CN100444582C - 具有防火墙功能的交换设备 - Google Patents
具有防火墙功能的交换设备 Download PDFInfo
- Publication number
- CN100444582C CN100444582C CNB2006100015854A CN200610001585A CN100444582C CN 100444582 C CN100444582 C CN 100444582C CN B2006100015854 A CNB2006100015854 A CN B2006100015854A CN 200610001585 A CN200610001585 A CN 200610001585A CN 100444582 C CN100444582 C CN 100444582C
- Authority
- CN
- China
- Prior art keywords
- firewall
- message
- network
- layers
- forwarding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种具有防火墙功能的交换设备,包括:包括至少一个接口单板和至少一个防火墙插板,其中防火墙插板接入接口单板,用来对从接口单板接收的报文进行安全处理,并对报文进行转发;接口单板用来进行报文交换。本发明可以直接在中高端交换设备上嵌入防火墙插板或单元,在交换设备上增加防火墙的功能;并且可以根据实际应用需求为多个物理端口配置一个或多个防火墙插板或单元,满足性能需求;还可以通过控制总线方便地实现对防火墙插板或单元的管理和配置。
Description
技术领域
本发明涉及网络通信和网络安全技术领域,尤其涉及一种具有防火墙功能的交换设备。
背景技术
随着网络规模的发展和应用领域的扩大,结构复杂、设备众多的网络的运营和维护成本越来越高。尤其在一些中、小型网络中,传统的功能单一的网络设备正在被集成多种功能的网络设备取代。
中国专利CN1556633A公开了一种集成防火墙的路由交换机,其结构如图1所示。路由交换机的防火墙模块由主控模块通过控制总线进行工作参数配置,并通过数据总线与交换模块交换数据。防火墙模块本身具有内网、DMZ(Demilitarized Zone,隔离区)和外网接口,或者也可以将交换模块的物理端口设置为内网、DMZ和外网接口。
这种技术方案将防火墙模块直接与交换机的总线连接,由于交换机的总线结构通常与防火墙设备不同,因而采用这种连接方式一般需要为防火墙模块单独设计与交换机总线的适配模块,实现复杂成本较高;同时,这种方式需要交换机背板预先设置接入防火墙模块和接入交换模块的接口,不能满足用户根据组网环境选择交换模块和防火墙模块的需求。
发明内容
本发明要解决的是现有技术中具有防火墙功能的交换机实现复杂和不能提供组网灵活性的问题。
本发明所述具有防火墙功能的交换设备包括至少一个接口单板和至少一个防火墙插板,其中:
防火墙插板通过通用接口接入接口单板,用来对从接口单板接收的报文进行安全处理,并对报文进行转发;
接口单板用来进行报文交换。
优选地,所述接口单板包括至少两个物理端口和交换单元,物理端口分别用来连接内部网络与外部网络;交换单元用来在物理端口之间、物理端口与防火墙插板之间转发报文,其中包括将内部网络物理端口与外部网络物理端口之间传输的报文转发至防火墙插板。
优选地,所述交换单元转发报文包括:对内部网络物理端口之间传输的报文进行二层转发,将需要三层转发的内部网络物理端口之间传输的报文发送至防火墙插板;
所述防火墙插板进行报文转发包括:对内部网络物理端口之间传输的报文进行三层转发。
优选地,所述交换单元转发报文包括:将内部网络物理端口发送到外部网络物理端口的报文二层转发至防火墙插板,以及将外部网络物理端口发送到内部网络物理端口的报文三层转发至防火墙插板;
所述防火墙插板进行报文转发包括:对内部网络物理端口与外部网络物理端口之间传输的报文进行三层转发。
优选地,所述交换单元转发报文包括:对外部网络物理端口之间传输的报文进行二层和三层转发。
优选地,所述内部网络包括内部网Intranet和隔离区DMZ,Intranet和DMZ之间的传输报文通过防火墙插板进行三层转发。
优选地,所述交换设备还包括数据总线,用来在接口单板之间进行报文传输。
优选地,所述交换设备还包括主控板和控制总线,主控板和防火墙插板分别与控制总线连接,用来通过主控板对防火墙插板进行工作参数配置和工作状态监测。
优选地,所述防火墙插板与接口单板通过千兆介质无关接口GMII连接。
本发明提供了另一种具有防火墙功能的交换设备,包括交换单元和防火墙单元,其中:
防火墙单元通过通用接口与交换单元连接,对来自交换单元的报文进行安全处理,以及将报文转发至交换单元;
交换单元用来转发接收的报文。
优选地,所述交换设备还包括第一网络端口组和第二网络端口组,分别用来连接第一网络和第二网络;
所述交换单元将第一网络端口组与第二网络端口组之间传输的报文转发至防火墙单元。
优选地,所述交换单元包括二层转发模块,用来进行报文的二层转发;
所述防火墙单元包括防火墙转发模块,用来通过二层转发模块与第一网络端口组在二层连通,并对来自和去向第一网络端口组的报文进行三层转发。
优选地,所述防火墙单元还包括安全处理模块,用来对从交换单元接收的报文进行安全处理后发送至防火墙转发模块;
所述交换单元还包括三层转发模块,用来使防火墙模块与第二网络端口组在三层连通。
优选地,所述二层转发模块进行报文的二层转发包括对第一网络端口组内传输的报文和第二网络端口组内传输的报文进行二层转发;
所述第二网络端口组内传输的报文由三层转发模块进行三层转发。
优选地,所述第一网络包括内部网Intranet和隔离区DMZ,Intranet和DMZ通过防火墙单元在三层连通;所述第二网络包括互联网Internet。
优选地,所述交换设备包括主控单元和防火墙控制单元,其中:
防火墙控制单元用来对防火墙单元进行工作参数配置和工作状态监测;
主控单元用来提供对防火墙控制单元进行工作参数配置和工作状态显示的通道。
优选地,所述主控单元为防火墙控制单元提供对外通道包括:接收和显示防火墙控制单元发送的工作状态信息、将对防火墙单元的控制指令传输至防火墙控制单元和显示防火墙控制单元返回的控制指令执行结果。
本发明将防火墙插板接入接口单板,采用通用接口即可实现防火墙插板与接口单板的硬件集成;同时防火墙插板通过接口单板对报文进行安全处理和转发,实现了防火墙功能与交换功能的集成。本发明中防火墙插板不需要匹配交换设备的总线结构,简化了硬件实现;并且可以在本发明所述交换设备的接口单板上根据具体应用环境的需要来接入防火墙插板,提供了良好的组网灵活性。
附图说明
图1为现有技术中集成防火墙的路由交换机结构示意图;
图2为本发明中具有防火墙功能的交换设备的物理结构示意图;
图3为本发明中具有防火墙功能的交换设备的逻辑结构示意图;
图4为本发明应用示例中各网络与交换单元、防火墙单元的三层连接示意图。
具体实施方式
在交换设备中的接口单板上,用来实现报文交换功能的转发芯片组通常具有通用接口,可以方便地实现与防火墙插板的连接。同时,通过对接口单板和防火墙插板的转发功能进行适当地配置,即可使交换设备具有防火墙的功能。
本发明所述具有防火墙功能的交换设备的实施例一具有图2所示的结构示意图。接口单板210通过数据总线240与接口单板230连接,接口单板210包括相互连接的交换单元211、物理端口212和213,接口单板230包括相互连接的交换单元231、物理端口232和233,交换单元211和231均连接至数据总线240。交换单元211通过通用接口与防火墙插板220连接。主控板260、接口单板210、接口单板230和防火墙插板220均连接至控制总线220。
不难理解,本发明中的交换设备可以不包括不与防火墙插板连接的接口单板230,也可以包括多个与防火墙插板连接的接口单板和多个不与防火墙插板连接的接口单板。同样,每个接口单板上的物理端口可以是1个到多个,而防火墙插板220可以提供1个到多个物理端口,也可以不带物理端口。
连接交换单元211与防火墙插板220的通用接口可以根据具体的硬件选型和所需的接口带宽确定,例如可以是GMII(Gigabit Medium IndependentInterface,千兆介质无关接口)接口形成的GE(Gigabit Ethernet,千兆以太网)捆绑链路。
主控板260通过控制总线250对接口单板210、230进行管理,所进行的管理操作与现有技术中相同,而用户对防火墙插板220的管理通过主控板260进行。用户通过主控板260向防火墙插板220发送控制指令,防火墙插板220通过主控板260向用户返回控制指令的执行结果,控制指令主要包括配置防火墙插板220的工作参数和监测其工作状态。主控板260可以是一个主控单板,也可以是互为备份的主控主板和主控备板。
接口单板210和230上的交换单元211和231可以包括接口单板控制CPU(Central Process Unit,中央处理器)和交换设备转发ASIC(ApplicationSpecific Integrated Circuit,专用集成电路),其中接口单板控制CPU和控制总线250连接,根据用户的控制指令设置交换设备转发ASIC的工作参数;交换设备转发ASIC与数据总线240连接,进行报文的转发工作。数据总线240在各个接口单板的交换单元之间传输报文。
接口单板230不连接防火墙插板,其工作方式与现有技术中的接口单板相同,即交换单元231根据物理端口232和233的设置与连接这两个物理端口的网络节点对报文进行二层或三层转发。
防火墙插板220从接口单板210接收报文,对接收的报文进行安全处理,将安全处理后的报文根据其目的地址进行转发。防火墙插板220仍将报文转发至接口单板210,由接口单板210将报文交换转发至其目的物理端口。
防火墙插板220对报文进行的安全处理可以包括下列各项及其组合:
根据过滤规则对报文进行过滤;
对报文进行会话处理,基于会话进行转发;
基于会话状态进行报文检测;
进行NAT(Network Address Translation,网络地址转换)转发;
对会话及其异常报文进行日志记录并将异常报文直接丢弃。
对防火墙插板220所进行的安全处理,本发明中采用与现有技术中相同的实现方式,此处不再赘述。
物理端口212、213、232、233可以根据需要分别与内部网络和外部网络相连接,其中内部网络和外部网络为需要防火墙来进行隔离,以为其中一个提供信息安全保护的两个网络。内部网络和外部网络分别包括至少一个二层网络,二层网络可以是一个子网或者VLAN(Virtual Local Area Network,虚拟局域网)。内部网络与外部网络通过交换单元211、231和防火墙插板220在三层连通。
交换单元211、231在各个物理端口之间、各个物理端口与防火墙插板220之间进行报文的二层或三层转发。对内部网络物理端口和外部网络物理端口之间交互的报文,交换单元211、231将其转发至防火墙插板220,以便进行报文的安全处理,通过防火墙插板220实现内部网络与外部网络隔离。
由于防火墙插板220具有三层转发功能,当交换单元211也具有三层转发功能时,根据报文的源地址和目的地址,有多种方法可以实现将内部网络物理端口和外部网络物理端口之间交互的报文转发至防火墙插板220,并将经防火墙插板220安全处理后的报文转发至正确的目的物理端口。例如,将防火墙插板220作为内部网络与外部网络之间转发路径上必经的一跳(hop),而其入口和出口为对应的交换单元即可。
本发明推荐采用如下方法实现报文的转发:以防火墙插板220作为内部网络中各个二层网络的网关,而防火墙插板220与外部网络之间的报文传输需要经过交换单元211或231的三层转发,以实现防火墙对内部网络的保护。
具体而言,对内部网络的二层网络内节点间交互的报文,由交换单元211或231完成二层转发,对外部网络的二层网络内节点间交换的报文也是如此;
对内部网络的二层网络间交互的报文,其三层转发由防火墙插板220进行,同时防火墙插板可以根据报文的源地址和目的地址配置为对报文进行不同的安全处理,也可以配置为不对报文进行安全处理而只做路由;对外部网络的二层网络间交互的报文,这些报文属于不需要经过安全处理的流量,由交换单元211或231直接进行三层转发;
对内部网络发往外部网络的报文,由交换单元211或231将该报文二层转发至防火墙插板220,防火墙插板220对其进行安全处理后将报文三层转发至对应的交换单元,由该交换单元将报文三层转发至外部网络;对外部网络发往内部网络的报文,其过程正好相反,由接收该报文的交换单元将其三层转发至防火墙插板220,防火墙插板220将进行安全处理后的该报文三层转发至与其目的物理端口连接的交换单元,由该交换单元将该报文二层转发至目的物理端口。
当内部网络包括Intranet(内部网)和DMZ时,Intranet和DMZ不属于同一个二层网络,这两个网络之间传输的报文需要由防火墙插板220进行三层转发。通常防火墙插板220需要对这两个网络间传输的报文进行一定程度的安全处理。
本发明所述具有防火墙功能的交换设备的实施例二具有图3所示的逻辑结构示意图。第一网络端口组330、第二网络端口组340和防火墙单元分别连接交换单元310;交换单元310包括二层转发模块311和三层转发模块312,均与第二网络端口组340连接,二层转发模块311与第一网络端口组330连接;防火墙单元320包括安全处理模块321和防火墙转发模块322,与二层转发模块311和三层转发模块312相互连接;主控单元350分别连接交换单元310和防火墙控制单元360,防火墙控制单元360连接至防火墙单元320。
第一网络端口组330用来连接需要防火墙单元320提供信息安全保护的第一网络,第一网络可能包括一个或一个以上的子网或VLAN,第一网络端口组330包括至少一个物理端口;第二网络端口组340用来连接需要防火墙单元320实现与第一网络隔离的第二网络,第二网络可能包括一个或一个以上的子网或VLAN,第二网络端口组330同样包括至少一个物理端口。
交换单元310进行第一网络端口组330和第二网络端口组340与防火墙单元320之间、第一网络端口组330内部、第二网络端口组340内部的报文转发,并且将第一网络端口组330和第二网络端口组340之间的交互报文转发至防火墙单元320。防火墙单元320从交换单元310接收报文,对报文进行安全处理,并将报文转发至交换单元310。
与实施例一中相同,以下为交换单元310和防火墙单元320实现报文转发的一种优选方式:
防火墙单元320通过二层转发模块311与第一网络端口组330在二层连通,即第一网络端口组330与防火墙单元320之间的交互报文由二层转发模块311进行二层转发;而防火墙单元320通过三层转发模块312与第二网络端口组340在三层连通,即第二网络端口组340与防火墙单元320之间的交互报文由三层转发模块312进行三层转发;
第一网络端口组330的三层转发由防火墙转发模块320进行,这样,第一网络端口组330与第二网络端口组340之间交互的报文需要通过防火墙单元320和三层转发模块312的两次三层转发才能到达目的网络。在第一网络端口组330与第二网络端口组340之间交互的报文达到防火墙单元320时,先由安全处理模块321进行安全处理后将报文输出至防火墙转发模块322,再由防火墙转发模块322进行三层转发;
当第一网络端口组330包括一个以上的子网和/或VLAN时,这些子网和/或VLAN之间交互的报文由二层转发模块311发送至防火墙单元320。如果设置为对这些子网和/或VLAN之间交互的报文进行安全处理,则先由安全处理模块321进行安全处理,再由防火墙转发模块322将该报文三层转发至目的子网或VLAN内,由二层转发模块311转发至目的端口;如果设置为对这些子网和/或VLAN之间交互的报文不进行安全处理,则直接由防火墙转发模块322将该报文三层转发至目的子网或VLAN内,由二层转发模块311转发至目的端口;
当第二网络端口组340包括一个以上的子网和/或VLAN时,这些子网和/或VLAN之间交互的报文由三层转发模块312直接进行三层转发至目的子网或VLAN内,由二层转发模块311转发至目的端口;
所有涉及第一网络端口组330和第二网络端口组340的二层转发均由二层转发模块311进行,包括第一网络端口组330和第二网络端口组340内部同一子网或VLAN内的报文转发。
当防火墙单元320用来保护企业内部网时,第一网络可能包括分属于不同子网或VLAN的Intranet和DMZ,第二网络可以是Internet;当防火墙单元用来保护Internet至某个企业内部网的出口时,第一网络可能包括Internet出口部分的各个子网或VLAN,而第二网络可能是某个企业的Intranet和DMZ。
防火墙控制单元360对防火墙单元320进行管理,主要包括工作参数配置和工作状态监测。主控单元350根据用户的控制指令对交换单元310进行管理,同时还向用户提供对防火墙控制单元360进行控制的通道。用户通过主控单元350向防火墙控制单元360发送对防火墙单元320的控制指令,防火墙控制单元360根据指令进行相应管理操作后,通过主控单元350向用户返回结果;用户还需要通过主控单元350显示防火墙控制单元360发送的工作状态信息。
本发明推荐的一种主控单元350和防火墙控制单元360的交互方式如下:
在交换设备加电启动后,防火墙控制单元360向主控单元350发出握手信号;
主控单元350收到握手信号,发出回应信号;
防火墙控制单元360收到回应信号,将防火墙单元320的硬件信息、版本信息和私有的IP地址等信息通知主控单元350;
主控单元350与防火墙控制单元360建立永久连接;
通过永久连接通道,每隔预定周期,防火墙控制单元360将工作状态信息通知主控单元350;工作状态信息中包括当前防火墙单元320的工作状态、版本信息、运行情况等,主控单元350可以随时向用户显示这些信息。
主控单元350将对防火墙单元320的控制指令通过永久连接通道发送给防火墙控制单元360;防火墙控制单元360将对控制指令的执行结果也通过该永久连接通道返回给主控单元350,然后显示给用户。
在本实施例中,可以根据需要配置多个交换单元和多个防火墙单元320,防火墙单元的数量可以少于交换单元的数量或与其相同。根据第一网络端口组330和第二网络端口组340的物理端口所连接的交换单元,可以通过对交换单元和防火墙单元与具体物理端口相关的配置来灵活实现具有防火墙功能的报文交换。
以下举例说明本发明实施例二中实现交换单元和防火墙单元报文转发优选方案的具体配置方法。具有防火墙功能的交换设备用来将Intranet和DMZ网络接入Internet,Intranet中包括VLAN 10、VLAN 20和VLAN 80,DMZ网络为VLAN 60,需要为VLAN 10、VLAN 20和DMZ网络的信息安全提供保护。对交换单元和防火墙单元进行如下配置:
1)登录到交换设备的命令行;
2)在交换设备的命令行中,对交换设备的4个物理端口进行VLAN配置;这四个物理端口可以在交换设备的同一块接口单板上,也可以分布到交换设备的不同接口单板上;
3)将与DMZ网络、Intranet的VLAN 20、VLAN 80和VLAN 10连接的四个物理端口分别配置成:VLAN 60、VLAN 20、VLAN 80和VLAN 10;
4)敲入命令:firewall;
5)命令行自动登录到firewall中;在firewall模块的命令行提示符下,在防火墙单元和交换单元相连接的两个GE端口上配置VLAN 30;设本例中防火墙单元通过两个捆绑的GE端口连接至交换单元;
6)然后将VLAN 10、VLAN 20、VLAN 60、VLAN 80分别采用attach命令和VLAN 30进行绑定;这条命令通知防火墙单元交换设备的外围接口VLAN 60、VLAN 80、VLAN 10、VLAN 20已经和防火墙单元连接起来,到达VLAN 10、VLAN 20、VLAN 80和VLAN 60的报文需要经过路由到达VLAN 30,然后进入防火墙单元进行处理。
经上述配置后,各个网络与交换单元和防火墙单元的三层连接如图4所示。Intranet的VLAN 10、VLAN 20和DMZ网络的VLAN 60由防火墙单元三层连接,防火墙单元通过VLAN 30与交换单元连接,Internet和VLAN 80通过交换单元三层连接至防火墙单元。
对VLAN 10或VLAN 20发往Internet的报文,由源节点将报文发送至防火墙单元,经过防火墙单元检测过滤、地址转换后,三层转发至交换单元;交换单元将报文三层转发至Internet。
对从Internet返回的报文,由于防火墙单元进行了地址转换,报文的目的地址为防火墙的地址池地址,因而交换单元将报文三层转发至防火墙单元;防火墙单元对报文进行检测过滤、地址转换后,将报文三层转发至Intranet节点。
对VLAN 10或VLAN 20访问DMZ网络即VLAN 60的报文,由源节点将报文发送至防火墙单元,防火墙单元对报文进行检测和会话状态记录后,将报文三层转发至VLAN 60。返回的报文转发过程类似。
对VLAN 80访问DMZ网络的报文,由源节点将报文发送至交换单元,交换单元将报文三层转发至防火墙单元,防火墙单元对报文进行检测和会话状态记录后,将报文三层转发至DMZ网络。返回的报文转发过程类似。
通过本发明,可以直接在中高端交换设备上嵌入防火墙插板或单元,在交换设备上增加防火墙的功能;同时可以根据实际应用需求为多个物理端口配置一个或多个防火墙插板或单元,满足性能需求;还可以通过控制总线方便地实现对防火墙插板或单元的管理和配置。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
Claims (17)
1.一种具有防火墙功能的交换设备,其特征在于,包括至少一个接口单板和至少一个防火墙插板,其中:
防火墙插板通过通用接口接入接口单板,用来对从接口单板接收的报文进行安全处理,并对报文进行转发;
接口单板用来进行报文交换。
2.如权利要求1所述具有防火墙功能的交换设备,其特征在于:所述接口单板包括至少两个物理端口和交换单元,物理端口分别用来连接内部网络与外部网络;交换单元用来在物理端口之间、物理端口与防火墙插板之间转发报文,其中包括将内部网络物理端口与外部网络物理端口之间传输的报文转发至防火墙插板。
3.如权利要求2所述具有防火墙功能的交换设备,其特征在于,所述交换单元转发报文包括:对内部网络物理端口之间传输的报文进行二层转发,将需要三层转发的内部网络物理端口之间传输的报文发送至防火墙插板;
所述防火墙插板进行报文转发包括:对内部网络物理端口之间传输的报文进行三层转发。
4.如权利要求2所述具有防火墙功能的交换设备,其特征在于,所述交换单元转发报文包括:将内部网络物理端口发送到外部网络物理端口的报文二层转发至防火墙插板,以及将外部网络物理端口发送到内部网络物理端口的报文三层转发至防火墙插板;
所述防火墙插板进行报文转发包括:对内部网络物理端口与外部网络物理端口之间传输的报文进行三层转发。
5.如权利要求2所述具有防火墙功能的交换设备,其特征在于,所述交换单元转发报文包括:对外部网络物理端口之间传输的报文进行二层和三层转发。
6.如权利要求2所述具有防火墙功能的交换设备,其特征在于:所述内部网络包括内部网Intranet和隔离区DMZ,Intranet和DMZ之间的传输报文通过防火墙插板进行三层转发。
7.如权利要求1至6任意一项所述具有防火墙功能的交换设备,其特征在于,所述交换设备还包括数据总线,用来在接口单板之间进行报文传输。
8.如权利要求1所述具有防火墙功能的交换设备,其特征在于,所述交换设备还包括主控板和控制总线,主控板和防火墙插板分别与控制总线连接,用来通过主控板对防火墙插板进行工作参数配置和工作状态监测。
9.如权利要求1所述具有防火墙功能的交换设备,其特征在于:所述防火墙插板与接口单板通过千兆介质无关接口GMII连接。
10.一种具有防火墙功能的交换设备,其特征在于,包括交换单元和防火墙单元,其中:
防火墙单元通过通用接口与交换单元连接,对来自交换单元的报文进行安全处理,以及将报文转发至交换单元;
交换单元用来转发接收的报文。
11.如权利要求10所述具有防火墙功能的交换设备,其特征在于:所述交换设备还包括第一网络端口组和第二网络端口组,分别用来连接第一网络和第二网络;
所述交换单元将第一网络端口组与第二网络端口组之间传输的报文转发至防火墙单元。
12.如权利要求11所述具有防火墙功能的交换设备,其特征在于:所述交换单元包括二层转发模块,用来进行报文的二层转发;
所述防火墙单元包括防火墙转发模块,用来通过二层转发模块与第一网络端口组在二层连通,并对来自和去向第一网络端口组的报文进行三层转发。
13.如权利要求12所述具有防火墙功能的交换设备,其特征在于,所述防火墙单元还包括安全处理模块,用来对从交换单元接收的报文进行安全处理后发送至防火墙转发模块;
所述交换单元还包括三层转发模块,用来使防火墙模块与第二网络端口组在三层连通。
14.如权利要求13所述具有防火墙功能的交换设备,其特征在于,所述二层转发模块进行报文的二层转发包括对第一网络端口组内传输的报文和第二网络端口组内传输的报文进行二层转发;
所述第二网络端口组内传输的报文由三层转发模块进行三层转发。
15.如权利要求11所述具有防火墙功能的交换设备,其特征在于:所述第一网络包括内部网Intranet和隔离区DMZ,Intranet和DMZ通过防火墙单元在三层连通;所述第二网络包括互联网Internet。
16.如权利要求11至15任意一项所述具有防火墙功能的交换设备,其特征在于,所述交换设备包括主控单元和防火墙控制单元,其中:
防火墙控制单元用来对防火墙单元进行工作参数配置和工作状态监测;
主控单元用来提供对防火墙控制单元进行工作参数配置和工作状态显示的通道。
17.如权利要求16所述具有防火墙功能的交换设备,其特征在于,所述主控单元为防火墙控制单元提供对外通道包括:接收和显示防火墙控制单元发送的工作状态信息、将对防火墙单元的控制指令传输至防火墙控制单元和显示防火墙控制单元返回的控制指令执行结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100015854A CN100444582C (zh) | 2006-01-24 | 2006-01-24 | 具有防火墙功能的交换设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100015854A CN100444582C (zh) | 2006-01-24 | 2006-01-24 | 具有防火墙功能的交换设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1805410A CN1805410A (zh) | 2006-07-19 |
| CN100444582C true CN100444582C (zh) | 2008-12-17 |
Family
ID=36867250
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100015854A Active CN100444582C (zh) | 2006-01-24 | 2006-01-24 | 具有防火墙功能的交换设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100444582C (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2045958A4 (en) * | 2006-10-17 | 2012-02-15 | Hangzhou H3C Tech Co Ltd | SYSTEM FOR IMPLEMENTING THE INTEGRATION OF DIFFERENT COMPONENTS, NETWORK TRANSFER COMPONENTS AND INDEPENDENT APPLICATION COMPONENTS |
| CN101420371B (zh) * | 2008-07-03 | 2010-12-01 | 江苏华丽网络工程有限公司 | Asic融合网络设备的一种动态功能支持方法及系统 |
| EP2464059A1 (de) * | 2010-11-19 | 2012-06-13 | Siemens Aktiengesellschaft | Schalt-Netzknoten für ein Kommunikationsnetzwerk mit integrierten Sicherheitskomponenten |
| CN106131020B (zh) * | 2016-07-17 | 2020-05-01 | 合肥赑歌数据科技有限公司 | 一种防火墙虚拟化的模块以及管理方法 |
| CN106603523A (zh) * | 2016-12-09 | 2017-04-26 | 北京东土军悦科技有限公司 | 一种报文转发方法及网络交换设备 |
| CN113079183B (zh) * | 2021-04-25 | 2022-09-06 | 安徽科大擎天科技有限公司 | 一种分布式防火墙的板间通信系统及其通信方法 |
| CN113890791A (zh) * | 2021-09-17 | 2022-01-04 | 华能伊敏煤电有限责任公司 | 一种基于露天煤矿的多网络融合方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1075695C (zh) * | 1996-09-02 | 2001-11-28 | 北京天融信网络安全技术有限公司 | 防火墙系统及其控制方法 |
| US20030097431A1 (en) * | 2001-09-29 | 2003-05-22 | Dill Russell J. | Ethernet firewall multi-access appliance |
| CN1556633A (zh) * | 2003-12-30 | 2004-12-22 | 港湾网络有限公司 | 集成防火墙的路由交换机 |
| WO2005053269A1 (en) * | 2003-11-24 | 2005-06-09 | Cisco Technology, Inc. | Dual mode firewall |
-
2006
- 2006-01-24 CN CNB2006100015854A patent/CN100444582C/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1075695C (zh) * | 1996-09-02 | 2001-11-28 | 北京天融信网络安全技术有限公司 | 防火墙系统及其控制方法 |
| US20030097431A1 (en) * | 2001-09-29 | 2003-05-22 | Dill Russell J. | Ethernet firewall multi-access appliance |
| WO2005053269A1 (en) * | 2003-11-24 | 2005-06-09 | Cisco Technology, Inc. | Dual mode firewall |
| CN1556633A (zh) * | 2003-12-30 | 2004-12-22 | 港湾网络有限公司 | 集成防火墙的路由交换机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1805410A (zh) | 2006-07-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11070619B2 (en) | Routing messages between cloud service providers | |
| CN102150399B (zh) | 减少桥接网络中的泛洪 | |
| CN100444582C (zh) | 具有防火墙功能的交换设备 | |
| CN105827623B (zh) | 数据中心系统 | |
| CN101841451B (zh) | 一种云主机基于虚拟局域网的限速方法和系统 | |
| CA2562013C (en) | Distributed forwarding in virtual network devices | |
| US5684796A (en) | Method and apparatus for determining and maintaining agent topology information in a multi-segment network | |
| CN103765833B (zh) | 用于无限带宽织状结构中的启用gid的交换的方法及装置 | |
| CN101283550B (zh) | 具有虚拟端口的数据通信系统和方法 | |
| CN101160909B (zh) | 一种在弹性分组环上实现虚拟路由冗余协议的方法及系统 | |
| FI128272B (en) | Redundancy in the process control system | |
| CN101702679B (zh) | 基于虚拟局域网的报文处理方法及交换设备 | |
| CN101764709A (zh) | 基于snmp的网络物理拓扑发现方法及网管服务器 | |
| CN1981268A (zh) | 用于域间通信的虚拟广播网络 | |
| CN101848186B (zh) | 一种塑料光纤三层以太网交换机 | |
| WO2001039438A9 (en) | Network architecture and call processing system | |
| US20110299551A1 (en) | Method and Apparatus for Transferring Data Packets Between a First Network and a Second Network | |
| CN100563205C (zh) | 隔离用户虚拟局域网的实现方法及其应用的网络设备 | |
| WO2020011216A1 (zh) | 传输报文的方法、装置、设备及存储介质 | |
| CN100359875C (zh) | 在地址解析协议代理上实现负载均摊的方法 | |
| WO2012162953A1 (zh) | 一种路由器集群的板间通信方法、路由器和路由器集群 | |
| WO2013161409A1 (ja) | レイヤ2接続装置、通信システム、及び通信方法 | |
| CN101127770A (zh) | 在地址解析协议代理上实现备份的方法 | |
| CN102238163B (zh) | 面向ip电信网的多协议报文传输方法 | |
| JP5169988B2 (ja) | ネットワーク装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180929 Address after: 230088 innovation Avenue, hi tech Zone, Hefei, Anhui Patentee after: Xinhua three information Safe Technology Ltd Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: Xinhua three Technology Co., Ltd. |
|
| TR01 | Transfer of patent right |