CN1141657C - 基于透明网络地址翻译的防火墙代理网关 - Google Patents
基于透明网络地址翻译的防火墙代理网关 Download PDFInfo
- Publication number
- CN1141657C CN1141657C CNB991159578A CN99115957A CN1141657C CN 1141657 C CN1141657 C CN 1141657C CN B991159578 A CNB991159578 A CN B991159578A CN 99115957 A CN99115957 A CN 99115957A CN 1141657 C CN1141657 C CN 1141657C
- Authority
- CN
- China
- Prior art keywords
- gateway
- interface card
- network interface
- card
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种基于透明网络地址翻译的防火墙代理网关,网关是基于PC平台,通信连接采用系统总线;包括一个主板,主板内存中运行有Web服务器软件和IP地址翻译软件,主板上还连接有100/10Mbps的以太网接口卡、以太网卡接口卡和专用硬卡;网关内通过以太网接口卡连接内部私有网,网关外通过以太网卡接口卡连接路由器,通过路由器接入Internet网;该网关采用硬卡储存权限表和流量表信息,电池保护信息等措施,避免了存盘过程,保证了活动信息不丢失,解决了网关中用户权限不断变化和实时流量统计与查询的特殊情况。可以解决国内/外IP地址块的区分、实时流量的统计和查询、内外网络IP地址的翻译和防火墙功能的实现。
Description
本发明涉及一种网关,特别涉及一种基于透明网络地址翻译的防火墙代理网关。
目前,由于国内外防火墙在收费、访问控制、网络安全控制、信息安全控制等模式和国内/外IP地址块的区分和基于其上的访问控制在国内外防火墙很难实现,效率相当低。国内现在也开发了一些防火墙能实现区分国内/外IP地址块和基于其上的访问控制和计费,但都基于主机,采用软件实现,性能低,同时存在着活动信息不能很好保存,流量统计与查询达不到实时等问题。
本发明的目的在于克服上述现有技术的缺点,提出一种基于透明网络地址翻译的防火墙代理网关,采用硬卡实现活动信息断电自动保存、用户帐户的自动定位和维护以及用户权限的硬件解释,采用IP地址翻译软件和硬卡配合实现内部私有IP地址的代理,采用包过滤软件和硬卡结合实现防火墙功能,它可以解决国内/外IP地址块的区分、实时流量的统计和查询、内外网络IP地址的翻译和防火墙功能的实现。
图1是基于透明网络地址翻译的防火墙代理网关的结构示意图;
图2是本发明的硬卡结构示意图;
图3是网关两边的吞吐量之和与网关每包时延平均值的关系图;
图4是网关两边的吞吐量之和与代理网关吞吐量的关系图。
下面结合附图对本发明的结构原理作详细说明。
基于透明网络地址翻译的防火墙代理网关的结构如图1,由1~8个单元组成,包括一个主板,其特点是,主板内存中运行有Web服务器软件1和IP地址翻译软件2,主板上还连接有100/10Mbps的以太网接口卡3、以太网卡接口卡5和专用硬卡4;网关内通过以太网接口卡3连接内部私有网6,网关外通过以太网卡接口卡5连接路由器7,通过路由器7接入Internet网8;
Web服务器1允许内部的私有网6的用户访问Web服务器软件1的页面,允许私有网6的用户通过网关上的CGI程序查询费用、修改访问权限、维护帐户等;
IP地址翻译软件2与以太网接口卡3和以太网接口卡5的缓冲区、专用硬卡4通信;用于实现内部私有网IP地址的翻译与代理、包过滤、包转发、路由等功能;
以太网接口卡3和以太网接口卡5用于接收和发送数据帧;
专用硬卡4通过数据线、地址线和控制线与网关通信,实现用户访问权限表、流量表等动态信息的存取和断电自动保存,权限表的解释,用户帐户的定位和维护等功能;
Web服务器软件1运行在网关上,Web服务器软件1和以太网接口卡3的接收和发送缓冲区通信,Web服务器软件(1)采用CGI程序与专用硬卡4的锁存器9、缓冲器14、缓冲电路15和译码电路16通信。
参见图2,专用硬卡4由9~16八个部分组成。包括总线缓冲和锁存器9,保存32位IP地址;可编程器件实现的译码电路10采用可编程器件器件实现对IP地址的译码;直流和电池双路供电的存储器11字长192位,保存权限和流量信息;以比较电路实现的电平监视电路12在上电和掉电时禁止访问权限和流量信息,以防止电压过渡时对存储器的误写入;可充电池13在线充电,掉电时维持权限表、流量表内容。缓冲器14储存硬件解释的权限表内容;将192位字长映射到PC总线的访问电路和缓冲电路15;译码电路16主要用来缓冲命令。
下面结合附图说明它们之间的连接方式:
Web服务器软件1以软件的形式运行在网关上,和以太网接口卡3的接收和发送缓冲区通信,采用CGI程序与专用硬卡4的总线缓冲和锁存器9、缓冲器14、缓冲电路15和译码电路16通信;
IP地址翻译软件2与以太网接口卡3和以太网接口卡5的缓冲区、专用硬卡4通信;
以太网接口卡3通过网线与内部私有网6相连,以太网接口卡5通过网线与路由器7相连。
专用硬卡4由总线缓冲和锁存器9、译码电路10、存储器11、缓冲器14、缓冲电路15、译码电路16、电平监视电路12和可充电电池13组成;总线缓冲和锁存器9通过数据线和译码电路10相连,译码电路10通过控制线和地址线与存储器11相连,存储器11采用译码电路与缓冲器14、缓冲电路15相连,可充电电池13和电平监视电路12分别接入存储器11;
本网关能使内部私有IP地址通过一个全球统一IP地址访问Internet,具体过程如下:
私有网中站点的一个客户程序要访问外部Internet上的一个服务器,客户程序采用内部私有IP地址和外部服务器进行通信,当客户程序发出的包经过网关时,网关的处理过程为:
IP地址翻译软件2把IP数据包的IP地址写入总线缓冲和锁存器9中,如果缓冲器14显示合法,缓冲电路15中即是对应的权限和流量信息。IP地址翻译软件2根据缓冲电路15中权限表中的服务类型等权限检查包,允许或禁止包通过,根据包长发命令到译码电路16,更新存储器11中的流量表,否则丢弃该包。对于检查为合法的包,IP地址翻译软件2采用网络翻译技术(请见IETF于1994年发布的RFC1631,http://www.ietf.org)翻译客户程序发出的IP包,然后网关把该包发向Internet。
从服务器返回的包,经过网关时的处理过程为:
IP地址翻译软件2采用网络翻译技术翻译客户程序发出的IP包,然后IP地址翻译软件2把IP地址写入总线缓冲和锁存器9中,如果缓冲器14显示合法,缓冲电路15中显示对应的权限和流量信息,根据缓冲电路15中权限表中的服务类型等权限检查包,允许或禁止包通过,根据包长发命令到译码电路16,更新存储器11中的流量表,然后把包发向私有网,否则丢弃该包。
本网关通过Web服务器软件采用CGI程序接受用户的请求,完成硬卡上的权限表的更改、流量查询等功能。过程为:
CGI程序获得用户命令后进行编码,然后输入到译码器电路16中更改权限表,查询流量信息等。
本说明以HTTP为例,假设
1)客户程序所在的站点的IP地址为10.10.10.2;
2)本网关的全球统一的IP地址为200.76.35.5,和内部私有网相接的接口IP地址为10.10.10.1且为私有网的网关;
3)外部服务器的IP地址为203.4.2.3。
客户程序首先发IP包,用P(10.10.10.2:2000,203.4.2.3:80)表示,其中10.10.10.2为源IP地址,2000为源端口号,203.4.2.3为目的IP地址,80为目的端口号。
IP包到达本网关后,IP地址翻译软件2把10.10.10.2写入锁存器9中,如果缓冲器14输出一个非法值,IP地址翻译软件2把该包丢弃,如果判定为合法IP地址,IP地址翻译软件2读取缓冲电路15中的权限表和流量信息,根据权限表检查包的端口号、访问的服务器的IP地址是否在国外等信息,从而允许或禁止包通过,并进行分国内、国外分别统计流量,最后把修改的流量信息输入译码电路16,更新存储器11中的流量表。
如果包P(10.10.10.2:2000,203.4.2.3:80)判定为合法,IP地址翻译软件2采用透明地址翻译技术对此包进行翻译{假如翻译得到的包为P(203.76.35.5:3000,203.4.2.3:80)},然后发向外部Internet。
从外部返回的包P(203.4.2.3:80,200.76.35.5:3000),IP地址翻译软件2采用透明地址翻译技术把此包翻译成P(10.10.10.2:2000,203.4.2.3:80),然后把10.10.10.2写入锁存器9中如果缓冲器14输出一个非法值,IP地址翻译软件2把该包丢弃,如果判定为合法IP地址,IP地址翻译软件2读取缓冲电路15中的权限表和流量信息,根据权限表检查包的端口号、访问的服务器的IP地址是否在国外等信息,从而允许或禁止包通过,并进行分国内、国外分别统计流量,最后把修改的流量信息输入译码电路16,更新存储器11中的流量表。
本网关采用硬卡储存权限表和流量表信息,电池保护信息等措施,避免了存盘过程,保证了活动信息不丢失,解决了网关中用户权限不断变化和实时流量统计与查询的特殊情况。本网关又采用硬卡实现IP地址和用户帐户相绑定的策略,采用硬件实现IP地址直接定位用户帐户,加快了网关定位帐户的速度,提高了网关的性能,本网关需要透明地址翻译的策略,在性能上要高于应用层代理服务器。
图3是网关两边的吞吐量之和与网关每包时延平均值的关系。
图4是网关两边的吞吐量之和与代理网关吞吐量的关系,其中横坐标是网关两边的吞吐量之和,单位为pps,纵坐标是网关的吞吐量,单位为pps。
Claims (1)
1.基于透明网络地址翻译的防火墙代理网关,网关是基于PC平台,通信连接采用系统总线:包括一个主板,其特征在于,主板内存中运行有Web服务器软件(1)和IP地址翻译软件(2),主板上还连接有100/10Mbps的以太网接口卡(3)、以太网接口卡(5)和专用硬卡(4);网关内通过以太网接口卡(3)连接内部私有网(6),网关外通过以太网卡接口卡(5)连接路由器(7),通过路由器(7)接入Internet网(8);
Web服务器软件(1)运行在网关上,Web服务器软件(1)和以太网接口卡(3)的接收和发送缓冲区通信,Web服务器软件(1)采用CGI程序与专用硬卡(4)的总线缓冲和锁存器(9)、缓冲器(14)、缓冲电路(15)和译码电路(16)通信;Web服务器软件(1)允许内部的私有网(6)的用户访问Web服务器的页面,允许私有网(6)的用户通过网关上的CGI程序查询费用、修改访问权限、维护帐户等;
IP地址翻译软件(2)与以太网接口卡(3)和以太网接口卡(5)的缓冲区、专用硬卡(4)通信;用于实现内部私有网IP地址的翻译与代理、包过滤、包转发、路由等功能;
以太网接口卡(3)和以太网接口卡(5)用于接收和发送数据帧;
专用硬卡(4)包括总线缓冲和锁存器(9)、译码电路(10)、存储器(11)、缓冲器(14)、缓冲电路(15)、译码电路(16)、电平监视电路(12)和可充电电池(13);总线缓冲和锁存器(9)通过数据线和译码电路(10)相连,译码电路(10)通过控制线和地址线与存储器(11)相连,存储器(11)采用译码电路与缓冲器(14)、缓冲电路(15)相连,可充电电池(13)和电平监视电路(12)分别接入存储器(11);
专用硬卡(4)通过数据线、地址线和控制线与网关通信,实现用户访问权限表、流量表等动态信息的存取和断电自动保存,权限表的解释,用户帐户的定位和维护等功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB991159578A CN1141657C (zh) | 1999-12-29 | 1999-12-29 | 基于透明网络地址翻译的防火墙代理网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB991159578A CN1141657C (zh) | 1999-12-29 | 1999-12-29 | 基于透明网络地址翻译的防火墙代理网关 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1260545A CN1260545A (zh) | 2000-07-19 |
| CN1141657C true CN1141657C (zh) | 2004-03-10 |
Family
ID=5278843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB991159578A Expired - Fee Related CN1141657C (zh) | 1999-12-29 | 1999-12-29 | 基于透明网络地址翻译的防火墙代理网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1141657C (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7437474B2 (en) * | 2001-02-22 | 2008-10-14 | Intel Corporation | Proxy-less packet routing between private and public address realms |
| KR100405113B1 (ko) * | 2001-06-22 | 2003-11-10 | 주식회사 엑스큐어넷 | 네트워크상에서의 투명한 게이트웨이 또는 투명한 프록시구현 방법 |
| CN112261660A (zh) * | 2020-10-16 | 2021-01-22 | 深圳安软信创技术有限公司 | 安卓手机端应用代理接入安全控制方法 |
-
1999
- 1999-12-29 CN CNB991159578A patent/CN1141657C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1260545A (zh) | 2000-07-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Partridge et al. | A faster UDP (user datagram protocol) | |
| Boggs et al. | Pup: An internetwork architecture | |
| US7835350B2 (en) | Prioritizing data transmissions using the number of associated origin addresses | |
| Feldmeier | Improving gateway performance with a routing-table cache | |
| CN101390342B (zh) | 基于订户感知应用代理的网络保护技术 | |
| US6049808A (en) | System and method for efficient remote disk I/O | |
| US7072933B1 (en) | Network access control using network address translation | |
| CN102025794B (zh) | 一种域名解析方法、dns服务器及系统 | |
| US20020013858A1 (en) | ARP caching apparatus and method | |
| CN1574790B (zh) | 用于控制数据包传输并产生记账数据的方法和装置 | |
| US20090161680A1 (en) | Gateway apparatus, packet forwarding method, and program | |
| CN102893559A (zh) | 互连虚拟网络的成员 | |
| US7269752B2 (en) | Dynamically controlling power consumption within a network node | |
| CA2336113A1 (en) | Firewall apparatus and method of controlling network data packet traffic between internal and external networks | |
| CN101800690B (zh) | 一种使用地址池实现源地址转换的方法和装置 | |
| CN102281180A (zh) | 应用于不同局域网的终端相互通讯的虚拟网卡通讯装置 | |
| WO2002091674A1 (en) | Network traffic flow control system | |
| MXPA04006408A (es) | Equilibrio de carga de red con manipulacion de conexion. | |
| CN1403929A (zh) | xDSL适配装置,多点传送发布系统和数据发布方法 | |
| CN101043430A (zh) | 一种设备之间网络地址转换的方法 | |
| CN1141657C (zh) | 基于透明网络地址翻译的防火墙代理网关 | |
| CN1152517C (zh) | 防范网络攻击的方法 | |
| CA2865926C (en) | Read-throttled input/output scheduler | |
| CN109413224A (zh) | 报文转发方法和装置 | |
| CN101079799A (zh) | 一种基于硬件加速的动态端口控制装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C19 | Lapse of patent right due to non-payment of the annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |