CN102006307A - 一种基于应用代理的网管系统隔离控制装置 - Google Patents
一种基于应用代理的网管系统隔离控制装置 Download PDFInfo
- Publication number
- CN102006307A CN102006307A CN2010105911934A CN201010591193A CN102006307A CN 102006307 A CN102006307 A CN 102006307A CN 2010105911934 A CN2010105911934 A CN 2010105911934A CN 201010591193 A CN201010591193 A CN 201010591193A CN 102006307 A CN102006307 A CN 102006307A
- Authority
- CN
- China
- Prior art keywords
- data
- module
- processing unit
- application proxy
- control module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明提供一种基于应用代理的网管系统隔离控制装置,包括内网处理单元、外网处理单元和数据交换单元,其中,内网处理单元,包括隔离交换控制模块、应用代理模块;外网处理单元,包括隔离交换控制模块、应用代理模块。数据交换单元,由专用总线接口和总线开关两部份组成,该单元基于非IP协议,通过专用数据总线将内外网处理单元之间的数据进行交换,阻挡了源自TCP/IP协议本身漏洞的攻击。本发明采用特定非IP协议和内部隔离交换接口,能阻挡针对TCP协议栈的网络攻击行为。
Description
技术领域
本发明涉及网络技术,特别涉及一种基于应用代理的网管系统隔离控制装置。
背景技术
为了实现不同网管系统间网络隔离和数据交换,解决网系间用户流和网络流无法隔离问题,需要基于应用代理对网管系统进行隔离控制,尤其是保证通用对象请求代理体系协议(Common Object Request Broker Architecture,CORBA)、简单网络管理协议(Simple Network Management Protocol,SNMP)协议、通用管理信息协议(Common Management Information Protocol,CMIP)等不同网管协议间的有效隔离。
传统的边界逻辑隔离设备一般都是包过滤防火墙,在网络层根据因特网协议(Internet Protocol,IP)包头信息定义隔离策略,判断转发或丢弃IP数据包,其工作过程更多的过滤工作都在网络层实现,很难做到在应用层一级对网间进出数据的业务类型、用户信息等进行有效的识别和控制,且基于包过滤方式的过滤和控制粒度偏弱,无法满足高安全高可控网络环境下的边界隔离需求。
基于普通代理(Proxy)中的会话(Session)网络接口间通信机制如图1所示。代理两端的数据源是对称的,两边采用相同的通讯方式,即都是通过IP协议套接字将内外部网络接口相连,并且都采用标准的传输控制协议/因特网协议(Transport Control Protocol/Internet Protocol,TCP/IP)栈。这样就无法避免攻击者利用TCP/IP协议本身的漏洞进行网络攻击,如同步码泛洪攻击(SynFlood attack)、拒绝服务攻击(DoS attack)、字段异常攻击(Flag Exception attack)等。
发明内容
本发明的目的在于,提供一种基于应用代理的网管系统隔离控制装置。
本发明的基于应用代理的网管系统隔离控制装置,包括内网处理单元、外网处理单元和数据交换单元,其中,内网处理单元,包括隔离交换控制模块、应用代理模块。
其中,内网处理单元的隔离交换控制模块,用于实现内外网处理单元之间传输数据的专用格式封装与还原,即从底层驱动获取外网处理单元传输过来的数据,依次从数据链路层到应用层进行封装与还原,并将数据根据协议特征分发给应用代理模块进行处理;内网处理单元的应用代理模块,实现应用协议分析处理功能,对每一种网管协议进行分析处理,即从隔离交换控制单元获取数据,并根据应用代理模块中预定义的协议和数据格式进行解析;
外网处理单元,包括隔离交换控制模块、应用代理模块,其中,外网处理单元的隔离交换控制模块,用于实现内外网处理单元之间传输数据的专用格式封装与还原,即从底层驱动获取内网处理单元传输过来的数据,依次从数据链路层到应用层进行封装与还原,并将数据根据协议特征分发给应用代理模块进行处理;外网处理单元的应用代理模块,实现应用协议分析处理功能,对每一种网管协议进行分析处理,即从隔离交换控制单元获取网管数据,并根据应用代理模块中预定义的协议和数据格式进行解析;
数据交换单元,由专用总线接口和总线开关两部份组成,该单元基于非IP协议,通过专用数据总线将内外网处理单元之间的数据进行交换,阻挡了源自TCP/IP协议本身漏洞的攻击。
其中,所述内网处理单元,进一步包括隔离交换驱动模块和状态检测包过滤控制模块,其中,隔离交换驱动模块,用于截获来自内部隔离交换接口的数据包,并将数据放入接收缓冲区队列;并将数据从接收缓冲区取出形成发送缓冲区,调用网络接口卡驱动的函数将数据发送到上层隔离交换控制模块;期间对隔离交换数据接收缓冲区队列、发送缓冲区队列进行管理;状态检测包过滤控制模块,用于接收来自内/外部网络接口的数据,并根据五元组信息对数据包进行过滤。并与上层应用代理模块中预定义的协议和数据格式相结合,识别出应用协议数据流,并将这些数据流交由运行在用户空间的应用代理模块作进一步的分析处理。
其中,所述外网处理单元,进一步包括隔离交换驱动模块和状态检测包过滤控制模块,其中,隔离交换驱动模块,用于截获来自内部隔离交换接口的数据包,并将数据放入接收缓冲区队列;并将数据从接收缓冲区取出形成发送缓冲区,调用网络接口卡驱动的函数将数据发送到上层隔离交换控制模块;期间对隔离交换数据接收缓冲区队列、发送缓冲区队列进行管理;状态检测包过滤控制模块,用于接收来自内/外部网络接口的数据,并根据五元组信息对数据包进行过滤。并与与上层应用代理模块中预定义的协议和数据格式相结合,识别出应用协议数据流,并将这些数据流交由运行在用户空间的应用代理模块作进一步的分析处理。
其中,五元组信息,包括源IP、目的IP、源端口、目的端口、协议。
其中,在所述应用代理模块中,对每一种网管协议进行分析处理,包括对网管协议分别进行解码、分析、应用协议状态表的建立与维护、格式检查的处理。
其中,所述内网处理单元和外网处理单元,分别进一步包括:内容检查过滤模块、管理控制模块和日志审计模块,其中,内容检查过滤模块,用于根据安全过滤规则,对流经设备的网络数据,在网络层、传输层、应用层进行安全检查和过滤控制;管理控制模块,用于通过管理控制通信接口对设备进行管理控制、状态监视操作;日志审计模块,用于采集设备中各个安全处理模块产生的各种审计日志信息并记录。
另外,内网处理单元、外网处理单元构建在专用的经过裁剪改造的LINUX操作系统之上,分为操作系统用户空间和操作系统内核空间两部分,其中,隔离交换控制模块、应用代理模块、内容检查过滤模块、管理控制模块和日志审计模块运行于操作系统用户空间;隔离交换驱动模块和状态检测包过滤控制模块是底层驱动,运行于操作系统内核空间。
其中,所述隔离交换控制模块,以多进程的形式运行于系统中,一个进程对应一种应用代理,通过进程间通信机制IPC与应用代理进程相连,通过字符设备文件与隔离交换驱动模块交互。
本发明的有益效果是:依照本发明的基于应用代理的网管系统隔离控制装置,具有如下优点:
(1)本发明采用特定非IP协议和专用通道,利用“数据拷贝”、应用代理等手段来解决网管系统数据交换问题,控制力度明显增强。
(2)本发明提供的方法在应用层(即通过应用代理模块)一级对网间进出数据进行请求连接的建立,满足了高安全高可控网络环境下的隔离需求。
(3)该方法可以实现抽象层面的应用层命令解析、控制与转换,以及应用层数据检查与转换,除安全隔离外还可用于实现不同数据格式,网络协议与应用协议间的转换。
附图说明
图1为基于普通代理(Proxy)中的会话(Session)网络接口间通信机制的示意图;
图2为本发明的系统架构示意图;
图3为隔离交换控制模块与应用代理模块的关系示意图;
图4为基于隔离交换应用代理的通信会话示意图;
图5为隔离交换连接建立和数据收发过程示意图。
具体实施方式
以下,参考附图1~5详细描述本发明的基于应用代理的网管系统隔离控制装置。
如图2所示,本发明的基于应用代理的网管系统隔离控制装置,包括内网处理单元、外网处理单元和数据交换单元。
其中,内网处理单元,包括隔离交换控制模块、应用代理模块,其中,内网处理单元的隔离交换控制模块,用于实现内外网处理单元之间传输数据的专用格式封装与还原,即从底层驱动获取外网处理单元传输过来的数据,依次从数据链路层到应用层进行封装与还原,并将数据根据协议特征分发给应用代理模块进行处理;内网处理单元的应用代理模块,实现应用协议分析处理功能,对每一种网管协议进行分析处理,即从隔离交换控制单元获取数据,并根据应用代理模块中预定义的协议和数据格式进行解析。
外网处理单元,包括隔离交换控制模块、应用代理模块,其中,外网处理单元的隔离交换控制模块,用于实现内外网处理单元之间传输数据的专用格式封装与还原,即从底层驱动获取内网处理单元传输过来的数据,依次从数据链路层到应用层进行封装与还原,并将数据根据协议特征分发给应用代理模块进行处理;外网处理单元的应用代理模块,实现应用协议分析处理功能,对每一种网管协议进行分析处理,即从隔离交换控制单元获取网管数据,并根据应用代理模块中预定义的协议和数据格式进行解析;
数据交换单元,由专用总线接口和总线开关两部份组成,该单元基于非IP协议,通过专用数据总线将内外网处理单元之间的数据进行交换,阻挡了源自TCP/IP协议本身漏洞的攻击。
内网处理单元,进一步包括隔离交换驱动模块和状态检测包过滤控制模块。其中,隔离交换驱动模块,用于截获来自内部隔离交换接口的数据包,并将数据放入接收缓冲区队列;并将数据从接收缓冲区取出形成发送缓冲区,调用网络接口卡驱动的函数将数据发送到上层隔离交换控制模块;期间对隔离交换数据接收缓冲区队列、发送缓冲区队列进行管理。状态检测包过滤控制模块,用于接收来自内/外部网络接口的数据,并根据五元组信息对数据包进行过滤。并与上层应用代理模块中预定义的协议和数据格式相结合,识别出应用协议数据流,并将这些数据流交由运行在用户空间的应用代理模块作进一步的分析处理。
外网处理单元,也进一步包括隔离交换驱动模块和状态检测包过滤控制模块,其中,隔离交换驱动模块,用于截获来自内部隔离交换接口的数据包,并将数据放入接收缓冲区队列;并将数据从接收缓冲区取出形成发送缓冲区,调用网络接口卡驱动的函数将数据发送到上层隔离交换控制模块;期间对隔离交换数据接收缓冲区队列、发送缓冲区队列进行管理。状态检测包过滤控制模块,用于接收来自内/外部网络接口的数据,并根据五元组信息对数据包进行过滤。并与与上层应用代理模块中预定义的协议和数据格式相结合,识别出应用协议数据流,并将这些数据流交由运行在用户空间的应用代理模块作进一步的分析处理。其中,五元组信息,包括源IP、目的IP、源端口、目的端口、协议。
另外,内网处理单元和外网处理单元,分别进一步包括:内容检查过滤模块、管理控制模块和日志审计模块,其中,内容检查过滤模块,用于根据安全过滤规则,对流经设备的网络数据,在网络层、传输层、应用层进行安全检查和过滤控制;管理控制模块,用于通过管理控制通信接口对设备进行管理控制、状态监视操作;日志审计模块,用于采集设备中各个安全处理模块产生的各种审计日志信息并记录。
数据交换单元由专用总线接口和总线开关两部份组成,该单元基于非IP协议,通过专用数据总线将内外网处理单元之间的数据进行交换,阻挡了源自TCP/IP协议本身漏洞的攻击。
其中,内网处理单元、外网处理单元构建在专用的经过裁剪改造的LINUX操作系统之上,分为操作系统用户空间和操作系统内核空间两部分。隔离交换控制模块、应用代理模块、内容检查过滤模块、管理控制模块和日志审计模块等模块运行于操作系统用户空间。隔离交换驱动模块和状态检测包过滤控制模块是底层驱动,运行于操作系统内核空间。
隔离交换控制模块与应用代理模块的关系如图3所示。隔离交换控制模块是连接应用代理和内部隔离交换接口的唯一通路,隔离交换控制模块与隔离交换驱动模块直接交互,从而绕过TCP/IP协议栈的处理,实现将应用数据直接以自定义的内部封装格式通过“内部隔离交换接口”进行数据交换。隔离交换控制模块以多进程的形式运行于系统中,一个进程对应一种应用代理,通过进程间通信机制(Inter-Process Communication,IPC)与应用代理进程相连,通过字符设备文件与隔离交换驱动模块交互。隔离交换控制模块这种多进程方式的设计,有利于提高CPU利用率,进而减少系统资源占用。
图3中应用代理(Proxy)的实现基础是数据流重定向。当内核层的包过滤机制在检测到数据包目的端口是Proxy要处理的网络服务使用端口时,将该数据包重定向到用户空间的相应应用代理(Proxy)进程处理。这样Proxy就截获到了数据,对数据包的数据进行分析处理后,通过与隔离交换控制模块的内部隔离交换接口将数据包交给隔离交换控制模块。
基于隔离交换应用代理的通信会话过程如图4所示,应用代理(Proxy)两端的数据源是不对称的,一边是标准的TCP/IP协议栈,采用标准的IP包格式;另一边是非IP的专用隔离交换协议栈,使用自定义的数据封包格式。由于专用的协议栈不采用标准的IP封装格式,那么Proxy要对两端采用不同的通讯方式。标准TCP/IP协议栈这边使用TCP/IP协议套接字,而专用协议栈这边采用进程间通讯机制(IPC,一种UNIX域协议套字)与隔离交换控制模块进程连接。
图4中每个Proxy服务进程需要两个监听套接字:(1)一个处理来自TCP/IP协议栈的外部连接请求:当标准TCP/IP协议栈有连接请求时,Proxy的IP协议监听套接字捕获到请求并创建IP协议套接字连接,然后Proxy作为客户端主动发起与专用协议封装进程的IPC连接,建立一个Proxy Session。(2)另一个处理与内部专用协议封装进程的IPC连接,通过输入/输出(Input/Output,I/O)复用来轮询:当连接请求来自专用协议栈时,Proxy的IPC UNIX域监听套接字应答连接请求并建立本地的IPC连接,然后主动发起与外网的IP协议套接字连接,建立一个Proxy Session。
上述内部专用协议为内网处理单元和外网处理单元中隔离交换控制进程之间的内部通信协议,该协议在隔离交换控制模块中实现。由于内部隔离交换接口上的MTU有最大限制,而需要交换的应用数据长度可能会大于MTU,因此需要在隔离交换驱动内核模块中实现数据分片和重组功能。内部专用协议数据帧封装格式定义如表1所示:
表1
上表中各字段说明如下:
AppID:1字节长,表示应用代理的类型:
Flags:1字节长,表示报文标识;
SN:2字节长,表示序列号
DataLen:2字节长,表示数据总长度;
Offset:2字节长,表示本帧应用数据偏移量;
Data:4字节长,表示数据。
经过上述过程后,两台进行通信的主机之间的连接建立了。该通信主机之间的网络服务数据传输都将经过Proxy,这样就可以在Proxy进行数据分析处理(比如应用协议命令过滤,数据内容过虑,病毒扫描等)。下面根据图5介绍隔离交换连接建立、数据收发、连接关闭三个过程。
1、隔离交换连接建立过程说明如下:
1.1主机CLIENT向主机SERVER发起连接请求,该连接请求被状态检测包过滤模块A截获;
1.2连接请求被重定向到应用代理模块A,应用代理模块A与主机CLIENT建立连接;
1.3应用代理模块A从状态检测包过滤模块A获取实际连接的五元组信息<源IP、目的IP、源端口、目的端口、协议>;
1.4应用代理模块代理A通过UNIX域套接字(通过五元组信息生成UNIX路径)与隔离交换控制模块A建立IPC连接;
1.5隔离交换控制模块A根据应用代理模块A使用的UNIX路径获取五元组信息;
1.6隔离交换控制模块A根据五元组消息内容,构造会话请求消息发送给隔离交换驱动模块A,隔离交换驱动模块A再通过隔离交换数据通道转发给隔离交换驱动模块B;
1.7隔离交换驱动模块B将信息转发给隔离交换控制模块B,隔离交换控制模块B收到会话请求消息,并解析还原出连接五元组;
1.8隔离交换控制模块B通过UNIX域套接字(通过五元组信息生成UNIX路径)与应用代理模块B建立IPC连接;
1.9应用代理模块B根据隔离交换控制模块B使用的UNIX路径获取五元组信息;
1.10应用代理模块B将连接五元组信息转发给状态检测包过滤模块B;
1.11连接请求被重定向到应用代理模块B;
1.12应用代理模块B向主机SERVER发起连接建立请求;
1.13通过状态检测包过滤模块B,应用代理B与主机SERVER连接建立;至此连接建立完成。
2、隔离交换数据收发过程
2.1以隔离交换控制模块B向隔离交换控制模块A发送应用数据为例,隔离交换数据收发过程说明如下:
2.2隔离交换控制模块B收到应用代理模块B发来的应用数据(假定应用数据较大,需要分片处理);
2.3隔离交换控制模块B查询隔离交换会话状态表,获取相关信息,检查应用数据大小,判断是否需要分片处理;
2.4隔离交换控制模块B对应用数据进行必要的分片,并逐一将每个分片数据帧连续发给隔离交换控制模块A;
2.5隔离交换控制模块A逐一连续接收并解析数据帧消息,重组应用数据分片,直至整个应用数据收完;
2.6隔离交换控制模块A将收到的整个应用数据发给应用代理模块A。
3、隔离交换连接关闭过程
主机CLIENT启动连接关闭过程如下所示:
3.1主机CLIENT关闭与主机SERVER的连接;
3.2状态检测包过滤模块A捕获该连接关闭请求,并重定向到应用代理模块A;
3.3应用代理模块A关闭与CLIENT相应的连接,关闭与该连接对应的与隔离交换控制模块A的连接;
3.4隔离交换控制模块A检测到与应用代理模块A的连接关闭事件,查询隔离交换会话状态表,获取相应连接状态信息,并构造会话关闭消息;
3.5隔离交换控制模块A将会话关闭消息发给隔离交换控制驱动模块A,隔离交换控制驱动模块A通过隔离交换数据传输通道转发给隔离交换驱动模块B;
3.6隔离交换驱动模块B收到会话关闭消息将信息转发给隔离交换控制模块B,隔离交换控制模块B收到会话请求消息;
3.7隔离交换控制模块B收到并解析会话关闭消息,查询隔离交换会话状态表,获取相应连接信息,关闭该会话隔离交换控制模块B与应用代理模块B的相应连接,删除该连接状态条目,并向隔离交换控制模块A发送会话关闭回应消息;
3.8应用代理模块B检测到与隔离交换模块B的连接关闭事件并关闭与隔离交换模块B的连接;
3.9隔离交换模块B关闭与该连接对应的与主机SERVER的连接;
3.10隔离交换控制模块B收到会话关闭回应消息,关闭隔离交换控制模块B与应用代理模块B的相应连接,删除该连接状态条目。
以上过程中会话状态表的设计如表2所示:
表2
会话请求/关闭消息内容设计如表3所示:
表3
| 消息句柄 | 消息类型 | 消息正文 |
| 1字节 | 1字节 | 变长 |
综上所述,依照本发明的基于应用代理的网管系统隔离控制装置,具有如下优点:
(1)本发明采用特定非IP协议和专用通道,利用“数据拷贝”、应用代理等手段来解决网管系统数据交换问题,控制力度明显增强。
(2)本发明提供的方法在应用层(即通过应用代理模块)一级对网间进出数据进行请求连接的建立,满足了高安全高可控网络环境下的隔离需求。
(3)该方法可以实现抽象层面的应用层命令解析、控制与转换,以及应用层数据检查与转换,除安全隔离外还可用于实现不同数据格式,网络协议与应用协议间的转换。
以上是为了使本领域普通技术人员理解本发明,而对本发明所进行的详细描述,但可以想到,在不脱离本发明的权利要求所涵盖的范围内还可以做出其它的变化和修改,这些变化和修改均在本发明的保护范围内。
Claims (8)
1.一种基于应用代理的网管系统隔离控制装置,其特征在于,包括内网处理单元、外网处理单元和数据交换单元,其中,
内网处理单元,包括隔离交换控制模块、应用代理模块,其中,
内网处理单元的隔离交换控制模块,用于实现内外网处理单元之间传输数据的专用格式封装与还原,即从底层驱动获取外网处理单元传输过来的数据,依次从数据链路层到应用层进行封装与还原,并将数据根据协议特征分发给应用代理模块进行处理;
内网处理单元的应用代理模块,实现应用协议分析处理功能,对每一种网管协议进行分析处理,即从隔离交换控制单元获取数据,并根据应用代理模块中预定义的协议和数据格式进行解析;
外网处理单元,包括隔离交换控制模块、应用代理模块,其中,
外网处理单元的隔离交换控制模块,用于实现内外网处理单元之间传输数据的专用格式封装与还原,即从底层驱动获取内网处理单元传输过来的数据,依次从数据链路层到应用层进行封装与还原,并将数据根据协议特征分发给应用代理模块进行处理;
外网处理单元的应用代理模块,实现应用协议分析处理功能,对每一种网管协议进行分析处理,即从隔离交换控制单元获取网管数据,并根据应用代理模块中预定义的协议和数据格式进行解析;
数据交换单元,由专用总线接口和总线开关两部份组成,该单元基于非IP协议,通过专用数据总线将内外网处理单元之间的数据进行交换,阻挡了源自TCP/IP协议本身漏洞的攻击。
2.如权利要求1所述的基于应用代理的网管系统隔离控制装置,其特征在于,所述内网处理单元,进一步包括隔离交换驱动模块和状态检测包过滤控制模块,其中,
隔离交换驱动模块,用于截获来自内部隔离交换接口的数据包,并将数据放入接收缓冲区队列;并将数据从接收缓冲区取出形成发送缓冲区,调用网络接口卡驱动的函数将数据发送到上层隔离交换控制模块;期间对隔离交换数据接收缓冲区队列、发送缓冲区队列进行管理;
状态检测包过滤控制模块,用于接收来自内/外部网络接口的数据,并根据五元组信息对数据包进行过滤。并与上层应用代理模块中预定义的协议和数据格式相结合,识别出应用协议数据流,并将这些数据流交由运行在用户空间的应用代理模块作进一步的分析处理。
3.如权利要求1所述的基于应用代理的网管系统隔离控制装置,其特征在于,所述外网处理单元,进一步包括隔离交换驱动模块和状态检测包过滤控制模块,其中,
隔离交换驱动模块,用于截获来自内部隔离交换接口的数据包,并将数据放入接收缓冲区队列;并将数据从接收缓冲区取出形成发送缓冲区,调用网络接口卡驱动的函数将数据发送到上层隔离交换控制模块;期间对隔离交换数据接收缓冲区队列、发送缓冲区队列进行管理;
状态检测包过滤控制模块,用于接收来自内/外部网络接口的数据,并根据五元组信息对数据包进行过滤。并与与上层应用代理模块中预定义的协议和数据格式相结合,识别出应用协议数据流,并将这些数据流交由运行在用户空间的应用代理模块作进一步的分析处理。
4.如权利要求2或3所述的基于应用代理的网管系统隔离控制装置,其特征在于,五元组信息,包括源IP、目的IP、源端口、目的端口、协议。
5.如权利要求2或3所述的基于应用代理的网管系统隔离控制装置,其特征在于,在所述应用代理模块中,对每一种网管协议进行分析处理,包括对网管协议分别进行解码、分析、应用协议状态表的建立与维护、格式检查的处理。
6.如权利要求2或3所述的基于应用代理的网管系统隔离控制装置,其特征在于,所述内网处理单元和外网处理单元,分别进一步包括:内容检查过滤模块、管理控制模块和日志审计模块,其中,
内容检查过滤模块,用于根据安全过滤规则,对流经设备的网络数据,在网络层、传输层、应用层进行安全检查和过滤控制;
管理控制模块,用于通过管理控制通信接口对设备进行管理控制、状态监视操作;
日志审计模块,用于采集设备中各个安全处理模块产生的各种审计日志信息并记录。
7.如权利要求2或3所述的基于应用代理的网管系统隔离控制装置,其特征在于,内网处理单元、外网处理单元构建在专用的经过裁剪改造的LINUX操作系统之上,分为操作系统用户空间和操作系统内核空间两部分,其中,
隔离交换控制模块、应用代理模块、内容检查过滤模块、管理控制模块和日志审计模块运行于操作系统用户空间;
隔离交换驱动模块和状态检测包过滤控制模块是底层驱动,运行于操作系统内核空间。
8.如权利要求2或3所述的基于应用代理的网管系统隔离控制装置,其特征在于,所述隔离交换控制模块,以多进程的形式运行于系统中,一个进程对应一种应用代理,通过进程间通信机制IPC与应用代理进程相连,通过字符设备文件与隔离交换驱动模块交互。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105911934A CN102006307A (zh) | 2010-12-16 | 2010-12-16 | 一种基于应用代理的网管系统隔离控制装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105911934A CN102006307A (zh) | 2010-12-16 | 2010-12-16 | 一种基于应用代理的网管系统隔离控制装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102006307A true CN102006307A (zh) | 2011-04-06 |
Family
ID=43813379
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105911934A Pending CN102006307A (zh) | 2010-12-16 | 2010-12-16 | 一种基于应用代理的网管系统隔离控制装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102006307A (zh) |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571928A (zh) * | 2011-12-21 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 根据应用识别选择应用代理的方法及装置 |
| CN103166933A (zh) * | 2011-12-15 | 2013-06-19 | 北京天行网安信息技术有限责任公司 | 一种数据安全交换系统及方法 |
| CN103338190A (zh) * | 2013-06-13 | 2013-10-02 | 国家电网公司 | 基于用户行为可信的非结构化数据安全交换方法 |
| CN103634274A (zh) * | 2012-08-21 | 2014-03-12 | 北京天行网安信息技术有限责任公司 | 一种视频安全交换方法及系统 |
| CN103701824A (zh) * | 2013-12-31 | 2014-04-02 | 大连环宇移动科技有限公司 | 一种安全隔离管控系统 |
| CN103997495A (zh) * | 2014-05-23 | 2014-08-20 | 中国人民解放军理工大学 | 一种安全隔离文件传输控制方法 |
| CN104104651A (zh) * | 2013-04-02 | 2014-10-15 | 杭州市电力局 | 数据处理方法、装置及电动交通工具网络管理系统 |
| CN104168257A (zh) * | 2014-01-28 | 2014-11-26 | 广东电网公司电力科学研究院 | 基于非网络方式的数据隔离装置及其方法与系统 |
| CN105049412A (zh) * | 2015-06-02 | 2015-11-11 | 深圳市联软科技有限公司 | 一种不同网络间数据安全交换方法、装置及设备 |
| CN105491023A (zh) * | 2015-11-24 | 2016-04-13 | 国网智能电网研究院 | 一种面向电力物联网的数据隔离交换和安全过滤方法 |
| CN106447430A (zh) * | 2016-09-09 | 2017-02-22 | 北京高地信息技术有限公司 | 一种互联网商务系统 |
| CN107682324A (zh) * | 2017-09-20 | 2018-02-09 | 华胜信泰信息产业发展有限公司 | 消息传输方法、系统、存储介质及计算机设备 |
| CN107733871A (zh) * | 2017-09-15 | 2018-02-23 | 苏州中天赛诺信息技术有限公司 | 网络安全隔离系统 |
| CN105007308B (zh) * | 2015-06-24 | 2018-06-19 | 国家电网公司 | 一种数据库隔离装置环境下的文件传输方法 |
| CN108429729A (zh) * | 2018-01-19 | 2018-08-21 | 昆明理工大学 | 工业大数据采集环境下的数据通信隔离系统及其隔离方法 |
| CN108683540A (zh) * | 2018-05-21 | 2018-10-19 | 烽火通信科技股份有限公司 | 一种网络管理协议通道跨平台的轻量级实现方法及系统 |
| CN108833395A (zh) * | 2018-06-07 | 2018-11-16 | 北京网迅科技有限公司杭州分公司 | 一种基于硬件接入卡的外网接入认证系统及认证方法 |
| CN108965283A (zh) * | 2018-07-06 | 2018-12-07 | 中国电力财务有限公司 | 一种通讯方法、装置、应用服务器及通讯系统 |
| CN109729053A (zh) * | 2017-10-31 | 2019-05-07 | 北京国双科技有限公司 | 内外网间数据的交互方法及装置 |
| CN110263008A (zh) * | 2019-06-20 | 2019-09-20 | 江苏满运软件科技有限公司 | 终端离线日志管理系统、方法、设备及存储介质 |
| CN110324330A (zh) * | 2019-06-26 | 2019-10-11 | 高新兴科技集团股份有限公司 | 一种实现互联网和公安内网数据传输的系统及方法 |
| CN110557374A (zh) * | 2019-08-01 | 2019-12-10 | 南方电网数字电网研究院有限公司 | 电力数据采集方法、装置、计算机设备和存储介质 |
| CN110933385A (zh) * | 2019-11-20 | 2020-03-27 | 安徽中骄智能科技有限公司 | 基于可见光单向网络隔离的视频流传输系统 |
| CN111886840A (zh) * | 2018-04-13 | 2020-11-03 | 思科技术公司 | 用于不可变应用审计代理跟踪的层7代理 |
| CN113329002A (zh) * | 2021-05-20 | 2021-08-31 | 普天通信有限责任公司 | 一种物联网数据汇聚系统 |
| CN115001665A (zh) * | 2022-08-01 | 2022-09-02 | 北京安盟信息技术股份有限公司 | 基于数据隔离交换场景的数据加固方法及数据传输系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1350242A (zh) * | 2001-12-03 | 2002-05-22 | 复旦大学 | 信息桥网络安全隔离装置 |
| CN1571398A (zh) * | 2004-04-29 | 2005-01-26 | 上海交通大学 | 基于代理映射的网络安全隔离与信息交换系统及方法 |
-
2010
- 2010-12-16 CN CN2010105911934A patent/CN102006307A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1350242A (zh) * | 2001-12-03 | 2002-05-22 | 复旦大学 | 信息桥网络安全隔离装置 |
| CN1571398A (zh) * | 2004-04-29 | 2005-01-26 | 上海交通大学 | 基于代理映射的网络安全隔离与信息交换系统及方法 |
Cited By (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103166933A (zh) * | 2011-12-15 | 2013-06-19 | 北京天行网安信息技术有限责任公司 | 一种数据安全交换系统及方法 |
| CN103166933B (zh) * | 2011-12-15 | 2015-08-19 | 北京天行网安信息技术有限责任公司 | 一种数据安全交换系统及方法 |
| CN102571928B (zh) * | 2011-12-21 | 2014-11-05 | 深信服网络科技(深圳)有限公司 | 根据应用识别选择应用代理的方法及装置 |
| CN102571928A (zh) * | 2011-12-21 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 根据应用识别选择应用代理的方法及装置 |
| CN103634274A (zh) * | 2012-08-21 | 2014-03-12 | 北京天行网安信息技术有限责任公司 | 一种视频安全交换方法及系统 |
| CN103634274B (zh) * | 2012-08-21 | 2017-02-08 | 北京天行网安信息技术有限责任公司 | 一种视频安全交换方法及系统 |
| CN104104651A (zh) * | 2013-04-02 | 2014-10-15 | 杭州市电力局 | 数据处理方法、装置及电动交通工具网络管理系统 |
| CN103338190A (zh) * | 2013-06-13 | 2013-10-02 | 国家电网公司 | 基于用户行为可信的非结构化数据安全交换方法 |
| CN103338190B (zh) * | 2013-06-13 | 2016-05-11 | 国家电网公司 | 基于用户行为可信的非结构化数据安全交换方法 |
| CN103701824A (zh) * | 2013-12-31 | 2014-04-02 | 大连环宇移动科技有限公司 | 一种安全隔离管控系统 |
| CN103701824B (zh) * | 2013-12-31 | 2017-06-06 | 大连环宇移动科技有限公司 | 一种安全隔离管控系统 |
| CN104168257A (zh) * | 2014-01-28 | 2014-11-26 | 广东电网公司电力科学研究院 | 基于非网络方式的数据隔离装置及其方法与系统 |
| CN104168257B (zh) * | 2014-01-28 | 2018-08-17 | 广东电网公司电力科学研究院 | 基于非网络方式的数据隔离装置的数据隔离方法与系统 |
| CN103997495A (zh) * | 2014-05-23 | 2014-08-20 | 中国人民解放军理工大学 | 一种安全隔离文件传输控制方法 |
| CN105049412A (zh) * | 2015-06-02 | 2015-11-11 | 深圳市联软科技有限公司 | 一种不同网络间数据安全交换方法、装置及设备 |
| CN105049412B (zh) * | 2015-06-02 | 2018-04-03 | 深圳市联软科技股份有限公司 | 一种不同网络间数据安全交换方法、装置及设备 |
| CN105007308B (zh) * | 2015-06-24 | 2018-06-19 | 国家电网公司 | 一种数据库隔离装置环境下的文件传输方法 |
| CN105491023A (zh) * | 2015-11-24 | 2016-04-13 | 国网智能电网研究院 | 一种面向电力物联网的数据隔离交换和安全过滤方法 |
| CN106447430A (zh) * | 2016-09-09 | 2017-02-22 | 北京高地信息技术有限公司 | 一种互联网商务系统 |
| CN107733871A (zh) * | 2017-09-15 | 2018-02-23 | 苏州中天赛诺信息技术有限公司 | 网络安全隔离系统 |
| CN107682324A (zh) * | 2017-09-20 | 2018-02-09 | 华胜信泰信息产业发展有限公司 | 消息传输方法、系统、存储介质及计算机设备 |
| CN109729053A (zh) * | 2017-10-31 | 2019-05-07 | 北京国双科技有限公司 | 内外网间数据的交互方法及装置 |
| CN108429729B (zh) * | 2018-01-19 | 2023-07-18 | 昆明理工大学 | 工业大数据采集环境下的数据通信隔离系统及其隔离方法 |
| CN108429729A (zh) * | 2018-01-19 | 2018-08-21 | 昆明理工大学 | 工业大数据采集环境下的数据通信隔离系统及其隔离方法 |
| CN111886840B (zh) * | 2018-04-13 | 2023-01-31 | 思科技术公司 | 用于审计应用网络流量的系统、方法、设备、计算机可读介质 |
| CN111886840A (zh) * | 2018-04-13 | 2020-11-03 | 思科技术公司 | 用于不可变应用审计代理跟踪的层7代理 |
| CN108683540A (zh) * | 2018-05-21 | 2018-10-19 | 烽火通信科技股份有限公司 | 一种网络管理协议通道跨平台的轻量级实现方法及系统 |
| CN108683540B (zh) * | 2018-05-21 | 2021-08-24 | 烽火通信科技股份有限公司 | 一种网络管理协议通道跨平台的轻量级实现方法及系统 |
| CN108833395A (zh) * | 2018-06-07 | 2018-11-16 | 北京网迅科技有限公司杭州分公司 | 一种基于硬件接入卡的外网接入认证系统及认证方法 |
| CN108833395B (zh) * | 2018-06-07 | 2021-12-03 | 北京网迅科技有限公司杭州分公司 | 一种基于硬件接入卡的外网接入认证系统及认证方法 |
| CN108965283A (zh) * | 2018-07-06 | 2018-12-07 | 中国电力财务有限公司 | 一种通讯方法、装置、应用服务器及通讯系统 |
| CN110263008A (zh) * | 2019-06-20 | 2019-09-20 | 江苏满运软件科技有限公司 | 终端离线日志管理系统、方法、设备及存储介质 |
| CN110324330A (zh) * | 2019-06-26 | 2019-10-11 | 高新兴科技集团股份有限公司 | 一种实现互联网和公安内网数据传输的系统及方法 |
| CN110557374A (zh) * | 2019-08-01 | 2019-12-10 | 南方电网数字电网研究院有限公司 | 电力数据采集方法、装置、计算机设备和存储介质 |
| CN110933385B (zh) * | 2019-11-20 | 2021-05-14 | 安徽中骄智能科技有限公司 | 基于可见光单向网络隔离的视频流传输系统 |
| CN110933385A (zh) * | 2019-11-20 | 2020-03-27 | 安徽中骄智能科技有限公司 | 基于可见光单向网络隔离的视频流传输系统 |
| CN113329002A (zh) * | 2021-05-20 | 2021-08-31 | 普天通信有限责任公司 | 一种物联网数据汇聚系统 |
| CN113329002B (zh) * | 2021-05-20 | 2022-06-21 | 普天通信有限责任公司 | 一种物联网数据汇聚系统 |
| CN115001665A (zh) * | 2022-08-01 | 2022-09-02 | 北京安盟信息技术股份有限公司 | 基于数据隔离交换场景的数据加固方法及数据传输系统 |
| CN115001665B (zh) * | 2022-08-01 | 2022-11-15 | 北京安盟信息技术股份有限公司 | 基于数据隔离交换场景的数据加固方法及数据传输系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102006307A (zh) | 一种基于应用代理的网管系统隔离控制装置 | |
| CN104065731B (zh) | 一种ftp文件传输系统及传输方法 | |
| CN104104561A (zh) | 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统 | |
| CN102447627B (zh) | 报文封装和解封装的装置及方法 | |
| CN104270355A (zh) | 一种基于网络总线跨安全区传输数据的方法 | |
| CN104168257A (zh) | 基于非网络方式的数据隔离装置及其方法与系统 | |
| CN204089858U (zh) | 一种安全隔离应用层网关 | |
| CN101577729A (zh) | DNS重定向与Http重定向相结合的旁路阻断方法 | |
| CN105530310B (zh) | 适合公私网流量转发的设备连接方法及装置 | |
| CN112202872A (zh) | 一种数据转发方法、api网关及消息服务系统 | |
| CN102946376A (zh) | 一种异步通讯的实现方法 | |
| CN102055765A (zh) | 一种网络通信系统 | |
| CN104270344A (zh) | 万兆网闸 | |
| CN101159683A (zh) | 对数据流量进行控制的方法及装置 | |
| WO2018050116A9 (zh) | 一种视频会议系统中端口复用方法和服务器和计算机存储介质 | |
| CN102917082A (zh) | 穿透网络地址转换的消息推送方法及系统 | |
| CN101867578B (zh) | 检测仿冒网络设备的方法和装置 | |
| CN101867557A (zh) | 一种单向传输装置、数据采集系统及方法 | |
| CN103001966A (zh) | 一种私网ip的处理、识别方法及装置 | |
| CN108092993A (zh) | 一种网络数据传输控制方法和系统 | |
| CN105791239B (zh) | 一种tcp中间人处理方法 | |
| CN107819597B (zh) | 网络数据传输方法和前置机 | |
| CN109714135A (zh) | 一种数据包传输方法及装置 | |
| CN105162751B (zh) | 一种基于lwIP协议栈多网口多连接的通讯系统 | |
| CN113794715A (zh) | 一种虚拟点对点网络数据发送、接收、应答方法及其系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110406 |