软硬件结合的安全内存条[发明专利]

(12)发明专利申请

(10)申请公布号 CN 109246109 A(43)申请公布日 2019.01.18

(21)申请号 201811086705.4(22)申请日 2018.09.18

(71)申请人 扬州凤凰网络安全设备制造有限责

任公司

地址 225000 江苏省扬州市经济开发区吴

洲东路198号西安交大扬州科技园106幢301(72)发明人 杨琦　

(74)专利代理机构 北京中誉威圣知识产权代理

有限公司 11279

代理人 孙彦斌　高清峰(51)Int.Cl.

H04L 29/06(2006.01)

权利要求书2页 说明书5页 附图2页

()发明名称

软硬件结合的安全内存条(57)摘要

本发明公开了一种软硬件结合的安全内存条，包括：硬件防火墙计算机，硬件防火墙计算机被配置为：基于计算机管理，集中对访问用户客户端进行访问管理，统一制定访问策略；并且其中，硬件防火墙计算机对特殊用户实现区别于其他用户的特殊管理规则；以及软件管理，软件管理被配置为：通过硬件防火墙计算机改变网络内部通信规则；制定类TCP/IP通信规则以便与Internet或局域网中的通信协议兼容；通过管理数据通道从而屏蔽外部访问者。本发明采用软硬件结合的方式，实现了防火墙计算机对网络内通过管理数据通道的客户端的统一管理，实现了对网络内部通信的更好管控。

CN 109246109 ACN 109246109 A

权　利　要　求　书

1/2页

1.一种软硬件结合的安全内存条，其特征在于，所述软硬件结合的安全内存条包括：硬件防火墙计算机，所述硬件防火墙计算机被配置为：基于计算机管理，集中对访问用户客户端进行访问管理，统一制定访问策略；并且其中，所述硬件防火墙计算机对特殊用户实现区别于其他用户的特殊管理规则；以及

软件管理，所述软件管理被配置为：

通过所述硬件防火墙计算机改变网络内部通信规则；

制定类TCP/IP通信规则以便与Internet或局域网中的通信协议兼容；通过管理数据通道从而屏蔽外部访问者。

2.如权利要求1所述的软硬件结合的安全内存条，其特征在于，所述类TCP/IP通信规则包括：对现有TCP/IP通信规则中的信息传输数据包的前、后缀字符串进行重新定义，以使现有协议不能识别。

3.如权利要求2所述的软硬件结合的安全内存条，其特征在于，所述硬件防火墙计算机与设置在网络中心节点的防火墙通信连接；所述硬件防火墙计算机还被配置为：

对客户端与主机之间、客户端与客户端之间的通信进行实时监控并记录；对整个网络的通信进行管理；

对新进入本网络的客户端用户进行认证授权。

4.如权利要求3所述的软硬件结合的安全内存条，其特征在于，所述客户端与主机之间、客户端与客户端之间的每次通信的发送与回馈都要先经过所述防火墙进行识别和过滤，再经过所述硬件防火墙计算机进行记录和管理。

5.如权利要求4所述的软硬件结合的安全内存条，其特征在于，其中，客户端与客户端之间的通信包括如下步骤：

S101：第一客户端用户提出访问请求，由防火墙对第一客户端的身份信息和输入信息进行识别和过滤；

S102：将经过防火墙过滤后的信息发送到所述防火墙计算机，所述防火墙计算机对第一客户端的身份信息、访问时间以及访问次数进行登记，井对笫一客户端发送的信息进行鉴别和处理，所述处理包括：对第一客户端的信息内容按照预制定的通信规则重新定义；

S103：将经所述防火墙计算机处理后的信息再次返回至所述防火墙以进行信息过滤：S104：由所述防火墙首先对第二客户端的身份信息进行识别，然后将第一客户端的信息输送至第二客户端；

S105：第二客户端回馈信息给防火墙，所述防火墙对第二客户端的回馈信息进行识别和过滤；

S106：将经所述防火墙过滤后的信息输送至所述防火墙计算机，所述防火墙计算机对第二客户端的身份信息、访问时间以及访问次数进行登记，并对第二客户端发送的信息进行鉴别和处理，所述处理包括：对第二客户端的信息内容按照预制定的通信规则重新定义；

S107：将经所述防火墙计算机处理后的信息再次返回至所述防火墙以进行信息过滤；以及

S108：将所述第二客户端回馈的信息传送至所述第一客户端。6.如权利要求5所述的软硬件结合的安全内存条，其特征在于，其中，所述预制定的通信规则包括对类TCP/IP通信规则信息传输数据包的前、后缀字符串进行重新定义。

2

CN 109246109 A

权　利　要　求　书

2/2页

7.如权利要求6所述的软硬件结合的安全内存条，其特征在于，所述第二客户端可以有多个，所述第一客户端与所述多个第二客户端之间通过防火墙与防火墙计算机开启会议模式以实现信息同步共享。

8.如权利要求4所述的软硬件结合的安全内存条，其特征在于，所述客户端与所述主机之间的通信包括如下步骤：

S201：第一客户端用户提出访问请求，由防火墙对第一客户端的身份信息和输入信息进行识别和过滤；

S202：将经过防火墙过滤后的信息发送到所述防火墙计算机，所述防火墙计算机对第一客户端的身份信息、访问时间以及访问次数进行登记，井对笫一客户端发送的信息进行鉴别和处理，所述处理包括：对第一客户端的信息内容按照预制定的通信规则重新定义；

S203：将经所述防火墙计算机处理后的信息再次返回至所述防火墙以进行信息过滤：S204：由所述防火墙首先对主机的身份信息进行识别，然后将第一客户端的信息输送至主机；

S205：主机回馈信息给防火墙，所述防火墙对主机的回馈信息进行识别和过滤；S206：将经所述防火墙过滤后的信息输送至所述防火墙计算机，所述防火墙计算机对主机的身份信息、访问时间以及访问次数进行登记，并对主机发送的信息进行鉴别和处理，所述处理包括：对主机的信息内容按照预制定的通信规则重新定义；

S207：将经所述防火墙计算机处理后的信息再次返回至所述防火墙以进行信息过滤；以及

S208：将所述主机回馈的信息传送至所述第一客户端。9.如权利要求8所述的软硬件结合的安全内存条，其特征在于，所述预制定的通信规则包括对类TCP/IP通信规则信息传输数据包的前、后缀字符串进行重新定义。

10.如权利要求9所述的软硬件结合的安全内存条，其特征在于，所述主机和客户端有多个，所述多个客户端与所述多个主机之间通过防火墙与防火墙计算机开启会议模式以实现信息同步共享，并且其中，通过所述防火墙计算机的定义和权限设定，所述硬件防火墙计算机使特殊用户实现主机的功能。

3

CN 109246109 A

说　明　书

软硬件结合的安全内存条

1/5页

技术领域

[0001]本发明关于云计算环境下的网络安全访问及访问防护技术领域，特别关于一种软硬件结合的安全内存条。

背景技术

[0002]随着网络技术的快速发展与普及,网络环境也变的日益复杂。其中包括了高速的网络设施、高性能的计算设施、大数据处理、高效资源管理等相关的基础设施，以及在这些基础设施上构建的虚拟化环境，原有的网络防火墙技术已经不能满足今天网络环境中的安全防护需求。现有技术的防火墙设置在服务器与客户端之间，通过硬件设备在主机与所有客户端之间建产一个安全网关(Security Gateway)，从而保护内部网络免受非法用户侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，所有接入该主机网络的通信和数据包均要经过防火墙。但是现有技术中，防火墙通常设置在主机与其他客户端机之间，主机与客户端机通信受到防火墙的管理，而客户端机与客户端机可以自由通信，并且通常为了通信方便，均使用TCP/IP协议，外部使用者可以通过接入客户端计算机或是伪装成客户端计算机，对主机进行访问，并获取主机信息，给网络带来极大的风险。[0003]公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。发明内容

[0004]本发明的目的在于提供一种软硬件结合的安全内存条，其能够实现防火墙计算机对网络内通过管理数据通道的客户端的统一管理，从而实现对网络内部通信的更好管控。[0005]为实现上述目的，本发明提供了一种软硬件结合的安全内存条，包括：硬件防火墙计算机，硬件防火墙计算机被配置为：基于计算机管理，集中对访问用户客户端进行访问管理，统一制定访问策略；并且其中，硬件防火墙计算机对特殊用户实现区别于其他用户的特殊管理规则；以及软件管理，软件管理被配置为：通过硬件防火墙计算机改变网络内部通信规则；制定类TCP/IP通信规则以便与Internet或局域网中的通信协议兼容；通过管理数据通道从而屏蔽外部访问者。[0006]在一优选实施方式中，类TCP/IP通信规则包括：对现有TCP/IP通信规则中的信息传输数据包的前、后缀字符串进行重新定义，以使现有协议不能识别。[0007]在一优选实施方式中，硬件防火墙计算机与设置在网络中心节点的防火墙通信连接；硬件防火墙计算机还被配置为：对客户端与主机之间、客户端与客户端之间的通信进行实时监控并记录；对整个网络的通信进行管理；以及对新进入本网络的客户端用户进行认证授权。

[0008]在一优选实施方式中，客户端与主机之间、客户端与客户端之间的每次通信的发送与回馈都要先经过防火墙进行识别和过滤，再经过硬件防火墙计算机进行记录和管理。[0009]在一优选实施方式中，其中，客户端与客户端之间的通信包括如下步骤：S101：第

4

CN 109246109 A

说　明　书

2/5页

一客户端用户提出访问请求，由防火墙对第一客户端的身份信息和输入信息进行识别和过滤；S102：将经过防火墙过滤后的信息发送到防火墙计算机，防火墙计算机对第一客户端的身份信息、访问时间以及访问次数进行登记，井对笫一客户端发送的信息进行鉴别和处理，处理包括：对第一客户端的信息内容按照预制定的通信规则重新定义；S103：将经防火墙计算机处理后的信息再次返回至防火墙以进行信息过滤：S104：由防火墙首先对第二客户端的身份信息进行识别，然后将第一客户端的信息输送至第二客户端；S105：第二客户端回馈信息给防火墙，防火墙对第二客户端的回馈信息进行识别和过滤；S106：将经防火墙过滤后的信息输送至防火墙计算机，防火墙计算机对第二客户端的身份信息、访问时间以及访问次数进行登记，并对第二客户端发送的信息进行鉴别和处理，处理包括：对第二客户端的信息内容按照预制定的通信规则重新定义；S107：将经防火墙计算机处理后的信息再次返回至防火墙以进行信息过滤；以及S108：将第二客户端回馈的信息传送至第一客户端。[0010]在一优选实施方式中，其中，预制定的通信规则包括对类TCP/IP通信规则信息传输数据包的前、后缀字符串进行重新定义。[0011]在一优选实施方式中，第二客户端可以有多个，第一客户端与多个第二客户端之间通过防火墙与防火墙计算机开启会议模式以实现信息同步共享。[0012]在一优选实施方式中，客户端与主机之间的通信包括如下步骤：S201：第一客户端用户提出访问请求，由防火墙对第一客户端的身份信息和输入信息进行识别和过滤；S202：将经过防火墙过滤后的信息发送到防火墙计算机，防火墙计算机对第一客户端的身份信息、访问时间以及访问次数进行登记，井对笫一客户端发送的信息进行鉴别和处理，处理包括：对第一客户端的信息内容按照预制定的通信规则重新定义；S203：将经防火墙计算机处理后的信息再次返回至防火墙以进行信息过滤：S204：由防火墙首先对主机的身份信息进行识别，然后将第一客户端的信息输送至主机；S205：主机回馈信息给防火墙，防火墙对主机的回馈信息进行识别和过滤；S206：将经防火墙过滤后的信息输送至防火墙计算机，防火墙计算机对主机的身份信息、访问时间以及访问次数进行登记，并对主机发送的信息进行鉴别和处理，处理包括：对主机的信息内容按照预制定的通信规则重新定义；S207：将经防火墙计算机处理后的信息再次返回至防火墙以进行信息过滤；以及S208：将主机回馈的信息传送至第一客户端。

[0013]在一优选实施方式中，预制定的通信规则包括对类TCP/IP通信规则信息传输数据包的前、后缀字符串进行重新定义。[0014]在一优选实施方式中，主机和客户端有多个，多个客户端与多个主机之间通过防火墙与防火墙计算机开启会议模式以实现信息同步共享，并且其中，通过防火墙计算机的定义和权限设定，硬件防火墙计算机使特殊用户实现主机的功能。[0015]与现有技术相比，本发明的软硬件结合的安全内存条具有如下有益效果：本发明的技术方案通过防火墙计算机改变了网络内部的通信规则，利定了新的通用的数据传输协议，与Internet或局域网中的通信协议兼容，从而屏蔽外部访问者。本发明采用软硬件结合的方式，实现了防火墙计算机对网络内通过管理数据通道的客户端的统一管理，实现了对网络内部通信的更好管控。本发明采用软硬件结合、防火墙与防火墙计算机双重控制的方式，使得外部访问者实现恶意侵袭和破解的难度更高，因而安全保密效果更好。本发明的技术方案，可以对特殊的客户端实现主机的功能，方便对整个网络进行控制，并且可以实现多

5

CN 109246109 A

说　明　书

3/5页

个客户端和多个主机实时通信，实现信息同步共享。本发明的网络防火还能够对每次通信进行实时监控和记录，便于对恶意访问或非法使用进行排除。附图说明

[0016]图1是根据本发明的客户端与客户端之间的通信的方法流程图；[0017]图2是根据本发明的客户端与主机之间的通信的方法流程图。

具体实施方式

[0018]下面结合附图，对本发明的具体实施方式进行详细描述，但应当理解本发明的保护范围并不受具体实施方式的。[0019]除非另有其它明确表示，否则在整个说明书和权利要求书中，术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分，而并未排除其它元件或其它组成部分。

[0020]本发明提供了一种软硬件结合的安全内存条，软硬件结合的安全内存条包括：硬件防火墙计算机以及软件管理，其中，硬件防火墙计算机被配置为：基于计算机管理，集中对访问用户客户端进行访问管理，统一制定访问策略；并且其中，硬件防火墙计算机对特殊用户实现区别于其他用户的特殊管理规则。并且其中，软件管理被配置为：通过硬件防火墙计算机改变网络内部通信规则；制定类TCP/IP通信规则以便与Internet或局域网中的通信协议兼容；通过管理数据通道从而屏蔽外部访问者。[0021]在一优选实施方式中，类TCP/IP通信规则包括：对现有TCP/IP通信规则中的信息传输数据包的前、后缀字符串进行重新定义，以使现有协议不能识别。[0022]在一优选实施方式中，硬件防火墙计算机与设置在网络中心节点的防火墙通信连接；硬件防火墙计算机还被配置为：对客户端与主机之间、客户端与客户端之间的通信进行实时监控并记录；对整个网络的通信进行管理；对新进入本网络的客户端用户进行认证授权。

[0023]在一优选实施方式中，客户端与主机之间、客户端与客户端之间的每次通信的发送与回馈都要先经过防火墙进行识别和过滤，再经过硬件防火墙计算机进行记录和管理。[0024]图1是根据本发明的客户端与客户端之间的通信的方法流程图，如图所示，客户端与客户端之间的通信包括如下步骤：S101：第一客户端用户提出访问请求，由防火墙对第一客户端的身份信息和输入信息进行识别和过滤；S102：将经过防火墙过滤后的信息发送到防火墙计算机，防火墙计算机对第一客户端的身份信息、访问时间以及访问次数进行登记，井对笫一客户端发送的信息进行鉴别和处理，处理包括：对第一客户端的信息内容按照预制定的通信规则重新定义；S103：将经防火墙计算机处理后的信息再次返回至防火墙以进行信息过滤：S104：由防火墙首先对第二客户端的身份信息进行识别，然后将第一客户端的信息输送至第二客户端；S105：第二客户端回馈信息给防火墙，防火墙对第二客户端的回馈信息进行识别和过滤；S106：将经防火墙过滤后的信息输送至防火墙计算机，防火墙计算机对第二客户端的身份信息、访问时间以及访问次数进行登记，并对第二客户端发送的信息进行鉴别和处理，处理包括：对第二客户端的信息内容按照预制定的通信规则重新定义；S107：将经防火墙计算机处理后的信息再次返回至防火墙以进行信息过滤；以及S108：将第

6

CN 109246109 A

说　明　书

4/5页

二客户端回馈的信息传送至第一客户端。[0025]在一优选实施方式中，其中，预制定的通信规则包括对类TCP/IP通信规则信息传输数据包的前、后缀字符串进行重新定义。[0026]在一优选实施方式中，第二客户端可以有多个。第一客户端与多个第二客户端之间通过防火墙与防火墙计算机开启会议模式以实现信息同步共享。[0027]图2是根据本发明的客户端与主机之间的通信的方法流程图。如图所示，客户端与主机之间的通信包括如下步骤：S201：第一客户端用户提出访问请求，由防火墙对第一客户端的身份信息和输入信息进行识别和过滤；S202：将经过防火墙过滤后的信息发送到防火墙计算机，防火墙计算机对第一客户端的身份信息、访问时间以及访问次数进行登记，井对笫一客户端发送的信息进行鉴别和处理，处理包括：对第一客户端的信息内容按照预制定的通信规则重新定义；S203：将经防火墙计算机处理后的信息再次返回至防火墙以进行信息过滤：S204：由防火墙首先对主机的身份信息进行识别，然后将第一客户端的信息输送至主机；S205：主机回馈信息给防火墙，防火墙对主机的回馈信息进行识别和过滤；S206：将经防火墙过滤后的信息输送至防火墙计算机，防火墙计算机对主机的身份信息、访问时间以及访问次数进行登记，并对主机发送的信息进行鉴别和处理，处理包括：对主机的信息内容按照预制定的通信规则重新定义；S207：将经防火墙计算机处理后的信息再次返回至防火墙以进行信息过滤；以及S208：将主机回馈的信息传送至第一客户端。[0028]在一优选实施方式中，预制定的通信规则包括对类TCP/IP通信规则信息传输数据包的前、后缀字符串进行重新定义。[0029]在一优选实施方式中，主机和客户端有多个，多个客户端与多个主机之间通过防火墙与防火墙计算机开启会议模式以实现信息同步共享，并且其中，通过防火墙计算机的定义和权限设定，硬件防火墙计算机使特殊用户实现主机的功能。[0030]本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

[0031]本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。[0032]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

[0033]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或

7

CN 109246109 A

说　明　书

5/5页

其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

[0034]前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式，并且很显然，根据上述教导，可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用，从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。

8

CN 109246109 A

说　明　书　附　图

1/2页

图1

9

CN 109246109 A

说　明　书　附　图

2/2页

图2

10