基于飞凌LS1043A/LS1046A核心板搭建网闸产品行业应用


2020年7月15号

统计显示,到 2020 年,全球将有 500 亿台设备实现连接,当您将传感器、设备和智能机器连接到网络中,还有一件事可千万不要忽略: 网络安全性。随着 物联网智慧城市的规模化应用,网络安全设备的应用量也随之爆发,传统硬件设备的弊端也日益凸显。


基于飞凌LS1043A/LS1046A核心板搭建网闸产品行业应用  


隔离网闸

今天我们为大家介绍的是网络安全设备:网闸的 方案实现。

1 、什么是网闸

网闸是在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过。其信息流一般为通用应用服务。 网闸的 “闸”字取自于船闸的意思,在信息摆渡的过程中内外网(上下游)从未发生物理连接,所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。 现在市场上出现的的单主机网闸或单主机中有两个及多个处理引擎的过滤产品不是真正的网闸产品,不符合物理隔离标准。其只是一个包过滤的安全产品,类似防火墙。网闸技术是模拟人工拷盘的工作模式 , 通过电子开关的快速切换实现两个不同网段的数据交换的物理隔离安全技术。

网闸技术在安全技术领域源于被称之为 GAP ,又称为 Air Gap 的安全技术,它本意是指由空气形成的用于隔离的缝隙。在网络安全技术中,主要指通过专用的硬件设备在物理不连通的情况下,实现两个独立网络之间的数据安全交换和资源共享。

基于飞凌LS1043A/LS1046A核心板搭建网闸产品行业应用

2、概念由来

GAP 隔离网闸, GAP ,源于英文的 "air gap" gap 技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下,实现安全 数据传输 和资源共享的技术。 gap 中文名字叫做 安全隔离网闸 ,它采用独特的硬件设计,能够显著地提高内部用户 网络 的安全强度。

3 、发展历程

网闸 的产生,最早是出现在美国、以色列等国的军方,用以解决涉密网络与公共 网络连接时的安全问题。

随着 电子政务 在中国的蓬勃发展,政府部门的高安全网络和其他低安全网络之间进行数据交换的需求日益明显,出于国家安全考虑,政府部门一般倾向于使用国内安全厂商的安全产品,种种因素促使了网闸在中国的产生。


基于飞凌LS1043A/LS1046A核心板搭建网闸产品行业应用


中国第一款 安全隔离网闸 产生于 2000 年,现在已经广泛应用于政府、金融、交通、能源等行业。

4 、基本原理

Michael Bobbin (《计算机安全杂志》主编)说,“保证一个系统真正安全的途径只有一个:断开网络,这也许正在成为一个真正的 解决方案。”在政府、国防、能源等很多重要领域,对数据机密性、网络平稳性、业务连续性要求极高,坚如磐石的安全保障尤其关键。

市场需求催生了安全技术的创新,在上世纪 90 年代中期俄罗斯人 Ry Jones 首先提出“ AirGap ”隔离概念,然后,以色列研制成功物理隔离卡,实现网络之间的安全隔离;其后,美国 Whale Communications 公司和以色列 SpearHead 公司先后推出了 e-Gap NetGap 产品,利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享,从而使安全隔离技术从单纯实现“网络隔离禁止交换”发展到“安全隔离和可靠、可控交换”。


5 、下面结合网闸主要特点阐述 FET1046A-C/ FET1043A-C 核心板的应用

(1)  安全高效的体系架构

安全隔离与信息交换系统采用 “2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块。内、外网主机模块具有独立运算单元和存储单元,分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离。隔离交换模块采用专用的双通道隔离交换卡实现,通过内嵌的安全 芯片完成内外网主机模块间安全的数据交换。内外网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发。

(2)  专用的隔离交换模块

网闸产品核心部件为隔离交换模块,安全隔离与信息交换系统隔离交换模块基于专用安全芯片设计,全硬件交换;消除性能瓶颈;从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。

(3)  操作系统安全可靠

内外网主机模块应采用自主安全可靠的操作系统。

(4)  强大的网络适应能力

网闸针对不同的软件模块具有多种部署方式,支持代理方式、透明方式等多种部署方式,可以根据用户网络的特殊性采用不同的实现方式进行灵活部署。

(5)  深度{link 56}解析过滤能力

网闸针对 HTTP 协议、 FTP 协议、 POP3 协议、 SMTP 协议、 TNS 协议等多种应用层协议进行深度解析及过滤,满足用户安全性需求。

(6)  深度应用层攻击防御能力

网闸具有防病毒功能模块,针对文件交换模块、 FTP访问模块、安全浏览模块、邮件访问模块具有防病毒功能,支持本地升级及远程升级。网神网闸具有入侵检测功能,可对网页攻击、缓冲区溢出攻击、后门/木马、P2P、病毒/蠕虫、拒绝服务攻击、扫描类攻击等多种攻击类型进行实时检测并记录日志。

(7)  丰富的应用模块

安全隔离与信息交换系统采用模块化的系统结构设计,根据不同的应用环境,量身定制多个功能模块,以满足用户的不同需求。


基于飞凌LS1043A/LS1046A核心板搭建网闸产品行业应用  


 

综上网闸的特点和需求, FET1046A-C/FET1043A-C 核心板,是可选的有绝对优势的方案。

其特点如下:

1.丰富的功能接口满足网闸的需求

(1)FET1043A-C 核心板 原生支持 7 Ethernet 1 10Gbps 6 1000Mbps

(2)FET1046A-C FET1043A-C FET1043A-C 核心板 原生支持 8 Ethernet

(3)另外支持 PCIe 2.0 SATA3.0 USB3.0 UA RT IIC 等功能接口


基于飞凌LS1043A/LS1046A核心板搭建网闸产品行业应用  


2.算力高:超高性能满足网闸大量数据处理需求

(1)FET1043A-C 核心板基于 NXP 公司的 LS1043A 四核处理器设计,主频 1.6GHz {link 310} Cortex-A53 架构。

        (2)FET1046A-C 核心板基于 NXP 公司的 LS1046A 四核处理器设计,主频最高 1.8GHz ARM Cortex- A72 架构。

3.成本低

X86 架构相比 嵌入式架构有绝对的低成本优势;

4.比X86系统更能应对复杂网络环境

 (1) 采用嵌入式 ubuntu 系统,稳定性高,而 windos 系统病毒攻击多;

(2)功耗低,可做如无风扇密闭设计。

5.工业级品质

FET1046A-C/FET1043A-C 核心板适用于 -40-85 ℃的宽温,工业级品质保证;

6.网络性能

(1) LS1043A 支持 7 个网口, 1046A 支持 8 个网口,满足多长场合对网口的需求;

 (2) 采用硬件数据路径加速架构( DPAA ),支持数据包解析、分类和分发 (FMan) ,调度、包排序和拥塞管理的队列管理 (QMan) ,缓冲区分配和反分配的硬件缓冲区管理 (BMan) 。软件层支持完整的 DPDK 环境 1 ,同时支持 OVS-DPDK ,用于网络应用中数据包的高性能处理。

 (3) 千兆网模式下测试速度达 944Mbps

7.模块化设计

飞凌主板采用核心板+ 底板结构设计,底板提供原理图和 PCB 源文件,用户参考可轻松设计自己需求功能的底板; 10 + 的产品设计经验,可根据用户功能需求,未用户进行 OEM