CN1809035A - 新型集成路由交换功能的防火墙设备 - Google Patents
新型集成路由交换功能的防火墙设备 Download PDFInfo
- Publication number
- CN1809035A CN1809035A CNA2006100382105A CN200610038210A CN1809035A CN 1809035 A CN1809035 A CN 1809035A CN A2006100382105 A CNA2006100382105 A CN A2006100382105A CN 200610038210 A CN200610038210 A CN 200610038210A CN 1809035 A CN1809035 A CN 1809035A
- Authority
- CN
- China
- Prior art keywords
- chip
- network
- fwsm
- cpu
- adopts
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种新型集成路由交换功能的防火墙设备,属数据通讯技术领域。它由防火墙模块、交换路由模块和背板组成,防火墙模块与路由交换模块通过背板连接,所述的防火墙模块对外提供外网接口、内网接口和DMZ接口类型;所述的交换路由模块对外提供至少两个接口,防火墙模块、交换路由模块各设一个计算机系统,组成防火墙模块的计算机系统包括CPU和网络芯片,CPU和网络芯片之间采用总线方式连接,组成防火墙模块的计算机系统包括CPU和网络芯片,CPU和网络芯片之间采用总线方式连接。本发明减少了组网环节,降低了组网成本,并在网络接入层,汇聚层实现了网络威胁的防御,增强了网络的稳定性和安全性。
Description
技术领域:
本发明涉及一种防火墙设备,具体涉及一种新型集成路由交换功能的防火墙设备。属数据通讯技术领域。
背景技术:
在互联网的流量和业务飞速发展的同时网络也出现了很大的负面问题,即网络安全问题日益突出,网络的安全性正在受到越来越多的用户的关注,防火墙设备成为网络中不可缺少的环节。
防火墙是一种高级访问控制设备,它是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。防火墙设备在网络中典型应用如图1所示。防火墙设备一般设有外网接口、内网接口、DMZ接口,特殊场合还需要多个外网接口或DMZ接口或内网接口。防火墙设备不具备交换路由机的功能。交换路由机既可以提供交换机高带宽的交换同时兼顾路由器组网的灵活性,因此在网络组成中得到广泛的应用。
网络处理器(NP)芯片是介于CPU和ASIC之间的一种芯片,也是在CPU和ASIC之间取得的一种平衡技术,同时具备了CPU的灵活性和ASIC的高性能。网络处理器技术是目前在多业务融合环境下路由器采用的一种主要的芯片技术,解决了在多业务环境下的各种协议支持和转发性能问题。现在NP已经在路由器、防火墙上广泛使用。ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理,虽然研发成本较高,灵活性受限制、无法支持太多的功能,但其性能具有先天的优势,非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。
传统的防火墙组网方式如图1所示,为增强网络的安全性,通常通过一个路由器1将外网接入内网,路由器1、防火墙2和多层交换机3通常位于网络的核心汇聚层,组网环节较多,增加了网络的复杂度,降低了网络的稳定性。
发明内容:
本发明的目的是通过提供一种新型集成路由交换功能的防火墙设备,用于革新网络设备的组网模式,减少组网环节,降低组网成本,并在网络接入层,汇聚层实现网络威胁的防御,增强网络的稳定性和安全性。
本发明的目的是这样实现的:一种新型集成路由交换功能的防火墙设备,其特征在于它由防火墙模块、交换路由模块和背板组成,防火墙模块与路由交换模块通过背板连接,所述的防火墙模块对外提供外网接口、内网接口和DMZ接口类型;所述的交换路由模块对外提供至少两个接口,防火墙模块、交换路由模块各设一个计算机系统,组成防火墙模块的计算机系统包括CPU和网络芯片,CPU采用X86架构、ARM架构、PowerPC架构或MIPS架构的处理器,网络芯片采用网卡芯片NIC、网络处理器NP芯片或防火墙专用芯片ASIC,CPU和网络芯片之间采用总线方式连接,组成防火墙模块的计算机系统包括CPU和网络芯片,CPU采用X86架构、ARM架构、PowerPC架构或MIPS架构的处理器,网络芯片采用网卡芯片NIC、网络处理器NP芯片或防火墙专用芯片ASIC,CPU和网络芯片之间采用总线方式连接。
本发明新型集成路由交换功能的防火墙设备,所述的背板具有以太网数据通道或总线方式的数据通道;所述的防火墙模块的CPU采用摩托罗拉公司出品的MPC8540,网卡芯片采用两片Intel公司出品的双路网卡芯片Intel82546;交换路由模块的CPU采用摩托罗拉公司出品的MPC8245,网络芯片采用Broadcom公司的一片或多片全千兆多层交换芯片BCM5690或BCM5695。
本发明通过在防火墙设备上集成交换路由功能,使得一台设备同时具备了三台设备的功能,革新了网络设备的组网模式,减少了组网环节,降低了组网成本,并在网络接入层或汇聚层实现网络威胁的防御,增强网络了的稳定性和安全性。典型的如图1所示的组网方式,可以简化为图2所示的组网方式,因为组网设备的减少从而大大降低了组网成本,又因为组网环节的减少可以达到减少故障环节的作用,增强了网络的稳定性。因为本发明所述的设备主要用于网络的接入或汇聚,通过防火墙模块可以在接入层和汇聚层实现网络威胁的防御,从而增强了网络的安全性和稳定性。
附图说明:
图1为传统的防火墙的组网方式示意图。
图2为本发明新型集成路由交换功能的防火墙设备的组网方式示意图。
图3为本发明新型集成路由交换功能的防火墙设备的逻辑框图。
图4为本发明新型集成路由交换功能的防火墙设备的一种具体实施方式示意图。
图5本发明的具体实施方式的防火墙模块的CPU和网络芯片的电路原理图。
图6本发明的具体实施方式的防火墙模块的CPU到PHY的电路原理图。
图7为本发明的具体实施方式的交换路由模块的CPU和网络芯片的电路原理图。
图8为本发明的具体实施方式的交换路由模块的网络芯片和PHY之间的电路原理图。
图9为本发明的具体实施方式的防火墙模块和交换路由模块PHY到背板以及背板的信号定义电路原理图。
图10为本发明的具体实施方式的防火墙模块网络芯片到网络接口的电路信号图。
具体实施方式:
参见图2,本发明新型集成路由交换功能的防火墙设备的组网方式。
参见图3,本发明新型集成路由交换功能的防火墙设备,由防火墙模块、交换路由模块和背板组成。防火墙模块对外提供外网接口、内网接口和DMZ接口。交换路由模块对外提供至少两个接口,交换路由模块的接口既可以单独作为交换路由接口也可扩展为防火墙模块的外网接口或内网接口或DMZ接口。背板设数据通道。背板所设数据通道通过以太网或总线方式实现。防火墙模块与交换路由模块通过背板的数据通道通讯。
所述的防火墙模块、交换路由模块各设一个计算机系统,所述的计算机系统,包括CPU和网络芯片,CPU可采用X86架构、ARM架构、PowerPC架构或MIPS架构的处理器,网络芯片可以是网卡芯片(NIC)、网络处理器(NP)芯片或防火墙专用芯片(ASIC),CPU和网络芯片之间采用总线方式连接。组成交换路由模块的计算机系统的网络芯片为可至少提供3层交换功能的多层交换芯片。
参见图4,图4为当防火墙模块的网络芯片采用网卡芯片时,本发明的一种实施方式,所述的防火墙设备PowerPC高性能CPU采用摩托罗拉公司出品的MPC8540,该CPU还集成了个千兆以太网控制器,可对外提供两个千兆接口F5和F6;千兆网卡芯片采用两片Intel公司出品的双路网卡芯片Intel82546,该网卡芯片相当于两片单路的千兆网卡芯片封装在一个芯片内;对外提供4个防火墙接口F1、F2、F3和F4。交换路由模块的CPU采用摩托罗拉公司出品的MPC8245,网络芯片采用Broadcom公司的全千兆多层交换芯片BCM5690。
防火墙模块的可提供接口F1、接口F2、接口F3、接口F4、F5和F6,接口F5和F6与背板数据通道相连。
交换路由模块的交换芯片可提供2/3/4/5/6/7层交换功能,交换路由模块提供12个物理接口,编号为S1至S12,交换路由模块将接口S1和接口S2与背板数据通道相连。交换路由模块的简化设计是采用只提供2层的交换功能或只提供路由功能的网络芯片。
为提高防火墙模块和交换路由模块数据通讯的带宽,可以通过软件方法将防火墙模块的F5和F6接口配置个聚合端口,同时将交换路由模块的S1和S2接口也配置成聚合端口,这样背板数据通道可以为防火墙模块和交换路由模块之间提供一个4Gpbs的带宽。
因为防火墙模块和交换路由模块可以通过背板的数据通道通讯,所以防火墙模块和交换路由模块通过软件方法既可以单独配置也可以通过另外一个模块进行配置。
图5至图10为上述具体实施方式的关键电路原理图。
根据本发明提供的技术方案,具体实施方式还可以是以下方式:
1)上述实施方案中防火墙模块和交换路由模块各提供一个或多个接口相连。
2)防火墙模块的网络芯片可以采用网络处理器(NP)来代替网卡芯片,Intel公司、Motorola以及Broadcom公司出品的网络处理器芯片均可满足本发明提供的技术方案的要求;
3)防火墙模块的网络芯片可以采用防火墙专用芯片(ASIC)来代替网卡芯片。
4)交换路由模块的网络芯片根据处理能力的需求,可以是一片或者多片,从而在一个设备上提供更高的接口集成度。
5)背板的数据通道还可以是某种总线方式,例如PCI总线方式或者其他总线方式,根据所采用的总线技术不同,防火墙模块和交换路由模块之间在系统中可以是对等关系,也可以是主从关系。
Claims (4)
1、一种新型集成路由交换功能的防火墙设备,其特征在于它由防火墙模块、交换路由模块和背板组成,防火墙模块与路由交换模块通过背板连接,所述的防火墙模块对外提供外网接口、内网接口和DMZ接口类型;所述的交换路由模块对外提供至少两个接口,防火墙模块、交换路由模块各设一个计算机系统,组成防火墙模块的计算机系统包括CPU和网络芯片,CPU采用X86架构、ARM架构、PowerPC架构或MIPS架构的处理器,网络芯片采用网卡芯片NIC、网络处理器NP芯片或防火墙专用芯片ASIC,CPU和网络芯片之间采用总线方式连接,组成防火墙模块的计算机系统包括CPU和网络芯片,CPU采用X86架构、ARM架构、PowerPC架构或MIPS架构的处理器,网络芯片采用网卡芯片NIC、网络处理器NP芯片或防火墙专用芯片ASIC,CPU和网络芯片之间采用总线方式连接。
2、根据权利要求1所述的一种新型集成路由交换功能的防火墙设备,其特征在于:所述的背板具有以太网数据通道或总线方式的数据通道。
3、根据权利要求1或2所述的一种新型集成路由交换功能的防火墙设备,其特征在于:所述的防火墙模块的CPU采用摩托罗拉公司出品的MPC8540,网卡芯片采用两片Intel公司出品的双路网卡芯片Intel82546。
4、根据权利要求1或2所述的一种新型集成路由交换功能的防火墙设备,其特征在于:交换路由模块的CPU采用摩托罗拉公司出品的MPC8245,网络芯片采用Broadcom公司的一片或多片全千兆多层交换芯片BCM5690或BCM5695。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100382105A CN1809035A (zh) | 2006-02-10 | 2006-02-10 | 新型集成路由交换功能的防火墙设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100382105A CN1809035A (zh) | 2006-02-10 | 2006-02-10 | 新型集成路由交换功能的防火墙设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1809035A true CN1809035A (zh) | 2006-07-26 |
Family
ID=36840728
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006100382105A Pending CN1809035A (zh) | 2006-02-10 | 2006-02-10 | 新型集成路由交换功能的防火墙设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1809035A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100479368C (zh) * | 2007-06-15 | 2009-04-15 | 中兴通讯股份有限公司 | 交换机防火墙插板 |
| CN101420371B (zh) * | 2008-07-03 | 2010-12-01 | 江苏华丽网络工程有限公司 | Asic融合网络设备的一种动态功能支持方法及系统 |
| CN101668233B (zh) * | 2008-09-01 | 2013-01-16 | 中兴通讯股份有限公司 | 一种协助处理动态带宽分配算法的硬件装置及方法 |
| CN103516634A (zh) * | 2013-09-24 | 2014-01-15 | 无锡柏瑞科技有限公司 | 一种具有防火墙功能的交换机 |
| CN105939274A (zh) * | 2016-05-17 | 2016-09-14 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| CN107453930A (zh) * | 2017-09-22 | 2017-12-08 | 安徽皖通邮电股份有限公司 | 一种在路由器上实现多业务定制的方法 |
| CN108600155A (zh) * | 2018-03-07 | 2018-09-28 | 上海洺淀智能科技有限公司 | 一种汇聚层网络安全防止外侵的工业控制系统 |
-
2006
- 2006-02-10 CN CNA2006100382105A patent/CN1809035A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100479368C (zh) * | 2007-06-15 | 2009-04-15 | 中兴通讯股份有限公司 | 交换机防火墙插板 |
| CN101420371B (zh) * | 2008-07-03 | 2010-12-01 | 江苏华丽网络工程有限公司 | Asic融合网络设备的一种动态功能支持方法及系统 |
| CN101668233B (zh) * | 2008-09-01 | 2013-01-16 | 中兴通讯股份有限公司 | 一种协助处理动态带宽分配算法的硬件装置及方法 |
| CN103516634A (zh) * | 2013-09-24 | 2014-01-15 | 无锡柏瑞科技有限公司 | 一种具有防火墙功能的交换机 |
| CN105939274A (zh) * | 2016-05-17 | 2016-09-14 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| CN107453930A (zh) * | 2017-09-22 | 2017-12-08 | 安徽皖通邮电股份有限公司 | 一种在路由器上实现多业务定制的方法 |
| CN107453930B (zh) * | 2017-09-22 | 2020-05-26 | 安徽皖通邮电股份有限公司 | 一种在路由器上实现多业务定制的方法 |
| CN108600155A (zh) * | 2018-03-07 | 2018-09-28 | 上海洺淀智能科技有限公司 | 一种汇聚层网络安全防止外侵的工业控制系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1809035A (zh) | 新型集成路由交换功能的防火墙设备 | |
| CN102347900B (zh) | 整合虚拟和物理网络交换设备到异构交换域的方法和系统 | |
| CN106953788B (zh) | 一种虚拟网络控制器及控制方法 | |
| CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
| CN107819742B (zh) | 一种动态部署网络安全服务的系统架构及其方法 | |
| Dooley | Designing large scale lans: Help for network designers | |
| CN101651680A (zh) | 一种网络安全部署方法和一种网络安全设备 | |
| CN101841451A (zh) | 一种云主机基于虚拟局域网的限速方法和系统 | |
| CN1859244A (zh) | 接入设备中的主从框级联系统 | |
| CN101013962A (zh) | 集成安全交换机 | |
| CN103812768A (zh) | 一种高性能网络数据处理平台系统 | |
| US9880869B2 (en) | Single computer-based virtual cross-domain solutions | |
| CN101662480B (zh) | 一种基于访问控制的日志系统 | |
| CN100444582C (zh) | 具有防火墙功能的交换设备 | |
| CN1601996A (zh) | 一种虚拟交换机系统接入ip公网的方法 | |
| Bogdanski | Optimized routing for fat-tree topologies | |
| CN104954439B (zh) | 一种云服务器及其节点互联方法、云服务器系统 | |
| CN207926623U (zh) | 车载网络系统及汽车 | |
| CN103346950A (zh) | 一种机架式无线控制器用户业务板间负载均摊方法及装置 | |
| CN113422783A (zh) | 一种网络攻击防护方法 | |
| CN108632123A (zh) | 一种处理高性能网络数据的管理平台系统 | |
| CN101197779A (zh) | 一种提升地址解析协议代理发包效率的方法、装置和系统 | |
| CN101043330A (zh) | 一种防mac地址仿冒的装置及方法 | |
| CN1829198A (zh) | 集成交换路由功能的防火墙设备 | |
| CN109842527A (zh) | 一种网络告警方法以及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |