CN205142271U - 一种采用具有防火墙功能的交换机的网络安全防护装置 - Google Patents
一种采用具有防火墙功能的交换机的网络安全防护装置 Download PDFInfo
- Publication number
- CN205142271U CN205142271U CN201520992978.0U CN201520992978U CN205142271U CN 205142271 U CN205142271 U CN 205142271U CN 201520992978 U CN201520992978 U CN 201520992978U CN 205142271 U CN205142271 U CN 205142271U
- Authority
- CN
- China
- Prior art keywords
- switch
- chip
- optical fiber
- interface
- core
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本实用新型公开了一种采用具有防火墙功能的交换机的网络安全防护装置,包括第一核心交换机、第二核心交换机和DMZ区;所述的DMZ区包括第一光纤交换机、第二光纤交换机、服务器组和数据库组;所述的第一核心交换机和第二核心交换机为具有防火墙功能的交换机,包括中央处理器、桥芯片、网卡芯片、交换芯片、PHY芯片和背板,所述交换芯片通过XLAUI接口连接网卡芯片,所述交换芯片通过PCI接口连接桥芯片,所述交换芯片连接多个千兆光接口,所述交换芯片通过SGMII接口连接背板,所述交换芯片通过XLAUI接口连接PHY芯片,所述PHY芯片连接多个万兆光接口。采用交换机与防火墙一体设计架构,中央处理器采用高性能的RMI芯片,网络部署简明,提高了设备的利用率。
Description
技术领域
本实用新型涉及一种采用具有防火墙功能的交换机的网络安全防护装置。
背景技术
计算机网络是信息社会的基础,己经进入社会的各个角落。但网络本身的开放性、无界性等等特性,在给工作、学习、生活带来巨大便利的同时,也带来了一些不容忽视的问题,网络安全就是其中最为显著的问题之一。
网络安全防护是一种网络安全技术,指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,装置安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
防火墙一般包括中央处理器、桥芯片、网卡芯片等,根据网卡芯片的速率的不同来确定该防火墙的端口速率,由于中央处理器的PCI总线标准的限制,所以网卡芯片的数量有限,造成其端口数量的有限。
实用新型内容
本实用新型的目的在于克服现有技术的不足,提供一种采用具有防火墙功能的交换机的网络安全防护装置,采用双链路结构提高安全性能,同时采用交换机与防火墙一体设计架构。
本实用新型的目的是通过以下技术方案来实现的:一种采用具有防火墙功能的交换机的网络安全防护装置,包括第一核心交换机、第二核心交换机和DMZ区;所述的DMZ区包括第一光纤交换机、第二光纤交换机、服务器组和数据库组;所述的第一核心交换机和第二核心交换机均与外网连接,第一核心交换机还分别与第一光纤交换机和第二光纤交换机连接,第二核心交换机还分别与第一光纤交换机和第二光纤交换机连接,第一光纤交换机分别与数据库组和服务器组连接,第二光纤交换机也分别与数据库组和服务器组连接,所述的第一核心交换机和第二核心交换机为具有防火墙功能的交换机,包括中央处理器、桥芯片、网卡芯片、交换芯片、PHY芯片和背板,所述交换芯片通过XLAUI接口连接网卡芯片,所述交换芯片通过PCI接口连接桥芯片,所述交换芯片连接多个千兆光接口,所述交换芯片通过SGMII接口连接背板,所述交换芯片通过XLAUI接口连接PHY芯片,所述PHY芯片连接多个万兆光接口;通过千兆光接口/万兆光接口分别与第一防火墙、第二防火墙和外网连接。
所述背板设置有12个万兆光接口。
所述中央处理器采用RMI芯片。
所述交换芯片采用BCM56514。
所述PHY芯片采用AC524。
一种采用具有防火墙功能的交换机的网络安全防护装置还包括一个WAF设备,所述的WAF设备包括四个接口;其中,第一接口与第一核心交换机连接,第二接口与第二核心交换机连接,第三接口与第一光纤交换机连接,第四接口与第二光纤交换机。
一种采用具有防火墙功能的交换机的网络安全防护装置还包括一个流量控制设备,所述的流量控制设备分别与第一核心交换机和第二核心交换机连接。
本实用新型的有益效果是:
(1)在数据向服务器或者数据库的发送过程中,数据通过核心交换机进入,然后再墙和光纤交换机进入服务器组和数据库组。核心交换机和光纤交换机均采用双链路结构,当其中一个设备损坏,不会影响整个装置的运行。比如,当第一核心交换机损坏,数据就通过第二核心交换机进行传输,光纤交换机同理。
(2)核心交换机型采用交换机与防火墙一体设计架构,中央处理器采用高性能的RMI芯片,提供两个万兆光接口、八个千兆光接口,网络部署简明,提高了设备的利用率。
附图说明
图1为本实用新型结构框图;
图2为核心交换机模块框图。
具体实施方式
下面结合附图进一步详细描述本实用新型的技术方案,但本实用新型的保护范围不局限于以下所述。
如图1所示,一种采用具有防火墙功能的交换机的网络安全防护装置,包括第一核心交换机、第二核心交换机和DMZ区;所述的DMZ区包括第一光纤交换机、第二光纤交换机、服务器组和数据库组;所述的第一核心交换机和第二核心交换机均与外网连接,第一核心交换机还分别与第一光纤交换机和第二光纤交换机连接,第二核心交换机还分别与第一光纤交换机和第二光纤交换机连接,第一光纤交换机分别与数据库组和服务器组连接,第二光纤交换机也分别与数据库组和服务器组连接;通过千兆光接口/万兆光接口分别与第一防火墙、第二防火墙和外网连接。
在数据向服务器或者数据库的发送过程中,数据通过核心交换机进入,然后再通过光纤交换机进入服务器组和数据库组。核心交换机和光纤交换机均采用双链路结构,当其中一个设备损坏,不会影响整个装置的运行。比如,当第一核心交换机损坏,数据就通过第二核心交换机进行传输,光纤交换机同理。
数据向外发送的过程也相同。
光纤交换机采用华为SNS2248,服务器组为华为RH5885V3服务器,数据库组为OCEANSTOR18800。均为现有设备,不需要对其软件进行改进。
DMZ是英文“demilitarizedzone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全装置与安全装置之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
如图2所示,所述的第一核心交换机和第二核心交换机为具有防火墙功能的交换机,包括中央处理器、桥芯片、网卡芯片、交换芯片、PHY芯片和背板。在本实施例中,桥芯片采用的PCH(PlatformControllerHub,集成南桥),PCH是一个intel公司的集成南桥,其芯片具有原来的ICH(Input/OutputControllerHub,输入输出控制中心)的全部功能,又具有MCH芯片(MemoryControllerHub,内存控制中心)的管理引擎功能。中央处理器通过总线连接桥芯片,中央处理器通过PCI接口(PeripheralComponentInterconnect,外设部件互连标准)连接网卡芯片,网卡芯片通过XLAUI接口(以太网连接单元接口)连接网卡芯片,交换芯片通过PCI接口连接桥芯片,交换芯片通过总线连接8个千兆光接口,交换芯片通过SGMII接口(SerialGigabitMediaIndependentInterface,一种新的应用于以太网中的串行高速接口)连接背板,交换芯片通过XLAUI接口连接PHY芯片,PHY芯片通过SFI总线(点对点通信的总线)连接2个万兆光接口。采用交换机与防火墙一体设计架构,网络部署简明,提供两个万兆光接口、八个千兆光接口,提高了设备的利用率。
优选地,背板设置有12个万兆光接口。背板能够根据用户的需要来设置成12个万兆光接口,提高设备的利用率。
优选地,中央处理器采用RMI芯片(RemoteMethodInwocation,远程方法调用),使设备的稳定性和可靠性更好。
优选地,交换芯片采用BCM56514,BCM56514是第五代高度集成、经济实惠的StrataSwitch和StrataXGS产品系列,BCM56514集成了24个千兆以太网端口,能够以10/100/1000比特每秒的速度运行,因此,交换芯片采用BCM56514芯片能够使设备运行速度良好。
优选地,PHY芯片采用AC524,AC524集成4M位缓存用于数据包存储转发,其芯片的网络兼容性、稳定性好。
本实用新型采用交换机与防火墙一体设计架构,中央处理器采用高性能的RMI芯片,提供两个万兆光接口、八个千兆光接口,网络部署简明,提高了设备的利用率。
一种采用具有防火墙功能的交换机的网络安全防护装置还包括一个WAF设备,所述的WAF设备包括四个接口;其中,第一接口与第一核心交换机连接,第二接口与第二核心交换机连接,第三接口与第一光纤交换机连接,第四接口与第二光纤交换机。WAF设备设置于DMZ区。
WAF设备即Web应用防护装置(也称:网站应用级入侵防御装置。英文:WebApplicationFirewall,简称WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
在本实施例中,WAF设备采用安恒WAF-200AG,不需要对其软件进行改进,是现有设备。
一种采用具有防火墙功能的交换机的网络安全防护装置还包括一个流量控制设备,所述的流量控制设备分别与第一核心交换机和第二核心交换机连接。
“流控”是“流量控制”的简称。流控技术分为两种:一种是传统的流控方式,通过路由器、交换机的QoS模块实现基于源地址、目的地址、源端口、目的端口以及协议类型的流量控制,属于四层流控;另一种是智能流控方式,通过专业的流控设备实现基于应用层的流控,属于七层流控。
本实施例采用传统的流控方式,将流量控制设备与核心交换机连接。并且在本实施例中,流量控制设备采用深信服BM-1600,不需要对其软件进行改进,是现有设备。
Claims (7)
1.一种采用具有防火墙功能的交换机的网络安全防护装置,包括第一核心交换机、第二核心交换机和DMZ区;所述的DMZ区包括第一光纤交换机、第二光纤交换机、服务器组和数据库组;所述的第一核心交换机和第二核心交换机均与外网连接,第一核心交换机还分别与第一光纤交换机和第二光纤交换机连接,第二核心交换机还分别与第一光纤交换机和第二光纤交换机连接,第一光纤交换机分别与数据库组和服务器组连接,第二光纤交换机也分别与数据库组和服务器组连接,其特征在于:所述的第一核心交换机和第二核心交换机为具有防火墙功能的交换机,包括中央处理器、桥芯片、网卡芯片、交换芯片、PHY芯片和背板,所述交换芯片通过XLAUI接口连接网卡芯片,所述交换芯片通过PCI接口连接桥芯片,所述交换芯片连接多个千兆光接口,所述交换芯片通过SGMII接口连接背板,所述交换芯片通过XLAUI接口连接PHY芯片,所述PHY芯片连接多个万兆光接口;通过千兆光接口/万兆光接口分别与第一防火墙、第二防火墙和外网连接。
2.根据权利要求1所述的一种采用具有防火墙功能的交换机的网络安全防护装置,其特征在于:所述背板设置有12个万兆光接口。
3.根据权利要求1所述的一种采用具有防火墙功能的交换机的网络安全防护装置,其特征在于:所述中央处理器采用RMI芯片。
4.根据权利要求1所述的一种采用具有防火墙功能的交换机的网络安全防护装置,其特征在于:所述交换芯片采用BCM56514。
5.根据权利要求1所述的一种采用具有防火墙功能的交换机的网络安全防护装置,其特征在于:所述PHY芯片采用AC524。
6.根据权利要求1所述的一种采用具有防火墙功能的交换机的网络安全防护装置,其特征在于:还包括一个WAF设备,所述的WAF设备包括四个接口;其中,第一接口与第一核心交换机连接,第二接口与第二核心交换机连接,第三接口与第一光纤交换机连接,第四接口与第二光纤交换机。
7.根据权利要求1所述的一种采用具有防火墙功能的交换机的网络安全防护装置,其特征在于:还包括一个流量控制设备,所述的流量控制设备分别与第一核心交换机和第二核心交换机连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201520992978.0U CN205142271U (zh) | 2015-12-04 | 2015-12-04 | 一种采用具有防火墙功能的交换机的网络安全防护装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201520992978.0U CN205142271U (zh) | 2015-12-04 | 2015-12-04 | 一种采用具有防火墙功能的交换机的网络安全防护装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN205142271U true CN205142271U (zh) | 2016-04-06 |
Family
ID=55628020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201520992978.0U Expired - Fee Related CN205142271U (zh) | 2015-12-04 | 2015-12-04 | 一种采用具有防火墙功能的交换机的网络安全防护装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN205142271U (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107612853A (zh) * | 2017-08-30 | 2018-01-19 | 南京南业电子科技有限公司 | 一种嵌入式工业交换机 |
| CN107659582A (zh) * | 2017-10-27 | 2018-02-02 | 李刚 | 一种有效应对apt攻击的纵深防御系统 |
-
2015
- 2015-12-04 CN CN201520992978.0U patent/CN205142271U/zh not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107612853A (zh) * | 2017-08-30 | 2018-01-19 | 南京南业电子科技有限公司 | 一种嵌入式工业交换机 |
| CN107659582A (zh) * | 2017-10-27 | 2018-02-02 | 李刚 | 一种有效应对apt攻击的纵深防御系统 |
| CN107659582B (zh) * | 2017-10-27 | 2023-08-08 | 李刚 | 一种有效应对apt攻击的纵深防御系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104486336A (zh) | 工业控制网络安全隔离交换装置 | |
| CN105812340B (zh) | 一种虚拟网络访问外网的方法和装置 | |
| CN105245555B (zh) | 一种用于电力串口服务器通信协议安全防护系统 | |
| CN202679397U (zh) | 实时工业以太网EtherCAT从站系统 | |
| CN205142271U (zh) | 一种采用具有防火墙功能的交换机的网络安全防护装置 | |
| CN203883860U (zh) | 一种校园网的网络通信架构 | |
| CN204719759U (zh) | 一种计算机网络病毒隔离系统 | |
| CN205142265U (zh) | 一种适用于数据处理量大的网络防护装置 | |
| CN201048388Y (zh) | 一种基于刀片服务器的千兆交换刀片 | |
| CN105577752A (zh) | 一种用于融合架构服务器的管理系统 | |
| CN205142275U (zh) | 一种采用分布式交换机的交通行业网络防护装置 | |
| CN207638693U (zh) | 隔离网关 | |
| CN103166840A (zh) | 服务器与交换机的数据传输方法与系统 | |
| CN201976140U (zh) | 思科环境下的网络准入控制系统 | |
| CN206021155U (zh) | 一种融合架构服务器 | |
| CN202551086U (zh) | 以太网交换机 | |
| CN101616075A (zh) | Arp代理技术 | |
| CN205142274U (zh) | 一种应用于交通行业的安全防护装置 | |
| CN205160565U (zh) | 一种采用冗余式核心交换机的交通行业安全防护装置 | |
| CN205142273U (zh) | 一种采用工业级以太网光交换机的安全防护装置 | |
| CN105591867B (zh) | Ict融合设备和ict融合方法 | |
| CN203896379U (zh) | 具有可靠访问控制性能的防火墙系统 | |
| CN205142244U (zh) | 一种具有防雷特性的交通行业网络防护装置 | |
| CN106533996A (zh) | 一种超长距离传输的网线交换机 | |
| CN205179092U (zh) | 一种采用防静电核心交换机的安全防护装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190920 Address after: 235000 State Purchase Plaza, Xiangshan District, Huaibei City, Anhui Province, No. 623, Block A Patentee after: Anhui Zeqi Information Technology Service Co.,Ltd. Address before: 610021, No. 15, road, No. 58, KELONG Road, Chengdu, Sichuan, E16 Patentee before: CHENGDU SMAIT INFO TECH Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191028 Address after: Room 601, block a, building 3, Guogou Plaza (commercial), Xiangshan District, Huaibei City, Anhui Province Patentee after: Huaibei Shengshi Haoming Technology Service Co.,Ltd. Address before: 235000 State Purchase Plaza, Xiangshan District, Huaibei City, Anhui Province, No. 623, Block A Patentee before: Anhui Zeqi Information Technology Service Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160406 Termination date: 20211204 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |