随着网络技术的发展，Internet网络中出现了越来越多的安全隐患，在开放式的网络中，存在许多不能信任的计算机，这些计算机在与Internet网络连接，并传输数据时，网络的病毒、木马或者黑客等不安全因素都会入侵该计算机，对存储在该计算机中的私有敏感信息造成了很大的威胁。
目前计算机中数据的安全防护措施通常是防火墙技术，在计算机中安装防火墙或者安装杀毒软件来保证存储在计算机中的数据的安全性，然而，这些措施通常滞后于计算机与网络间的数据传输，也就是说，往往是发现了计算机被病毒入侵后再去查杀病毒，或者通过对黑客的攻击手段的分析，找出一些针对黑客攻击的防御手段，但对于计算机中存储的私有敏感信息，一旦被黑客窃取，则具有不可弥补性。
发明人在实现本发明的过程中，发现现有技术中至少存在如下问题：
计算机与外部网络间的传输不能真正的得到安全保障，迫切需要在个人计算机和外网之间构筑一道防线，用以抵御来自外部网络的攻击。

本发明要解决的技术问题是提供一种数据卡及其数据处理和传输方法，使计算机与外部网络之间的通信得到安全性控制，防止对计算机中重要信息资源的非法存取和访问，保证计算机系统的安全。
为解决上述技术问题，本发明的实施例提供一种数据卡，包括：接收模块，用于接收终端设备发送的第一数据报文；信号转换模块，用于将所述第一数据报文进行格式转换后，生成第二数据报文，并向外部网络发送所述第二数据报文；以及接收所述外部网络根据所述第二数据报文发送的第三数据报文，并对所述第三数据报文进行格式转换后，生成第四数据报文；网络处理模块，用于对所述第四数据报文进行过滤匹配，若匹配成功，生成第五数据报文；发送模块，用于向所述终端设备发送所述第五数据报文；其中，所述网络处理模块具体包括：监控模块，用于根据所述第一数据报文所在连接的应用层协议的防护策略配置信息，监控基于所述第一数据报文所在连接的应用层协议的状态；过滤模块，用于根据所述应用层协议及其状态，创建所述应用层协议对应的过滤规则，并根据所述过滤规则对所述第四数据报文进行过滤匹配，若匹配成功，生成所述第五数据报文。
另一方面，还提供一种数据卡的数据处理和传输方法，包括：接收从终端设备发送的第一数据报文，并将所述第一数据报文进行格式转换后，生成第二数据报文，并向外部网络发送所述第二数据报文；接收所述外部网络根据所述第二数据报文发送的第三数据报文，并对所述第三数据报文进行格式转换后，生成第四数据报文；根据所述第一数据报文所在连接的应用层协议的防护策略配置信息，监控基于所述第一数据报文所在连接的应用层协议的状态；根据所述应用层协议及其状态，创建所述应用层协议对应的过滤规则，并根据所述过滤规则对所述第四数据报文进行过滤匹配，若匹配成功，生成所述第五数据报文；向所述终端设备发送所述第五数据报文。
本发明的实施例具有以下有益效果：上述方案通过在数据卡上配置防护策略，使通过数据卡的数据报文都被过滤检测，从而在外部数据流入电脑前加入了最后一道稳固的安全屏障，对电脑与外部网络之间的通信进行过滤控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，保障个人的重要、敏感资料不受侵害。

图1为本发明的实施例数据卡的结构示意图；
图2为图1所示的数据卡的一具体结构示意图；
图3为图1所示的数据卡的又一具体结构示意图；
图4为图3所示的数据卡安装在计算机中，与外部网络进行数据传输的场景示意图；
图5为本发明的实施例数据卡的数据处理和传输方法流程示意图。

为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。
本发明的实施例针对现有技术中计算机与外部网络间的传输不能真正的得到安全保障的问题，提供一种安装在计算机上的数据卡及数据卡的数据处理和传输方法。
如图1所示，本发明的实施例数据卡1，包括：
接收模块10，用于接收终端设备发送的第一数据报文；这里的终端设备如计算机或其他的网络通信的终端设备；
信号转换模块11，用于将第一数据报文进行格式转换后，生成第二数据报文，并向外部网络发送第二数据报文；以及接收外部网络根据第二数据报文发送的第三数据报文，并对第三数据报文进行格式转换后，生成第四数据报文；其中，第三数据报文可以为第二数据报文的答应报文；该信号转换模块11主要是对经过数据卡1的报文进行调制解调，如将从计算机接收的数据信号报文转换成网络信号，或者将网络信号报文转换成计算机可以接收的数据信号；
网络处理模块12，用于对第四数据报文进行过滤匹配，若匹配成功，生成第五数据报文；
发送模块13，用于向终端设备发送第五数据报文，其中，在具体实现时，该发送模块13可以与上述接收模块10为一个模块，如数据卡的接口模块，该数据卡可以通过该接口模块与终端设备连接，那么从终端设备发送给数据卡的数据所文可以从该接口模块通过，从数据卡发送给终端设备的数据报文也可以从该接口模块通过。
该实施例通过在数据卡1上对进入计算机等终端设备的数据进行过滤，对计算机与外部网络之间的通信进行安全控制，通过强制实施统一的安全策略，防止外部网络对计算机中重要信息资源的非法存取和访问，达到保护计算机的系统及其存储的资源的安全的目的。
如图2所示，为图1所示的数据卡的一具体结构示意图，上述网络处理模块12包括：
转发模块120，用于接收接收模块10所接收的第一数据报文，并转发给信号转换模块11，该第一数据报文通过该转发模块120转发给信号转换模块11，目的是让网络处理模块12能够事先监控到该第一数据报文，并为该第一数据报文在数据卡1与外部网络建立一个基于应用层协议的连接，当然该第一数据报文也可以直接由信号转换模块11转发给外部网络，此时，由于信号转换模块11也是数据卡的一部分，同样也能够为该第一数据报文在数据卡1与外部网络之间建立一个基于应用层协议的连接。
存储模块121，用于存储通过终端设备预设的应用层协议的防护策略配置信息，并根据更新指令，如预设的应用层协议的防护策略配置信息的配置，对存储的防护策略配置信息进行更新，该防护策略配置信息如包过滤、病毒检测、黑名单、攻击防范、IP-MAC地址绑定等，针对不同的应用层协议可以配置不同的防护策略，如应用层协议可以为单通道协议，双通道协议或者其它的应用层协议。
监控模块122，用于根据上述存储模块121中存储的应用层协议的防护策略配置信息，监控基于上述第一数据报文所在连接的应用层协议的状态，如在一个连接建立时，基于该连接的应用层协议的源IP、目的IP、源端口、目的端口、协议号、以及报文数据特征等，不同的应用层协议的状态不一样，这里不再一一列举。
过滤模块123，用于根据上述应用层协议及其状态，创建一过滤规则，并根据该过滤规则对上述从信号转换模块11转换后的第四数据报文进行过滤匹配，若匹配成功，生成第五数据报文，并将该第五数据报文通过发送模块13发送给终端设备。这里的过滤模块123可以采用如防火墙技术中通常采用的ASPF(Application Specific Packet Filter，应用层的包过滤)来实现，该ASPF基于连接的状态，动态地决定数据包是否被允许通过防火墙或丢弃。
如图3所示，根据不同的应用层协议及该应用层协议的状态，可以创建不同的过滤规则，因此，在基于连接的单通道协议时，上述过滤模块123具体可以为：
第一过滤模块1231，用于在检测到基于连接的应用层协议为单通道协议时，创建第一五元组表项，该第一五元组表项为五元组的Session表项，包含源IP、目的IP、源端口、目的端口、协议号，当从信号转换模块11接收到转换后的第四数据报文时，根据该第一五元组Session表项对第四数据报文进行过滤匹配，若匹配成功，则允许该第四数据报文通过，生成第五数据报文，并由发送模块13将该第五数据报文发送给终端设备，否则阻塞该第四数据报文。
同样的，当应用层协议为基于连接的双通道协议时，采用了五元组的session表项+三元组的servermap表项相结合方式实现，这样在很大程度上保证了内部网络的安全性，上述过滤模块123还可具体为：
第二过滤模块1232，用于在检测到基于连接的应用层协议为双通道协议时，创建第二五元组表项和三元组表项，该第二五元组表项为五元组的session表项，三元组表项为三元组的servermap表项，当第四数据报文来的时候，首先会根据该三元组的servermap表项对传输所述第四数据报文的连接通道进行合法性判断，若合法，数据通道建立了之后，则再根据该第二五元组的session表项对该第四数据报文进行过滤匹配，若匹配成功，则允许该第四数据报文通过，生成第五数据报文，并由发送模块13将该第五数据报文发送给所述终端设备，否则阻塞该第四数据报文。因此这里的三元组servermap表项是一个“临时入口”表项，当真正的数据报文来了以后，会根据这个数据报文+servermap进行完整判断，这个连接是一个合法的数据通道。当数据通道建立了之后，servermap表项就删除了，此时会为这个数据通道建立一个基于五元组的session通道。这样就避免了，因为多通道协议的特点，而产生一个永久的通道，内部网络暴露的安全隐患。当然，上述过滤模块123除了为第一过滤模块1231或者为第二过滤模块1232，在针对不同的应用层协议时，还可以创建针对其他应用层协议创建过滤规则，根据该过滤规则对第四数据报文进行过滤操作。
在上述第一过滤模块1231或者第二过滤模块1232对第四数据报文进行过滤操作后，即当前连接结束时，需要对临时建立的过滤规则，如五元组表项或者三元组表项进行更新，因此，网络过滤模块12还包括：
过滤更新模块124，用于在检测到第一过滤模块1231对第四数据报文匹配成功后，更新该第一五元组表项，具体讲，可以修改或者删除该五元组表项，到下一次连接建立时，再重新建立五元组表项，以使每一次的通道连接所采用的过滤规则都不一样，降低外部网络黑客等的攻击风险；
该过滤更新模块124在检测到第二过滤模块1232对传输第四数据报文的连接通道判断为合法时，立即删除该三元组，以避免内部网络暴露，在检测到第二过滤模块1232对第四数据报文匹配成功后，立即修改或者删除该第二五元组表项，以避免传输该第四数据报文的传输通道的相关信息被暴露，造成安全隐患。
下面再结合具体的应用场景对上述数据卡的具体应用进行说明：
如图4所示，该应用场景包括终端设备2，如计算机，安装在该终端设备2的网络接口中的数据卡1，该数据卡1为诸如无线上网卡，调制解调器(Modem)等，以及以无线方式与该数据卡通信的外部网络(如Internet等)；
其中，数据卡1具有的接收模块10或者发送模块13可以为USB接口，PCMCIA接口或者Express接口等，该数据卡1可以通过这些接口与计算机连接。
计算机2中的数据报文通过数据卡1发送给外部网络时，数据卡1会对该数据报文进行双向的过滤和检测，具体过滤时，会监控基于连接的应用层协议状态，并根据这些应用层协议状态临时创建一过滤规则，并根据该过滤规则对经过该数据卡1的报文进行过滤匹配，若匹配成功，则允许通过，否则阻塞，这样就根本上保证了终端设备2与外部网络之间的通信的所有报文都经过该数据卡1的安全防护过滤，保证了终端设备2内资源的高度安全。
再结合图4，介绍上述数据卡1的一具体应用实例流程；
1)用户A初始化一个Telnet会话，将该会话请求通过数据卡1发送给外部网络；
2)在数据卡1中，网络处理模块12会根据具体的应用层协议完成连接建立，创建相应的过滤规则，如在完成TCP三次握手时，连接建立，并根据具体的应用层协议创建相应的五元组表项或者三元组表项等过滤规则，并维护这些五元组表项或者三元组表项；
3)当外部网络发送给用户A的应答报文通过数据卡时，首先会被信号转换模块11进行格式转换后，发送给网络处理模块12，该网络处理模块12根据已经创建的过滤规则，对其接收到的数据报文，如上述的第四数据报文，进行过滤，能匹配上过滤规则的报文可以通过，否则阻塞，如其他用户的Telnet进程的报文被阻塞，不能通过；
4)当该Telnet会话结束时，该过滤规则，如上述的五元组表项或者三元组表项立即被删除，再伪造telnet的非法报文也无法通过了，到下一次连接建立时，防火墙又会重新建立一个新的Session表项。这样在很大程度上保证了内部计算机系统的安全性。
综上所述，本发明的上述实施例数据卡1，增加了网络防护功能，其驱动程序以及配置(如防护策略、病毒库等)可以通过光盘或者专门的网站进行升级，及时的针对当前的网络安全现状对数据卡的安全防护策略进行更新配置。用户也可以在个人电脑上通过专门的软件界面对数据卡的安全防护策略进行灵活配置更改，例如用户可以通过电脑的软件界面配置包过率、病毒检测、黑名单、攻击防范、IP-MAC绑定等，从而在外部数据流入电脑前加入了最后一道稳固的安全屏障，以保障个人的重要、敏感资料不受侵害。
如图5所示，本发明的实施例还提供一种数据卡的数据处理和传输方法，包括如下步骤：
步骤S51，接收终端设备发送的第一数据报文，并将所述第一数据报文进行格式转换后，生成第二数据报文，并向外部网络发送所述第二数据报文；
步骤S52，接收所述外部网络根据所述第二数据报文发送的第三数据报文，并对所述第三数据报文进行格式转换后，生成第四数据报文；其中，所述第三数据报文可以为所述第二数据报文的答应报文；
步骤S53，对所述第四数据报文进行过滤匹配，若匹配成功，生成第五数据报文；
步骤S54，向所述终端设备发送所述第五数据报文。
该实施例通过对外部网络发送的数据报文在进入电脑前，先进行过滤处理，保证了电脑的安全。
具体来讲，该实施例的方法可以有如下具体实现过程：
步骤S61，接收终端设备发送的第一数据报文，并将该第一数据报文进行格式转换，生成第二数据报文，并向外部网络发磅该第二数据报文；其中，该第一数据报文可以为终端设备对外部网络的访问请求，而该第二数据报文为第一数据报文格式转换成生成的网络信号；
步骤S62，接收外部网络根据第二数据报文发送的第三数据报文，并对该第三数据报文进行格式转换后，生成第四数据报文；其中，第三数据报文可以为第二数据报文的答应报文，第四数据报文可以为第三数据报文格式转换后生成的数据信号；
步骤S63，根据基于上述第一数据报文所在的连接的应用层协议及其状态，创建一过滤规则，并根据所述过滤规则对所述第四数据报文进行过滤匹配，若匹配成功，生成第五数据报文；
具体讲，在检测到基于连接的应用层协议为单通道协议时，创建第一五元组Session表项，根据该第一五元组Session表项对上述第四数据报文进行过滤匹配，若匹配成功，则生成第五数据报文，否则阻塞该第四数据报文。
或者在检测到基于连接的应用层协议为双通道协议时，创建第二五元组表项和三元组Servermap表项，根据该三元组Servermap表项对传输所述第四数据报文的连接通道进行合法性判断，若合法，则根据该第二五元组表项对所述第四数据报文进行过滤匹配，若匹配成功，则生成第五数据报文，否则阻塞所述第四数据报文。
检测到基于连接的其他应用层协议，出同样会创建一个相应的过滤规则，并根据该过滤规则对第四数据报文进行过滤匹配。
步骤S64，向终端设备发送该第五数据报文。
在上述的步骤S63中，当根据过滤规则对第四数据报文匹配成功后，即基于该应用协议的当前连接结束时，删除或者修改已经建立的过滤规则，即修改或者删除上述第一五元组表项或者更新上述第二五元组表项，当下一连接建立时，会重新创建新的过滤规则，对数据报文进行过滤，这样更大程度上保证了连接的数据通道不被暴露，每一次连接都用不同的过滤规则对经过数据卡的数据报文进行过滤，保证了计算机系统中的资料的高度安全。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，包括如上述方法实施例的步骤，所述的存储介质，如：ROM/RAM、磁碟、光盘等。
以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。