[发明专利]一种移动式网线防火墙装置

权利要求书

1.一种移动式网线防火墙装置，其特征在于：在通用的嵌入式系统的网络接口外，加载一个外接的防火墙，网络数据通过网线连接的防火墙的安全策略验证过滤后，将安全数据传入通用嵌入式系统中；所述防火墙与嵌入式设备之间的数据传输接口，采用标准以太网RJ45接口数据传输连接。

2.根据权利要求1所示的一种移动式网线防火墙装置，其特征在于：所述防火墙的功能模块包括内存和CPU模块，以及实现从安全策略到规则转换的rule模块，还有对数据包进行是否符合规则的判断的过滤模块，以及实现和嵌入式设备或者网络的数据交换的数据接口模块；其中数据接口模块分为两部分，一边是连接嵌入式设备的数据I/O口，另一边是与无线网络进行数据交换的I/O口；

首先数据包从通过网线传输至防火墙的网络数据接口，然后通过路由表提取相应的规则，对数据包进行安全策略规则判断，也即实现防火墙的包过滤功能。其中不符合安全策略规则的数据包直接丢弃，将符合安全策略的数据包进行封装，对其进行协议转换以及数据加密与认证等一系列工作，当封装完成后，通过嵌入式数据接口如总线，串口等将其发送至CPU进行运算。嵌入式系统在处理完网络发送进来的数据之后，若需要向外部网络发送数据，同样通过上文的流程，即先通过内部数据接口将数据从CPU发送至防火墙模块进行协议转换与包过滤，再通过防火墙的外部接口将处理过的数据发送至互联网络。

3.根据权利要求2所示的一种移动式网线防火墙装置，其特征在于：所述防火墙的安全机制是根据分组包的源宿地址，端口号以及协议类型，标志确定是否允许报文通过；所根据的信息源来自于IP、TCP或UDP包头，采用常规防火墙中的包过滤技术，只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余不符合条件的数据包则抛弃；根据安全策略的规则，对输入输出的数据实行加密，认证，数字签名，完整性校验等安全措施，保证数据传输中的安全。

4.根据权利要求3所示的一种移动式网线防火墙装置，其特征在于：防火墙的访问控制安全策略是通过对输入输出数据的监控，控制其输入输出，可以阻挡一部分攻击。根据预先指定的安全规则，对输入输出数据进行监测，符合要求的数据允许通过，否则屏蔽掉该数据包，由于嵌入式设备往往提供的网络功能相对较少，对于不必要的数据就可以控制其进出；数据保密与完整性安全策略是通过对传输数据的加密，封装与认证来保证数据的保密性，使得未授权的用户无法获取信息内容。

5.根据权利要求4所示的一种移动式网线防火墙装置，其特征在于：所述防火墙的硬件结构包括有进行规则运算以及数据加密运算的CPU模块；和储存安全策略规则的RAM存储模块；以及提供运行内存的Flash闪存模块；供电模块；还有最重要的数据接口模块，分为两部分，一部分负责与嵌入式系统进行数据交互，还有一部分负责连接网线，接收网络数据。

6.根据权利要求5所示的一种移动式网线防火墙装置，其特征在于：在嵌入式系统中引入防火墙的安全机制接口的概念，其数据报文处理流程是在嵌入式系统运行内核中注册一安全机制接口，安全机制接口与实际的网络接口一一对应；然后在路由表中增加指向防火墙安全机制接口的入口，使所有输入输出的数据包直接送往安全处理机制接口；然后将分组封装处理程序放在安全处理机制里，从而使得不必修改IP的源码，防火墙安全治理机制中的模块包括：策略数据库SPD的查询，规则的选择以及分组的封装处理；最后的数据包送往嵌入式系统的数据接口，实现了安全通信。