一种实时信息检测网络交换系统的制作方法

1.本发明涉及信息网络交换技术领域，具体涉及一种可实时信息检测网络交换系统。


背景技术：

[0002][0003]
现阶段的网络安全建设多采用防火墙技术，在实际使用中存在以下几个缺陷：缺陷1、传统防火墙只在网络核心层部署，无法防护用户单机通过存储介质或者无线通信等方式导入威胁后，对局域网的其他用户造成安全威胁；缺陷2、针对敌已入网、敌已在网的风险情况，局域网内部不能有效的保护特定用户的网络安全；缺陷3、传统防火墙串接在网络核心层与外部网络中间，这样当防火墙设备自身故障时，影响所有用户的对外通信功能，对网络可靠性要求非常高；缺陷4、传统防火墙串接在网络核心层与外部网络中间，这样当发现威胁时，只能阻断内外网的通路，拒绝所有内部用户的对外通信，影响整体的工作效率；缺陷5、传统防火墙设备体积和功耗较大，如果每个局域网对外都安装一套，这样经济性和实用性较低，对整体系统网络规划造成一定的负担。


技术实现要素：

[0004]
针对以上技术问题，本发明提供一种实时信息检测网络交换系统，适用于安全要求较高的场景，部署于外网通信或者连接互联网的网络核心层或者接入层，监视内外网通信，防止内网受到外网的攻击或者监视。
[0005]
本发明的技术方案是：一种实时信息检测网络交换系统，包括信息检测网络交换设备，所述信息检测网络交换设备包括cpu处理器、交换芯片、复位系统、电源、时钟、热插拔系统和管理系统；在所述交换芯片的前端设有网络接口，所述信息检测网络交换设备设置在核心层或接入层；还包括连接在所述cpu处理器和交换芯片之间的信息检测模块，所述信息检测模块通过至少二路万兆以太网接口连接所述交换芯片，数据报文在该网络交换过程中，交换芯片通过虚拟路由转发协议方式，将有需要的接口的报文转发给信息检测模块，信息检测模块按照设定规则进行检测、过滤和报警；所述信息检测模块通过pci-e和一路千兆以太网接口连接所述cpu处理器，所述信息检测模块在发现威胁数据报文时通过所述pci-e和一路千兆以太网接口向cpu处理器进行告警，cpu处理器接收到告警信息后，控制交换芯片和信息检测模块对所述威胁数据报文进行阻断。
[0006]
优选的，所述信息检测模块包括fpga芯片、存储芯片、ddr3内存、rs232转换芯片、复位芯片和连接器，
所述fpga芯片通过spi接口与所述存储芯片相连，还通过ddr3接口与所述ddr3内存相连；所述fpga芯片通过pcie与所述cpu处理器相连，还通过两路万兆以太网接口与所述交换芯片相连。
[0007]
进一步优选的，所述信息检测模块在数据处理上划分数据通道和控制通道，数据通道负责数据的存储和转发，控制通道负责功能处理，并将指令通过转发信息告知数据通道；数据通道主要包括输入/输出接口模块、输入/输出分段存储、输入输出读写仲裁、读写数据缓存、缓存管理、队列调度管理等模块、中断控制器、cpu控制通道为了减轻cpu的负荷，则集成高速pcie接口和dma控制器。
[0008]
进一步优选的，在所述fpga芯片中存储有信息检测软件，所述信息检测软件具备抗拒服务器攻击功能；支持mac与ip的绑定；所述信息检测软件还具备网络访问控制功能；一次访问控制规则；一次规则支持12元组，二次规则支持4个自定义字段；允许对指定源端口、目的端口的流进行不同的访问规则；支持通过和丢弃，向处理器转发，实现软件硬件协同的组合规则。
[0009]
进一步优选的，所述信息检测软件还支持主流拒绝服务攻击防护，洪泛攻击；支持抗源路由攻击、抗land_attack攻击、抗ping_of_death攻击、抗winnuke攻击；支持异形报文的接入控制，支持管理二层未知报文、三层未知报文、过长icmp报文、过短分片报文、非法ip、udp校验和错误报文；支持tcp/ip协议族风险报文检查和防护，支持tcp syn分片报文、tcp fin分片报文、tcp rst分片报文管理，支持ip option检查、tcp标志检查、3层安全查和4层安全检查。
[0010]
优选的，所述信息检测模块的设定规则为：通过监听网络系统中的数据报文特征，防止特定时期来自外网的特殊报文。
[0011]
进一步优选的，所述监听网络系统中的数据报文特征包括报文信息过滤处理：提供基于layer2～5 数据报文特征的匹配规则，允许用户基于报文信息域进行过滤规则设置。
[0012]
优选的，在所述交换芯片中设有网络配置，以实现针对不同端口的外部数据，控制外部数据是否需要进行检测；具体为：终端a和终端b对外通信需要上送到信息检测模块，或终端c对外通信不需要上送信息检测模块，直接在信息接入交换芯片进行转发。
[0013]
本发明的有益效果是：实时信息检测网络交换系统可设置在核心层或接入层，可结合各用户需求对功能进行了拆分，如核心层只需检测外部攻击，接入层只需检测内部威胁等。其次，本发明的信息检测网络交换设备中创新性地设置了信息检测模块，能够在系统“下移”的情况下，针对性地实现数据信息检测功能。
[0014]
本发明全面满足了以下的需求：一是、低延时：采用fpga芯片设计，对报文进行一次解析，一次存储，多个硬件模块独立查表，确保了延时相对固定并且延时低于100us；
二是、高带宽：采用万兆以太网接口通讯，使得访问控制规则全部配置的条件下，依然可以实现线速的转发，避免了传统设备规则越多，转发带宽越低的不足；三是、高可靠：信息检测模块工作独立于交换系统，一方面设备自身不受网络报文的攻击影响；另一方面，即使信息检测模块出现故障，依然不影响硬件实现报文转发处理；四是、低功耗：fpga芯片实现，相对于多核处理器，具有更低功耗。
附图说明
[0015]
图1是网络交换设备工作场景图，图2是本发明的网络交换设备硬件原理框图，图3是信息检测网络交换设备数据流转发逻辑框图，图4是信息检测模块硬件原理框图，图5是信息检测模块内部处理流程图，图6是信息检测模块处理逻辑框图，图7是信息检测网络交换设备内部网络设计图。
具体实施方式
[0016]
下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0017]
参见图1至图7，本实施提供一种实时信息检测网络交换系统，包括信息检测网络交换设备，参见图2，信息检测网络交换设备包括cpu处理器、交换芯片、复位系统、电源、时钟、热插拔系统和管理系统；cpu处理器作用：控制与管理交换芯片和信息检测模块等外围器件、维持交换系统的协议报文和向上级发送报警信息等功能；交换芯片作用：主要实现以太网数据报文的交换与转发和实现对外部接口的配置、管理及状态监控等功能；复位系统作用：内部含有看门狗电路，看门狗电路可以复位整个板卡的所有器件。系统cpu挂死后，从cpu过来的gpio就不会有规则的跳变，sm706检测不到wdi的信号变化，就会送出wdo，wdo会触发reset信号，这样使整个系统完成复位；电源系统作用：设备外部供电电压为交流220v，通过设备内部ac/dc电源转换为主板所需要的直流12v电源，再通过dc/dc电源转换成所有系统所需要的各种供电电压；时钟系统主要作用：采用高精度晶振作整板时钟发生器，以温补晶振或恢复钟时钟作时钟源。再通过各个晶振为所有器件提供所需的各种频率时钟（；热插拔系统作用：热插拔电路可实现板卡过流保护、短路保护功能以及板卡带电热插拔功能；管理系统作用：监控设备内部的温度、主电路电压、上电控制等其他状态信息，通过管理电路根据设备内部温度情况，调节风扇转速控制设备内部温度，实现整机高效的散热；本实施例中cpu采用国产龙芯2k1000处理器，交换芯片采用国产盛科ctc7132交换
芯片，复位芯片采用国微电子sm706芯片，电源芯片采用国微电子sm4644电源芯片，时钟系统采用国产晨晶gja144-25-c20-b4-d5-d等晶振，热插拔芯片采用国产杰华特jw7222芯片，管理芯片采用国产中电58所cs32f103cb芯片，各部件之间的连接方法以及工作原理均为现有技术，故不再赘述。
[0018]
在交换芯片的前端设有网络接口，参见图1，信息检测网络交换设备设置在核心层（即整个单位的数据中心）或接入层（即下属各部门的网络接入端口）；还包括连接在cpu处理器和交换芯片之间的信息检测模块，参见图3，信息检测模块通过至少二路万兆以太网接口连接交换芯片，数据报文在该网络交换过程中，交换芯片通过虚拟路由转发协议方式，将有需要的接口的报文转发给信息检测模块，信息检测模块通过pci-e和一路千兆以太网接口连接cpu处理器，信息检测模块在发现威胁数据报文时通过pci-e和一路千兆以太网接口向cpu处理器进行告警，cpu处理器接收到告警信息后，控制交换芯片和信息检测模块对威胁数据报文进行阻断。使得威胁数据报文不再往外发送，对其他网络不再造成影响。信息检测模块按照设定规则进行检测、过滤和报警；参见图4，本实施例中，信息检测模块包括fpga芯片、存储芯片、ddr3内存、rs232转换芯片、复位芯片和连接器，本实施例中，fpga芯片采用国产复旦微的jfm7vx690t20-as芯片，其中fpga芯片通过spi接口与存储芯片相连，主要是fpga的软件从flash中读取和写入，还通过ddr3接口与ddr3内存相连，显示当前fpga软件的工作状态；fpga芯片通过pcie接口与cpu处理器相连，还通过两路万兆以太网接口与交换芯片相连。
[0019]
本实施例中，信息检测模块的设定规则为：通过监听网络系统中的数据报文特征，防止特定时期来自外网的特殊报文。
[0020]
监听网络系统中的数据报文特征包括报文信息过滤处理：提供基于layer2～5 数据报文特征的匹配规则，允许用户基于报文信息域进行过滤规则设置。
[0021]
信息检测功能实现机理包括：（1）二层解析和速率控制二层协议的解析及速率控制的流程：当数据包进入控制通道，首先进行l2层协议解析，判断原始包上是否打了vlan标签，并判断vlan后的4字节type-lengh域以及后续的若干字节信息来判断报文类型时签识别是ethernetⅱ包、snap包、802.3raw包、llc帧等，并根据不同的包类型提取对应的包信息，进行合法性检查，只有通过合法性检查的数据才能够进入下一个流程进行检测，否则丢弃。二层协议解析会针对报文源和目的mac/vlan/type-length、crc、二层协议类型等。
[0022]
（2）三层解析和合法性检查三层解析流程：首先判断是否为ipv4 包（协议类型0x0800），如果时ipv4报文，判断ip头长度，如果小于20字节，则数以异常错误报文，如果大于20字节，则说明有ip选项，大于或等于20字节的报文，提取20字节的ip header，进行判断，3层需要处理的包括源和目的ip/ip类型/ip长度/分片报文/分片长度及位置/ttl生存时间/ip header checksum等，通过3层解析可以得到报文是否是三层单播/组播/子网广播等。
[0023]
（3）ip选项处理流程ip选项处理流程：对三层协议解析流程进行补充，当ip包头大于20字节时，会对包头进行拆分和解析，记录解析后的选项类型，同时使能检查选项，当有错误选项时数据包会丢弃。
[0024]
（4）四层解析和合法性检查四层解析和合法性检查流程：在三层协议解析和合法性检查流程中，在ip包头中能够获取到ip协议，四层协议有udp、tcp、icmp、igmp等四种常用网络协议。就是分别对四种不同的协议进行相对应的不同检测选型的合法性检查，只有符合检测项的数据能够通过，否则丢弃。
[0025]
（5）icmp解析和合法性检查icmp解析和合法性检查流程：从协议解析l3解析模块中获知为icmp协议的数据包，提取icmp的编码、类型以及校验和，并对icmp类型进行转换，分别提取icmp的id号序列号以及提取ip头和8字节的ip数据，然后从icmp类型过滤器、合法性检查、校验和检查等选项对icmp协议的合法性进行检查，只有符合检查规范的才通过，否则丢弃。
[0026]
（6）tcp 选项检查tcp选项检查流程：当tcp header长度超过20字节时，说明存在tcp option， 系统会将tcp option的内容提取出来，并根据协议定义的选项内容进行进行匹配和判断，判断是否有错误或异常，并决定相应的转发行为。
[0027]
（7）http内容解析http内容解析流程：如果是目的端口为80的tcp报文或者端口非80端口，但内容头为“http”关键字信息的，可以判定为http报文，对于http报文，会对报文内包含的http内容进行进一步的分析，识别出包括http协议（如get/put/upload等）/http内容（如附件类型/文件名/应用层协议等）。
[0028]
（8）协议解析过滤表处理流程协议解析过滤表处理流程：协议解析过滤表的处理流程展示了完整的协议解析对报文的处理过程，即从报文的二层头开始，到报文内容层，根据每一层解析的内容，和系统相应的设定进行判断，来确定是否在该层进行了匹配或过滤，上图中的各个action就是匹配后的行为。
[0029]
（9）匹配行为流程匹配行为流程：针对匹配后的结果进行判决，来确定报文的最终转发行为，可以基于vlan和物理接口来设定安全区，并在安全区域上设定匹配级别，是过滤/丢弃/送处理器做进一步分析等。如果存在多个匹配结果时，根据多个匹配结果表中设定的优先级进行判断，选定高优先级的转发结果作为协议解析的最终转发行为。
[0030]
本实施例中，信息检测模块在数据处理上划分数据通道和控制通道，数据通道负责数据的存储和转发，控制通道负责功能处理，并将指令通过转发信息告知数据通道；数据通道主要包括输入/输出接口模块、输入/输出分段存储、输入输出读写仲裁、读写数据缓存、缓存管理、队列调度管理等模块、中断控制器、cpu控制通道为了减轻cpu的负荷，则集成高速pcie接口和dma控制器。
[0031]
参见图5，其中：
输入输出接口模块：mac/xgmac/xaui/sgmii等，对于cpu接口，则是pcie通道；输入/输出分段存储模块：分段进行数据缓存用内部的sram和控制逻辑实现；输入/数据读写仲裁模块：用于输入的输入/输出仲裁，用内部的memory控制器或ddr控制器及设计控制逻辑实现；读写数据缓存模块：内部的存储或外部ddr内存等；缓存管理模块：用于多个数据帧缓存和调度管理模块；队列调度管理模块：用于实现qos/入队/出队管理等；dma控制器：cpu的收发通道进行数据的高速维护，目前设计为收发通道各为4个，支持消息/报文等；中断控制器：通过中断方式和cpu进行快速的数据/信息存取响应，默认为msi方式，后期可兼容msi-x模式。
[0032]
控制通道主要包括协议解析模块、第一级信息过滤模块、第二级信息过滤模块、策略控制与规则查找模块、带宽统计与服务控制模块、控制通道输出信息汇总模块、消息管理模块等。
[0033]
其中，参见图6，协议解析模块为控制通道最重要的模块，它作为系统控制通道的入口，接收数据通道提供的报文头信息，完成如下功能：1） 解析报文：解析报文layer2 ～ 5的信息域,并进行报文合法性检查；2） 二层相关协议处理；3） 报文信息过滤处理：提供基于layer2～5 信息域的match 规则，允许用户基于报文信息域进行过滤规则设置；4） 提供特殊报文类型的速率限制：l2 reserve multicast 、l3 reserve multicast 、ip first fragmets 、 ipfragments.5） 提供基于match规则、报文parse的统计；参见图6，协议解析模块提取同步后的帧头信息，进行描述的一些处理：a)帧头解析对帧头信息进行layer2 ～ 5 的信息解析，提取各层的信息域：1) 二层，识别ether ii 、802.3 snap 、802.3 llc、基于ipx的802.3 raw的二层封装，并解析；2) 二层，识别arp、rarp、icmp、igmp、ip 报文 ，并解析；3) 三层，识别ipv4、非ipv4报文，并解析；4) 四层，识别tcp、udp报文，并解析；5) 五层，识别http get、http put报文，并解析；协议解析模块识别各种报文类型后，会根据不同报文的协议定义，进行相应的报文合法性检查，并根据设置丢弃合法性检查失败的报文。
[0034]
b)vlan处理协议解析模块，根据提取的vlan及源端口信息 ，进行如下一些相关处理：1) vlan协议处理；2) 报文所属的虚拟端口属性获取；3) 报文所属的安全区属性获取；
c)协议过滤处理协议解析模块，对解析出来的layer 2 ~ 5各种信息域，提供协议过滤处理，包括：1) 基于dmac的协议过滤；2) 基于ether type的协议过滤；3) 基于dip/sip的协议过滤；4) 基于ip portocol域的协议过滤；5) 基于ip/tcp option域的协议过滤；6) 基于tcp flag域的协议过滤；7) 基于l4层目的端口号＋源端口号的协议过滤；8) 基于icmp报文的类型域的协议过滤；9) 基于igmp报文的类型域的协议过滤；10) 基于分片报文的类型域过滤；11) 基于http get/put报文的协议过滤；对各协议过滤的结果，按一定的规则获取最终的协议过滤处理结果。
[0035]
d)内容过滤处理协议解析模块，对解析出来的layer 5信息域，提供内容过滤处理。
[0036]
本实施例中，在fpga芯片中存储有信息检测软件，信息检测软件具备抗拒服务器攻击功能；支持mac与ip的绑定；支持主流拒绝服务攻击防护，防御分片洪泛、udp洪泛、tcp syn洪泛、icmp洪泛等多种洪泛攻击；支持抗源路由攻击、抗land_attack攻击、抗ping_of_death攻击、抗winnuke攻击；支持异形报文的接入控制，支持管理二层未知报文、三层未知报文、过长icmp报文、过短分片报文、非法ip、udp校验和错误报文；支持tcp/ip协议族风险报文检查和防护，支持tcp syn分片报文、tcp fin分片报文、tcprst分片报文管理，支持ip option检查、tcp标志检查、3层安全查和4层安全检查；信息检测软件还具备网络访问控制功能；一次访问控制规则；一次规则支持12元组，二次规则支持4个自定义字段；允许对指定源端口、目的端口的流进行不同的访问规则；支持通过和丢弃，向处理器转发，实现软件硬件协同的组合规则。
[0037]
本实施例中，参见图6至7，在交换芯片中设有网络配置，内部网络配置如下，ip access-list fpga
ꢀꢀ
//创建一个access-list，匹配需要送给fpga的报文
ꢀꢀ
10 permit any anyany!route-map fpga permit 10
ꢀꢀ
//创建策略路由 match ip address fpga
ꢀꢀ
//将策略路由与access-list fpga关联 set ip next-hop 10.10.10.2
ꢀꢀ
//设置策略路由的下一跳为fpga!interface eth-0-1noswitchportip address 192.168.10.254/24ip policy route-map fpga
ꢀꢀ
//将策略路由应用到eth-0-1口!
interface eth-0-2noswitchportip address 192.168.11.254/24ip policy route-map fpga!interface eth-0-3noswitchportip address 192.168.12.254/24!interface eth-0-49noswitchportip address 10.10.10.1/24!interface eth-0-50noswitchportip address 10.10.20.1/24!ip route 0.0.0.0/0 20.20.20.20
ꢀꢀ
//默认路由指向外网，20.20.20.20为去往外网的下一跳ip内部信息转发流程：s1：终端设备访问外网的流量，目的mac会填充为设备的route-mac（网关mac），发送给交换；s2：模块收到目的mac为route-mac的报文，判断为需要走路由；s3：模块检查收到该报文的端口是否配置了策略路由，如果配置有策略路由，则优先匹配策略路由；s4：策略路由的下一跳设置为fpga的ip地址，模块将访问外网的流量通过策略路由从eth-0-49送给fpga；s5：fpga清洗流量后，通过自己的默认路由指向交换的10.10.20.1/24，将清洗后的流量再送回交换的eth-0-50，此时经过fpga默认路由后的报文的目的mac被还原为模块的route-mac；s6：模块从eth-0-50收到清洗后的报文后，发现目的mac为交换的route-mac，需要走路由，且5口未配置策略路由，所以匹配默认路由，将清洗后的报文送往外网。
[0038]
本实施例中，还可以实现针对不同端口的外部数据，控制外部数据是否需要进行检测；具体为：终端a和终端b对外通信需要上送到信息检测模块，或终端c对外通信不需要上送检测信息检测模块直接在信息接入交换芯片进行转发。
[0039]
由于不同设备有不同的应用场景，如此设置的目的，是为了对不同程度的威胁设备，区别对待，以节约信息检测模块的计算资源。
[0040]
持续检测部分接口转发的所有报文，实时监控网络攻击和潜在的威胁，并及时上报报警信息。
[0041]
本实施里提供的一种实时信息检测网络交换系统，适用于安全要求较高的场景，部署于外网通信或者连接互联网的网络核心层或者接入层，监视内外网通信，防止内网受到外网的攻击或者监视。满足了以下需求：需求1、低延时：设备进行一次报文解析，一次存储，多个硬件模块独立查表，确保了延时相对固定并且延时低于100us；需求2、高带宽：访问控制规则全部配置的条件下，依然可以实现线速的转发。避免了传统设备规则越多，转发带宽越低的不足；需求3、高可靠：一方面设备自身不受网络报文的攻击影响；另一方面，即使处理器和操作系统出现不工作缺陷，依然不影响硬件实现报文转发处理；需求4、低功耗：fpga芯片实现，相对于多核处理器，具有更低功耗；需求5、具备抗拒服务器攻击功能。支持mac与ip的绑定；支持主流拒绝服务攻击防护，可以积极防御分片洪泛、udp洪泛、tcp syn洪泛、icmp洪泛等多种洪泛攻击；支持抗源路由攻击、抗land_attack攻击、抗ping_of_death攻击、抗winnuke攻击；支持异形报文的接入控制，支持管理二层未知报文、三层未知报文、过长icmp报文、过短分片报文、非法ip、udp校验和错误报文等；支持tcp/ip协议族风险报文检查和防护，支持tcp syn分片报文、tcp fin分片报文、tcprst分片报文管理，支持ip option检查、tcp标志检查、3层安全查、4层安全检查；需求6、网络访问控制功能。一次访问控制规则；一次规则支持12元组，二次规则支持4个自定义字段；允许对指定源端口、目的端口的流进行不同的访问规则；不仅支持通过和丢弃，还支持向处理器转发，实现软件硬件协同的组合规则。
[0042]
本发明并不局限于上述实施例，在本发明公开的技术方案的基础上，本领域的技术人员根据所公开的技术内容，不需要创造性的劳动就可以对其中的一些技术特征作出一些替换和变形，这些替换和变形均在本发明的保护范围内。

技术特征：
1.一种实时信息检测网络交换系统，包括信息检测网络交换设备，所述信息检测网络交换设备包括cpu处理器、交换芯片、复位系统、电源、时钟、热插拔系统和管理系统；在所述交换芯片的前端设有网络接口，其特征在于，所述信息检测网络交换设备设置在核心层或接入层；还包括连接在所述cpu处理器和交换芯片之间的信息检测模块，所述信息检测模块通过至少二路万兆以太网接口连接所述交换芯片，数据报文在该网络交换过程中，交换芯片通过虚拟路由转发协议方式，将有需要的接口的报文转发给信息检测模块，信息检测模块按照设定规则进行检测、过滤和报警；所述信息检测模块通过pci-e和一路千兆以太网接口连接所述cpu处理器，所述信息检测模块在发现威胁数据报文时通过所述pci-e和一路千兆以太网接口向cpu处理器进行告警，cpu处理器接收到告警信息后，控制交换芯片和信息检测模块对所述威胁数据报文进行阻断。2.根据权利要求1所述的一种实时信息检测网络交换系统，其特征在于，所述信息检测模块包括fpga芯片、存储芯片、ddr3内存、rs232转换芯片、复位芯片和连接器，所述fpga芯片通过spi接口与所述存储芯片相连，还通过ddr3接口与所述ddr3内存相连；所述fpga芯片通过pcie与所述cpu处理器相连，还通过两路万兆以太网接口与所述交换芯片相连。3.根据权利要求2所述的一种实时信息检测网络交换系统，其特征在于，所述信息检测模块在数据处理上划分数据通道和控制通道，数据通道负责数据的存储和转发，控制通道负责功能处理，并将指令通过转发信息告知数据通道；数据通道主要包括输入/输出接口模块、输入/输出分段存储、输入输出读写仲裁、读写数据缓存、缓存管理、队列调度管理等模块、中断控制器、cpu控制通道为了减轻cpu的负荷，则集成高速pcie接口和dma控制器。4.根据权利要求2所述的一种实时信息检测网络交换系统，其特征在于，在所述fpga芯片中存储有信息检测软件，所述信息检测软件具备抗拒服务器攻击功能；支持mac与ip的绑定；所述信息检测软件还具备网络访问控制功能；一次访问控制规则；一次规则支持12元组，二次规则支持4个自定义字段；允许对指定源端口、目的端口的流进行不同的访问规则；支持通过和丢弃，向处理器转发，实现软件硬件协同的组合规则。5.根据权利要求4所述的一种实时信息检测网络交换系统，其特征在于，所述信息检测软件还支持主流拒绝服务攻击防护，洪泛攻击；支持抗源路由攻击、抗land_attack攻击、抗ping_of_death攻击、抗winnuke攻击；支持异形报文的接入控制，支持管理二层未知报文、三层未知报文、过长icmp报文、过短分片报文、非法ip、udp校验和错误报文；支持tcp/ip协议族风险报文检查和防护，支持tcp syn分片报文、tcp fin分片报文、tcp rst分片报文管理，支持ip option检查、tcp标志检查、3层安全查和4层安全检查。6.根据权利要求1所述的一种实时信息检测网络交换系统，其特征在于，所述信息检测模块的设定规则为：通过监听网络系统中的数据报文特征，防止特定时期来自外网的特殊报文。
7.根据权利要求6所述的一种实时信息检测网络交换系统，其特征在于，所述监听网络系统中的数据报文特征包括报文信息过滤处理：提供基于layer2～5 数据报文特征的匹配规则，允许用户基于报文信息域进行过滤规则设置。8.根据权利要求1所述的一种实时信息检测网络交换系统，其特征在于，在所述交换芯片中设有网络配置，以实现针对不同端口的外部数据，控制外部数据是否需要进行检测；具体为：终端a和终端b对外通信需要上送到信息检测模块，或终端c对外通信不需要上送信息检测模块，直接在信息接入交换芯片进行转发。

技术总结
本发明提供一种实时信息检测网络交换系统，包括信息检测网络交换设备，信息检测网络交换设备包括CPU处理器、交换芯片、复位系统、电源、时钟、热插拔系统和管理系统；在交换芯片的前端设有网络接口，信息检测网络交换设备设置在核心层或接入层；还包括连接在CPU处理器和交换芯片之间的信息检测模块，信息检测模块通过至少二路万兆以太网接口连接交换芯片，数据报文在该网络交换过程中，交换芯片通过虚拟路由转发协议方式，将有需要的接口的报文转发给信息检测模块，信息检测模块按照设定规则进行检测、过滤和报警。本发明适用于安全要求较高的场景，部署于外网通信或者连接互联网的网络核心层或者接入层，监视内外网通信，防止内网受到外网的攻击或者监视。网受到外网的攻击或者监视。网受到外网的攻击或者监视。


技术研发人员：周思远 周平 张翔 周春云 杨锐 陈功
受保护的技术使用者：扬州万方科技股份有限公司
技术研发日：2023.04.04
技术公布日：2023/7/12