CN208158628U - 用于信息安全数据采集的警口设备及系统 - Google Patents

Abstract

本实用新型涉及网络安全技术领域，具体提供了用于信息安全数据采集的警口设备及系统，该系统包括警口设备和光分路器，警口设备包括线路处理板、主控交换板和交换背板，交换背板分别与线路处理板和主控交换板电连接，线路处理板负责流量接入和输出，主控交换板实现交换、协议处理、系统配置管理、网管接口等功能，交换背板保证系统运行所需的足够的交换容量，光分路器分别设置于警口设备的输入端和输出端，将公有数据与私有数据区分开，保证数据整合利用率，实现数据资源有效利用，为用户提供良好开放环境。

Description

用于信息安全数据采集的警口设备及系统

技术领域

本实用新型涉及网络安全技术领域，特别涉及用于信息安全数据采集的警口设备及系统。

背景技术

随着当前网络技术的迅猛发展，互联网信息安全形势日益复杂严峻，迫切需要不断提升互联网信息安全数据采集能力。

网络空间虚拟、匿名、受众广、传播快的特点，无形之中为挑战互联网信息安全提供了巨大帮助，据统计，当下世界破坏信息安全活动90％以上通过网络组织或发生在网络领域。特别是近年来，由于全球局势明显紧张升级，破坏信息安全的趋势愈演愈烈，上述情况与新兴网络技术也严重威胁了运营商的网络与信息安全，我国信息安全进入了更加严峻复杂的新阶段。

警口设备是一种用于保障用户系统接收数据的安全性的设备，针对如此严峻的形势，为了保障网络与信息安全，全国运营商已建成互联网国际出口系统、移动互联网系统、互联网节点系统等，配合下游的警口设备对信息数据的安全性进行保障。但是警口设备部署后与实际运行效果综合反馈结果看，目前的警口设备目前面临如下问题：

1、发现难：非法信息隐藏在海量的互联网中，承载渠道多种多样，有公有协议、有音视频、有私有协议等；目前的警口设备存在节点分散问题，监测信息挂一漏万，数据碎片化和零散化显著加大了监测难度；

2、重复多：针对不同客户的特定需求，运营商建设的不同用户的信息安全系统，这些信息安全系统存在资源重复投入、功能雷同的特点，对于资金、空间、能源、人员未能有效利用，而现有的警口设备未能针对该问题进行解决。

实用新型内容

(一)实用新型目的

为克服上述现有技术存在的至少一种缺陷，满足国家互联网应急中心技术规范功能和性能要求，提升非法信息的监测能力，实现重点目标重点监测、互联网网络空间掌控，提升维护互联网信息安全、社会稳定、人民人身财产安全等能力，本实用新型提供了以下技术方案。

(二)技术方案

作为本实用新型的第一方面，本实用新型提供了用于信息安全数据采集的警口设备，包括：

设备框架，其设置有多个槽位；

线路处理板，其安装于所述设备框架的槽位内，所述线路处理板包括网络处理器、ASIC芯片和第一CPU，所述网络处理器、所述ASIC芯片和所述第一CPU 互相之间电连接，所述线路处理板还具有至少一个100GE接口和/或至少一个 10GE接口；

主控交换板，其安装于所述设备框架的槽位内，所述主控交换板包括第二 CPU、板间通信模块、时钟模块、监控模块和网管模块，其中，所述第二CPU、所述板间通信模块、所述时钟模块、所述监控模块和所述网管模块之间电连接，所述网管模块与网管系统电连接；

交换背板，其安装于所述设备框架内，所述交换背板分别与所述线路处理板和所述主控交换板电连接；

电源模块，其安装于所述设备框架内，所述电源模块分别与所述线路处理板、所述主控交换板和所述交换背板连接。

上述技术方案中优选的是，所述100GE接口和所述10GE接口为光纤接口，所述线路处理板还包括光纤收发器，所述光纤收发器与所述100GE接口和所述 10GE接口电连接。

上述技术方案中优选的是，所述线路处理板具有XAUI接口。

上述技术方案中优选的是，所述电源模块提供-48V直流电或220V交流电，所述警口设备具有至少两个提供相同电源种类的电源模块，所述至少两个电源模块中的其中一个电源模块为备用电源模块。

上述技术方案中优选的是，所述设备框架上安装有风扇，所述风扇设置于所述设备框架内的其中一侧。

上述技术方案中优选的是，所述主控交换板具有Console接口和/或 100Base-TX接口。

上述技术方案中优选的是，所述主控交换板具有多个双向串行接口。

上述技术方案中优选的是，所述主控交换板还包括交换矩阵，所述交换矩阵与所述第二CPU电连接。

上述技术方案中优选的是，该警口设备具有两块所述主控交换板，所述两块主控交换板之间电连接，所述两块主控交换板中的其中一块主控交换板作为冗余配置。

作为本实用新型的第二方面，本实用新型还提供了用于信息安全数据采集的警口系统，包括：

上述技术方案中任一技术方案描述的所述的警口设备，其输出端分别与各用户系统连接，所述警口设备被配置为将接收到的私有数据直接发送至各用户系统；

第一光分路器，其输入端与省干网络连接，输出端分别与所述警口设备的输入端以及省出口路由器连接；

第二光分路器，其输入端与所述警口设备的输出端连接，输出端分别与各用户系统连接，所述第二光分路器被配置为将接收到的公有数据分发至各用户系统。

(三)有益效果

本实用新型提供的用于信息安全数据采集的警口设备及系统，具有如下有益效果：

1、该警口设备基于核心路由交换机平台，具备电信级可靠性，面向固网、移动互联网等类型网络，在网络接入层、汇聚层、核心层提供网络管理一体化解决方案，同时该警口设备具备大容量交换能力、高密度单板，以及快速定制化能力。

2、该警口设备提供大容量高密度业务处理能力，每个业务单板可接入流量，进行业务处理和分析，若业务需要跨单板处理则可通过高速背板和Crossbar转发至目的业务处理板进行处理。

3、该警口设备具有电信级软硬件平台，电信级可靠性达到99.999％，主控交换板控制面和转发面采用1+1冗余备份，稳定可靠。

4、警口系统采用多用户高速100G全流量线速处理板卡，公有数据与私有数据区分，不同私有用户数据完全隔离、保证数据整合利用率，实现数据资源有效利用，为用户提供良好开放环境。

附图说明

以下参考附图描述的实施例是示例性的，旨在用于解释和说明本实用新型，而不能理解为对本实用新型的保护范围的限制。

图1是本实用新型提供的警口系统的其中一种实施例的结构框图。

图2是本实用新型提供的警口设备的前面板的结构示意图。

具体实施方式

为使本实用新型实施的目的、技术方案和优点更加清楚，下面将结合本实用新型实施例中的附图，对本实用新型实施例中的技术方案进行更加详细的描述。

需要说明的是：在附图中，自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。所描述的实施例是本实用新型一部分实施例，而不是全部的实施例，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。基于本实用新型中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本实用新型保护的范围。

在本文中，“第一”、“第二”等仅用于彼此的区分，而非表示它们的重要程度及顺序等。

本文中的模块、单元或组件的划分仅仅是一种逻辑功能的划分，在实际实现时可以有其他的划分方式，例如多个模块和/或单元可以结合或集成于另一个系统中。作为分离部件说明的模块、单元、组件在物理上可以是分开的，也可以是不分开的。作为单元显示的部件可以是物理单元，也可以不是物理单元，即可以位于一个具体地方，也可以分布到网格单元中。因此可以根据实际需要选择其中的部分或全部的单元来实现实施例的方案。

以下为本实用新型提供的用于信息安全数据采集的警口设备的其中一种实施例，该警口设备基于核心路由交换机平台，具备电信级可靠性，面向固网、移动互联网等类型网络，在网络接入层、汇聚层、核心层提供网络管理一体化解决方案，同时该警口设备具备大容量交换能力、高密度单板，以及快速定制化能力。如图1及图2所示，该警口设备包括设备框架、线路处理板、主控交换板、交换背板和电源模块。

警口设备采用采用机架式设计，设备框架设置有多个槽位，用于安装各板卡。在一种实施例中，设备框架设置14个槽位，其中第6、第7槽位插装主控交换板，其余12个槽位插装线路处理板。

线路处理板安装于设备框架的槽位内，线路处理板包括网络处理器、ASIC 芯片和第一CPU，网络处理器、ASIC芯片和第一CPU互相之间电连接，线路处理板还具有至少一个100GE接口和/或至少一个10GE接口。线路处理板的数据面采用网络处理器NP芯片完成，控制面采用高性能CPU完成。其中数据面负责处理和转发不同端口上各种类型的数据。

需要说明的是，网络处理器(Network Processor，简称NP)是一种可编程器件，它特定的应用于通信领域的各种任务，比如包处理、协议分析、路由查找、声音/数据的汇聚、防火墙等。CPU(Central Processing Unit)又称中央处理器，是一块超大规模的集成电路，是一台计算机的运算核心和控制核心，中央处理器的功能主要是解释计算机指令以及处理计算机软件中的数据。ASIC (Application Specific Integrated Circuit)，又称特定用途集成电路，是一种为专门目的而设计的集成电路。GE(Gigabit Ethernet)，又称千兆以太网，是用来计量信息传输速率的单位，100GE对应100Gbps(Gbps，即千兆比特每秒)。

线路处理板负责流量接入和输出，每块线路处理板可接入流量，进行业务处理和分析，例如报文处理，包括转发、丢弃、复制和分流等操作，以实现业务流的线速转发。若业务需要跨单板处理则可通过交换背板和Crossbar架构转发至目的线路处理板进行处理。警口设备的整机数据平面采用Crossbar交换架构，将各个业务板卡通过高速交换背板互联起来，主控交换板作为整机交换的核心，预留了高达10.52Tbps的交换容量。

在一个实施例中，线路处理板具有2个100GE接口和24个10GE接口。在另一个实施例中，线路处理板具有48个10GE接口。每个线路处理板通过网络处理器、多核CPU处理器、ASIC交换芯片提供线速的报文处理能力，并根据业务要求提供100GE、10GE和GE等丰富的接口。

在另一个实施例中，100GE接口和10GE接口为光纤接口，线路处理板还包括光纤收发器，光纤收发器与100GE接口和10GE接口电连接。100Gbps光收发器采用商用的光收发模块，将链路输入的100Gbps数据流转换为4路25Gbps数据流。100Gbps以太网接口实现10路10Gbps数据到256位宽度较低频率的数据接口，实现100Gbps报文流的接收缓存以及格式变换。

在又一个实施例中，线路处理板具有XAUI接口。XAUI中的X代表罗马数字 10，表示万兆每秒(10Gbps)，XAUI中的AUI代表以太网连接单元接口(Ethernet Attachment UnitInterface)。XAUI是一种从1000Base-X万兆以太网的物理层直接发展而来的低针数、自发时钟串行总线。XAUI接口的速度为1000Base-X 的2.5倍。通过XAUI接口，不同的线路处理板可以实现不同速率、不同类型业务的接入。

主控交换板安装于设备框架的槽位内，主控交换板包括第二CPU、板间通信模块、时钟模块、监控模块和网管模块，其中，第二CPU、板间通信模块、时钟模块、监控模块和网管模块之间电连接，网管模块与网管系统电连接。

主控交换板使用高性能的CPU和大容量的内存，保证高速的协议处理和巨大的表容量所需要的存储空间。

主控交换板实现交换、协议处理、系统配置管理、网管接口等功能，是系统的核心部分，其对外提供多种操作接口，如串口、以太网口，以进行数据操作和维护。

在一个实施例中，主控交换板具有Console接口和/或100Base-TX接口。 Console接口是用来配置交换机的，Console接口在警口设备中用于连接后台管理终端，在后台管理终端上通过超级终端对警口设备进行操作与维护。Console 接口为RJ45插座，与后台管理终端的COM口之间通过串行电缆连接。串行电缆连警口设备的一端为RJ45插头，连后台管理终端的一端为DB9母头。100Base-TX 接口是传输速率为100Mbit/s的采用基带传输的光纤接口，100Base-TX接口在警口设备中用于设备连接后台的管理口。主控交换板还具有多个双向串行接口。通过双向串行接口完成线路处理板之间的线速数据交换。

主控交换板还包括交换矩阵，交换矩阵与第二CPU电连接。警口设备采用大容量交换矩阵，保证系统线速运行所需要的交换容量。需要说明的是，交换矩阵(switchingmatrix)是背板式交换机上的带有多个超高速率接口的硬件芯片，一般用于数据处理芯片之间数据的高速转发或高端交换机跨线卡的数据转发。

该警口设备具有两块主控交换板，两块主控交换板之间电连接，两块主控交换板中的其中一块主控交换板作为冗余配置。主控交换板是1∶1冗余的重要综合单板。在运行时，两块主控交换板保持着活跃的连接。控制面和转发面采用1+1冗余备份，稳定可靠。

交换背板安装于设备框架内，交换背板分别与线路处理板和主控交换板电连接。系统使用大容量高速背板连接主控交换板和各个线路处理板，保证系统运行所需的足够的交换容量，并为未来的升级预留了足够的带宽容量。

电源模块安装于设备框架内，电源模块分别与线路处理板、主控交换板和交换背板连接，用于供电。在一个实施例中，电源模块提供-48V直流电或220V 交流电，警口设备具有至少两个提供相同电源种类的电源模块，至少两个电源模块中的其中一个电源模块为备用电源模块。直流供电采用1+1备份模式，可由两组-48V直流电同时供电。交流供电则采用2+1备份，提高了电源系统的可靠性。

电源模块采用后出线方式，开关与电源进线都在设备框架的后部。

设备框架上安装有风扇，风扇设置于设备框架内的其中一侧，用于给设备散热。风扇采用左边吸风散热方式，在设备框架一侧由风扇从内部吸风，设备框架另一侧为进风口，形成风道。风扇吸入的冷气流与单板整件和电源板的热气流进行交换，主要发热芯片采用铝散热器散热。在进风口处的设置了防尘网，可从机箱的背面拆卸，方便的进行维护和清洁。

本实用新型还提供了用于信息安全数据采集的警口系统，该警口系统将公有数据与私有数据区分，不同私有用户数据完全隔离、保证数据整合利用率，实现数据资源有效利用，为用户提供良好开放环境。如图1所示，该警口系统包括上述实施例中描述的警口设备、第一光分路器和第二光分路器。

警口设备的输出端分别与各用户系统连接，警口设备被配置为将接收到的私有数据直接发送至各用户系统。

第一光分路器的输入端与省干网络连接，输出端分别与警口设备的输入端以及省出口路由器连接。

第二光分路器的输入端与警口设备的输出端连接，输出端分别与各用户系统连接，第二光分路器被配置为将接收到的公有数据分发至各用户系统。

警口系统支持七个用户，分别为一个管理员用户，一个维护用户、一个调试用户和四个业务用户，其中管理员用户支持分配设备资源和配置公共规则，管理各类用户接入方式、业务用户的公共资源管理、升级补丁等操作；维护用户支持查询设备状态和设备运行日志；调试用户支持调试定位；业务用户支持本用户业务规则配置管理和资源管理，查询本用户的规则信息，端口状态、规则中标统计信息等；根据客户需求和项目统筹规划，按需分发公共数据和四个用户私有数据；公共数据为四个用户公有数据，私有数据为各用户自定义数据。

警口设备部署在省会运营商机房，各省地市运营商数据经过传输网络送到省会运营商机房和其他省出口运营商机房，再送到本省出口路由器和他省出口路由器线路上，通过第一光分路器分别进行分光，省会运营商机房分光的数据直接送到警口设备，其他省出口运营商机房分光的数据经传输网络传递到警口设备，管理员用户通过管理接口下发不同业务用户规则，公共数据经第二分光器分光后送到各业务用户系统，私有数据单独发送给各业务用户系统。

以上所述，仅为本实用新型的具体实施方式，但本实用新型的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本实用新型揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本实用新型的保护范围之内。因此，本实用新型的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种用于信息安全数据采集的警口设备，其特征在于，包括：

设备框架，其设置有多个槽位；

线路处理板，其安装于所述设备框架的槽位内，所述线路处理板包括网络处理器、ASIC芯片和第一CPU，所述网络处理器、所述ASIC芯片和所述第一CPU互相之间电连接，所述线路处理板还具有至少一个100GE接口和/或至少一个10GE接口；

主控交换板，其安装于所述设备框架的槽位内，所述主控交换板包括第二CPU、板间通信模块、时钟模块、监控模块和网管模块，其中，所述第二CPU、所述板 间通信模块、所述时钟模块、所述监控模块和所述网管模块之间电连接，所述网管模块与网管系统电连接；

交换背板，其安装于所述设备框架内，所述交换背板分别与所述线路处理板和所述主控交换板电连接；

电源模块，其安装于所述设备框架内，所述电源模块分别与所述线路处理板、所述主控交换板和所述交换背板连接。

2.根据权利要求1所述的警口设备，其特征在于，所述100GE接口和所述10GE接口为光纤接口，所述线路处理板还包括光纤收发器，所述光纤收发器与所述100GE接口和所述10GE接口电连接。

3.根据权利要求1所述的警口设备，其特征在于，所述线路处理板具有XAUI接口。

4.根据权利要求1所述的警口设备，其特征在于，所述电源模块提供-48V直流电或220V交流电，所述警口设备具有至少两个提供相同电源种类的电源模块，所述至少两个电源模块中的其中一个电源模块为备用电源模块。

5.根据权利要求1所述的警口设备，其特征在于，所述设备框架上安装有风扇，所述风扇设置于所述设备框架内的其中一侧。

6.根据权利要求1所述的警口设备，其特征在于，所述主控交换板具有Console接口和/或100Base-TX接口。

7.根据权利要求1所述的警口设备，其特征在于，所述主控交换板具有多个双向串行接口。

8.根据权利要求1所述的警口设备，其特征在于，所述主控交换板还包括交换矩阵，所述交换矩阵与所述第二CPU电连接。

9.根据权利要求1所述的警口设备，其特征在于，该警口设备具有两块所述主控交换板，所述两块主控交换板之间电连接，所述两块主控交换板中的其中一块主控交换板作为冗余配置。

10.一种用于信息安全数据采集的警口系统，其特征在于，包括：

权利要求1至9中任一权利要求所述的警口设备，其输出端分别与各用户系统连接，所述警口设备被配置为将接收到的私有数据直接发送至各用户系统；

第一光分路器，其输入端与省干网络连接，输出端分别与所述警口设备的输入端以及省出口路由器连接；

第二光分路器，其输入端与所述警口设备的输出端连接，输出端分别与各用户系统连接，所述第二光分路器被配置为将接收到的公有数据分发至各用户系统。