本实用新型专利技术提供一种基于国产自主处理器的硬件防火墙系统,属于硬件防火墙领域。该系统的结构包括龙芯处理器、千兆网络控制芯片、显示芯片、南桥和千兆网络接口,南桥、显示芯片、千兆网络控制芯片分别与龙芯处理器相连接,每个千兆网络控制芯片分别对应一个千兆网络接口并与其相连接。该系统和现有技术相比,具有设计合理、结构简单、保证系统自主可控性、避免遭受不确定因素威胁等特点。(*该技术在2021年保护过期,可自由使用*)
【技术实现步骤摘要】
本技术涉及一种硬件防火墙,具体地说是一种基于国产自主处理器的硬件防火墙系统。
技术介绍
Internet的发展给政府结构、企事业单位带来了革命性的改革和开放。他们正努力通过利用Internet来提高办事效率和市场反应速度,以便更具竞争力。通过Internet, 企业可以从异地取回重要数据,同时又要面对Internet开放带来的数据安全的新挑战和新危险即客户、销售商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的“战壕,而这个“战壕“就是防火墙。当前硬件防火墙的硬件架构存在三种1) X86硬件架构;2) ASIC硬件架构;3)网络处理器(NP)硬件架构。但是上述3种架构的都是基于国外的处理器,不能够在根本上保证系统的自主可控性,从而使信息网络的安全也受到不确定因素的威胁。近几年,在控制器或处理器内部添加后门而产生重大影响事件的不断发生,对计算机系统及其信息安全敲响了警钟。防火墙作为信息安全最为致命的环节,硬件架构的国产化更为迫切。
技术实现思路
本技术的技术任务是针对现有技术的不足,提供一种设计合理、结构简单的基于国产自主处理器的硬件防火墙系统。本技术解决其技术问题所采用的技术方案是包括龙芯处理器、千兆网络控制芯片、显示芯片、南桥和千兆网络接口,南桥、显示芯片、千兆网络控制芯片分别与龙芯处理器相连接,每个千兆网络控制芯片分别对应一个千兆网络接口并与其相连接。千兆网络控制芯片设置有5个。本技术的硬件防火墙系统就是针对国外处理器的不确定性,提供的一种基于国产龙芯2F的一种防火墙系统。本系统包括硬件和软件部分,硬件和软件配合完成如下功能用户管理及权限分配用户分为管理员和超级管理员,超级管理员可以增加、修改、删除用户,但是不能对防火墙进行管理。管理员用户可以对防火墙进行配置管理。用户登录需要认证,登录时如果输入密码错误次数达到限制次数,该账户就会处于锁定状态,过固定时间后会自动解锁。网络的基本配置该功能是配置一些网卡的ip,arp等,ip地址通过ifconfig或 ip link等命令可以实现;arp地址的邦定可以通过arp _s或ip link命令来实现。过滤(filter)、地址转换(snat)、端口影射(dnat)配置该项的配置就是通过 iptables命令,去设置不同表的不同链的规则来实现的,在内核只需要打开netfilter选项和所需模块就可以实现。路由管理,高级路由和多路接入配置默认路由,添加、删除路由规则,高级路由可以配置的参数更加详细一些,普通路由通过route命令就可以配置,高级路由有ip rule 和ip route来配合完成。透明模式的配置该功能是用来配置网卡的桥模式,同时也需要支持混合模式,桥模式的配置通过ifconfig和brctl配合实现。DHCPD的server和DHCP relay的支持该功能就是通过DHCP协议地址配置客户端的ip地址,网关,这方面的sever有dhcpd和udhcpd等,由于dpchd比较大,所以应该选择udhcpd。DHCP服务一般是工作在一个网段内,通过DHCP realy的功能就可以从其它网段的服务器上取得配置信息。DHCP relay的功能通过dhcrelay工具实现IDS及其IDS联动IDS即入侵检测系统,能够对网络上的数据进行探测,并把探测的结构保存起来,以供管理员分析使用。如果配置了 IDS联动就可以预先配置好规则,根据网络的状态,如果发现安全漏洞,就可以通过动态的配置防火墙来防止攻击。实现IDS的比较出名开源软件有snort,如果要实现联动的功能就需要snortsam这个工具,这个工具有两部分组成,其中的一部分需要打patch进snort,snort需要重新编译才能支持联动。VPN支持VPN (虚拟私人网络)利用已加密的通道协议(Tunneling Protocol)来达到保密、传送端认证、讯息准确性等私人讯息安全效果。这种技术可以用不安全的网络 (例如因特网)来传送可靠、安全的讯息。需要注意的是,加密讯息与否是可以控制的。没有加密的虚拟私人网络讯息依然有被窃取的危险。常用的Tunneling Protocol有ipsec、 pptp、12f、12tp。本系统采用 IPSEC 的软件 Openswan实现VPN的功能流量控制通过在内核中打开相应的QoS选项,在用户空间是用iproute工具包中的tc就可以实现流量控制。日志系统日志对防火墙是比较重要的,可以把日志存在本地,也可以把日志传输到远程主机上,通过syslogd和klogd可以实现日志的功能。其他功能比如ICMP诊断(hping),路由追踪(traceroute),抓报(探测pdump) 等,由于涉及到有大量的数据显示,所以可能需要使用ajax技术,还有一些特色功能比如 p2p软件,迅雷等,其中用到了的1 ayer7这个模块。本技术的一种基于国产自主处理器的硬件防火墙系统与现有技术相比,所产生的有益效果是龙芯处理器是中科院计算所自行研制的、并拥有全部知识产权的高性能通用处理器,采用MIPS指令集。MIPS体系结构的处理器拥有比较大的10带宽和中断处理延迟,非常适合网络设备。在根本上保证了系统的自主可控性,从而避免信息网络的安全受到不确定因素的威胁。附图说明附图1是本技术的结构框图;图中,1、龙芯处理器,2、千兆网络控制芯片,3、显示芯片,4、南桥,5、千兆网络接口。具体实施方式以下结合附图对本技术作以下详细说明。如附图所示,本技术的一种基于国产自主处理器的硬件防火墙系统,其结构包括龙芯处理器1、千兆网络控制芯片2、显示芯片3、南桥4和千兆网络接口 5,南桥4、显示芯片3、千兆网络控制芯片2分别与龙芯处理器1相连接, 每个千兆网络控制芯片2分别对应一个千兆网络接口 5并与其相连接。千兆网络控制芯片2设置有5个。采用龙芯2F处理器,系统提供5个千兆网络接口,采用82541ER千兆网络控制器芯片,显示芯片采用SM712嵌入式显示芯片,南桥采用CS5536芯片。千兆网络接口 0和网络接口 1具有Byp —种基于国产自主处理器的硬件防火墙系统ss的功能(在系统不开机的情况下,千兆网络接口 0和1具有集线器的功能)。软件系统采用裁剪的Iinux系统,采用自己设计的文件系统。除说明书所述的技术特征外,均为本专业人员的已知技术。本文档来自技高网...
【技术保护点】
1.一种基于国产自主处理器的硬件防火墙系统,其特征在于包括龙芯处理器、千兆网络控制芯片、显示芯片、南桥和千兆网络接口,南桥、显示芯片、千兆网络控制芯片分别与龙芯处理器相连接,每个千兆网络控制芯片分别对应一个千兆网络接口并与其相连接。
【技术特征摘要】
1.一种基于国产自主处理器的硬件防火墙系统,其特征在于包括龙芯处理器、千兆网络控制芯片、显示芯片、南桥和千兆网络接口,南桥、显示芯片、千兆网络控制芯片分别与龙芯处理器...
【专利技术属性】
技术研发人员:吴登勇,牛玉峰,李瑞娥,
申请(专利权)人:山东超越数控电子有限公司,
类型:实用新型
国别省市:88
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。