[发明专利]网络安全装置

说明书

技术领域

本发明涉及一种网络安全装置，尤指以MAC转换技术为主要网络安全手段的一种网络安全装置。

背景技术

通信的目的在于将数据从一端传送到另一端，达到远程信息的交流，例如计算机与计算机间的数据传送、无线广播、卫星通信等。其中，通过服务器与网络设备将个人计算机或大型主机以线或无线的方式达到资源共享与信息交换者，便称之为网络。

就公司企业而言，通过网络进行信息交流有助于加速公司企业之业务推展，然而却也带来了机密外泄的隐忧。为了防止机密外泄，公司企业通常采用如图1所示的网络安全架构与外界进行网络通信。其中，公司内部计算机11’所传出的数据(数据包)需先传送至网络访问控制设备12’(包含路由装置)，经过网络访问控制设备12’辨识数据包的IP源地址与IP目的地地址，再将该数据包传送至因特网(Internet)13’，进而通过因特网13’将数据包传送至IP目的地地址所在的接收端计算机14’。其中，最常见的网络访问控制装置12’例如防火墙。

众所周知，防火墙所提供的安全性仅覆盖TCP(TransmissionControlProtocol)的部分而无法覆盖UDP(UserDatagramProtocol)的部分，原因在于通过TCP协议进行数据传输的时候，必须通过IP协议来传送封包；相反地，通过UDP协议进行数据传输的时侯，则不需要验证IP，因此也不保证数据传输的正确性。

由于传统的传统TCP/IP是不甚安全的协议，其数据传输应用在因特网上产生许多安全上的漏洞，故进阶型的防火墙包括了IP转换与/或DNS转换的功能，以达到保护公司内部组织信息不外漏的目的。进阶型的防火墙内部具备一个IP地址的对映机制。进行IP转换有两个好处：其一是隐藏内部网络真正的IP，使黑客无法直接攻击内部网络；另一好处是可以让内部使用者使用保留的IP，这对许多IP不足的企业是很有帮助的。

然而，TCP/IP协议最终仍无法有效防止公司企业的机密外泄，原因在于企业员工仍旧可以通过IP转换网页(如NewIPNow.com)或者IP转换软件(如SafeIP)将其所属计算机的IP转换成他人计算机的IP后，再将公司机密数据对外传送；这么一来，即使公司的网络访问控制设备12’监控到公司机密数据外泄一事，也很难追查将公司机密资料外泄的元凶。

因此，本发明的发明人有鉴于现有的网络访问控制技术仍具有缺点与不足，故极力加以研究发明，终于研发完成本发明的一种网络安全装置。

发明内容

在下文中给出关于本发明的简要概述，以便提供关于本发明的某些方面的基本理解。应当理解，这个概述并不是关于本发明的穷举性概述。它并不是意图确定本发明的关键或重要部分，也不是意图限定本发明的范围。其目的仅仅是以简化的形式给出某些概念，以此作为稍后论述的还详细描述的前序。

本发明的主要目的，在于提供一种网络安全装置，其连接于一第一数据传收终端与一因特网之间，用以将该第一数据传收终端通过该因特网传送至远程一第二数据传收终端的数据封包中所包含的MAC地址进行转换，通过此方式提供网络数据传输的安全性。并且，当第二数据传收终端通过因特网传送数据予第一数据传收终端时，本发明的网络安全装置也会将第二数据传收终端所送出的的数据封包中所包含的MAC地址进行转换，通过此方式提供有效的双向数据传输上的安全防护。

因此，为了达成本发明上述的目的，本发明提供一种网络安全装置，包括：

一USB接口，用以电连接至外部的一第一数据传收终端(datatransceiverterminal)，其中，该第一数据传收终端具有一第一媒体访问控制地址；

至少一控制与处理模块，耦接该USB接口，并具有一第一转换单元与第二转换单元；以及

一以太网络接口，具有一第二媒体访问控制地址，并用以与外部的一因特网达成通信，使得该第一数据传收终端可通过该因特网与远程一第二数据传收终端进行信息交换，其中，该第二数据传收终端具有一第三媒体访问控制地址。如此，当该第一数据传收终端向该第二数据传收终端传送一第一数据封包时该控制与处理模块通过该第一转换单元将该第一数据封包之中的该第一媒体访问控制地址转换成该第二媒体访问控制地址。并且，当该第二数据传收终端向该第一数据传收终端传送一第二数据封包时，该控制与处理模块通过该第二转换单元将该第二数据封包之中的该第三媒体访问控制地址转换成该第二媒体访问控制地址。

进一步地，该USB接口至少包括：

一USB物理层，用以电连接至外部的该第一数据传收终端；以及