基于FPGA的网闸隔离卡及包含该隔离卡的网络安全隔离装置的制作方法

本实用新型涉及网络通信领域，尤其涉及一种基于FPGA的网闸隔离卡及包含该隔离卡的网络安全隔离装置。

背景技术：

随着计算机技术的快速发展，在计算机上处理的业务也从简单的的数学运算、文件处理等发展到基于复杂的内部网、企业外部网和全球互联网的信息共享和大数据处理。在计算机处理和连接能力不断提升的同时，基于网络连接的安全问题也日益突出。

目前，大多数企业和个人是通过防火墙来保障网络安全，利用防火墙可以使企业内部局域网与外部网络之间相互隔离，限制网络访问。然而，这种逻辑上的隔离并不完美，黑客通过技术手段完全可以突破防火墙的阻隔，对内网数据进行盗取和篡改。除了防火墙，很多对数据保密性要求高的企业还采用了网闸隔离卡来保证自身内部网络的安全，这种硬件设备可以在有危险入侵时直接断开内外网之间的物理连接。

目前的网闸隔离卡主要采用两种技术：一种是双硬盘物理隔离技术，其工作原理是在现有的计算机中增加一个硬盘，通过隔离卡上的控制和开关电路，实现工作站在内外网之间的双重工作状态(两个状态完全物理隔离)。但这种方法需要在用户的电脑上额外安装一块硬盘，并且需要进行内外网双重布线工作，这增加了其应用范围的限制。另外一种物理隔离方案是在计算机上电初期，利用FPGA芯片采集硬盘的数据信号及网络选择信号，判别是否是要选择的网络，然后对控制信号进行锁存，进而完成对继电器的控制，达到内外网络隔离的目的。这种方案的缺点在于由于利用了数据信号以及继电器切换的延时，使得继电器的切换是在最初的几个数据交换之后，导致IDE控制器不能完整的获得某块硬盘的信息，引起硬盘与主板之间产生兼容性问题。

技术实现要素：

本实用新型要解决的技术问题在于，针对现有技术的上述缺陷，提供一种基于FPGA的网闸隔离卡及包含该隔离卡的网络安全隔离装置。

本实用新型解决其技术问题所采用的技术方案是：构造一种基于FPGA的网闸隔离卡，可插接在内网/外网主板上，包括：

网口连接器，用于实现两个隔离卡之间的连接；

FPGA芯片，与隔离卡所在隔离系统中的主机连接，可获取主机上的网络安全防护系统的网络环境检测信号，并发送相应的使能信号至网卡芯片；

网卡芯片，与FPGA芯片、网口、主板上的CPU分别连接，用于根据FPGA芯片发送的使能信号控制内外网的CPU之间的网络通信的连通或者断开。

较佳的，所述网口连接器包括两个牛角连接器，所述网卡芯片为I350网卡芯片。

较佳的，FPGA芯片的型号为Altera公司的飓风四代芯片EP4CE6E2217，网卡芯片的型号为Intel I350-AM2，网口连接器包括两个2×5Pin的牛角连接器，网卡芯片的LAN0_DIS_N引脚、LAN1_DIS_N引脚分别经由一个电阻接地，FPGA芯片的132引脚经由一个电阻连接至网卡芯片的LAN0_DIS_N引脚，FPGA芯片的133引脚经由一个电阻连接至网卡芯片的LAN1_DIS_N引脚。

较佳的，所述隔离卡还包括与网卡芯片连接的一个EEPROM以及与FPGA芯片连接的另一个EEPROM。

本实用新型还公开了一种网络安全隔离装置，包括内网主板、外网主板、以及两个所述网闸隔离卡，内网主板、外网主板分别通过标准PCIE接口与两个网闸隔离卡对应连接，并通过网闸隔离卡进行网络通信。

实施本实用新型的基于FPGA的网闸隔离卡及包含该隔离卡的网络安全隔离装置，具有以下有益效果：本实用新型中FPGA芯片可以实时接收网络安全防护系统发出的检测信号并发送相应的使能信号至网卡芯片，网卡芯片可以根据FPGA芯片发送的使能信号控制内外网的CPU之间的网络通信的连通或者断开，简单实用，可以应用于多种网络安全设备中。

附图说明

为了更清楚地说明本实用新型实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本实用新型的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图：

图1是本实用新型的网络安全隔离装置的结构示意图；

图2是本实用新型的网闸隔离卡的结构示意图；

图3是本实用新型的网闸隔离卡的具体实施例的部分电路图。

具体实施方式

为了便于理解本实用新型，下面将参照相关附图对本实用新型进行更全面的描述。附图中给出了本实用新型的典型实施例。但是，本实用新型可以以许多不同的形式来实现，并不限于本文所描述的实施例。相反地，提供这些实施例的目的是使对本实用新型的公开内容更加透彻全面。

需要说明的是，所述“相连”或“连接”，不仅仅包括将两个实体直接相连，也包括通过具有有益改善效果的其他实体间接相连。

除非另有定义，本文所使用的所有的技术和科学术语与属于本实用新型的技术领域的技术人员通常理解的含义相同。本文中在本实用新型的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本实用新型。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。

为了更好的理解本实用新型的技术方案，下面将结合说明书附图以及具体的实施方式对本实用新型的技术方案进行详细的说明，应当理解本实用新型实施例以及实施例中的具体特征是对本申请技术方案的详细的说明，而不是对本申请技术方案的限定，在不冲突的情况下，本实用新型实施例以及实施例中的技术特征可以相互组合。

参考图1，本实用新型的网络安全隔离装置包括内网主板、外网主板、以及两个网闸隔离卡，内网主板、外网主板的主要作用是提供PCIE信号给隔离卡，内网主板、外网主板分别通过标准PCIE接口与两个网闸隔离卡对应连接，并通过网闸隔离卡进行网络通信。

结合图2，网闸隔离卡具体包括：

网口连接器，用于实现两个隔离卡之间的连接。较佳实施例中，网口连接器具体包括传递电信号的两个2×5Pin的牛角连接器。

FPGA芯片，与隔离卡所在隔离系统中的主机连接，可获取主机上的网络安全防护系统的网络环境检测信号，并发送相应的使能信号至网卡芯片。较佳实施例中，FPGA芯片的型号为Altera公司的飓风四代芯片EP4CE6E2217。网络安全防护系统是现有的系统，本实用新型仅仅是借助其检测信号而已，因此并不涉及对软件算法的改进。

I350网卡芯片，与FPGA芯片、网口、主板上的CPU分别连接，与CPU之间传输的是PCIEx4信号，与另一个隔离卡之间通过两个牛角连接器传输两组电信号，I350网卡芯片可根据FPGA芯片发送的使能信号控制内外网的CPU之间的网络通信的连通或者断开。较佳实施例中，网卡芯片的型号为Intel I350-AM2。

两个EEPROM，一个EEPROM与网卡芯片连接，另一个EEPROM与FPGA芯片连接。

具体参考图3，图中仅示意了FPGA芯片、网卡芯片的部分芯片引脚，其中U61-4表示FPGA芯片的部分结构图，U1D表示网卡芯片的部分结构图。如图中所示，网卡芯片的LAN0_DIS_N引脚、LAN1_DIS_N引脚分别经由一个电阻R21、R22接地，FPGA芯片的132引脚经由一个电阻R710连接至网卡芯片的LAN0_DIS_N引脚，FPGA芯片的133引脚经由一个电阻R711连接至网卡芯片的LAN1_DIS_N引脚。

需要说明的是，网卡芯片上LAN0_DIS_N和LAN1_DIS_N这两个PIN脚接收的使能信号是控制网口连接或断开的信号。当这两个PIN脚拉高到3.3V时，在系统中可以正常识别到两个网口；而当这两个信号接地时，在系统中识别不到任何网口，这等同于断开了隔离卡的网口连接。在通用的I350网卡设备上，这两个信号一般默认拉高到3.3V，即保持网口能正常识别和通信，而本实用新型中，这两个PIN脚是通过电阻R21和R22接地，即默认两个网口被禁用。

本实用新型的工作原理如下：

首先内(外)网主板将CPU发出的PCIEx4信号输入到隔离卡的I350芯片(AM2)中，接着每个I350芯片会输出2组网络信号(电信号)到两个牛角连接器，其中每组网络信号包括4对差分信号。

当安全防护系统在运行时，会实时监测当前网络是否有受到危险入侵，并将检测信号发送到FPGA芯片中。FPGA芯片根据检测信号可以控制133、134引脚的DEV_OFF_1、DEV_OFF_2信号的电平值，该两个信号通过I/O口分别输入到I350网卡芯片的两个PIN脚LAN0_DIS_N和LAN1_DIS_N中。如果此时系统正受到攻击，DEV_OFF_1、DEV_OFF_2为低电平，而当系统安全运行时，DEV_OFF_1、DEV_OFF_2为高电平。从图3中可以看到，当DEV_OFF_1、DEV_OFF_2为高电平时，I350网卡芯片的这两个PIN脚也被拉高，网口能正常识别使用，而当这两个信号为低电平时，I350网卡芯片引脚电平不发生变化，为默认的低电平，网口无法使用，即内外网之间的连接被断开。

综上所述，实施本实用新型的基于FPGA的网闸隔离卡及包含该隔离卡的网络安全隔离装置，具有以下有益效果：本实用新型中FPGA芯片可以实时接收网络安全防护系统发出的检测信号并发送相应的使能信号至网卡芯片，网卡芯片可以根据FPGA芯片发送的使能信号控制内外网的CPU之间的网络通信的连通或者断开，简单实用，可以应用于多种网络安全设备中。

上面结合附图对本实用新型的实施例进行了描述，但是本实用新型并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本实用新型的启示下，在不脱离本实用新型宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本实用新型的保护之内。