CN201910819U - 无线网络统一威胁管理网关 - Google Patents
无线网络统一威胁管理网关 Download PDFInfo
- Publication number
- CN201910819U CN201910819U CN2011200044590U CN201120004459U CN201910819U CN 201910819 U CN201910819 U CN 201910819U CN 2011200044590 U CN2011200044590 U CN 2011200044590U CN 201120004459 U CN201120004459 U CN 201120004459U CN 201910819 U CN201910819 U CN 201910819U
- Authority
- CN
- China
- Prior art keywords
- network
- interface
- wireless
- card
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型涉及无线网络统一威胁管理网关,可有效解决网络安全、统一管理的问题,本实用新型解决的技术方案是,包括外壳和工控机,工控机置于壳体内,工控机上至少有2个PCI插槽,PCI插槽内分别插装有检测防御卡和网络通讯处理卡,检测防御卡是集防火墙模块、VPN模块、入侵检测模块和内容过滤及反病毒模块为一体的ASIC芯片,网络通讯处理卡为实现有线或无线接入的KS8695P芯片,本实用新型结构简单,新颖独特,使用方便,安全,可靠,性能稳定。
Description
一、技术领域
本实用新型涉及一种无线网络统一威胁管理网关。
二、背景技术
2004年9月,IDC首度提出了“统一威胁管理”的概念,将防病毒、入侵检测和防火墙等安全设备划归为统一威胁管理(Unified Threat Management,简称UTM)这一新类别。该概念一经提出便引起了业界的广泛关注,并推动了以整合式安全设备为代表的细分化市场的诞生。
早期的UTM产品往往出自两个源头:一种是基于原有防火墙架构的,并在其上增加其它各项安全功能而实现;而另一种则是基于原有IDS/IPS架构的,并在其上增加各项功能而实现。很多早期的UTM产品更像是防火墙或IDS/IPS产品的改进版,产品本身并没有发生实质性的飞跃,UTM设备往往是大量安全功能简单堆砌而成的产物,并没有在底层做好集成优化设计工作。因此,早期的UTM产品不但没能解决好安全问题,反而由于缺乏良好的统一管理,足够的性能保证,导致诸多模块协同工作时成为网络的瓶颈和故障点。
而广义上的网关是指一个网络连接到另一个网络的接口,比如一个企业的内部网与外部互联网相连,就需要一个网关加以管理和控制。它是一种复杂的网络连接设备,可以支持不同协议之间的转换,实现不同协议网络之间的互联。而无线网关是指集成有简单路由功能的无线AP,即无线网关通过不同设置可完成无线网桥和无线路由器的功能,也可以直接连接外部网络(如WAN),同时实现AP功能无线网关路一般具有一个10Mbps或10/100Mbps的广域网口(WAN)、多个(4~8)10/100Mbps的局域网口(LAN)、一个支IEEE802.11b、802.11g或802.11a/g标准的无线局域网接入点、具网络地址转换功能(NAT)以实现多用户的Internet共享接入的硬件设备。网关路由器广域网口能自动检测或手工设定宽带运营商(如ADSL、CableModem、宽带城域网)的接入类型,具备宽带运营商客户端发起功能(如其可是一个PPPoE的客户端,也可以是一个DHCP的客户端,也可以分配固定的公网IP地址等),而局域网内的所有计算机不再需要安装任何客户端软件,也不用设定任何代理服务器的地址。另外不同类型的网关路由器还具有一些如图形化的安装向导(SmartWizard)、全状态数据包检测型防火墙(SPIFirewall)、防黑客攻击、虚拟专用网(VPN)、Internet内容过滤、日志记录、防病毒、虚拟服务或虚拟主机(DMZ机)等许多功能。由此可以明显看出,无线网关是指集成了无线局域网接入点功能的网关路由器设备。
随着我国网络的普及、新需求、新业务的大量出现,网络建设走向深入、走进更多的家庭和中小企业,组网方式也从有线扩展到了无线,但也给管理上提出了新问题,至今未见有无线网络统一威胁管理网关(设备)的报导,因此如何有效解决这一问题,对保证网络应用与安全是具有重要意义的。
三、发明内容
针对上述情况,为克服现有技术缺陷,本实用新型之目的就是提供一种无线网络统一威胁管理网关,可有效解决网络安全、统一管理的问题。
本实用新型解决的技术方案是,包括外壳和工控机,工控机置于壳体内,工控机上至少有2个PCI插槽,PCI插槽内分别插装有检测防御卡和网络通讯处理卡,检测防御卡是集防火墙模块、VPN模块、入侵检测模块和内容过滤及反病毒模块为一体的ASIC芯片,网络通讯处理卡为实现有线或无线接入的KS8695P芯片。
本实用新型结构简单,新颖独特,使用方便,安全,可靠,性能稳定。
四、附图说明
图1为本实用新型的结构主视图。
图2为本实用新型检测防御卡的结构主视图。
图3为本实用新型网络通讯处理卡的结构主视图。
五、具体实施方式
以下结合附图对本实用新型的具体实施方式作详细说明。
由图1-3给出,本实用新型包括外壳和工控机,工控机1置于壳体内,工控机上至少有2个PCI插槽,PCI插槽内分别插装有检测防御卡2和网络通讯处理卡3,检测防御卡是集防火墙模块4、VPN模块5、入侵检测模块6和内容过滤及反病毒模块7为一体的ASIC芯片,网络通讯处理卡为实现有线或无线接入的KS8695P芯片。
为了保证使用效果,所说的网络通讯处理卡(又称网络通讯处理器或接入模块)3上分别有移动上网接口8、WLAN接口9、无线传感器网接口10、串口11、JTAG接口12、WAN接口14和LAN接口13;所说的移动上网接口8为连接CDMA/GPRS/3G无线上网卡的USB口;所说的WLAN接口9为连接无线网卡的USB口;所说的无线传感器网接口10为IEEE802.15.4协议接口,连接ZigBee无线传感器网络。
本实用新型接入模块实现有线或者无线的接入。移动上网接口:利用GPIO口扩展出来一个USB口,连接CDMA/GPRS/3G无线上网卡。WLAN接口:利用GPIO口扩展一个USB口,用于连接无线网卡,实现软件AP的功能,无线传感器网接口:实现IEEE802.15.4协议接口,连接ZigBee无线传感器网络。串口及JTAG接口,提供相关的接入。另外提供4到10路以太网接口,实现千兆接入。
网络通讯处理器是一种采用高集成化的接入模块,内核为166MHz主频,具有多个带有MAC单元和收发器的网络接口,Flash:16M字节。SDRAM:32M字节。WAN:用于连接以太网。将网络安全策略写入Flash中。
防火墙模块基于ASIC芯片设计,主要包括千兆网络接口芯片和防火墙芯片组,完成数据包交换、流量控制、负载均衡、QoS、CoS,以及根据五元组(源IP,目的IP,协议,源端口,目的端口)对IP数据包进行硬件高速过滤,实现千兆防火墙功能。该芯片是一个集防火墙、路由、交换功能为一体,集成度达1500万门的高可编程、高性能的国产防火墙路由器芯片。
VPN模块基于ASIC芯片设计,包括加解密硬件芯片和软件实现,加解密芯片(TS4300 IPSec)是对现有IPSEC协议的硬件实现,可以根据五元组(源IP,目的IP,协议,源端口,目的端口)的任意掩码组合对出站数据包来确定加密流;对于入站数据,可以根据三元组(SPI,IKE_ADDR,协议)的任意组合来确定解密数据流;此外,芯片还提供与第三方密码模块的接口。系统软件实现安全管理应用,包括配置管理、安全联盟(SA)的管理和安全策略处理,并最终通过调用硬件完成数据的加解密工作。
内容安全网关模块为入侵检测模块和内容过滤及反病毒模块,包括硬件内容过滤平台和软件管理平台两个部分。硬件内容过滤平台基于ASIC芯片设计,能够以千兆线速进行网络数据包处理、内容检测和分流,平台还提供了完善的开发接口,可以按照内容安全网关的需要对其进行功能上的扩充,实现所需要的功能。软件管理平台主要包括用户界面、入侵防御模块、反病毒模块、防Dos攻击模块、URL过滤模块、内容过滤模块、日志管理模块、规则转换模块等功能模块,这些功能模块通过调用平台提供的开发接口实现各类过滤规范的管理、转化和加载。
千兆级内容安全网关实时地捕获网络数据,对整个数据包进行深度过滤,实现千兆级防病毒网关、入侵防御系统(IPS)、应用网关、垃圾邮件过滤、统一资源定位(URL)、关键字过滤或内容审计等网络安全功能。
管理模块基于FREEBSD操作系统开发的管理安全软件,该软件将防火墙、VPN、内容安全模块等各种模块的规则自动进行优化整合,从而提高系统的稳定性与高效性。并形成日志以便日后审计。
本实用新型在不降低网络应用性能的情况下,提供集成的网络层到应用层的安全保护,主要技术原理包括:
(1)多种无线网络综合接入技术。网关可综合接入多种无线网络,可以实现无线局域网、笔记本电脑、PDA、移动接入设备和ZigBee网络接入设备等利用一条信道进行数据通信。
(2)完全性内容保护(CCP)
完全性内容保护(Complete Content Protection,简称CCP)提供对OSI网络模型所有层次上的网络威胁的实时保护。这种方法比防火墙状态检测(检查数据包头)和深度包检测(在状态检测包过滤基础上提供额外检查)等技术先进。它具备在千兆网络环境中,实时将网络层数据负载重组为应用层对象(如文件和文档)的能力,而且重组之后的应用层对象可以通过对动态更新病毒和蠕虫的特征来进行扫描和分析。CCP还可探测其它各种威胁,包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗等。
(3)ASIC加速技术
ASIC芯片是UTM产品的一个关键组成部分。为了提供千兆级实时的应用层安全服务(如防病毒和内容过滤)的平台,专门为骨干网络和边界上设计高性能内容处理的体系结构是必不可少的。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力,提供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形等加速功能。由于CCP需要强劲的处理能力和更大容量的内存来支持,仅利用通用服务器和网络系统的资源实现内容处理往往在性能上达不到要求。
(4)定制的操作系统(OS)
专用的强化安全OS提供精简的、高性能防火墙和内容安全检测平台。基于内容处理加速模块的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到最小,从而给用户提供最好的实时系统,有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDP等功能。
(5)紧密型模式识别语言(CPRL)
紧密型模式识别语言(Compact Patten Recognition Language,简称CPRL)是针对完全的内容防护中大量计算程式所需求的加速而设计的。状态检测防火墙、防病毒检测和入侵检测的功能要求,引发了新的安全算法包括基于行为的启发式算法。通过硬件与软件的结合,加上智能型检测方法,识别的效率得以提高。
(6)动态威胁管理检测技术(CPRL)
动态威胁防御系统(Dynamic Threat Prevention System,简称DTPS)是由针对已知和未知威胁而增强检测能力的技术。DTPS将防病毒、IDS、IPS和防火墙等各种安全模块无缝集成在一起,将其中的攻击信息相互关联和共享,以识别可疑的恶意流量特征。DTPS通过将各种检测过程关联在一起,跟踪每一安全环节的检测活动,并通过启发式扫描和异常检测引擎检查,提高整个系统的检测精确度。
本实用新型的创新点:
本实用新型主要内容包括在实现多种无线网络综合接入的同时,整合包含了路由器、病毒防护、流量控制、VPN、防火墙、网络和电子邮件的过滤等功能,使这些功能组成统一的整体发挥作用,可用于全方位解决综合网络安全问题。完成基本的安全防御功能。
为了构建一个使用简单,性能强大,功能完善的无线统一威胁管理系统,将其分为管理平台和内容过滤平台两个层次,内容过滤平台由协作单位提供。管理平台负责对规则的设置,主要包括用户界面、规则检查器、日志记录器、告警器和通信模块几个部分。
(1)技术指标:
1)、支持的无线接口包括:IEEE 802.11g无线AP、CDMA网关、GSM网关、3G网关、IEEE 802.15.4 ZigBee等接口;
2)、支持的局域网接口包括:2GE(线速)+8/16xFE(线速)+1控制台(管理);
3)、协议支持包括:HTTP、FTP、SMTP、POP3、SOCKS等;
4)、支持L2-L7全包内容过滤和分流,在所有端口上实现10/100/1000M线速数据包传输;
5)、CPU保护,大部分原始数据处理由ASIC芯片完成,在海量数据流量下(例如GE端口线速下)和各种CPU攻击的情况下可有效保护CPU;
6)、CPU管理界面的GMII;
7)、网络应用过滤1G带宽;
8)、基于数据流的跨包过滤;
9)、大量规则(>10,000条)的平行查找;
10)、支持规则关联(带有通配符号);
11)、一百万最大并发连接数;
12)、较低的误报率和漏报率;
13)、定制操作系统(OS)的安全级别,为B2级的定制安全操作系统。
(2)本实用新型的创新点:
1)网关可综合接入多种无线网络,可以实现无线局域网、笔记本电脑、PDA、移动接入设备和ZigBee网络接入设备等利用一条信道进行数据通信;
2)网关集路由器、防火墙、防病毒、VPN、入侵检测与防御、P2P流量控制、垃圾邮件过滤、关键字及内容过滤等安全功能于一体,实现统一威胁管理;
3)通过对检测规则执行所需的时间周期,自动对规则进行排序和组合,整合各种安全过滤功能,在有效实现其功能的同时,避免不必要的重复过滤,同时减少处理流水线中的轮空,充分提高系统整体的检测性能;
4)可在无线接口过滤模块中实现绝大多数的过滤操作,提高系统整体的运行效率和健壮性。
本实用新型可综合接入多种无线网络,可以实现无线局域网、笔记本电脑、PDA、移动接入设备和ZigBee网络接入设备等利用一条信道进行数据通信;集路由器、防火墙、防病毒、VPN、入侵检测与防御、P2P流量控制、垃圾邮件过滤、关键字及内容过滤等安全功能于一体,对有线或无线网络提供智能化、全方位实时保护,实现统一威胁的管理。
Claims (5)
1.一种无线网络统一威胁管理网关,包括外壳和工控机,其特征在于,工控机(1)置于壳体内,工控机上至少有2个PCI插槽,PCI插槽内分别插装有检测防御卡(2)和网络通讯处理卡(3),检测防御卡是集防火墙模块(4)、VPN模块(5)、入侵检测模块(6)和内容过滤及反病毒模块(7)为一体的ASIC芯片,网络通讯处理卡为实现有线或无线接入的KS8695P芯片。
2.根据权利要求1所述的无线网络统一威胁管理网关,其特征在于,所说的网络通讯处理卡(3)上分别有移动上网接口(8)、WLAN接口(9)、无线传感器网接口(10)、串口(11)、JTAG接口(12)、WAN接口(14)和LAN接口(13)。
3.根据权利要求2所述的无线网络统一威胁管理网关,其特征在于,所说的移动上网接口(8)为连接CDMA/GPRS/3G无线上网卡的USB口。
4.根据权利要求2所述的无线网络统一威胁管理网关,其特征在于,所说的WLAN接口(9)为连接无线网卡的USB口。
5.根据权利要求2所述的无线网络统一威胁管理网关,其特征在于,所说的无线传感器网接口(10)为IEEE802.15.4协议接口,连接ZigBee无线传感器网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011200044590U CN201910819U (zh) | 2011-01-07 | 2011-01-07 | 无线网络统一威胁管理网关 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011200044590U CN201910819U (zh) | 2011-01-07 | 2011-01-07 | 无线网络统一威胁管理网关 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN201910819U true CN201910819U (zh) | 2011-07-27 |
Family
ID=44303017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011200044590U Expired - Fee Related CN201910819U (zh) | 2011-01-07 | 2011-01-07 | 无线网络统一威胁管理网关 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN201910819U (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107248982A (zh) * | 2017-06-05 | 2017-10-13 | 钟瑾瑜 | 一种工业无线设备接入装置 |
CN111327522A (zh) * | 2020-04-17 | 2020-06-23 | 安徽交通职业技术学院 | 用于牵引电机的试验系统和方法 |
CN113489727A (zh) * | 2021-07-07 | 2021-10-08 | 镇江联科网络科技有限公司 | 一种信息安全管理平台系统 |
-
2011
- 2011-01-07 CN CN2011200044590U patent/CN201910819U/zh not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107248982A (zh) * | 2017-06-05 | 2017-10-13 | 钟瑾瑜 | 一种工业无线设备接入装置 |
CN111327522A (zh) * | 2020-04-17 | 2020-06-23 | 安徽交通职业技术学院 | 用于牵引电机的试验系统和方法 |
CN113489727A (zh) * | 2021-07-07 | 2021-10-08 | 镇江联科网络科技有限公司 | 一种信息安全管理平台系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10038671B2 (en) | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows | |
JP6634009B2 (ja) | ハニーポートが有効なネットワークセキュリティ | |
KR101554809B1 (ko) | 프로토콜 핑거프린팅 및 평판 상관을 위한 시스템 및 방법 | |
US8904514B2 (en) | Implementing a host security service by delegating enforcement to a network device | |
Li et al. | Research on intelligent intrusion prevention system based on snort | |
Koch | Towards next-generation intrusion detection | |
US20070022474A1 (en) | Portable firewall | |
US20140115688A1 (en) | Multi-method gateway-based network security systems and methods | |
US20060206936A1 (en) | Method and apparatus for securing a computer network | |
US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
Lockwood et al. | Internet worm and virus protection in dynamically reconfigurable hardware | |
CN101958903A (zh) | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 | |
CN201910819U (zh) | 无线网络统一威胁管理网关 | |
Yang et al. | Intrusion detection system for high-speed network | |
Madhusudan et al. | Design of a system for real-time worm detection | |
Meng et al. | Adaptive context-aware packet filter scheme using statistic-based blacklist generation in network intrusion detection | |
Ahmed et al. | A Linux-based IDPS using Snort | |
Keshariya et al. | DDoS defense mechanisms: A new taxonomy | |
CA2738690A1 (en) | Distributed packet flow inspection and processing | |
Patel et al. | A Snort-based secure edge router for smart home | |
WO2005026872A2 (en) | Internal lan perimeter security appliance composed of a pci card and complementary software | |
WO2022267490A1 (zh) | 攻击识别方法、装置及系统、计算机可读存储介质 | |
JP2004140618A (ja) | パケットフィルタ装置および不正アクセス検知装置 | |
Qi et al. | Towards system-level optimization for high performance unified threat management | |
Mao et al. | Current state and future development trend of firewall technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110727 Termination date: 20140107 |