輸報(bào)文通過防火墻插板進(jìn)行三層轉(zhuǎn)發(fā)���。
7.如權(quán)利要求1至6任意一項(xiàng)所述具有防火墻功能的交換設(shè)備,其特征在于���,所述交換設(shè)備還包括數(shù)據(jù)總線�,用來在接口單板之間進(jìn)行報(bào)文傳輸���。
8.如權(quán)利要求1所述具有防火墻功能的交換設(shè)備���,其特征在于,所述交換設(shè)備還包括主控板和控制總線�,主控板和防火墻插板分別與控制總線連接,用來通過主控板對防火墻插板進(jìn)行工作參數(shù)配置和工作狀態(tài)監(jiān)測����。
9.如權(quán)利要求1所述具有防火墻功能的交換設(shè)備,其特征在于所述防火墻插板與接口單板通過千兆介質(zhì)無關(guān)接口GMII連接�����。
10.一種具有防火墻功能的交換設(shè)備,其特征在于�����,包括交換單元和防火墻單元�,其中防火墻單元與交換單元連接,對來自交換單元的報(bào)文進(jìn)行安全處理�,以及將報(bào)文轉(zhuǎn)發(fā)至交換單元;交換單元用來轉(zhuǎn)發(fā)接收的報(bào)文���。
11.如權(quán)利要求10所述具有防火墻功能的交換設(shè)備���,其特征在于所述交換設(shè)備還包括第一網(wǎng)絡(luò)端口組和第二網(wǎng)絡(luò)端口組,分別用來連接第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)���;所述交換單元將第一網(wǎng)絡(luò)端口組與第二網(wǎng)絡(luò)端口組之間傳輸?shù)膱?bào)文轉(zhuǎn)發(fā)至防火墻單元。
12.如權(quán)利要求11所述具有防火墻功能的交換設(shè)備�����,其特征在于所述交換單元包括二層轉(zhuǎn)發(fā)模塊��,用來進(jìn)行報(bào)文的二層轉(zhuǎn)發(fā);所述防火墻單元包括防火墻轉(zhuǎn)發(fā)模塊���,用來通過二層轉(zhuǎn)發(fā)模塊與第一網(wǎng)絡(luò)端口組在二層連通�����,并對來自和去向第一網(wǎng)絡(luò)端口組的報(bào)文進(jìn)行三層轉(zhuǎn)發(fā)����。
13.如權(quán)利要求12所述具有防火墻功能的交換設(shè)備��,其特征在于�����,所述防火墻單元還包括安全處理模塊��,用來對從交換單元接收的報(bào)文進(jìn)行安全處理后發(fā)送至防火墻轉(zhuǎn)發(fā)模塊�;所述交換單元還包括三層轉(zhuǎn)發(fā)模塊,用來使防火墻模塊與第二網(wǎng)絡(luò)端口組在三層連通���。
14.如權(quán)利要求13所述具有防火墻功能的交換設(shè)備����,其特征在于,所述二層轉(zhuǎn)發(fā)模塊進(jìn)行報(bào)文的二層轉(zhuǎn)發(fā)包括對第一網(wǎng)絡(luò)端口組內(nèi)傳輸?shù)膱?bào)文和第二網(wǎng)絡(luò)端口組內(nèi)傳輸?shù)膱?bào)文進(jìn)行二層轉(zhuǎn)發(fā)���;所述第二網(wǎng)絡(luò)端口組內(nèi)傳輸?shù)膱?bào)文由三層轉(zhuǎn)發(fā)模塊進(jìn)行三層轉(zhuǎn)發(fā)����。
15.如權(quán)利要求11所述具有防火墻功能的交換設(shè)備��,其特征在于所述第一網(wǎng)絡(luò)包括內(nèi)部網(wǎng)Intranet和隔離區(qū)DMZ�,Intranet和DMZ通過防火墻單元在三層連通;所述第二網(wǎng)絡(luò)包括互聯(lián)網(wǎng)Internet���。
16.如權(quán)利要求11至15任意一項(xiàng)所述具有防火墻功能的交換設(shè)備�,其特征在于��,所述交換設(shè)備包括主控單元和防火墻控制單元��,其中防火墻控制單元用來對防火墻單元進(jìn)行工作參數(shù)配置和工作狀態(tài)監(jiān)測�����;主控單元用來提供對防火墻控制單元進(jìn)行工作參數(shù)配置和工作狀態(tài)顯示的通道����。
17.如權(quán)利要求16所述具有防火墻功能的交換設(shè)備,其特征在于����,所述主控單元為防火墻控制單元提供對外通道包括接收和顯示防火墻控制單元發(fā)送的工作狀態(tài)信息、將對防火墻單元的控制指令傳輸至防火墻控制單元和顯示防火墻控制單元返回的控制指令執(zhí)行結(jié)果�。
全文摘要
本發(fā)明公開了一種具有防火墻功能的交換設(shè)備,包括包括至少一個接口單板和至少一個防火墻插板���,其中防火墻插板接入接口單板�����,用來對從接口單板接收的報(bào)文進(jìn)行安全處理�����,并對報(bào)文進(jìn)行轉(zhuǎn)發(fā)��;接口單板用來進(jìn)行報(bào)文交換���。本發(fā)明可以直接在中高端交換設(shè)備上嵌入防火墻插板或單元,在交換設(shè)備上增加防火墻的功能���;并且可以根據(jù)實(shí)際應(yīng)用需求為多個物理端口配置一個或多個防火墻插板或單元��,滿足性能需求�����;還可以通過控制總線方便地實(shí)現(xiàn)對防火墻插板或單元的管理和配置����。
文檔編號H04L12/24GK1805410SQ20061000158
公開日2006年7月19日 申請日期2006年1月24日 優(yōu)先權(quán)日2006年1月24日
發(fā)明者王松波, 李明玉, 王愛農(nóng), 樂識非, 李穎和 申請人:杭州華為三康技術(shù)有限公司