HDUSec-安全隔离网闸项目总结

最新推荐文章于 2024-01-21 21:00:00 发布
最新推荐文章于 2024-01-21 21:00:00 发布
阅读量826 收藏 4
点赞数
文章标签: 操作系统 shell awk

比赛结束了,得给我们的项目做一个总结。

作品简介

我们作品的名称是HDUSec-安全隔离网闸,HDUSec是代表我们协会。作品主要是仿造工业网闸进行创新,实现的主要功能是基

于可重构的Xilinx FPGA,过滤外网到内网的文件,通过协议转化来安全单项传输文件,同时还集成了报警,智能控制等模块,下面是系统的实现。

系统实现

系统分成三个单元:文件缓存单元,系统控制单元,文件转发引擎。系统主要采用了分布式的架构,这里的分布式是广义的,

主要是一个系统分布在两块开发板上,两块都是Xilinx的,一块是Atlys,另一块是Nexys3。


首先是Nexys3板卡,Nexy3板卡较Atlys,资源相对少了些,处理性能也低些,我们在Nexys3上采用了MicroBlaze架构,通过对DDR

内存控制器,PMode等控制模块的利化,通过PLB总线和板子的外部单物理层网络芯片MicroRAM通信。在Microblaze架构上移植了

Xilkernel,Xilkernel是Xilinx公司研发的轻型嵌入式系统,Xilkernel采用的LWIP协议栈,LWIP是很轻型的协议栈,有它自己一套标准

的 LWIP Socket API。我们裁剪了基本的应用层协议,在LWIP只搭建了一个回显服务器和tftp服务器。整个Nexys3就够成了系统的文

件缓存单元,文件从外网到内网传送,文件会先存储到文件缓存单元的DDR上,等待系统控制单元的请求。


然后再说Atlys板卡,Atlys板卡是Sparnt-6系列的,系统控制单元和文件转发引擎在Atlys板卡上。我们在Atlys板卡上采用的是

OpenRISC架构,OpenRISC是OpenCORES下开源的项目,正是OpenRISC的开源,可以根据开发者根据自己的需求实现对系统硬

件的裁剪,OpenRISC的开源降低了项目的开发成本,也大大缩短了项目开发的周期。在OpenRISC架构中我们采用的核心处理器是

or3200,or3200是OpenRISC家族中系能最好的。在OpenRISC上面移植了Linux 3.4.2的内核,当然因为移植了内核,就降低了Atlys

的性能。接下来就基本上是linux上面的开发了,在应用层我们搭建了一套web服务器,支持POST和GET请求,设计不足就是Web服

务器没有开线程池,当时主要是想到板子的并不是用于商用,反正是自己玩玩的。Web服务器调用后台的cgi程序,后台的cgi接口是

我定的,至于js,html,ajax则是囧哥和何少帮我完成的。后台cgi调用的程序基本上我都以C为主,不过有些时候为了方便,就写了

好多脚本,脚本里面主要是awk,sed和grep等工具,就是C和Shell脚本混编构成了服务器的后台。其实我们在应用层做的工作挺多

的,我们设计了管理员和普通用户,都采用了身份验证机制。管理员登入之后,可以对系统进行全局设置,主要是文件类型库,敏

感词库,用户帐号等进行基本的管理,还有就是短信发送号码设置,最后就是用户下载文件的日志记录和查看。下面主要是文件转

发引擎的工作,对于普通用户,经过身份验证之后,登入普通用户界面,这时候web服务器会去向Nexys3板卡上的文件缓存单元请

求DDR中的文件目录,目录的数据包会从Nexys3传输到Atlys,然后由Atlys返回给客户端浏览器。用户看到在Nexy3的DDR中的文件

目录,并且下载。用户点击下载,通过POST包发送给Web服务器命令,Web服务器去Nexys3上下载指定的文件,文件到达Atlys,

然后开始检测文件类型是否与系统控制单元中预设文件类型符合,然后是检测文件内容,不合法的文件都移除到系统的隔离区,等

待管理员查看。在此过程中通过外接的GSM模块进行报警,以短信的形式发送给管理员。在web服务器还设计了一套基于手机的管

理界面,管理员可以通过手机访问系统,进行基本的系统管理。如果报警信息,管理员通过手机登入,关闭系统网卡,并且可以通

过发送短信打开系统工作状态。文件转发引擎只会转发文件类型和内容都OK的文件,这里为了保证内网的安全,采用了协议转换的

方式,由传统的TCP/IP协议转换成了串口协议,传输到内网,从外保证就是系统被Hacker攻破了,也绝对不会影响到内网。为了保

证文件传送的可靠性,我们采用了基于连接的ZMODEM协议,ZMODEM是一种类似TCP一样存在错误校验的通信协议,以牺牲效率

来保证可靠性。


系统创新和特色

1.系统是采用了分布式架构,系统分布在了两个不同的开发板上,为了保证系统的安全性,在两块不同的开发板上根据资源的限制分

别移植了Microblaze和OpenRISC架构,并在各自软核上移植不同的内核。


2.系统的硬件支持是基于可重构的Xilinx FPGA的,可以根据开发者需求裁剪


3.文件传送过程中采用了协议转化的形式,内网和外网不存在物理上的直接连接,仅仅是一个逻辑上的虚拟连接,更有效的保证了内

网的安全。

iteye_21199
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
隔离配置实例教程.ppt
07-21
电厂安全隔离设备配置详细步骤教程
igferry:一款高级的穿透架构
03-25
一款高级的穿透架构 1前言 搞了几个月的某人项目,无尽的人力运维,排查问题,跟踪问题,非常痛苦,基于项目引发的问题,汇总,思考,所以设计了一个技术解决方案。 2设计 由于项目位于两个不同的模型之间,两个相互之间,且类似DMZ区域的络,通讯需要开通相关络策略及协议,限制比较多。 2.1技术选型 项目重组前,问题排查异常困难,发送消息后,业务经常不清楚是否处理了,于是整理了一下,其中以下场景: 业务希望请求可以有一定堆积,保证服务正常运行。 业务希望能够请求获得另一端络应用实时或异步反馈。 为了方便问题排查,具有一定的消息查询能力。 2.1.1使用kafka作为不同络之间的通讯工具 选择kafka作为两个不同络通讯工具的优点: Kafka是一个分布式消息收发器,具有高性能,持久化,多副本备份,可以串行削峰填谷的作用。 实践检验,它的延迟最低只有几毫秒。 2.1.2重构关 一般
前置机 摆渡机 跳板机 堡垒机
u013617791的专栏
04-07 1万+
前置机 应用场景 有些企业(如,银行、券商、电信运营商)有很多后台核心处理系统,但这个后天系统又不允许被外部企业的业务接口直接访问。此时这些企业会要求外部企业开发一套运行在该企业内之外的软件,该软件所在机器通过专线或硬件等隔离技术连接到外部企业的系统上,运行这个软件的计算机,从功能上称呼为前置机。 作用 前置机,指代的是设置在后台系统之前的一个前置系统,可以是硬件设备,也可以是一套软件系统。随着应用场景的不同,前置机的功能就不想同,因此没有有一个统一的功能或者定义。前置机应用较多的作用包括: 从络和
络知识梳理:、单向、双向
最新发布
XiaoCai
01-21 1846
(Data Diode 或 Network Diode),单向和双向安全领域的关键概念,特别是在需要高度安全性的环境中(如军事、政府机构或关键基础设施)。这些设备或解决方案用于控制和监管数据在不同络或安全区域之间的流动。
简易-内服务器安全获取外数据
hemnpowerpop的博客
07-20 1129
简易替代方案
工作原理
IT技术
09-25 1万+
GAP由固态读写开关和存储人质系统组成,其中固态开关的转换效率达到了纳秒级,存储介质通常采用scsi硬盘,因此GAP的性能得到了保证。 GAP连接在两个独立的络系统中间,内与外永远不同时连接,在同一时刻只有一个络与安全隔离建立无协议数据连接,由于没有连接并将通信协议全部剥离,因此两个络间不存在通信连接、没有协议、没有tcp/ip连接、没有包转发等,只有数据以原始数据的方式进行摆渡,因此非常安全。 下图:当内与外之间无数据交换时,GAP与内和外之间是完全断开的,即三者之间不存在物理连
深信服安全隔离与信息交换系统(GAP)产品白皮书.pdf
09-25
深信服安全隔离与信息交换系统(GAP)产品白皮书 深信服安全隔离与信息交换系统(GAP)是一款面的安全隔离与信息交换解决方案,旨在帮助企业解决安全隐患和信息交换问题。该系统采用先进的安全技术和架构...
TCP-UDP过
11-29
,也称为安全关或隔离关,通常用于在不同安全级别的络之间建立通信,如内部络与外部互联之间的连接。它们会过滤或阻止特定的络通信协议,以保护内部络不受外界威胁。 TCP协议依赖于三次握手建立...
联想SIS-3000P数据库访问配置案例[汇编].pdf
10-13
"联想SIS-3000P数据库访问配置案例" 本文档主要介绍了联想SIS-3000P数据库访问配置的案例,涵盖了络拓扑、客户需求、络配置、具体配置等方面的内容。下面将详细介绍这些知识点: 一、络拓扑 ...
个人整理的比较完整的技术原理的资料
07-05
个人整理的比较完整的技术原理的资料,通过这个文档,能够对有个基本认识。都是我自己认为正确的,如有纰漏,欢迎指正!
及原理
03-09
描述边界系统的所用到的及原理
son-gkeeper:SONATA的服务平台
02-05
儿子吉基 这是的Service Platform Gatekeeper的存储库。 关守是实现服务平台的所有北向接口(NBI)的组件。 该NBI提供诸如 , 和的服务平台访问系统,其功能包括: 接受新的开发人员加入新开发的服务; 接受要以平台格式部署的新服务; 从文件格式和开发人员提交软件包的角度验证提交的软件包; 接受有兴趣实例化服务的客户的新服务实例请求; 通过自动监视每个车载服务或功能来跟踪服务性能; 等等.. 发展历程 本节详细介绍了开发Gatekeeper的需求。 该存储库由微服务组织(一个文件夹到一个微服务)。 当前实现的微服务如下: :的唯一“门”,其中
VC2008win32管理系统
09-25
VC2008win32管理系统 一个很好的管理系统
——安全隔离:从第一代走向第二代
Sah的Blog搬家了!新地址为:sah-lee.51.net
11-01 2969
安全隔离:从第一代走向第二代 北京盖特佳信息安全技术有限公司技术总监 王献冰   安全隔离与信息交换系统,即,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息络提供了更高层次的安全防护能力,不仅使得信息络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。   技术最早起源于以色列,通常在物理隔离的情况下要在外和内之间进行数据交换的话,一般是通过磁盘或其
热门推荐
AquariusYuxin的博客
11-27 2万+
,也称为安全隔离设备,是一种专业硬件,架设在两个不连通的络之间,按照需求在一定的限制条件下,完成络间的数据资源的安全传输。 的实现   图1反向隔离示意图 如图所示:典型的由硬件设备和软件客户端组成,软件只能运行在特定的主机上,一般这样的主机被称为节点机。设备内部由两台设备和专用的摆渡硬件组合而成,这两台设备可以称为接口机A和接口机B。两台接口机分别与外和内...
Client与Server端通讯系统
09-22
Client与Server端通讯系统MFC C++
天融信
11-25
天融信的图片 详细参数 祝您参考 的原理 型号 功能

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值