CN101136797A - 内外网物理连通的检测、通断控制方法及应用该方法的装置 - Google Patents
内外网物理连通的检测、通断控制方法及应用该方法的装置 Download PDFInfo
- Publication number
- CN101136797A CN101136797A CNA2007100305743A CN200710030574A CN101136797A CN 101136797 A CN101136797 A CN 101136797A CN A2007100305743 A CNA2007100305743 A CN A2007100305743A CN 200710030574 A CN200710030574 A CN 200710030574A CN 101136797 A CN101136797 A CN 101136797A
- Authority
- CN
- China
- Prior art keywords
- network
- intranet
- detector
- server
- extranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种内外网物理连通的检测、通断控制方法及应用该方法的装置,本发明通过在内外网上各设置一台服务器,并且在内外网的每个网段各设置一个探测器,在内外网一端的探测器定时发送带有特殊标记的数据包,当外网探测器探测到内网发送的数据包或者内网探测器探测到外网发送的数据包时,即可确定内外网络已经连通,当发现内外网连通的情况后,系统会通知服务器自动断开本单位局域内网与广域内网的连接,确保广域内网的安全,采用本发明,可以有效、及时地发现内外网络直接连接的情况,从根本上解决涉密主机与外网连通的检测问题,本发明可以应用于内网保护及入侵检测等各类系统中。
Description
【技术领域】
本发明属于网络安全领域,具体的说涉及一种内外网物理连通的检测、通断控制方法及应用该方法的装置。
【背景技术】
为保证涉密网络的安全运行,在涉密网络和公共信息网络之间实施物理隔离,是国家保密部门的强制规定,也是当前涉密网络采取的主要安全保密措施。然而,由于在涉密网络和公共信息网络之间缺乏行之有效的监控管理手段,在实际应用中有时会有意或者无意地将内网与外网网线交叉错接,导致内网与外网物理连接,从而形成事实上的物理通道。这样黑客极有可能通过该通道进入内部网络,进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进行收集,或者对内部网络的其它主机进行攻击,对内部网络的安全构成极大的威胁。传统的安全产品只能对内网中客户机通过拨号、无线网卡等主动非法外联方式进行检测,而不能对内、外网线是否存在物理连接作出准确判断。现有技术存在的主要缺陷就是无法有效、及时地发现内外网络直接连接的情况。
【发明内容】
本发明的目的是针对现有技术的不足,提供一种内外网络物理连通的检测及通断控制方法,还提供利用该方法的检测及控制内外网物理连通装置,以克服现有技术存在的无法及时、准确地发现内外网络物理连通的问题。
本发明的解决方案是:一种内外网物理连通的检测、通断控制方法,其特征在于,本方法通过在内外网上各设置一台服务器,并且在内外网的每个网段各设置一个探测器,在内外网一端的探测器定时发送带有特殊标记的数据包,当外网探测器探测到内网发送的数据包或者内网探测器探测到外网发送的数据包时,即可确定内外网络已经连通,具体的说,本发明通过以下几个步骤来实现:
1)、在内外网端各部署一台服务器,并对服务器进行TCP/IP设置,保证从本网中任何网段都可以与服务器建立TCP通讯;
2)、在内外网的每个网段各部署一台探测器,如果网络上存在多个虚拟网段,则在每一个网段上都部署一台探测器,每台探测器都进行相应的TCP/IP设置,需要占用本网段的一个IP地址,其网关指向可以路由到本网服务器的路由器地址;
3)、所述的每一个网段上的探测器定时发送带有本网特征的特殊数据包;
4)、所述探测器一直监听本网段中的所有数据包,当位于内网某网段的内网探测器监听到部署在外网的探测器发送的数据包,或者位于外网某网段的外网探测器监听到部署在内网的探测器发送的数据包,即可确认内外网络已经连通,此时探测器即通过指定路由对本网络的服务器发起TCP连接,向服务器发送报警信息,并在服务器上产生详细的日志记录;
5)、如果本系统是部署在与广域内网连接的局域网络中,当服务器检测到内外网直连时,向设置在网络中的网络阻断设备发送指令,主动断开局域内网与广域内网的网络连接,保证广域内网的安全。
需要说明的是,当网络中只有一个网段时,服务器与探测器用同一台机实现。
应用上述方法的一种内外网物理连通的检测、通断控制装置,其特征在于,内外网上各设置有一台服务器,并且在内外网的每个网段各设置有一个能定时发送带有特殊标记的数据包探测器,以及在网络中设置有网络阻断设备,即网络通断控制器。
与现有技术相比,本发明的优点是:现有内外网连通的检测方法或设备一般都是通过内网主机向外网发送数据包(ping包、DNS解析包及基于TCP/IP的连接包),或者内网主机试图连接互联网等方式来检测内外网连接情况。而实际网络环境中由于内外网IP配置不同,即使内外网直连,内网主机也无法与外网主机建立连接,而在划分虚拟网段的网络中即使内外网IP配置方法相同,在内外网直连的情况下,内网主机也无法与外网主机建立连接。
而本发明的方法或设备通过自身主动发送数据包并监测同类型数据包的方式来检测内外网络存在物理连接的情况,对即使内外网各划分了多个虚拟网段等复杂情况,通过本发明所述探测器方法也能准确地检测内外任意两个网段连接的情况。另外,本发明与现在技术的区别及有益效果还在于,当发现内外网连通的情况后,系统会通知服务器自动断开本单位局域内网与广域内网的连接,确保广域内网的安全。采用本发明,可以从根本上解决涉密主机与外网连通的检测问题,本发明可以应用于内网保护及入侵检测等各类系统中。
【附图说明】
附图为本发明在具体网络环境中的结构应用示意图。
【具体实施方式】
下面结合附图对本发明进行进一步的描述:
1、如图所示,在内外网中分别部署一台报警服务器,对服务器进行
TCP/IP设置,保证从本网中任何网段都可以与服务器建立TCP通讯;
2、在内外网的每个网段各部署一台探测器,所述探测器可以是带网络通讯功能的服务器、主机或者单片机、单板机。如果内外网中有多个虚拟网段,则每个网段中都需要配置一台探测器,每台探测器都必须进行相应的TCP/IP设置,需要占用本网段的一个IP地址,其网关指向可以路由到本网服务器的路由器地址;
3、探测器定时发送带有本网内容的包含特殊标记的二层广播包,比如,部署在内网的探测器发送标记为A的广播包,部署在外网的探测器发送标记为B的广播包,A、B标记为区别于网络其它广播包的特殊字段;
4、在正常情况下,由于内网与外网物理隔离,内网探测器发送的包含内容A的广播包不可能传送到外网中,同样,外网探测器发送的包含内容B的广播包也不可能传送到内网中,但是一旦内网某一网段与外网另一网段直连,即内网与外网发生了物理连接,根据交换机包转发原理,位于该网段的探测器发送的二层广播包可以从两个直连的网段中的任何一个端口捕获到;
5、探测器一直监听本网段中的所有广播包,当位于内网某网段的内网探测器监听到包含有内容B的广播包,或者位于外网某网段的外网探测器监听到包含有内容A的广播包,即可确认内外网络已经连通,此时探测器即通过指定路由对本网络的服务器发起TCP连接,向服务器报警,并在服务器上产生详细的日志记录;
6、如果本系统是部署在与广域内网连接的局域网络中,当服务器检测到内外网直连时,向图中的网络阻断设备(网络通断控制器)发送指令,主动断开局域内网与广域内网的网络连接,保证广域内网的安全。
另外,如图所示,应用本发明方法的内外网物理连通的检测、通断控制装置,其特征在于,内外网上各设置有一台服务器,并且在内外网的每个网段各设置有一个能定时发送带有特殊标记的数据包探测器,以及在网络中设置有网络阻断设备,即网络通断控制器。
而且,在内外网端各设置的所述服务器,通过对其进行TCP/IP设置,从而保证从本网中任何网段都可以与所述服务器建立TCP通讯。
另外,在内外网的每个网段各设置的所述探测器,对其分别进行相应的TCP/IP设置,占用本网段的一个IP地址,其网关指向可以路由到本网服务器的路由器地址。
而且,当网络中只有一个网段时,所述服务器与所述探测器用同一台机实现。
还有,所述探测器可以是带网络通讯功能的服务器、主机或者单片机、单板机。
最后所应说明的是:以上实施方式作为一种实施例,仅用以说明而非限制本发明的技术方案,尽管参照上述方式对本发明进行了详细的说明,本领域的技术人员应该理解:依然对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改和局部替换,其均应涵盖在本发明的权利要求范围内。
Claims (9)
1.一种内外网物理连通的检测、通断控制方法,其特征在于,本方法通过在内外网上各设置一台服务器,并且在内外网的每个网段各设置一个探测器,在内外网一端的探测器定时发送带有特殊标记的数据包,当外网探测器探测到内网发送的数据包或者内网探测器探测到外网发送的数据包时,即可确定内外网络已经连通,具体的说,本发明通过以下几个步骤来实现:
1)、在内外网端各部署一台服务器,并对服务器进行TCP/IP设置,保证从本网中任何网段都可以与服务器建立TCP通讯;
2)、在内外网的每个网段各部署一台探测器,如果网络上存在多个虚拟网段,则在每一个网段上都部署一台探测器,每台探测器都进行相应的TCP/IP设置,需要占用本网段的一个IP地址,其网关指向可以路由到本网服务器的路由器地址;
3)、所述的每一个网段上的探测器定时发送带有本网特征的特殊数据包;
4)、所述探测器一直监听本网段中的所有数据包,当位于内网某网段的内网探测器监听到部署在外网的探测器发送的数据包,或者位于外网某网段的外网探测器监听到部署在内网的探测器发送的数据包,即可确认内外网络已经连通,此时探测器即通过指定路由对本网络的服务器发起TCP连接,向服务器发送报警信息,并在服务器上产生详细的日志记录;
5)、如果本系统是部署在与广域内网连接的局域网络中,当服务器检测到内外网直连时,向设置在网络中的网络阻断设备发送指令,主动断开局域内网与广域内网的网络连接,保证广域内网的安全。
2.根据权利要求1所述的内外网物理连通的检测、通断控制方法,其特征还在于,当网络中只有一个网段时,服务器与探测器用同一台机实现。
3.根据权利要求1所述的内外网物理连通的检测、通断控制方法,其特征还在于,所述探测器可以是带网络通讯功能的服务器、主机或者单片机、单板机。
4.根据权利要求1所述的内外网物理连通的检测、通断控制方法,其特征还在于,所述探测器定时发送的数据包为带有本网内容的包含特殊标记的二层广播包。
5.一种内外网物理连通的检测、通断控制装置,其特征在于,内外网上各设置有一台服务器,并且在内外网的每个网段各设置有一个能定时发送带有特殊标记的数据包探测器,以及在网络中设置有网络阻断设备,即网络通断控制器。
6.根据权利要求5所述的内外网物理连通的检测、通断控制装置,其特征还在于,在内外网端各设置的所述服务器,通过对其进行TCP/IP设置,从而保证从本网中任何网段都可以与所述服务器建立TCP通讯。
7.根据权利要求5所述的内外网物理连通的检测、通断控制装置,其特征还在于,在内外网的每个网段各设置的所述探测器,对其分别进行相应的TCP/IP设置,占用本网段的一个IP地址,其网关指向可以路由到本网服务器的路由器地址。
8.根据权利要求5所述的内外网物理连通的检测、通断控制装置,其特征还在于,当网络中只有一个网段时,所述服务器与所述探测器用同一台机实现。
9.根据权利要求5所述的内外网物理连通的检测、通断控制装置,其特征还在于,所述探测器可以是带网络通讯功能的服务器、主机或者单片机、单板机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100305743A CN101136797B (zh) | 2007-09-28 | 2007-09-28 | 内外网物理连通的检测、通断控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100305743A CN101136797B (zh) | 2007-09-28 | 2007-09-28 | 内外网物理连通的检测、通断控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101136797A true CN101136797A (zh) | 2008-03-05 |
| CN101136797B CN101136797B (zh) | 2012-11-21 |
Family
ID=39160652
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100305743A Active CN101136797B (zh) | 2007-09-28 | 2007-09-28 | 内外网物理连通的检测、通断控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101136797B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012022169A1 (zh) * | 2010-08-19 | 2012-02-23 | 华为技术有限公司 | 一种网络地址转换的管理方法及装置 |
| CN101895434B (zh) * | 2009-05-19 | 2012-04-25 | 北京启明星辰信息技术股份有限公司 | 一种自动识别内网中互联网服务提供设备的方法和装置 |
| CN105577668A (zh) * | 2015-12-25 | 2016-05-11 | 北京奇虎科技有限公司 | 一种网络连接控制方法和装置 |
| CN106447430A (zh) * | 2016-09-09 | 2017-02-22 | 北京高地信息技术有限公司 | 一种互联网商务系统 |
| CN106453336A (zh) * | 2016-10-20 | 2017-02-22 | 杭州孚嘉科技有限公司 | 一种内网主动提供外网主机调用服务的方法 |
| CN107612728A (zh) * | 2017-09-14 | 2018-01-19 | 郑州云海信息技术有限公司 | 一种快速设置两台网络直连的服务器ip的方法 |
| CN107734528A (zh) * | 2017-11-03 | 2018-02-23 | 广东欧珀移动通信有限公司 | 无线网络检测方法、装置、存储介质及终端 |
| CN108833412A (zh) * | 2018-06-20 | 2018-11-16 | 国网湖北省电力公司咸宁供电公司 | 一种违规外联内网终端监管方法 |
| CN110166315A (zh) * | 2019-04-17 | 2019-08-23 | 浙江远望信息股份有限公司 | 一种对广播域内是否存在能连接互联网线路的探测方法 |
| CN111130931A (zh) * | 2019-12-17 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种违规外联设备的检测方法及装置 |
| CN111385376A (zh) * | 2020-02-24 | 2020-07-07 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、系统及设备 |
| CN112565005A (zh) * | 2020-11-26 | 2021-03-26 | 北京北信源软件股份有限公司 | 网络串线检测方法及装置、设备及介质 |
| CN113328972A (zh) * | 2020-02-28 | 2021-08-31 | 浙江宇视科技有限公司 | 设备监测方法、装置、设备及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1176421C (zh) * | 2002-03-04 | 2004-11-17 | 北京启明星辰信息技术有限公司 | 内联网计算机与因特网未授权连接监测系统及方法 |
| CN1416059A (zh) * | 2002-10-23 | 2003-05-07 | 上海金诺网络安全技术发展股份有限公司 | 利用一台计算机实现网络连接状态监测方法 |
| CN1332312C (zh) * | 2003-01-24 | 2007-08-15 | 上海金诺网络安全技术发展股份有限公司 | 利用一台内联网计算机实现封闭网络连接状态监测方法 |
| KR100864086B1 (ko) * | 2007-01-12 | 2008-10-16 | 김종욱 | 멀티미디어 게임기의 실시간 감시장치 |
-
2007
- 2007-09-28 CN CN2007100305743A patent/CN101136797B/zh active Active
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895434B (zh) * | 2009-05-19 | 2012-04-25 | 北京启明星辰信息技术股份有限公司 | 一种自动识别内网中互联网服务提供设备的方法和装置 |
| WO2012022169A1 (zh) * | 2010-08-19 | 2012-02-23 | 华为技术有限公司 | 一种网络地址转换的管理方法及装置 |
| CN102377833A (zh) * | 2010-08-19 | 2012-03-14 | 华为技术有限公司 | 一种网络地址转换的管理方法及装置 |
| US8612601B2 (en) | 2010-08-19 | 2013-12-17 | Huawei Technologies Co., Ltd. | Management method and management device for network address translation |
| CN102377833B (zh) * | 2010-08-19 | 2015-07-22 | 华为技术有限公司 | 一种网络地址转换的管理方法及装置 |
| CN105577668A (zh) * | 2015-12-25 | 2016-05-11 | 北京奇虎科技有限公司 | 一种网络连接控制方法和装置 |
| CN106447430A (zh) * | 2016-09-09 | 2017-02-22 | 北京高地信息技术有限公司 | 一种互联网商务系统 |
| CN111131173A (zh) * | 2016-10-20 | 2020-05-08 | 杭州孚嘉科技有限公司 | 一种内网主动提供服务的方法 |
| CN111131172A (zh) * | 2016-10-20 | 2020-05-08 | 杭州孚嘉科技有限公司 | 一种内网主动调用服务的方法 |
| CN106453336B (zh) * | 2016-10-20 | 2019-12-10 | 杭州孚嘉科技有限公司 | 一种内网主动提供外网主机调用服务的方法 |
| CN106453336A (zh) * | 2016-10-20 | 2017-02-22 | 杭州孚嘉科技有限公司 | 一种内网主动提供外网主机调用服务的方法 |
| CN107612728A (zh) * | 2017-09-14 | 2018-01-19 | 郑州云海信息技术有限公司 | 一种快速设置两台网络直连的服务器ip的方法 |
| CN107734528A (zh) * | 2017-11-03 | 2018-02-23 | 广东欧珀移动通信有限公司 | 无线网络检测方法、装置、存储介质及终端 |
| CN108833412A (zh) * | 2018-06-20 | 2018-11-16 | 国网湖北省电力公司咸宁供电公司 | 一种违规外联内网终端监管方法 |
| CN110166315A (zh) * | 2019-04-17 | 2019-08-23 | 浙江远望信息股份有限公司 | 一种对广播域内是否存在能连接互联网线路的探测方法 |
| CN111130931A (zh) * | 2019-12-17 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种违规外联设备的检测方法及装置 |
| CN111130931B (zh) * | 2019-12-17 | 2022-04-26 | 杭州迪普科技股份有限公司 | 一种违规外联设备的检测方法及装置 |
| CN111385376A (zh) * | 2020-02-24 | 2020-07-07 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、系统及设备 |
| CN111385376B (zh) * | 2020-02-24 | 2022-12-23 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、系统及设备 |
| CN113328972A (zh) * | 2020-02-28 | 2021-08-31 | 浙江宇视科技有限公司 | 设备监测方法、装置、设备及存储介质 |
| CN113328972B (zh) * | 2020-02-28 | 2023-02-28 | 浙江宇视科技有限公司 | 设备监测方法、装置、设备及存储介质 |
| CN112565005A (zh) * | 2020-11-26 | 2021-03-26 | 北京北信源软件股份有限公司 | 网络串线检测方法及装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101136797B (zh) | 2012-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101136797B (zh) | 内外网物理连通的检测、通断控制方法 | |
| US10681079B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| CN103607399B (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
| US7200866B2 (en) | System and method for defending against distributed denial-of-service attack on active network | |
| US10015176B2 (en) | Network protection | |
| US20150288604A1 (en) | Sensor Network Gateway | |
| KR20170020309A (ko) | 센서 네트워크 게이트웨이 | |
| CN100435513C (zh) | 网络设备与入侵检测系统联动的方法 | |
| US10050865B2 (en) | Maintaining routing information | |
| CN104579818A (zh) | 智能变电站网络异常报文检测方法 | |
| CA2581056C (en) | Intrusion detection in an ip connected security system | |
| KR100523483B1 (ko) | 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 | |
| CN103634166B (zh) | 一种设备存活检测方法及装置 | |
| KR20160002269A (ko) | Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법 | |
| CN105262712A (zh) | 网络入侵检测方法及装置 | |
| CN113783880A (zh) | 网络安全检测系统及其网络安全检测方法 | |
| CN108418794B (zh) | 一种智能变电站通信网络抵御arp攻击的方法及系统 | |
| CN113285937B (zh) | 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统 | |
| WO2015130752A1 (en) | Sensor network gateway | |
| TWI728901B (zh) | 雙模式切換之阻斷網路連線的方法 | |
| Cerullo et al. | Critical Infrastructure Protection: having SIEM technology cope with network heterogeneity | |
| KR102160537B1 (ko) | 스마트 게이트웨이를 구비한 디지털변전소 | |
| KR102145421B1 (ko) | 스마트 게이트웨이를 구비한 디지털변전소 | |
| CN109547442A (zh) | 一种gtp协议防护方法及装置 | |
| CN102868698B (zh) | 用于网络的防御方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |