一種采用具有防火墻功能的交換機(jī)的網(wǎng)絡(luò)安全防護(hù)裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本實(shí)用新型涉及一種采用具有防火墻功能的交換機(jī)的網(wǎng)絡(luò)安全防護(hù)裝置。
【背景技術(shù)】
[0002]計(jì)算機(jī)網(wǎng)絡(luò)是信息社會的基礎(chǔ),己經(jīng)進(jìn)入社會的各個(gè)角落。但網(wǎng)絡(luò)本身的開放性、無界性等等特性,在給工作、學(xué)習(xí)、生活帶來巨大便利的同時(shí),也帶來了一些不容忽視的問題,網(wǎng)絡(luò)安全就是其中最為顯著的問題之一。
[0003]網(wǎng)絡(luò)安全防護(hù)是一種網(wǎng)絡(luò)安全技術(shù),指致力于解決諸如如何有效進(jìn)行介入控制,以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段,主要包括物理安全分析技術(shù),網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù),裝置安全分析技術(shù),管理安全分析技術(shù),及其它的安全服務(wù)和安全機(jī)制策略。
[0004]防火墻一般包括中央處理器、橋芯片、網(wǎng)卡芯片等,根據(jù)網(wǎng)卡芯片的速率的不同來確定該防火墻的端口速率,由于中央處理器的PCI總線標(biāo)準(zhǔn)的限制,所以網(wǎng)卡芯片的數(shù)量有限,造成其端口數(shù)量的有限。
【實(shí)用新型內(nèi)容】
[0005]本實(shí)用新型的目的在于克服現(xiàn)有技術(shù)的不足,提供一種采用具有防火墻功能的交換機(jī)的網(wǎng)絡(luò)安全防護(hù)裝置,采用雙鏈路結(jié)構(gòu)提高安全性能,同時(shí)采用交換機(jī)與防火墻一體設(shè)計(jì)架構(gòu)。
[0006]本實(shí)用新型的目的是通過以下技術(shù)方案來實(shí)現(xiàn)的:一種采用具有防火墻功能的交換機(jī)的網(wǎng)絡(luò)安全防護(hù)裝置,包括第一核心交換機(jī)、第二核心交換機(jī)和DMZ區(qū);所述的DMZ區(qū)包括第一光纖交換機(jī)、第二光纖交換機(jī)、服務(wù)器組和數(shù)據(jù)庫組;所述的第一核心交換機(jī)和第二核心交換機(jī)均與外網(wǎng)連接,第一核心交換機(jī)還分別與第一光纖交換機(jī)和第二光纖交換機(jī)連接,第二核心交換機(jī)還分別與第一光纖交換機(jī)和第二光纖交換機(jī)連接,第一光纖交換機(jī)分別與數(shù)據(jù)庫組和服務(wù)器組連接,第二光纖交換機(jī)也分別與數(shù)據(jù)庫組和服務(wù)器組連接,所述的第一核心交換機(jī)和第二核心交換機(jī)為具有防火墻功能的交換機(jī),包括中央處理器、橋芯片、網(wǎng)卡芯片、交換芯片、PHY芯片和背板,所述交換芯片通過XLAUI接口連接網(wǎng)卡芯片,所述交換芯片通過PCI接口連接橋芯片,所述交換芯片連接多個(gè)千兆光接口,所述交換芯片通過SGMII接口連接背板,所述交換芯片通過XLAUI接口連接PHY芯片,所述PHY芯片連接多個(gè)萬兆光接口;通過千兆光接口 /萬兆光接口分別與第一防火墻、第二防火墻和外網(wǎng)連接。
[0007]所述背板設(shè)置有12個(gè)萬兆光接口。
[0008]所述中央處理器采用RMI芯片。
[0009]所述交換芯片采用BCM56514。
[0010]所述PHY芯片采用AC524。
[0011]—種采用具有防火墻功能的交換機(jī)的網(wǎng)絡(luò)安全防護(hù)裝置還包括一個(gè)WAF設(shè)備,所述的WAF設(shè)備包括四個(gè)接口;其中,第一接口與第一核心交換機(jī)連接,第二接口與第二核心交換機(jī)連接,第三接口與第一光纖交換機(jī)連接,第四接口與第二光纖交換機(jī)。
[0012]—種采用具有防火墻功能的交換機(jī)的網(wǎng)絡(luò)安全防護(hù)裝置還包括一個(gè)流量控制設(shè)備,所述的流量控制設(shè)備分別與第一核心交換機(jī)和第二核心交換機(jī)連接。
[0013]本實(shí)用新型的有益效果是:
[0014](1)在數(shù)據(jù)向服務(wù)器或者數(shù)據(jù)庫的發(fā)送過程中,數(shù)據(jù)通過核心交換機(jī)進(jìn)入,然后再墻和光纖交換機(jī)進(jìn)入服務(wù)器組和數(shù)據(jù)庫組。核心交換機(jī)和光纖交換機(jī)均采用雙鏈路結(jié)構(gòu),當(dāng)其中一個(gè)設(shè)備損壞,不會影響整個(gè)裝置的運(yùn)行。比如,當(dāng)?shù)谝缓诵慕粨Q機(jī)損壞,數(shù)據(jù)就通過第二核心交換機(jī)進(jìn)行傳輸,光纖交換機(jī)同理。
[0015](2)核心交換機(jī)型采用交換機(jī)與防火墻一體設(shè)計(jì)架構(gòu),中央處理器采用高性能的RMI芯片,提供兩個(gè)萬兆光接口、八個(gè)千兆光接口,網(wǎng)絡(luò)部署簡明,提高了設(shè)備的利用率。
【附圖說明】
[0016]圖1為本實(shí)用新型結(jié)構(gòu)框圖;
[0017]圖2為核心交換機(jī)模塊框圖。
【具體實(shí)施方式】
[0018]下面結(jié)合附圖進(jìn)一步詳細(xì)描述本實(shí)用新型的技術(shù)方案,但本實(shí)用新型的保護(hù)范圍不局限于以下所述。
[0019]如圖1所示,一種采用具有防火墻功能的交換機(jī)的網(wǎng)絡(luò)安全防護(hù)裝置,包括第一核心交換機(jī)、第二核心交換機(jī)和DMZ區(qū);所述的DMZ區(qū)包括第一光纖交換機(jī)、第二光纖交換機(jī)、服務(wù)器組和數(shù)據(jù)庫組;所述的第一核心交換機(jī)和第二核心交換機(jī)均與外網(wǎng)連接,第一核心交換機(jī)還分別與第一光纖交換機(jī)和第二光纖交換機(jī)連接,第二核心交換機(jī)還分別與第一光纖交換機(jī)和第二光纖交換機(jī)連接,第一光纖交換機(jī)分別與數(shù)據(jù)庫組和服務(wù)器組連接,第二光纖交換機(jī)也分別與數(shù)據(jù)庫組和服務(wù)器組連接;通過千兆光接口 /萬兆光接口分別與第一防火墻、第二防火墻和外網(wǎng)連接。
[0020]在數(shù)據(jù)向服務(wù)器或者數(shù)據(jù)庫的發(fā)送過程中,數(shù)據(jù)通過核心交換機(jī)進(jìn)入,然后再通過光纖交換機(jī)進(jìn)入服務(wù)器組和數(shù)據(jù)庫組。核心交換機(jī)和光纖交換機(jī)均采用雙鏈路結(jié)構(gòu),當(dāng)其中一個(gè)設(shè)備損壞,不會影響整個(gè)裝置的運(yùn)行。比如,當(dāng)?shù)谝缓诵慕粨Q機(jī)損壞,數(shù)據(jù)就通過第二核心交換機(jī)進(jìn)行傳輸,光纖交換機(jī)同理。
[0021 ]數(shù)據(jù)向外發(fā)送的過程也相同。
[0022]光纖交換機(jī)采用華為SNS2248,服務(wù)器組為華為RH5885V3服務(wù)器,數(shù)據(jù)庫組為0CEANST0R 18800。均為現(xiàn)有設(shè)備,不需要對其軟件進(jìn)行改進(jìn)。
[0023]DMZ是英文“demilitarized zone”的縮寫,中文名稱為“隔離區(qū)”,也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題,而設(shè)立的一個(gè)非安全裝置與安全裝置之間的緩沖區(qū),這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi),在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施,如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面,通過這樣一個(gè)DMZ區(qū)域,更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò),因?yàn)檫@種網(wǎng)絡(luò)部署,比起一般的防火墻方案,對攻擊者來說又多了一道關(guān)卡。
[0024]如圖2所示,所述的第一核心交換機(jī)和第二核心交換機(jī)為具有防火墻功能的交換機(jī),包括中央處理器、橋芯片、網(wǎng)卡芯片、交換芯片、PHY芯片和背板。在本實(shí)施例中,橋芯片采用的PCH(Platform Controller Hub,集成南橋),PCH是一個(gè)intel公司的集成南橋,其芯片具有原來的ICH(Input/Output Controller Hub,輸入輸出控制中心)的全部功能,又具有MCH芯片(Memory Controller Hub,內(nèi)存控制中心)的管理引擎功能。中央處理器通過總線連接橋芯片,中央處理器通過PCI接口(Peripheral Component I