[发明专利]一种移动式网线防火墙装置

说明书

本发明公开了一种移动式网线防火墙装置，在通用的嵌入式系统的网络接口外，加载一个外接的防火墙，网络数据通过网线连接的防火墙的安全策略验证过滤后，将安全数据传入通用嵌入式系统中；所述防火墙与嵌入式设备之间的数据传输接口，采用标准以太网RJ45接口数据传输连接；本发明的采用数据过滤、状态检测、安全策略、嵌入式等技术，其作用在嵌入式系统网络安全领域，解决目前网络安全研究中针对接入互联网的嵌入式系统的安全性，数据安全性、网络攻击、系统运转安全等问题。

技术领域

本发明属于网线防火墙领域，尤其涉及一种移动式网线防火墙装置。

背景技术

随着网络技术的发展，越来越多的嵌入式设备连接到互联网，在给人们日常生活带来方便的同时，联网设备的广泛使用随之带来了在网络中的安全问题。大部分设备往往会使用很长时间，而一般的联网设备在调试完成投入使用后很少进行更新迭代，所以联网设备一旦接入网络，其安全程度非常有限。

目前行业中对于网络安全的研究方向中，对于接入网络的嵌入式系统的安全并没有太多研究。因此目前大部分投入使用的联网设备大多都是处于无防护状态的。而且由于大部分联网设备本身运算能力有限，并不能在设备上搭载防火墙模块。

发明内容

发明目的：为了克服现有技术中存在的不足，本发明提供一种对网络数据线进行屏蔽的一种移动式网线防火墙装置。

技术方案：为实现上述目的，本发明的一种移动式网线防火墙装置，在通用的嵌入式系统的网络接口外，加载一个外接的防火墙，网络数据通过网线连接的防火墙的安全策略验证过滤后，将安全数据传入通用嵌入式系统中；所述防火墙与嵌入式设备之间的数据传输接口，采用标准以太网RJ45接口数据传输连接。

进一步的所述防火墙的功能模块包括内存和CPU模块，以及实现从安全策略到规则转换的rule模块，还有对数据包进行是否符合规则的判断的过滤模块，以及实现和嵌入式设备或者网络的数据交换的数据接口模块；其中数据接口模块分为两部分，一边是连接嵌入式设备的数据I/O口，另一边是与无线网络进行数据交换的I/O口；

首先数据包从通过网线传输至防火墙的网络数据接口，然后通过路由表提取相应的规则，对数据包进行安全策略规则判断，也即实现防火墙的包过滤功能。其中不符合安全策略规则的数据包直接丢弃，将符合安全策略的数据包进行封装，对其进行协议转换以及数据加密与认证等一系列工作，当封装完成后，通过嵌入式数据接口如总线，串口等将其发送至CPU进行运算。嵌入式系统在处理完网络发送进来的数据之后，若需要向外部网络发送数据，同样通过上文的流程，即先通过内部数据接口将数据从CPU发送至防火墙模块进行协议转换与包过滤，再通过防火墙的外部接口将处理过的数据发送至互联网络。

进一步的，所述防火墙的安全机制是根据分组包的源宿地址，端口号以及协议类型，标志确定是否允许报文通过；所根据的信息源来自于IP、TCP或UDP包头，采用常规防火墙中的包过滤技术，只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余不符合条件的数据包则抛弃；根据安全策略的规则，对输入输出的数据实行加密，认证，数字签名，完整性校验等安全措施，保证数据传输中的安全；

进一步的，防火墙的访问控制安全策略是通过对输入输出数据的监控，控制其输入输出，可以阻挡一部分攻击。根据预先指定的安全规则，对输入输出数据进行监测，符合要求的数据允许通过，否则屏蔽掉该数据包，由于嵌入式设备往往提供的网络功能相对较少，对于不必要的数据就可以控制其进出；数据保密与完整性安全策略是通过对传输数据的加密，封装与认证来保证数据的保密性，使得未授权的用户无法获取信息内容。

进一步的，所述防火墙的硬件结构包括有进行规则运算以及数据加密运算的CPU模块；和储存安全策略规则的RAM存储模块；以及提供运行内存的Flash闪存模块；供电模块；还有最重要的数据接口模块，分为两部分，一部分负责与嵌入式系统进行数据交互，还有一部分负责连接网线，接收网络数据。