CN114938368A - 一种网络边界安全访问方法 - Google Patents
一种网络边界安全访问方法 Download PDFInfo
- Publication number
- CN114938368A CN114938368A CN202210665510.5A CN202210665510A CN114938368A CN 114938368 A CN114938368 A CN 114938368A CN 202210665510 A CN202210665510 A CN 202210665510A CN 114938368 A CN114938368 A CN 114938368A
- Authority
- CN
- China
- Prior art keywords
- boundary
- data
- network
- file
- network side
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000005540 biological transmission Effects 0.000 claims abstract description 108
- 238000011176 pooling Methods 0.000 claims abstract description 60
- 238000004458 analytical method Methods 0.000 claims abstract description 25
- 238000012544 monitoring process Methods 0.000 claims abstract description 18
- 238000001514 detection method Methods 0.000 claims abstract description 14
- 241000282836 Camelus dromedarius Species 0.000 claims abstract description 10
- 230000008569 process Effects 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 9
- 238000004140 cleaning Methods 0.000 claims description 7
- 230000003068 static effect Effects 0.000 claims description 4
- 238000012423 maintenance Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 10
- 238000010586 diagram Methods 0.000 description 24
- 230000004888 barrier function Effects 0.000 description 4
- 230000000007 visual effect Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- RZVAJINKPMORJF-UHFFFAOYSA-N Acetaminophen Chemical compound CC(=O)NC1=CC=C(O)C=C1 RZVAJINKPMORJF-UHFFFAOYSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/14—Routing performance; Theoretical aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/24—Multipath
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种网络边界安全访问方法,包括步骤、获取各厂商的数据传输能力,构建各厂商边界通道池化模块;采用Camel集成框架路由策略将数据/文件通过池化模块从A网分控中心传输到B网分控中心;对A网分控中心、B网分控中心的边界设备运行数据进行综合链路分析,统一监控告警管理;其中,A网侧数据路由引擎以协同分发方式将数据/文件路由分发到池化模块中的A网侧边界FTP服务器。通过采用Camel集成框架多路由策略技术,在各边界厂商建立的通道上,以多通道协同并发的方式完成数据/文件传输,并实现了以异步路由方式对数据/文件进行备份、对账、安全检测技术。
Description
技术领域
本发明涉及网络数据传输技术领域,特别涉及一种网络边界安全访问方法。
背景技术
现有的网络边界设备通过网闸或光闸建立起边界通道,与两网端的业务服务器FTP服务链接,形成一条数据链路,来传输数据。网络边界设备支持数据库同步、FTP文件同步、API接口调用以及SNAP指标告警监控。但其只与厂商自身边界设备兼容,与其它边界厂商间平台不兼容,监控管理方面,边界设备不能与业务两侧的前后置业务服务器形成链路监测。
由于各边界厂商自带管理平台独立于业务侧,且相互间规范不统一,导致在用户使用侧,不能统一资源、统一监管、统一服务等问题。
在技术方面,主要存在以下缺点:
1、同一厂商的多条边界通道,不能并发协同完成业务数据传输;
2、厂商之间建立的边界通道,不能对跨厂商的边界通道协同操作完成数据传输;
3、各厂商除FTP协议和数据库的传输方式支持外,其它协议支持不足,如:Kafka、HTTP等;
4、不能对边界前后置业务服务器进行统一监控管理。
发明内容
现有技术中,同一厂商的多条边界通道无法并发传输业务数据,且不同厂商的边界通道数据兼容性差,同时各个厂商的数据传输协议不足,限制了业务数据的传输。
针对上述问题,提出一种网络边界安全访问方法,通过构建池化模块对各边界厂商的边界设备资源统一池化管理,在各边界厂商建立的通道间,以协同或并发的方式完成业务数据传输,打破了各边界厂商间建立的边界通道不能跨厂商协作传输的壁垒。通过采用Camel集成框架多路由策略技术,在各边界厂商建立的通道上,以多通道协同并发的方式完成数据/文件传输,并实现了以异步路由方式对数据/文件进行备份、对账、安全检测技术。通过对边界设备的SNMP指标信息、Syslog日志信息,边界业务服务器的SNMP指标信息、Syslog日志信息及边界业务服务器的FTP日志信息进行结构化处理与分析、对账,将各边界厂商的边界设备与业务前后置服务器的设备形成设备链路,设备链路上传输的数据,形成数据传输链路,实现了对设备链路与数据传输链路进行统一的直观分析与监控告警。
第一方面,提出一种网络边界安全访问方法,包括:
步骤100、获取各厂商的数据传输能力,构建各厂商边界通道池化模块;
步骤200、采用Camel集成框架路由策略将数据/文件通过所述池化模块从A网分控中心传输到B网分控中心;
步骤300、分别对所述A网分控中心的边界设备运行数据、B网分控中心的边界设备运行数据进行综合链路分析,统一监控告警管理;
其中,所述步骤200包括:
步骤210、A网侧数据路由引擎以协同分发方式将数据/文件路由分发到池化模块中的A网侧边界FTP服务器。
结合本发明所述的网络边界安全访问方法,第一种可能的实施方式中,所述步骤100包括:
步骤110、获取各厂商边界通道资源参数;
步骤120、构建基于各厂商边界通道的池化模块;
步骤130、通过所述池化模块将各厂商边界通道资源参数提供给各分控中心。
结合本发明第一种可能的实施方式,第二种可能的实施方式中,所述步骤210包括:
步骤211、配置传输路由参数、通道参数及频率参数;
步骤212、部署多个A网侧数据路由引擎;
步骤213、根据配置的通道参数,依据权重对池化模块中A网侧边界FTP服务器不同厂商的边界通道进行轮询;
步骤214、将数据/文件路由到池化模块中对应的不同厂商的边界通道中。
结合本发明第二种可能的实施方式,第三种可能的实施方式中,所述步骤200还包括:
步骤220、根据配置的频率将数据/文件从边界FTP服务器的通道摆渡到池化模块中的B网侧边界FTP服务器中;
步骤230、利用B网侧数据路由引擎根据配置的频率取出摆渡过来的数据/文件并按照对应的文件传输协议路由给B网侧分控中心。
结合本发明第三种可能的实施方式,第四种可能的实施方式中,所述步骤200还包括:
步骤240、根据用户配置信息对A网侧分控中心向B网侧分控中心的数据/文件传输进行对账操作;
步骤250、根据用户配置信息对A网侧分控中心向B网侧分控中心发送的数据/文件传输进行备份操作;
步骤260、根据用户配置信息对A网侧分控中心向B网侧分控中心发送的数据/文件传输进行安全检测操作。
结合本发明第四种可能的实施方式,第五种可能的实施方式中,所述步骤260包括:
步骤241、A网侧数据路由引擎、B网侧数据路由引擎分别启动A网异步数据/文件传输对账路由、B网异步数据/文件传输对账路由;
步骤242、所述A网异步数据/文件传输对账路由监测数据/文件在A网侧的传输情况;
步骤243、所述B网异步数据/文件传输对账路由监测数据/文件在B网侧的传输情况;
步骤244、将数据/文件在A网侧的传输情况与在B网侧的传输情况进行对比分析,获取数据/文件摆渡过程中的延时情况、损坏情况及遗漏情况。
结合本发明第五种可能的实施方式,第六种可能的实施方式中,所述步骤270包括:
步骤251、A网侧数据路由引擎启动异步数据/文件传输备份路由;
步骤252、用户选择文件备份库;
步骤253、所述异步数据/文件传输备份路由将数据/文件备份到指定的备份库中。
结合本发明第六种可能的实施方式,第七种可能的实施方式中,所述步骤280包括:
步骤261、A网侧数据路由引擎启动异步数据/文件传输安全路由;
步骤262、所述异步数据/文件传输安全路由检测所述数据/文件中是否包含敏感信息;
步骤263、所述异步数据/文件传输安全路由检测所述数据/文件中文件格式是否与当前传输的文件格式一致;
步骤264、若包含敏感信息或文件格式不一致,则中断数据/文件传输路由,并产生一条告警数据。
结合本发明第七种可能的实施方式,第八种可能的实施方式中,所述步骤300包括:
步骤310、收集池化模块中的不同厂商边界通道设备的SNMP指标信息、Syslog日志信息;
步骤320、收集池化模块中的A网侧边界业务服务器及B网侧边界业务服务器的SNMP指标信息、Syslog日志信息;
步骤330、收集池化模块中的A网侧边界业务服务器及B网侧边界业务服务器的FTP日志信息;
步骤340、对所述池化模块中的边界通道设备的SNMP指标信息、Syslog日志信息,边界业务服务器的SNMP指标信息、Syslog日志信息及边界业务服务器的FTP日志信息进行结构化清洗处理;
步骤350、利用结构化清洗处理后的日志信息对池化模块中的厂商边界设备、A网侧边界设备、B网侧边界设备进行综合链路分析;
步骤360、将综合链路分析结果及数据/文件摆渡过程中对账情况动态显示在软硬资源管理中生成的静态边界链路上。
结合本发明第八种可能的实施方式,第九种可能的实施方式中,所述方法还包括:
步骤400、对池化模块中的软硬件资产进行统一管理;
所述步骤400包括:
步骤410、构建边界软硬件资产统一管理模块;
步骤420、利用所述统一管理模块向各边界厂商或设备维护商提供统一录入界面;
步骤430、各边界厂商或设备维护商利用所述统一录入界面将管理的软硬件资产录入所述统一管理模块;
步骤440、所述统一管理模块对边界软硬件资产进行资产信息维护、标签管理、边界设备关联拓扑分析,边界设备与拓扑链路的运行情况分析。
实施本发明所述的一种网络边界安全访问方法,通过构建池化模块对各边界厂商的边界设备资源统一池化管理,在各边界厂商建立的通道间,以协同或并发的方式完成业务数据传输,打破了各边界厂商间建立的边界通道不能跨厂商协作传输的壁垒。通过采用Camel集成框架多路由策略技术,在各边界厂商建立的通道上,以多通道协同并发的方式完成数据/文件传输,并实现了以异步路由方式对数据/文件进行备份、对账、安全检测技术。通过对边界设备的SNMP指标信息、Syslog日志信息,边界业务服务器的SNMP指标信息、Syslog日志信息及边界业务服务器的FTP日志信息进行结构化处理与分析、对账,将各边界厂商的边界设备与业务前后置服务器的设备形成设备链路,设备链路上传输的数据,形成数据传输链路,实现了对设备链路与数据传输链路进行统一的直观分析与监控告警。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明中一种网络边界安全访问方法第一实施例示意图;
图2是本发明中一种网络边界安全访问方法第二实施例示意图;
图3是本发明中一种网络边界安全访问方法第三实施例示意图;
图4是本发明中一种网络边界安全访问方法第四实施例示意图;
图5是本发明中一种网络边界安全访问方法第五实施例示意图;
图6是本发明中一种网络边界安全访问方法第六实施例示意图;
图7是本发明中一种网络边界安全访问方法第七实施例示意图;
图8是本发明中一种网络边界安全访问方法第八实施例示意图;
图9是本发明中一种网络边界安全访问方法第九实施例示意图;
图10是本发明中一种网络边界安全访问方法第十实施例示意图;
图11是本发明中数据/文件传输实施例示意图;
图12是本发明中池化模块实施例示意图;
具体实施方式
下面将结合发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的其他实施例,都属于本发明保护的范围。
现有技术中,同一厂商的多条边界通道无法并发传输业务数据,且不同厂商的边界通道数据兼容性差,同时各个厂商的数据传输协议不足,限制了业务数据的传输。
针对上述问题,提出一种网络边界安全访问方法。
第一方面,如图1,图1是本发明中一种网络边界安全访问方法第一实施例示意图;提出一种网络边界安全访问方法,包括:步骤100、获取各厂商的数据传输能力,构建各厂商边界通道池化模块;步骤200、采用Camel集成框架路由策略将数据/文件通过池化模块从A网分控中心传输到B网分控中心;步骤300、对A网分控中心、B网分控中心的边界设备运行数据进行综合链路分析,统一监控告警管理;其中,步骤200包括:步骤210、A网侧数据路由引擎以协同分发方式将数据/文件路由分发到池化模块中的A网侧边界FTP服务器。如图12,图12是本发明中池化模块实施例示意图;通过采用Camel集成框架多路由策略技术,在各边界厂商建立的通道上,以多通道协同并发的方式完成数据/文件传输,并实现了以异步路由方式对数据/文件进行备份、对账、安全检测技术。
优选地,如图2,图2是本发明中一种网络边界安全访问方法第二实施例示意图;步骤100包括:步骤110、获取各厂商边界通道资源参数;步骤120、构建基于各厂商边界通道的池化模块;步骤130、通过池化模块将各厂商边界通道资源参数提供给各分控中心。
将各厂商建立的边界通道资源池化,以透明的方式将数据传输能力提供出来,并以多并发协同的方式,提高数据传输能力,且能充分利用通道资源。
构建池化模块,对各厂商边界通道设备资源进行统一管理,在实际运用过程中A网、B网边界两侧的用户在分控中心注册需传输的业务源/目的端配置信息,分控中心中的数据路由引擎自动监测用户注册的数据配置信息,启动数据传输任务,将业务数据传输至指定的目的端,以达到数据传输的透明化处理。同时,采取数据文件分发策略(等权/不同权重轮询分发),根据实际所配置的单条/多条边界通道,往不同厂商建立的边界通道推送数据/文件,达到将各厂商建立的边界通道资源池化的目的。
通过构建池化模块对各边界厂商的边界设备资源统一池化管理,在各边界厂商建立的通道间,以协同或并发的方式完成业务数据传输,打破了各边界厂商间建立的边界通道不能跨厂商协作传输的壁垒。
优选地,如图3,图3是本发明中一种网络边界安全访问方法第三实施例示意图;步骤210包括:步骤211、配置传输路由参数、通道参数及频率参数;步骤212、部署多个A网侧数据路由引擎;步骤213、根据配置的通道参数,依据权重对池化模块中A网侧边界FTP服务器不同厂商的边界通道进行轮询;步骤214、将数据/文件路由到池化模块中对应的不同厂商的边界通道中。
采用Camel集成框架,将数据/文件传输以不同的路由策略,实现同步和异步的逻辑处理规则。除了保障正常数据/文件同步传输外,还能以异步方式实现对数据对账/安全检测/数据备份功能。
优选地,如图4,图4是本发明中一种网络边界安全访问方法第四实施例示意图;步骤200包括:步骤220、根据配置的频率将数据/文件从边界FTP服务器的通道摆渡到池化模块中的B网侧边界FTP服务器中;步骤230、利用B网侧数据路由引擎根据配置的频率取出摆渡过来的数据/文件并按照对应的文件传输协议路由给B网侧分控中心。
如图11,图11是本发明中数据/文件传输实施例示意图;用户通过分控中心(XH-DATAX-Proxy)提供的服务能力,选择文件传输协议,填写数据/文件跨网传输配置信息,经由A网侧的数据路由引擎(XH-DATAX-Agent,可部署多个,协同并发完成数据路由),将数据/文件路由至A网侧池化模块中的边界FTP服务器中以及各厂商建立的边界通道,根据配置的频率从A网侧池化模块中的FTP服务器中下载数据/文件摆渡至B网侧边界FTP服务器中。
B网侧数据路由引擎(XH-DATAX-Agent),根据已配置的频率从B网侧池化模块中的FTP服务器中探测并取出摆渡过来的数据/文件,再路由给B网侧用户在分控中心(XH-DATAX-Proxy),B网侧分控中心在接收数据/文件前,先配置好接收数据的协议方式。
AB网侧数据路由引擎(XH-DATAX-Agent)开启数据传输路由外,根据用户填写的配置信息,是否需要开启数据/文件传输对账、备份、安全检测等功能。
优选地,如图5,图5是本发明中一种网络边界安全访问方法第五实施例示意图;步骤200还包括:步骤240、根据用户配置信息对A网侧分控中心向B网侧分控中心的数据/文件传输进行对账操作;步骤250、根据用户配置信息对A网侧分控中心向B网侧分控中心发送的数据/文件传输进行备份操作;步骤260、根据用户配置信息对A网侧分控中心向B网侧分控中心发送的数据/文件传输进行安全检测操作。
优选地,如图6,图6是本发明中一种网络边界安全访问方法第六实施例示意图;步骤240包括:步骤241、A网侧数据路由引擎、B网侧数据路由引擎分别启动A网异步数据/文件传输对账路由、B网异步数据/文件传输对账路由;步骤242、A网异步数据/文件传输对账路由监测数据/文件在A网侧的传输情况;步骤243、B网异步数据/文件传输对账路由监测数据/文件在B网侧的传输情况;步骤244、将数据/文件在A网侧的传输情况与在B网侧的传输情况进行对比分析,获取数据/文件摆渡过程中的延时情况、损坏情况及遗漏情况。
如果用户配置了需要启动对账,则AB网侧的数据路由引擎自动启动一个异步数据/文件传输对账路由,监测分析数据/文件在边界AB两侧摆渡过程中,数据/文件的延时情况(根据数据/文件传输时间判断)、数据/文件损坏情况(根据数据/文件传输大小判断)、数据/文件遗漏情况(根据数据/文件传输数量判断),以达到对AB网侧数据/文件传输过程的对账分析。
优选地,如图7,图7是本发明中一种网络边界安全访问方法第七实施例示意图;步骤250包括:步骤251、A网侧数据路由引擎启动异步数据/文件传输备份路由;步骤252、用户选择Minio分布式文件系统或FTP文件服务器备份库;步骤253、异步数据/文件传输备份路由将数据/文件备份到指定的备份库中。
如果用户配置了需要启动备份,则A网侧的数据路由引擎自动启动一个异步数据/文件传输备份路由(B网侧数据/文件接收端不需要启动备份路由),备份路由会根据用户选择备份渠道(本申请提供了Minio分布式文件系统作为默认备份库、此外还有FTP文件服务器备份库),异步将数据/文件备份至指定的备份库中。
优选地,如图8,图8是本发明中一种网络边界安全访问方法第八实施例示意图;步骤260包括:步骤261、A网侧数据路由引擎启动异步数据/文件传输安全路由;步骤262、异步数据/文件传输安全路由检测数据/文件中是否包含敏感信息;步骤263、异步数据/文件传输安全路由检测数据/文件中文件格式是否与当前传输的文件格式一致;步骤264、若包含敏感信息或文件格式不一致,则中断数据/文件传输路由,并产生一条告警数据。
如果用户配置了需要启动安全检测,则A网侧的数据路由引擎自动启动一个异步数据/文件安全检测路由(B网侧数据/文件接收端不需要启动安全检测路由),安全检测路由会检测数据中是否包含了敏感信息和检测文件头信息中文件格式是否与当前传输的文件格式一致,如果包含敏感信息或文件格式不一致,则中断数据/文件传输路由,并产生一条告警数据。
优选地,如图9,图9是本发明中一种网络边界安全访问方法第九实施例示意图;步骤300包括:步骤310、收集池化模块中的不同厂商边界通道设备的SNMP指标信息、Syslog日志信息;步骤320、收集池化模块中的A网侧边界业务服务器及B网侧边界业务服务器的SNMP指标信息、Syslog日志信息;步骤330、收集池化模块中的A网侧边界业务服务器及B网侧边界业务服务器的FTP日志信息;步骤340、对池化模块中的边界设备的SNMP指标信息、Syslog日志信息,边界业务服务器的SNMP指标信息、Syslog日志信息及边界业务服务器的FTP日志信息进行结构化清洗处理;步骤350、利用结构化清洗处理后的日志信息对池化模块中的厂商边界设备、A网侧边界设备、B网侧边界设备进行综合链路分析;步骤360、将综合链路分析结果及数据/文件摆渡过程中对账情况动态显示在软硬资源管理中生成的静态边界链路上。
收集不同厂商边界设备的SNMP指标信息和Syslog日志信息、A网侧边界业务服务器及B网侧边界业务服务器的SNMP指标信息和Syslog日志信息、A网侧边界业务服务器及B网侧边界业务服务器的FTP日志信息;
一方面,对采集到的三类数据进行结构化清洗处理,进行综合链路分析,形成统一的数据链路、设备链路的监控告警管理,分析出边界两侧设备的各项运行指标,另一方面,对数据/文件摆渡过程的状态信息进行对账分析,获取摆渡过程中对文件传输的监控情况。
将上述两方面的监控信息数据作为数据链路监控数据进行统一展现,动态显示在软硬资源管理中生成的静态边界链路上,以达到实时监控链路的运行情况。通过对边界设备的SNMP指标信息、Syslog日志信息,边界业务服务器的SNMP指标信息、Syslog日志信息及边界业务服务器的FTP日志信息进行结构化处理与分析、对账,将各边界厂商的边界设备与业务前后置服务器的设备形成设备链路,设备链路上传输的数据,形成数据传输链路,实现了对设备链路与数据传输链路进行统一的直观分析与监控告警。
优选地,如图10,图10是本发明中一种网络边界安全访问方法第十实施例示意图;方法还包括:步骤400、对池化模块中的软硬件资产进行统一管理;步骤400包括:步骤410、构建边界软硬件资产统一管理模块;步骤420、利用所述统一管理模块向各边界厂商或设备维护商提供统一录入界面;步骤430、各边界厂商或设备维护商利用所述统一录入界面将管理的软硬件资产录入所述统一管理模块;步骤440、统一管理模块对边界软硬件资产进行资产信息维护、标签管理、边界设备关联拓扑分析,边界设备与拓扑链路的运行情况分析。
对各边界厂商新纳入的软硬资产,提供统一的软硬资产录入口进行登记管理。硬件主要包括服务器、防火墙、交换机、边界前后置服务器、光闸、网闸等,软件主要包括各边界厂商建立边界通道过程中产生的合同、资质等。
根据用户业务情况,扩充边界数据传输协议支持,如Kafka、HTTP等,以满足不同业务场景需求。
本申请在边界源生FTP文件协议的基础上,还可以通过XH-DATAX-Agent引擎或XH-DATAX-Proxy分控中心封装多类协议支持,如HTTP、KAFA等,进行数据传输至,以满足不同业务场景需求。
实施本发明的一种网络边界安全访问方法,通过构建池化模块对各边界厂商的边界设备资源统一池化管理,在各边界厂商建立的通道间,以协同或并发的方式完成业务数据传输,打破了各边界厂商间建立的边界通道不能跨厂商协作传输的壁垒。通过采用Camel集成框架多路由策略技术,在各边界厂商建立的通道上,以多通道协同并发的方式完成数据/文件传输,并实现了以异步路由方式对数据/文件进行备份、对账、安全检测技术。通过对边界设备的SNMP指标信息、Syslog日志信息,边界业务服务器的SNMP指标信息、Syslog日志信息及边界业务服务器的FTP日志信息进行结构化处理与分析、对账,将各边界厂商的边界设备与业务前后置服务器的设备形成设备链路,设备链路上传输的数据,形成数据传输链路,实现了对设备链路与数据传输链路进行统一的直观分析与监控告警。
以上仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络边界安全访问方法,其特征在于,包括:
步骤100、获取各边界厂商的数据传输能力,构建各厂商边界通道池化模块;
步骤200、采用Camel集成框架路由策略将数据/文件通过所述池化模块从A网分控中心传输到B网分控中心;
步骤300、分别对所述A网分控中心的边界设备运行数据、B网分控中心的边界设备运行数据进行综合链路分析,统一监控告警管理;
其中,所述步骤200包括:
步骤210、A网侧数据路由引擎以协同分发方式将数据/文件路由分发到池化模块中的A网侧边界FTP服务器。
2.根据权利要求1所述的网络边界安全访问方法,其特征在于,所述步骤100包括:
步骤110、获取各厂商边界通道资源参数;
步骤120、构建基于各厂商边界通道的池化模块;
步骤130、通过所述池化模块将各厂商边界通道资源参数提供给各分控中心。
3.根据权利要求2所述的网络边界安全访问方法,其特征在于,所述步骤210包括:
步骤211、配置传输路由参数、通道参数及频率参数;
步骤212、部署多个A网侧数据路由引擎;
步骤213、根据配置的通道参数,依据权重对池化模块中A网侧边界FTP服务器不同厂商的边界通道进行轮询;
步骤214、将数据/文件路由到池化模块中对应的不同厂商的边界通道中。
4.根据权利要求3所述的网络边界安全访问方法,其特征在于,所述步骤200还包括:
步骤220、根据配置的频率将数据/文件从边界FTP服务器的通道摆渡到池化模块中的B网侧边界FTP服务器中;
步骤230、利用B网侧数据路由引擎根据配置的频率取出摆渡过来的数据/文件并按照对应的文件传输协议路由给B网侧分控中心。
5.根据权利要求4所述的网络边界安全访问方法,其特征在于,所述步骤200还包括:
步骤240、根据用户配置信息对A网侧分控中心向B网侧分控中心的数据/文件传输进行对账操作;
步骤250、根据用户配置信息对A网侧分控中心向B网侧分控中心发送的数据/文件传输进行备份操作;
步骤260、根据用户配置信息对A网侧分控中心向B网侧分控中心发送的数据/文件传输进行安全检测操作。
6.根据权利要求5所述的网络边界安全访问方法,其特征在于,所述步骤240包括:
步骤241、A网侧数据路由引擎、B网侧数据路由引擎分别启动A网异步数据/文件传输对账路由、B网异步数据/文件传输对账路由;
步骤242、所述A网异步数据/文件传输对账路由监测数据/文件在A网侧的传输情况;
步骤243、所述B网异步数据/文件传输对账路由监测数据/文件在B网侧的传输情况;
步骤244、将数据/文件在A网侧的传输情况与在B网侧的传输情况进行对比分析,获取数据/文件摆渡过程中的延时情况、损坏情况及遗漏情况。
7.根据权利要求6所述的网络边界安全访问方法,其特征在于,所述步骤250包括:
步骤251、A网侧数据路由引擎启动异步数据/文件传输备份路由;
步骤252、用户选择文件备份库;
步骤253、所述异步数据/文件传输备份路由将数据/文件备份到指定的备份库中。
8.根据权利要求7所述的网络边界安全访问方法,其特征在于,所述步骤260包括:
步骤261、A网侧数据路由引擎启动异步数据/文件传输安全路由;
步骤262、所述异步数据/文件传输安全路由检测所述数据/文件中是否包含敏感信息;
步骤263、所述异步数据/文件传输安全路由检测所述数据/文件中文件格式是否包含敏感信息或与当前传输的文件格式是否一致;
步骤264、若包含敏感信息或文件格式不一致,则中断数据/文件传输路由,并产生一条告警数据。
9.根据权利要求8所述的网络边界安全访问方法,其特征在于,所述步骤300包括:
步骤310、收集池化模块中的不同厂商边界通道设备的SNMP指标信息、Syslog日志信息;
步骤320、收集池化模块中的A网侧边界业务服务器及B网侧边界业务服务器的SNMP指标信息、Syslog日志信息;
步骤330、收集池化模块中的A网侧边界业务服务器及B网侧边界业务服务器的FTP日志信息;
步骤340、对所述池化模块中的边界通道设备的SNMP指标信息、Syslog日志信息,边界业务服务器的SNMP指标信息、Syslog日志信息及边界业务服务器的FTP日志信息进行结构化清洗处理;
步骤350、利用结构化清洗处理后的日志信息对池化模块中的厂商边界设备、A网侧边界设备、B网侧边界设备进行综合链路分析;
步骤360、将综合链路分析结果及数据/文件摆渡过程中对账情况动态显示在软硬资源管理中生成的静态边界链路上。
10.根据权利要求9所述的网络边界安全访问方法,其特征在于,所述方法还包括:
步骤400、对池化模块中的软硬件资产进行统一管理;
所述步骤400包括:
步骤410、构建边界软硬件资产统一管理模块;
步骤420、利用所述统一管理模块向各边界厂商或设备维护商提供统一录入界面;
步骤430、各边界厂商或设备维护商利用所述统一录入界面将管理的软硬件资产录入所述统一管理模块;
步骤440、所述统一管理模块对边界软硬件资产进行资产信息维护、标签管理、边界设备关联拓扑分析,边界设备与拓扑链路的运行情况分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210665510.5A CN114938368A (zh) | 2022-06-13 | 2022-06-13 | 一种网络边界安全访问方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210665510.5A CN114938368A (zh) | 2022-06-13 | 2022-06-13 | 一种网络边界安全访问方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114938368A true CN114938368A (zh) | 2022-08-23 |
Family
ID=82866668
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210665510.5A Withdrawn CN114938368A (zh) | 2022-06-13 | 2022-06-13 | 一种网络边界安全访问方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114938368A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080209505A1 (en) * | 2006-08-14 | 2008-08-28 | Quantum Secure, Inc. | Policy-based physical security system for restricting access to computer resources and data flow through network equipment |
| CN110557378A (zh) * | 2019-08-02 | 2019-12-10 | 西安飞机工业(集团)有限责任公司 | 一种网络边界安全隔离及信息单向传输系统及传输方法 |
| CN112256797A (zh) * | 2020-10-30 | 2021-01-22 | 深圳物讯科技有限公司 | 一种基于MongoDB的公安网与政务网的数据同步系统和方法 |
| CN112653664A (zh) * | 2020-11-20 | 2021-04-13 | 金航数码科技有限责任公司 | 一种网络之间高安全可靠的数据交换系统及方法 |
| CN112995342A (zh) * | 2021-04-22 | 2021-06-18 | 航天神舟智慧系统技术有限公司 | 基于公安内外网传输的举报监控方法和系统 |
-
2022
- 2022-06-13 CN CN202210665510.5A patent/CN114938368A/zh not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080209505A1 (en) * | 2006-08-14 | 2008-08-28 | Quantum Secure, Inc. | Policy-based physical security system for restricting access to computer resources and data flow through network equipment |
| CN110557378A (zh) * | 2019-08-02 | 2019-12-10 | 西安飞机工业(集团)有限责任公司 | 一种网络边界安全隔离及信息单向传输系统及传输方法 |
| CN112256797A (zh) * | 2020-10-30 | 2021-01-22 | 深圳物讯科技有限公司 | 一种基于MongoDB的公安网与政务网的数据同步系统和方法 |
| CN112653664A (zh) * | 2020-11-20 | 2021-04-13 | 金航数码科技有限责任公司 | 一种网络之间高安全可靠的数据交换系统及方法 |
| CN112995342A (zh) * | 2021-04-22 | 2021-06-18 | 航天神舟智慧系统技术有限公司 | 基于公安内外网传输的举报监控方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200106662A1 (en) | Systems and methods for managing network health | |
| US10484265B2 (en) | Dynamic update of virtual network topology | |
| CN101313280B (zh) | 基于池的网络诊断系统和方法 | |
| JPH08298517A (ja) | 物理的な接続マップを構築し、表示する方法 | |
| CN107659423A (zh) | 业务处理方法及装置 | |
| CN102739802A (zh) | 面向业务应用的it集中运维分析系统 | |
| CN104283780B (zh) | 建立数据传输路径的方法和装置 | |
| CN109639488B (zh) | 一种多外网分流加速方法及系统 | |
| CN107404728A (zh) | 一种网络问题定位的方法及装置 | |
| CN109951344A (zh) | 基于大数据分析的ims支撑运维告警系统及方法 | |
| CN114926163A (zh) | 资源跨链转移方法及装置 | |
| CN108834148B (zh) | 一种面向5g的基于nfv的诈骗电话处置系统和方法 | |
| CN112671586B (zh) | 一种业务配置自动迁移和保障方法及装置 | |
| CN114938368A (zh) | 一种网络边界安全访问方法 | |
| KR101829881B1 (ko) | 플로우 관제 시스템, 컨트롤러 및 장애 검출 방법 | |
| CN113824718B (zh) | 一种量子网络接入安全中间件平台系统 | |
| CN115776501A (zh) | 区块链系统架构、管理方法、电子设备及可读存储介质 | |
| US10432451B2 (en) | Systems and methods for managing network health | |
| CN105743675A (zh) | 信息采集方法及装置 | |
| CN116260747A (zh) | 终端测试设备的监测方法、装置及电子设备 | |
| JP2001077814A (ja) | ネットワーク障害解析支援装置、およびネットワーク障害解析方法、ならびに障害解析プログラムを記録した記録媒体 | |
| CN101309492B (zh) | 一种获取网管系统中端对端电路信息的方法及装置 | |
| KR100285709B1 (ko) | 통신망관리시스템에서의망상황도시방법 | |
| CN116582424B (zh) | 交换机配置方法、装置、存储介质及电子设备 | |
| CN114268568B (zh) | 一种网络流量监控方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220823 |