本实用新型专利技术提供一种嵌入到业务服务器内部的门闸式安全网关,涉及VPN网关技术领域,管理模块分别与FPGA模块、密码硬件模块和内网接口通信连接,管理模块用于实现通信过程的防火墙控制及网络访问者的身份认证;管理模块还通过密码硬件模块调用硬件密码服务,以对连接到网关的设备进行身份密码认证;FPGA模块用于对网关的通信数据包进行加密及解密。本实用新型专利技术可实现网络端口的安全隔离防护。本实用新型专利技术对嵌入式板卡形态的应用,直接部署于服务器内部,于服务器内部取电。网关通过WAN口连接外网线,通过LAN口与业务服务器网口通过网线直连。无需改变业务系统的业务逻辑及物理布局,同时部署时不需要考虑布线及电源情况。部署时不需要考虑布线及电源情况。部署时不需要考虑布线及电源情况。
【技术实现步骤摘要】
一种嵌入到业务服务器内部的门闸式安全网关
[0001]本技术涉及VPN网关
,尤其涉及一种嵌入到业务服务器内部的门闸式安全网关。
技术介绍
[0002]随着信息技术的发展,信息安全尤其是信息系统设备的安全显得尤为重要,设备安全包括环境安全、通信链路安全等等。传统VPN网关提供了一种上述问题的解决方案,通过阻断网络上不能通过密码算法的网络包,仅允许密码算法保护的目标网络包通过,保障后端内网的信息系统的通信链路安全及后端内网所处环境安全,见图1传统VPN网关示意。
[0003]近年来远程办公越来越普及,员工通过外网需要访问公司内网的情况越来越多,外网指互联网,内网指需要保护的网络区域,该区域部署有大量各类业务服务器,需要从互联网对其进行访问。比如员工通过外网远程访问企业内网OA系统,但外网上存在各类恶意攻击者,企业存储于内网业务服务器的数据面临着裸奔风险。此种场景亟需一种安全防护手段。
[0004]现有的防护手段是在内外网边界上部署传统的VPN网关,对内网业务服务器进行安全防护。传统的VPN网关为机箱服务器形态,部署时需要占用机箱位置,基于成本及应用场景考量,部署时多台业务服务器共用一台传统VPN网关,如图2传统网关应用场景。多台业务服务器共用一台VPN网关实现内外网隔离保护,各个业务服务器均暴露在共同的内网环境中,所有业务服务器的安全只能依靠内网防护面上的VPN网关等设备。
[0005]随着信息时代的发展,信息系统越来越复杂,安全环境越来越严峻,目前内外网边界处通过传统VPN网关等安全设备建立了一套完整的防护平面,以阻止恶意攻击者的进攻。但传统VPN网关等安全设备的操作系统漏洞、CPU漏洞、第三方代码库安全漏洞不断被挖掘并被攻击者使用。攻击者仅需在整个防护面上通过某个点的漏洞,即可攻破并进入内网,其进入内网后危害极大,原本躲在传统VPN网关后端的业务服务器再无任何安全防护手段,均会受到肆意攻击,此种情况见图3 传统内网场景攻击示意图,同时可以看出内网环境中业务服务器的身份一般通过IP地址这类软策略来实现,其身份在内网内易被伪造及冒用。同时传统VPN网关只能防护来自于外网的攻击,当攻击来源为内网时,传统VPN网关无法对业务服务器提供安全保护。
技术实现思路
[0006]本技术提供一种可实现网络端口的安全隔离防护斌嵌入到业务服务器内部的门闸式安全网关,包括:FPGA模块、密码硬件模块、管理模块、外网接口、内网接口以及给网关内部电子元件供电的电源模块;
[0007]管理模块分别与FPGA模块、密码硬件模块和内网接口通信连接,管理模块用于实现通信过程的防火墙控制及网络访问者的身份认证;管理模块还通过密码硬件模块调用硬件密码服务,以对连接到网关的设备进行身份密码认证;
[0008]FPGA模块与外网接口通信连接,FPGA模块用于对网关的通信数据包进行加密及解密。
[0009]进一步需要说明的是,密码硬件模块储存有密钥和密码算法。
[0010]进一步需要说明的是,外网接口为WAN口;内网接口为LAN口。
[0011]进一步需要说明的是,管理模块采用国密算法中的非对称SM2算法实现身份认证。
[0012]进一步需要说明的是,FPGA模块采用国密算法中的SM4对称算法,或ZUC算法。
[0013]进一步需要说明的是,FPGA模块、密码硬件模块、管理模块、外网接口、内网接口以及电源模块安装在PCIE板卡上;
[0014]PCIE板卡设有12V取电口及PCIE接口。
[0015]进一步需要说明的是,PCIE板卡还设有标准SATA 7P电源口。
[0016]进一步需要说明的是,PCIE板卡还设有SATA接口。
[0017]从以上技术方案可以看出,本技术具有以下优点:
[0018]本技术提供的门闸式安全网关实现了网络数据包的密码算法处理及认证,仅允许密码算法处理正确且认证通过的网络数据包流向管理模块,实现了对网络数据包的门闸式管理,其被攻击面极小,攻击面仅为对密码算法的攻击,其安全性大大高于传统VPN网关。
[0019]本技术的门闸式安全网关有效解决内网中业务服务器的硬件身份认证、通信链路安全及内网暴露问题。每台业务服务器通过部署门闸式安全网关后其安全性得到提升,符合微隔离网络体系结构,内网中的每个网络资源均受门闸网关安全保护。内部出现攻击者后无法实现对所有业务服务器的无差别攻击,外部攻击者攻破传统VPN网关等安全设备后,无法直接对业务服务器进行攻击。
附图说明
[0020]为了更清楚地说明本技术的技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0021]图1为传统VPN网关示意图;
[0022]图2为传统VPN网关应用场景图;
[0023]图3为传统内网场景攻击示意图;
[0024]图4为门闸式安全网关示意图;
[0025]图5为门闸式安全网关应用部署图;
[0026]图6为门闸式安全网关网络包的密码运算处理示意图;
[0027]图7为门闸式安全网关对网络包处理策略示意图。
具体实施方式
[0028]为使得本技术的目的、特征、优点能够更加的明显和易懂,下面将结合本具体实施例中的附图,对本技术中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本技术一部分实施例,而非全部的实施例。基于本专利中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利保
护的范围。
[0029]本技术提供的门闸式安全网关,如图4所示,包括:FPGA模块2、密码硬件模块4、管理模块3、外网接口5、内网接口6以及给网关内部电子元件供电的电源模块7;
[0030]管理模块3分别与FPGA模块2、密码硬件模块4和内网接口6通信连接,管理模块3用于实现通信过程的防火墙控制及网络访问者的身份认证;管理模块3还通过密码硬件模块4调用硬件密码服务,以对连接到网关的设备进行身份密码认证;FPGA模块2与外网接口5通信连接,FPGA模块2用于对网关的通信数据包进行加密及解密。
[0031]密码硬件模块4可通过门闸式安全网关设置的USB接口或SATA接口等高速接口供操作系统调用硬件密码服务,以实现硬件密码的身份认证等功能。密码硬件模块4内部实现密钥安全存储,密码算法支持等功能。
[0032]作为本技术来讲,门闸式安全网关可对内网业务服务器8进行独立防护,为业务服务器8提供基于硬件密码的身份识别、网络通信链路加密保护、隔离网络攻击等功能。外网的网络访问请求只有通过门闸认证后才允许对此业务服务器8资源的访问。
[0033]对于FPGA模块2来讲,FPGA模块2还可实现的密码算法处理及路由策略本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种嵌入到业务服务器内部的门闸式安全网关,其特征在于,包括:FPGA模块、密码硬件模块、管理模块、外网接口、内网接口以及给网关内部电子元件供电的电源模块;管理模块分别与FPGA模块、密码硬件模块和内网接口通信连接,管理模块用于实现通信过程的防火墙控制及网络访问者的身份认证;管理模块还通过密码硬件模块调用硬件密码服务,以对连接到网关的设备进行身份密码认证;FPGA模块与外网接口通信连接,FPGA模块用于对网关的通信数据包进行加密及解密。2.根据权利要求1所述的嵌入到业务服务器内部的门闸式安全网关,其特征在于,密码硬件模块储存有密钥和密码算法。3.根据权利要求1所述的嵌入到业务服务器内部的门闸式安全网关,其特征在于,外网接口为WAN口;内网接口为LAN口。4.根据权利要求1所...
【专利技术属性】
技术研发人员:牛余晓,刘千,崔兴东,尹湘鲁,张敏,
申请(专利权)人:中孚信息股份有限公司,
类型:新型
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。