本發明公開了一種移動式網線防火墻裝置，在通用的嵌入式系統的網絡接口外，加載一個外接的防火墻，網絡數據通過網線連接的防火墻的安全策略驗證過濾后，將安全數據傳入通用嵌入式系統中；所述防火墻與嵌入式設備之間的數據傳輸接口，采用標準以太網RJ45接口數據傳輸連接；本發明的采用數據過濾、狀態檢測、安全策略、嵌入式等技術，其作用在嵌入式系統網絡安全領域，解決目前網絡安全研究中針對接入互聯網的嵌入式系統的安全性，數據安全性、網絡攻擊、系統運轉安全等問題。

技術領域

本發明屬于網線防火墻領域，尤其涉及一種移動式網線防火墻裝置。

背景技術

隨著網絡技術的發展，越來越多的嵌入式設備連接到互聯網，在給人們日常生活帶來方便的同時，聯網設備的廣泛使用隨之帶來了在網絡中的安全問題。大部分設備往往會使用很長時間，而一般的聯網設備在調試完成投入使用后很少進行更新迭代，所以聯網設備一旦接入網絡，其安全程度非常有限。

目前行業中對于網絡安全的研究方向中，對于接入網絡的嵌入式系統的安全并沒有太多研究。因此目前大部分投入使用的聯網設備大多都是處于無防護狀態的。而且由于大部分聯網設備本身運算能力有限，并不能在設備上搭載防火墻模塊。

發明內容

發明目的：為了克服現有技術中存在的不足，本發明提供一種對網絡數據線進行屏蔽的一種移動式網線防火墻裝置。

技術方案：為實現上述目的，本發明的一種移動式網線防火墻裝置，在通用的嵌入式系統的網絡接口外，加載一個外接的防火墻，網絡數據通過網線連接的防火墻的安全策略驗證過濾后，將安全數據傳入通用嵌入式系統中；所述防火墻與嵌入式設備之間的數據傳輸接口，采用標準以太網RJ45接口數據傳輸連接。

進一步的所述防火墻的功能模塊包括內存和CPU模塊，以及實現從安全策略到規則轉換的rule模塊，還有對數據包進行是否符合規則的判斷的過濾模塊，以及實現和嵌入式設備或者網絡的數據交換的數據接口模塊；其中數據接口模塊分為兩部分，一邊是連接嵌入式設備的數據I/O口，另一邊是與無線網絡進行數據交換的I/O口；

首先數據包從通過網線傳輸至防火墻的網絡數據接口，然后通過路由表提取相應的規則，對數據包進行安全策略規則判斷，也即實現防火墻的包過濾功能。其中不符合安全策略規則的數據包直接丟棄，將符合安全策略的數據包進行封裝，對其進行協議轉換以及數據加密與認證等一系列工作，當封裝完成后，通過嵌入式數據接口如總線，串口等將其發送至CPU進行運算。嵌入式系統在處理完網絡發送進來的數據之后，若需要向外部網絡發送數據，同樣通過上文的流程，即先通過內部數據接口將數據從CPU發送至防火墻模塊進行協議轉換與包過濾，再通過防火墻的外部接口將處理過的數據發送至互聯網絡。

進一步的，所述防火墻的安全機制是根據分組包的源宿地址，端口號以及協議類型，標志確定是否允許報文通過；所根據的信息源來自于IP、TCP或UDP包頭，采用常規防火墻中的包過濾技術，只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端，其余不符合條件的數據包則拋棄；根據安全策略的規則，對輸入輸出的數據實行加密，認證，數字簽名，完整性校驗等安全措施，保證數據傳輸中的安全；

進一步的，防火墻的訪問控制安全策略是通過對輸入輸出數據的監控，控制其輸入輸出，可以阻擋一部分攻擊。根據預先指定的安全規則，對輸入輸出數據進行監測，符合要求的數據允許通過，否則屏蔽掉該數據包，由于嵌入式設備往往提供的網絡功能相對較少，對于不必要的數據就可以控制其進出；數據保密與完整性安全策略是通過對傳輸數據的加密，封裝與認證來保證數據的保密性，使得未授權的用戶無法獲取信息內容。

進一步的，所述防火墻的硬件結構包括有進行規則運算以及數據加密運算的CPU模塊；和儲存安全策略規則的RAM存儲模塊；以及提供運行內存的Flash閃存模塊；供電模塊；還有最重要的數據接口模塊，分為兩部分，一部分負責與嵌入式系統進行數據交互，還有一部分負責連接網線，接收網絡數據。