CN107948209A - 一种网络安全隔离方法及装置 - Google Patents
一种网络安全隔离方法及装置 Download PDFInfo
- Publication number
- CN107948209A CN107948209A CN201810012506.2A CN201810012506A CN107948209A CN 107948209 A CN107948209 A CN 107948209A CN 201810012506 A CN201810012506 A CN 201810012506A CN 107948209 A CN107948209 A CN 107948209A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- partition method
- agreement
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种网络安全隔离方法及装置,包括外端机、隔离卡及内端机;外端机、隔离卡及内端机依次连接;外端机内设有依次连接的外网接口模块、访问控制模块、文件内容过滤模块、病毒扫描模块及外端协议剥离转换模块;隔离卡内设有电子隔离部件模块;内端机内设有依次连接的内端协议剥离转换模块、IPSec/HIP/SSL模块及内网接口模块。本发明一种网络安全隔离方法及装置,配合使用DDoS防御、访问控制、文件内容过滤、病毒扫描、协议剥离转换、IPSec/HIP/SSL解密;可以实现不同等级网络的安全隔离数据传输,具有应用范围广、功能丰富及效果可靠的特点。
Description
技术领域
本发明属于网络安全传输领域,尤其是涉及一种网络安全隔离方法及装置。
背景技术
在一些安全要求等级比较高的网络,不同等级的网络需要互联互通时,通常要求对网络进行隔离,传统的解决方法是在网络上安装上通信加密装置,实现通信内容的加密,但现有的加密设备功能单一,安全保护效果不理想,同时维护工作也比较复杂。
发明内容
有鉴于此,本发明旨在提出一种网络安全隔离方法及装置,配合使用DDoS防御、访问控制、文件内容过滤、病毒扫描、协议剥离转换、IPSec/HIP/SSL解密;可以实现不同等级网络的安全隔离数据传输,具有应用范围广、功能丰富及效果可靠的特点。
为达到上述目的,本发明的技术方案是这样实现的:
一种网络安全隔离方法,包括:
步骤1:DDoS防御;对外网接口进入的低级网络数据利用Syncookie、synproxy及anti-flood技术实现DDoS防御;
步骤2:访问控制;通过防火墙模块,利用状态检测技术,实现非规和合规数据鉴别;
步骤3:文件内容过滤;对HTTP、FTP、邮件类及文件共享类应用进行文件内容扫描,防止非合规的文件进入;
步骤4:病毒扫描;对传输的数据内容进行病毒扫描,防止病毒文件进入;
步骤5:外端协议剥离转换;剥离数据协议IP、TCP、UDP、IKE、AH和ESP的头部,将数据内容转发给电子隔离部件;
步骤6:电子隔离部件将传输数据摆渡到内部网络的内端协议剥离转换;
步骤7:通过内端协议剥离转换将数据还原成TCP/IP数据;
步骤8:对步骤7中还原完成的数据,进行IPSec/HIP/SSL解密处理,解密完成后的数据可以安全地接入高级网络的内网接口。
IPSEC VPN技术,得用IPSEC VPN的密钥协商和传输模式,实现隧道内通信的数据加密。
HIP技术,HIP技术有简单高效的密钥协商技术,且HIP专用于端到端的通信,可以很好保护通信数据安全。
SSL技术,SSL技术通过在设备两端建立SSL隧道的方式,利用SSL技术实现双方通信数据的安全。
进一步的,在步骤2中;使用Radius方式实现安全接入认证。
进一步的,在步骤2中;使用Windows域方式实现安全接入认证。
进一步的,在步骤2中;使用LDAP方式实现安全接入认证。
一种网络安全隔离装置,应用上述网络安全隔离方法,包括外端机、隔离卡及内端机;外端机、隔离卡及内端机依次连接;外端机内设有依次连接的外网接口模块、访问控制模块、文件内容过滤模块、病毒扫描模块及外端协议剥离转换模块;隔离卡内设有电子隔离部件模块;内端机内设有依次连接的内端协议剥离转换模块、IPSec/HIP/SSL模块及内网接口模块。
相对于现有技术,本发明一种网络安全隔离方法及装置,具有以下优势:
本发明一种网络安全隔离方法及装置,配合使用DDoS防御、访问控制、文件内容过滤、病毒扫描、协议剥离转换、IPSec/HIP/SSL解密;可以实现不同等级网络的安全隔离数据传输,具有应用范围广、功能丰富及效果可靠的特点。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
在附图中:
图1为本发明实施例一种网络安全隔离方法及装置结构第一示意图;
图2为本发明实施例一种网络安全隔离方法及装置结构第二示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本发明中的具体含义。
下面将参考附图并结合实施例来详细说明本发明。
如图1-2所示,一种网络安全隔离方法,包括:
步骤1:DDoS防御;对外网接口进入的低级网络数据利用Syncookie、synproxy及anti-flood技术实现DDoS防御;
步骤2:访问控制;通过防火墙模块,利用状态检测技术,实现非规和合规数据鉴别;
步骤3:文件内容过滤;对HTTP、FTP、邮件类及文件共享类应用进行文件内容扫描,防止非合规的文件进入;
步骤4:病毒扫描;对传输的数据内容进行病毒扫描,防止病毒文件进入;
步骤5:外端协议剥离转换;剥离数据协议IP、TCP、UDP、IKE、AH和ESP的头部,将数据内容转发给电子隔离部件;
步骤6:电子隔离部件将传输数据摆渡到内部网络的内端协议剥离转换;
步骤7:通过内端协议剥离转换将数据还原成TCP/IP数据;
步骤8:对步骤7中还原完成的数据,进行IPSec/HIP/SSL解密处理,解密完成后的数据可以安全地接入高级网络的内网接口。
IPSEC VPN技术,得用IPSEC VPN的密钥协商和传输模式,实现隧道内通信的数据加密。
HIP技术,HIP技术有简单高效的密钥协商技术,且HIP专用于端到端的通信,可以很好保护通信数据安全。
SSL技术,SSL技术通过在设备两端建立SSL隧道的方式,利用SSL技术实现双方通信数据的安全。
如图1-2所示,在步骤2中;使用Radius方式实现安全接入认证。
如图1-2所示,在步骤2中;使用Windows域方式实现安全接入认证。
如图1-2所示,在步骤2中;使用LDAP方式实现安全接入认证。
一种网络安全隔离装置,应用上述网络安全隔离方法,包括外端机、隔离卡及内端机;外端机、隔离卡及内端机依次连接;外端机内设有依次连接的外网接口模块、访问控制模块、文件内容过滤模块、病毒扫描模块及外端协议剥离转换模块;隔离卡内设有电子隔离部件模块;内端机内设有依次连接的内端协议剥离转换模块、IPSec/HIP/SSL模块及内网接口模块。
以上仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种网络安全隔离方法,其特征在于:包括:
步骤1:DDoS防御;对外网接口进入的低级网络数据利用Syncookie、synproxy及anti-flood技术实现DDoS防御;
步骤2:访问控制;通过防火墙模块,利用状态检测技术,实现非规和合规数据鉴别;
步骤3:文件内容过滤;对HTTP、FTP、邮件类及文件共享类应用进行文件内容扫描,防止非合规的文件进入;
步骤4:病毒扫描;对传输的数据内容进行病毒扫描,防止病毒文件进入;
步骤5:外端协议剥离转换;剥离数据协议IP、TCP、UDP、IKE、AH和ESP的头部,将数据内容转发给电子隔离部件;
步骤6:电子隔离部件将传输数据摆渡到内部网络的内端协议剥离转换;
步骤7:通过内端协议剥离转换将数据还原成TCP/IP数据;
步骤8:对步骤7中还原完成的数据,进行IPSec/HIP/SSL解密处理,解密完成后的数据可以安全地接入高级网络的内网接口。
2.根据权利要求1所述的一种网络安全隔离方法,其特征在于:在步骤2中;使用Radius方式实现安全接入认证。
3.根据权利要求1所述的一种网络安全隔离方法,其特征在于:在步骤2中;使用Windows域方式实现安全接入认证。
4.根据权利要求1所述的一种网络安全隔离方法,其特征在于:在步骤2中;使用LDAP方式实现安全接入认证。
5.一种网络安全隔离装置,其特征在于:应用如权利要求1-4任一所述的一种网络安全隔离方法,包括外端机、隔离卡及内端机;所述外端机、所述隔离卡及所述内端机依次连接;所述外端机内设有依次连接的外网接口模块、访问控制模块、文件内容过滤模块、病毒扫描模块及外端协议剥离转换模块;所述隔离卡内设有电子隔离部件模块;所述内端机内设有依次连接的内端协议剥离转换模块、IPSec/HIP/SSL模块及内网接口模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810012506.2A CN107948209A (zh) | 2018-01-05 | 2018-01-05 | 一种网络安全隔离方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810012506.2A CN107948209A (zh) | 2018-01-05 | 2018-01-05 | 一种网络安全隔离方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107948209A true CN107948209A (zh) | 2018-04-20 |
Family
ID=61938480
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810012506.2A Pending CN107948209A (zh) | 2018-01-05 | 2018-01-05 | 一种网络安全隔离方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107948209A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109274660A (zh) * | 2018-09-05 | 2019-01-25 | 江苏亨通信息安全技术有限公司 | 车间工控数据摆渡方法、装置及系统 |
| CN110661791A (zh) * | 2019-09-16 | 2020-01-07 | 合肥星空物联信息科技有限公司 | 一种具有安全隔离功能的文件读取系统 |
| CN112671719A (zh) * | 2020-12-08 | 2021-04-16 | 山东鲁能软件技术有限公司 | 一种基于数据剥离的网络安全隔离方法、装置及其搭建方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
| CN105656883A (zh) * | 2015-12-25 | 2016-06-08 | 冶金自动化研究设计院 | 一种适用于工控网络的单向传输内外网安全隔离网闸 |
| US20160285913A1 (en) * | 2015-03-27 | 2016-09-29 | International Business Machines Corporation | Creating network isolation between virtual machines |
| CN107070907A (zh) * | 2017-03-31 | 2017-08-18 | 杭州通悟科技有限公司 | 内外网数据单向传输方法及系统 |
| CN107231371A (zh) * | 2017-06-23 | 2017-10-03 | 国家电网公司 | 电力信息网的安全防护方法、装置和系统 |
| CN107508833A (zh) * | 2017-09-22 | 2017-12-22 | 江苏海事职业技术学院 | 一种校园网络安全防护体系部署方法 |
-
2018
- 2018-01-05 CN CN201810012506.2A patent/CN107948209A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
| US20160285913A1 (en) * | 2015-03-27 | 2016-09-29 | International Business Machines Corporation | Creating network isolation between virtual machines |
| CN105656883A (zh) * | 2015-12-25 | 2016-06-08 | 冶金自动化研究设计院 | 一种适用于工控网络的单向传输内外网安全隔离网闸 |
| CN107070907A (zh) * | 2017-03-31 | 2017-08-18 | 杭州通悟科技有限公司 | 内外网数据单向传输方法及系统 |
| CN107231371A (zh) * | 2017-06-23 | 2017-10-03 | 国家电网公司 | 电力信息网的安全防护方法、装置和系统 |
| CN107508833A (zh) * | 2017-09-22 | 2017-12-22 | 江苏海事职业技术学院 | 一种校园网络安全防护体系部署方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109274660A (zh) * | 2018-09-05 | 2019-01-25 | 江苏亨通信息安全技术有限公司 | 车间工控数据摆渡方法、装置及系统 |
| CN109274660B (zh) * | 2018-09-05 | 2020-11-10 | 江苏亨通信息安全技术有限公司 | 车间工控数据摆渡方法、装置及系统 |
| CN110661791A (zh) * | 2019-09-16 | 2020-01-07 | 合肥星空物联信息科技有限公司 | 一种具有安全隔离功能的文件读取系统 |
| CN112671719A (zh) * | 2020-12-08 | 2021-04-16 | 山东鲁能软件技术有限公司 | 一种基于数据剥离的网络安全隔离方法、装置及其搭建方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE69925732T2 (de) | Mobiltelefon mit eingebauter Sicherheitsfirmware | |
| CN107948209A (zh) | 一种网络安全隔离方法及装置 | |
| KR102075228B1 (ko) | 시큐리티 시스템 및 통신 제어 방법 | |
| US7734647B2 (en) | Personal remote firewall | |
| CN106685956B (zh) | 一种路由器的vpn网络连接方法及系统 | |
| EP1515491B1 (en) | Architecture for virtual private networks | |
| US20150046709A1 (en) | Encapsulation of Secure Encrypted Data in a Deployable, Secure Communication System Allowing Benign, Secure Commercial Transport | |
| US20020083344A1 (en) | Integrated intelligent inter/intra networking device | |
| US20050273848A1 (en) | Procedure for controlling access to a source terminal network using a block mode tunnel and computer programs for its implementation | |
| JP2005503047A (ja) | 安全なネットワークを供給するための装置と方法 | |
| WO2003075121A3 (en) | Firewall | |
| ES2536026A2 (es) | Gestión de acceso a redes a través de un canal de comunicación secundario | |
| EP1807993A1 (en) | Wireless link communications between computer and receiving network each running vpn security software and wireless-link security software | |
| CN107370715A (zh) | 网络安全防护方法及装置 | |
| CN1270481C (zh) | 一种无线局域网接入关口及其实现保障网络安全的方法 | |
| CN109947039A (zh) | 远程监控水处理设备的方法 | |
| CN102790775A (zh) | 一种增强网络安全性能的方法及系统 | |
| CN102946352A (zh) | 一种基于IPsec的NAT转换表项管理方法和设备 | |
| Castilho et al. | Proposed model to implement high-level information security in internet of things | |
| AU2003215751A1 (en) | Secure remote control | |
| CN114007283A (zh) | 一种应用于智慧社区数据安全的安全接入网关 | |
| KR20210085090A (ko) | 방화벽 기반의 선박 접근 제어 시스템 | |
| EP1645098B1 (de) | Vorrichtung und koppelgerät, so genannter secure-switch, zur sicherung eines datenzugriffes | |
| Cisco | Converting Private Link to IPSec | |
| Cisco | Converting Private Link to IPSec |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180420 |