[实用新型]网络隔离器

说明书

技术领域

本实用新型涉及网络安全领域，提供了一种网络隔离器。 

背景技术

目前人们应用最广泛、最为成熟的网络安全技术之一是防火墙，配置得当的防火墙可以阻止很大一部分的攻击行为。对网络起到很好的保护作用。但是，如果配置不当，防火墙就形同虚设起不到保护计算机的作用，安装防火墙只是能够在一定程度上防止不正当程序的入侵。防火墙因其自身的缺陷，使其不可能成为网络安全的最终解决方案。 

实用新型内容

本实用新型的目的在于提供一种既能对内网与外网进行物理隔离又能保持内外网逻辑连接的网络隔离装置。 

本实用新型为实现上述目的采用以下技术方案： 

一种网络隔离器，其特征在于包括：隔离模块，与隔离模块连接的内部处理单元和外部处理单元，

所述隔离模块：包括双端口存储器、与双端口存储器连接的2个USB模块和控制芯片XC3S400，USB模块和内部处理单元和外部处理单元相连进行双向信息通讯，数据从内部处理单元或者外部处理单元的USB端口发送至隔离模块的数据缓冲区双端口存储器芯片中，然后断开该端同隔离模块的连接，建立与另一端的连接，将数据从数据缓冲区双端口存储器芯片发送至外部处理单元或者内部处理单元；

所述内部处理单元与内网相连接，一方面接收并预处理内网传送过来的数据，将其发送至隔离模块中的双端口储存器，另一方面接收通过隔离模块交换过来的数据，对数据进行处理后将其发送至内网；

所述外部处理单元：与外网相连接，接收并预处理外网传送过来的数据，将其发送至隔离模块中的双端口储存器；接收通过隔离模块交换过来的数据，对数据进行处理后将其发送至外网。

所述双端口存储器采用芯片IDT70V7399S。 

所述USB模块采用芯片ISPl58l。 

本实用新型具有以下有益效果： 

本实用新型提供了一种既能对内网与外网进行物理隔离又能保持内外网逻辑连接的网络安全产品。

附图说明

图1为本实用新型的系统方框图。 

具体实施方式

一种网络隔离器，包括隔离模块，与隔离模块连接的内部处理单元和外部处理单元， 

隔离模块：

包括双端口存储器芯片IDT70V7399S，与双端口存储器芯片IDT70V7399S连接的2个 USB模块芯片ISPl58l和控制芯片XC3S400，USB模块芯片ISPl58l内部处理单元和外部处理单元相连进行双向信息通讯。数据从内部处理单元或者外部处理单元的USB端口发送至隔离模块的数据缓冲区双端口存储器芯片IDT70V7399S中，然后断开该端同隔离模块的连接，建立与另一端的连接，将数据从数据缓冲区双端口存储器芯片IDT70V7399S发送至外部处理单元或者内部处理单元；

其中，ISPl58l芯片作为USB模块，主要是为了建立双端口存储器与内外部处理单元的数据通路，在XC3S400控制芯片的作用下，将内外部处理单元中缓存的数据(专用协议封装后的数据)写入双端口存储器或者从双端口存储器读出数据到内外部处理单元中的缓存；IDT70V7399S芯片是双端口存储器，在XC3S400控制芯片的作用下，作为数据传输的存储转发区；XC3S400芯片作为控制芯片，控制ISPl58l芯片与双端口存储器之间的数据通信以及其它相关的通。

内部处理单元： 

与内网相连接，一方面接收并预处理内网传送过来的数据，将其发送至隔离模块中的双端口储存器，另一方面接收通过隔离模块交换过来的数据，对数据进行处理后将其发送至内网；内部处理单元需完成的主要功能如下：

1．安全策略审查：根据预先设置的安全策略对传输的数据包进行安全策略审查。如果违反安全策略，则将数据包删去。

2．TCP／IP协议分解及专用协议封装：对TCP／IP协议类型的数据包进行分解，将TCP／IP包头剥去，把从包头中提取出有用的信息和原数据包的数据部分利用网络隔离器的专用协议进行封装。 

3．专用协议分解及TCP／IP协议封装：对专用协议封装的数据包进行分解，将专用协议包头剥去，把从包头中提取出的有用信息和专用协议包的数据部分使用隔离交换前相应的TCP／IP协议进行封装。 

4．消息认证：读取数据包中的消息认证印戳，利用密钥对其进行解密，获得消息摘要，同时通过MD5运算获得数据包的原始数据部分的消息摘要，通过比较两者是否相同，若一致，则通过消息认证，否则，为通过消息认证。