CN109561071A - 一种数据流量控制的外接式终端防护设备及防护系统 - Google Patents

Abstract

本发明公开一种数据流量控制的外接式终端防护设备及相应的防护系统，其中所述外接式终端防护设备包括：接口控制模块，用于提供多个数据接口，分别连接被保护主机及一个或多个外部设备；系统控制模块，用于实时监测所述接口控制模块中各个数据接口的数据传输状态，并对各个数据接口的数据进行流量控制。本发明无需在被保护主机上安装流量监控和安全防护软件即可达到对各类型的数据流量进行协议过滤和审计的功能，进而实现低延迟网络审计与高可靠性协议过滤的效果，全面解决了由各个接口可能产生的病毒木马植入以及流量异常等安全隐患。

Description

一种数据流量控制的外接式终端防护设备及防护系统

技术领域

本发明属于计算机安全技术领域，尤其涉及一种数据流量控制的外接式终端防护设备及相应的防护系统。

背景技术

近些年，计算机及网络技术获得高速发展，从而大大促进了网络的普及，当人们日益享受这网络流量带来的便利的同时，也为生产/生活中人们所使用的计算机中的数据流量安全带来了新的威胁，例如常见的有流量攻击、黑客窃取、非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒和中间人窃听等等。

解决内网计算机网络流量管控和信息安全问题的技术手段已有很多，例如在主机中安装和使用流量控制软件、防火墙、防病毒、入侵检测系统等网络安全产品，但采取上述措施后各种网络安全事件仍频频发生。据统计，计算机犯罪的70％是由内部人员非法使用主机等关键资源造成的，真正来自外部的威胁只有30％，内部人员在使用主机时缺乏安全意识，又位于防火墙后端，接入各种外部设备不规范，被植入木马后门，从而导致数据流量异常甚至网络瘫痪，以及系统的误操作或者蓄意的破坏，都会对机关、企事业单位等造成恶劣的影响甚至重大损失。

同时，对于某些特殊设备，如配备有特殊软件控制的主机，某些工业领域的工程师站/工作员站的设备，这些主机/设备往往由于系统特殊性，市面上没有此类系统适配的网络流量控制软件和安全防护软件，或是由于安装流量控制软件或安全类软件容易导致主机原有软件出现兼容性问题，甚至性能受到影响。另外这些工程师站/工作员站的主机上线后基本不会对操作系统进行升级，即使安装流量监控及安全类软件后也往往不及时更新防恶意代码软件版本和恶意代码库，起不到全面的流量控制、网络数据过滤/审计和安全防护作用。

发明内容

基于此，本发明提供一种解决上述问题的一种用于数据流量控制的外接式终端防护设备及防护系统，以实现对被保护主机的各个接口的接管，确保使用被保护主机的USB接口或串口设备必须通过外接式终端防护设备完成，从而无需在被保护主机上安装安全防护软件即可到达对被保护主机USB接口或串口进行防护的目的。

第一方面，本申请提供一种用于数据流量控制的外接式终端防护设备，其包括：接口控制模块，用于提供多个数据接口分别连接被保护主机及一个或多个外部设备；系统控制板，用于实时监测所述接口控制模块中各个数据接口的数据传输状态，并对各个数据接口的数据进行流量控制。

可选地，所述用于数据流量控制的外接式终端防护设备其外接于所述被保护主机上，并将所述接口控制模块与被保护主机的各个数据接口按照类型对应连接。

可选地，所述接口控制模块的多个数据接口进一步包括对内接口、对外接口，以及转发接口；所述对内接口用于与被保护主机的各个数据接口按照接口类型对应连接；所述对外接口用于接入一个或多个外部设备，所述外部设备适于通过所述外接式终端防护设备与被保护主机进行数据交互；所述转发接口用于将各接口类型的数据流量转发给所述系统控制模块。

可选地，所述接口控制模块中进一步包含硬件控制逻辑，用于实现接口控制模块内部各个接口之间物理线路的通断。

可选地，所述系统控制模块进一步包括对外部设备的安全鉴权，以确认所述外部设备是否为许可接入设备。

可选地，当所述系统控制模块对外部设备的安全鉴权后，确认所述外部设备不是许可接入设备时，通过总线通知接口控制模块禁止所述外部设备的数据传输；所述接口控制模块中的硬件控制逻辑保持断开所述外部设备接入的对外接口与转发接口的物理线路的状态，从而对所述外部设备接入后的数据传输进行过滤禁止。

可选地，当所述系统控制模块对外部设备的安全鉴权后，确认所述外部设备为许可接入设备时，通过总线通知接口控制模块允许所述外部设备的数据传输；所述接口控制模块中的硬件控制逻辑连通所述外部设备接入的对外接口与转发接口的物理线路。

可选地，所述数据接口进一步包括一个或多个网络接口；所述接口控制模块中进一步包含交换芯片，用于获取各个网络接口的寄存器状态，设置接口控制模块的工作模式；所述系统控制模块监测所述交换芯片中网络接口寄存器状态，从而实时获得接口控制模块中各网络接口的连接状态。

可选地，当所述系统控制模块监测到存在一个或多个网络接口的连接状态发生变化时，对相应网络接口状态变化发出告警提示。

可选地，所述系统控制模块通过所述交换芯片设置接口控制模块为流量镜像模式，通过所述接口控制模块中的转发接口，对所述接口控制模块中的对内接口和/或对外接口做流量镜像。

可选地，所述系统控制模块通过所述交换芯片设置接口控制模块为网络协议过滤模式，通过所述接口控制模块中的转发接口，对所述接口控制模块中的对内接口和对外接口之间的数据流量做网络协议过滤。

可选地，所述系统控制模块进一步设定有安全策略，对通过所述接口控制模块接入的外部设备传输进来的数据进行安全性检测；所述接口控制模块将通过安全策略过滤后的数据流量转发给所述被保护主机。

可选地，所述系统控制模块可以是基于ARM或x86的控制模块。

第二方面，本申请提供一种用于数据流量控制的防护系统，包括：

一个或多个外部设备，所述外部设备适于通过所述外接式终端防护设备与被保护主机进行数据交互；

被保护主机；以及

如上所述的外接式终端防护设备，

其中，所述外接式终端防护设备外接于所述被保护主机上，使得所述一个或多个外部设备通过所述外接式终端防护设备与所述被保护主机进行接口通信。

通过本发明上述技术方案，至少具有如下一种或多种技术效果：可以实现对被保护主机各个数据接口的接管，确保使用被保护主机各个接口的数据通信都通过外接式的终端完成，从而无需在被保护主机上安装流量监控和安全防护软件即可达到对被保护主机各个类型的数据流量进行协议过滤和审计的功能，进而实现低延迟网络审计与高可靠性协议过滤的效果，同时进一步起到安全防护的目的，并且极大降低了整体系统的网络安全风险，全面解决了由各个接口可能产生的病毒木马植入以及流量异常等安全隐患。

附图说明

图1为本发明涉及的用于数据流量控制的防护系统的应用场景；

图2为本发明涉及的外接式终端防护设备内部构造示意图；

图3为本发明涉及的外接式终端防护设备的USB数据流量控制的实施例；

图4为本发明涉及的外接式终端防护设备的串口数据流量控制的实施例；

图5为本发明涉及的外接式终端防护设备的网络数据流量控制实施例；

图6为本发明涉及的用于数据流量控制的防护系统的网络部署实施例。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

本发明提出的数据流量控制的外接式终端防护设备包括接口控制模块和系统控制模块。接口控制模块用于提供多个数据接口分别连接被保护主机及一个或多个外部设备。系统控制模块，用于实时监测所述接口控制模块中各个数据接口的数据传输状态，并对各个数据接口的数据进行流量控制。可见，本发明提供了一种硬件方式的终端防护设备，无需在被保护主机上安装流量监控和安全防护软件即可达到对各类型的数据流量进行协议过滤和审计的功能，进而实现低延迟网络审计与高可靠性协议过滤的效果，全面解决了由各个接口可能产生的病毒木马植入以及流量异常等安全隐患。

需要注意的是，本发明中所称的“模块”为硬件模块，即由电路、数据处理装置、存储器、缓存器等有形电子元件构成的硬件模块。本发明中的接口控制模块和系统控制模块可以是物理上或功能上独立的元件组合，也可以是物理上或功能上整合在一起的整体元件组合。例如，作为一种实施方式，接口控制模块由接口控制板构成，系统控制模块由系统控制板构成，接口控制板和系统控制板均为集成有电子元件的电路板，二者之间通过总线连接。而在其他的实施方式中，接口控制模块和系统控制模块亦可以集成在一个电路板上。因此，本发明的关键在于接口控制模块和系统控制模块之间的控制关系，但不限于组成各自模块的电子元件在空间上或物理连接上的组合方式。

实施例

图1所示为本发明涉及的数据流量控制的防护系统的一个实施例的应用场景。

如图1所示，为了对被保护主机的各个数据流量进行控制，需要对被保护主机各个接口进行接管，由此本发明的外接式终端防护设备上设置有与被保护主机各个接口类型对应的对内接口，同时另外还提供类型相应的对外接口，各对内接口用于连接被保护主机，对外接口用于连接需要与被保护主机进行数据交互的外部设备。所述终端防护设备外接于被保护主机上，将需要防护的被保护主机上各个接口(如USB口的UC1、UC2，COM口的CC0、网口EC0)通过各种类型的连接线连接到自身对应类型的对内接口上，比如将被保护主机的接口UC1与UC2分别连接到外接式终端防护设备的对内USB口UA4和UA3上，将串口CC0连接到对内串口CA2上，网口EC0连接到对内网口EA2上。而各种外部设备(U盘、光驱、串口连接设备等)全部接到所述外接式终端防护设备上各外部接口上，通过外接式终端防护设备才能与被保护主机进行数据通信，从而实现外部设备与被保护主机之间数据流量的控制，比如外部U盘设备通过所述外接式终端防护设备的对外接口UA1接入，USB光驱通过对外接口UA2接入，串口连接设备通过对外接口CA1接入。U盘、USB光驱以及串口连接设备这些外部设备需要与被保护主机进行数据通信，都不能直接接入到被保护主机上，必须通过所述外接式终端防护设备相应的对外接口转接通信。

这样，经由外部设备传输的数据，需要首先经过外接式终端防护设备的数据流量控制，从而可以对数据传输进行协议过滤、流量镜像、流量审计及安全性检测等控制。

图2所示为本发明的外接式终端防护设备内部构造的实施例。

该实施例中，所述外接式终端防护设备主要由接口控制板A和系统控制板B构成，接口控制板A支持USB、串口及网络通信，其与系统控制板B之间通过控制连接线E连接(例如总线)，用于控制接口控制板A上各个接口，比如USB接口、串口及网口的不同工作模式，进而实现对各种外部设备的接入进行安全控制的功能。系统控制板A可实现对各个接口的工作模式控制，工作模式包括可用、不可用、网络协议过滤、流量镜像或流量审计等，但本发明不限于具体的工作模式控制类型。系统控制板B可通过I2C或SPI接口与接口控制板A相连，但本发明不限于此类具体的控制连接接口。接口控制板通过各个类型的转发接口(数据连接F中的串口、网口、USB等)将对外接口和对内接口中传输的数据流量转发给系统控制板。

所述外接式终端防护设备中的接口控制板还可接入内部存储器，如图2中硬件存储D，用于转存所述接口控制板上各接口间交换的数据。

当有外部设备通过接口控制板上各种类型的对外接口接入时，系统控制板按照设定的安全策略对接口控制板上不同类型的接口进行安全鉴权，以确认所述外部设备是否为许可接入设备。

在此实施例中，外接式终端防护设备所实现的的安全功能包括但不限于，管理员预先对外接式终端防护设备进行权限设置和安全策略设定；安全策略包括但不限于：使能数据导入(如USB接口)、使能数据导出(如USB接口)、USB接入设备限制(如基于USB设备的Vendor ID，即供应商识别码，和/或Product ID，即产品识别码)、数据导入杀毒策略、数据导出黑白名单控制策略、数据导出格式控制策略、使能串口接入策略、USB接口插入保护、使能网络通信审计、使能防火墙功能、设置串口命令黑白名单等。

在一种优选的实施方式中，安全策略包括：管理员在设定好各个安全策略后，相关的这些安全策略将被所述外接式终端防护设备逐一执行。

在一种优选的实施方式中，安全策略包括：管理员还控制所述外接式终端防护设备是否进入监控保护模式，此模式将监控与被保护主机间的连接，异常情况下将进行告警。

在一种优选的实施方式中，安全策略包括：当需要记录异常告警或接口访问情况以备后续管理员查询时，内部存储器还用于进一步记录所述告警信息或接口访问日志信息。

在一种优选的实施方式中，所述接口控制板进一步包含硬件控制逻辑，用于实现接口控制板内部各个接口之间物理线路的通断。当所述系统控制板通过安全策略对外部设备进行安全鉴权后，确认所述外部设备不是许可接入设备时，通过总线通知接口控制板中的硬件控制逻辑保持断开所述外部设备接入的对外接口与转发接口的物理线路的状态，从而对所述外部设备接入后的数据传输进行过滤禁止。当所述系统控制板对外部设备的安全鉴权后，确认所述外部设备为许可接入设备时，通过总线通知接口控制板允许所述外部设备的数据传输；所述接口控制板中的硬件控制逻辑连通所述外部设备接入的对外接口与转发接口的物理线路。

图3所示，本发明所涉及的外接式终端防护设备内部一种USB数据流量控制的实施例。

接口控制板进一步包含硬件控制逻辑，用于实现接口控制板内部各个接口之间物理线路的通断。接口控制板的对内USB接口UA3与被保护主机的USB口连接，转发接口UB1、UB2分别接入系统控制板的USB接口UD3和UD4，对外USB接口UA1插入待接入的外部设备U盘或移动存储介质，UB3插入用于转存数据的内部USB存储，CTRL口作为总线接口连接系统控制板的控制接口。

当外部设备U盘中的数据需要导入到被保护主机时，系统控制板通过总线传输控制指令通知接口控制板，以控制所述硬件控制逻辑连通UA1与UB1之间的物理线路，将U盘中的数据Data1拷入系统控制板的缓存中，在此期间硬件控制逻辑保持转发接口UB1(与系统控制板连接)与UB3(与内部USB存储连接)的物理线路处于断开状态，同时保持对内USB接口UA3(与被保护主机连接)与UB3的物理线路处于断开状态。

硬件控制逻辑之后断开UA1与UB1之间物理线路的开关，接通UB1与UB3之间的物理线路，将UB3内部USB存储的数据接入UB1接口，系统控制板对缓存中的数据Data1进行安全性检测，实现在被保护主机隔离状态下，系统控制板对UA1插入的USB存储进行杀毒等安全性检测。当Data1通过安全性检测后，将数据Data1拷贝到接口控制板UB3接口的内部USB存储中，期间硬件控制逻辑控制UA1与UB1、UA3与UB3之间的物理连接处于断开状态。之后，硬件控制逻辑断开UB1与UB3之间的物理连接，控制UA3与UB3的物理线路连通，将UB3接口上内部USB存储中的数据Data1通过对内接口UA3口发送给被保护主机，期间硬件控制逻辑断开UA1与UB1、UB1与UB3的物理线路。

相应的，当被保护主机中数据需要导出到外部设备U盘中时，系统控制板通过总线传输控制指令通知接口控制板，以控制所述硬件控制逻辑控制对内接口UA3与UB3的物理线路连接，UB3接口上内部USB存储将与被保护主机数据连通，用户操作被保护主机B将数据Data2导入所述内部USB存储中，期间硬件控制逻辑保持对外接口UA1与转发接口UB1、UB1与UB3之间的物理线路处于断开状态。之后，硬件控制逻辑断开UA3与UB3之间的物理线路，接通UB1与UB3之间的物理线路，将UB3接口上内部USB存储中的数据Data2通过转发接口UB1转发给系统控制板的缓存，系统控制板对缓存中的数据Data2进行合规性检查，确认导出数据是否符合设定的合规策略，期间硬件控制逻辑保持对外接口UA1与转发接口UB1、对内接口UA3与UB3之间的物理线路连接处于断开状态。当确认导出数据Data2通过合规性检查后，硬件控制逻辑连通对外接口UA1与转发接口UB1之间的物理线路，将数据Data2拷入UA1接口的外部设备U盘中，期间硬件控制逻辑保持转发接口UB1与UB3、对内接口UA3与UB3之间物理线路处于断开状态。至此，完成数据导出过程。

通过本实施例中终端防护设备的数据导入导出的过程经硬件控制逻辑的控制，在任意时刻，只接通一处连接，其他连接处于物理线路断开状态，保证了外部设备接入后与被保护主机之间的数据单向/双向传输全部进行数据流量过滤禁止控制。

图3所示的又一实施例中，终端防护设备还可提供一种非存储类USB设备直连控制，主要针对一些需要直接接入且非存储类的USB设备，例如USB光驱，加密狗等。与上述数据导入导出控制类似，设备直连控制通过系统控制板控制接口控制板的硬件控制逻辑实现对USB设备的数据流量的控制，硬件连线情况如下：终端防护设备中的接口控制板的对内USB接口UA4连接被保护主机的USB接口，转发接口UB2接入系统控制板的USB接口，对外USB接口UA2插入需直连被保护主机B的外部设备(比如USB光驱)，接口控制板的CTRL口接入总线连接系统控制板的控制接口。

本实施例中所述终端防护设备对USB设备直连控制方法如下：当终端防护设备的对外USB接口UA2插入需直连被保护主机B的外部设备(比如USB光驱)时，接口控制板通过总线通知系统控制板，系统控制板控制接口控制板的硬件控制逻辑接通接口UA2与转发接口UB2的物理线路，使得UA2接口上插入的USB光驱与系统控制板的USB接口连通，在此期间硬件控制逻辑保持接口UA2与连接被保护主机的对内接口UA4的物理线路处于断开状态。

系统控制板对UA2接口上的USB光驱进行安全鉴权，确认此外部设备是否为许可接入设备，当确认此USB光驱是许可接入设备后，硬件控制逻辑将对外接口UA2与对内接口UA4的物理线路接通，实现UA2接口上插入的USB光驱与被保护主机的连接。

当所述系统控制板监测到存在一个或多个接口的连接状态发生变化时，硬件控制逻辑自动断开所述接口与其他接口的物理线路。例如UA2接口上插入的外部设备接入UA4接口期间，系统控制板将实时监测接口控制板的UA2插入的外部设备连接情况，一旦检测到外部设备拔出接口将自动断开连接。

参见图4，本发明所涉及的外接式终端防护设备内部一种串口数据流量控制实施例，可实现对串口通信数据的过滤及禁止某些非法命令输入。系统控制板通过总线通知接口控制板的硬件控制逻辑控制对外串行接口CA1与转发接口CB1、对内串行接口CA2与转发接口CB2之间物理线路的断开与连通。接入对外串行接口CA1的外部设备首先需要通过系统控制板的安全鉴权，之后串口CD1和CD2实现数据互通，接口控制板的硬件控制逻辑接通串口CA1与CB1、CA2与CB2之间的物理线路，从而实现数据从对外串行接口CA1上的外部串口设备到对内串行接口CA2，进而再到被保护主机间的数据通信。

进一步地，系统控制板通过硬件控制逻辑断开CA1与CB1、CA2与CB2之间的物理连接，实现对CA1与CA2之间串口通信的线路切断。由于CA1与CA2间通信均通过CB1与CB2进行转发，系统控制板可对串口通信数据进行过滤及禁止某些非法命令输入。

参见图5，本发明所涉及的外接式终端防护设备内部一种网络数据流量控制实施例。本实施例中终端防护设备依赖于交换芯片，尤其是专用网络交换芯片，进而实现网络数据流量控制及审计功能。具体地，在所述终端防护设备中的接口控制板上集成了交换芯片，用于获取各个数据接口的寄存器状态，设置接口控制板的工作模式。接口控制板通过总线(即图示控制线)与系统控制板连接，系统控制板的网口E5与接口控制板的转发接口网口E4相连。进一步地，本实施例的所述终端防护设备可以采用专用网络交换芯片，在不影响网络延迟的情况下，支持网络流量镜像审计及网络协议过滤的功能。

由于终端防护设备应用于对网络延迟有较高要求的场合，要求接入网络设备对现有网络延迟、结构无明显影响，且对部署方式要求较为灵活。本方案所述终端防护设备网络审计防火墙设计通过依托于专用硬件实现网络数据流控制，进而实现低延迟网络审计与高可靠性协议过滤。

图5所示的另一实施例中，所述终端防护设备可具备网线防拔出功能，系统控制板通过读取交换芯片网口寄存器状态，从而获得对外网络接口E1与对内网络接口E2的连接状态，连接状态描述为链路连接失败/成功。系统控制板通过监测E1/E2网口连接状态，获得网口状态信息，进而实现对网线插入或拔出情况的告警。

图5所示的又一实施例中，所述终端防护设备可具备网络审计功能。对外接口E1接入局域网或工业控制网络，对内接口E2连接被保护主机B的网口。所述系统控制板基于本地操作指令或远程控制中心的远程网络控制指令，通过交换芯片设置接口控制板为流量镜像模式，通过所述接口控制板中的转发接口E4，对所述接口控制板中的网络接口E1与E2做流量镜像。由此网口E4可获得来自E1及E2两个网口间的网络通信数据，而不影响E1与E2间数据通信，进而可以实现对被保护主机B与外部局域网或工业控制网络之间的网络流量审计。同时，此种方式采用交换芯片设置接口控制板的工作模式，无需改变网络拓扑或添加额外的网络设备。

图5所示的再一实施例中，所述终端防护设备可具备网络协议过滤功能。所述系统控制板基于本地操作指令或远程控制中心的远程网络控制指令，通过交换芯片设置接口控制板为网络协议过滤模式，通过所述接口控制板中的转发接口E4，对所述接口控制板中的对外接口E1和对内接口E2之间的数据流量做网络协议过滤，从而实现对被保护主机B与外部局域网或工业控制以太网络的数据流量做网络协议过滤。

进一步地，系统控制板可以控制交换芯片切换接口控制板的网口工作模式，比如将网络接口E4的流量镜像模式切换为网络协议过滤模式，或者将网络接口E4的网络协议过滤模式切换为流量镜像模式，或者其他工作模式之间进行切换。

图6为本发明的防护系统的一种网络部署实施例。所述防护系统包括一个或多个外部设备；被保护主机；以及外接式终端防护设备，其中，所述外接式终端防护设备外接于所述被保护主机上，使得所述一个或多个外部设备通过所述外接式终端防护设备与所述被保护主机进行接口通信。在此，所述外接式终端防护设备如上所述，此不再赘述。

进一步地，所述防护系统还包括其远程控制所述外接式终端防护设备的控制中心，控制中心由服务器、管理工作站，以及其他节点所组成，通过网络交换节点连接到所述外接式终端防护设备的网口EA1上。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的文字内容的拍照录入装置、计算设备和计算机可读存储介质中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

Claims (13)

1.一种数据流量控制的外接式终端防护设备，其包括：

接口控制模块，用于提供多个数据接口分别连接被保护主机及一个或多个外部设备；

系统控制模块，用于实时监测所述接口控制模块中各个数据接口的数据传输状态，并对各个数据接口的数据进行流量控制。

2.如权利要求1所述的外接式终端防护设备，其特征在于，

所述接口控制模块与被保护主机的各个数据接口按照类型对应连接。

3.如权利要求2所述的外接式终端防护设备，其特征在于，

所述接口控制模块的多个数据接口进一步包括对内接口、对外接口，以及转发接口；

所述对内接口用于与被保护主机的各个数据接口按照接口类型对应连接；

所述对外接口用于接入一个或多个外部设备，所述外部设备适于通过所述外接式终端防护设备与被保护主机进行数据交互；

所述转发接口用于将各接口类型的数据流量转发给所述系统控制模块。

4.如权利要求3所述的外接式终端防护设备，其特征在于，

所述接口控制模块中进一步包含硬件控制逻辑，用于实现接口控制模块内部各个接口之间物理线路的通断。

5.如权利要求1-4任一项所述的外接式终端防护设备，其特征在于，

所述系统控制模块进一步包括对外部设备的安全鉴权，以确认所述外部设备是否为许可接入设备。

6.如权利要求5所述的外接式终端防护设备，其特征在于，

当所述系统控制模块对外部设备的安全鉴权后，确认所述外部设备不是许可接入设备时，通过总线通知接口控制模块禁止所述外部设备的数据传输；

所述接口控制模块中的硬件控制逻辑保持断开所述外部设备接入的对外接口与转发接口的物理线路的状态，从而对所述外部设备接入后的数据传输进行过滤禁止。

7.如权利要求5所述的外接式终端防护设备，其特征在于，

当所述系统控制模块对外部设备的安全鉴权后，确认所述外部设备为许可接入设备时，通过总线通知接口控制模块允许所述外部设备的数据传输；

所述接口控制模块中的硬件控制逻辑连通所述外部设备接入的对外接口与转发接口的物理线路。

8.如权利要求4所述的外接式终端防护设备，其特征在于，

所述数据接口进一步包括一个或多个网络接口；

所述接口控制模块中进一步包含交换芯片，用于获取各个网络接口的寄存器状态，设置接口控制模块的工作模式；

所述系统控制模块监测所述交换芯片中网络接口寄存器状态，从而实时获得接口控制模块中各网络接口的连接状态。

9.如权利要求8所述的外接式终端防护设备，其特征在于，

当所述系统控制模块监测到存在一个或多个网络接口的连接状态发生变化时，对相应网络接口状态变化发出告警提示。

10.如权利要求8所述的外接式终端防护设备，其特征在于，

所述系统控制模块通过所述交换芯片设置接口控制模块为流量镜像模式，通过所述接口控制模块中的转发接口，对所述接口控制模块中的对内接口和/或对外接口做流量镜像。

11.如权利要求8所述的外接式终端防护设备，其特征在于，

所述系统控制模块通过所述交换芯片设置接口控制模块为网络协议过滤模式，通过所述接口控制模块中的转发接口，对所述接口控制模块中的对内接口和对外接口之间的数据流量做网络协议过滤。

12.如权利要求8所述的外接式终端防护设备，其特征在于，

所述系统控制模块进一步设定有安全策略，对通过所述接口控制模块接入的外部设备传输进来的数据进行安全性检测；

所述接口控制模块将通过安全策略过滤后的数据流量转发给所述被保护主机。

13.一种用于数据流量控制的防护系统，包括：

一个或多个外部设备，所述外部设备适于通过所述外接式终端防护设备与被保护主机进行数据交互；

被保护主机；以及

如权利要求1-12任一项所述的外接式终端防护设备，

其中，所述外接式终端防护设备外接于所述被保护主机上，使得所述一个或多个外部设备通过所述外接式终端防护设备与所述被保护主机进行接口通信。