CN104202300B - 基于网络隔离装置的数据通信方法和装置 - Google Patents
基于网络隔离装置的数据通信方法和装置 Download PDFInfo
- Publication number
- CN104202300B CN104202300B CN201410384892.XA CN201410384892A CN104202300B CN 104202300 B CN104202300 B CN 104202300B CN 201410384892 A CN201410384892 A CN 201410384892A CN 104202300 B CN104202300 B CN 104202300B
- Authority
- CN
- China
- Prior art keywords
- address
- network
- intranet
- outer net
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种基于网络隔离装置的通信方法和装置,所述方法包括:内端主机建立与内网终端的内网连接;外端主机根据从内端主机收到的第一数据包与外网终端建立外网连接;所述内端主机通过所述内网连接接收内网终端发送的内网数据包并将所述内网数据包封装生成第二数据包发送至外端主机;所述外端主机对所述第二数据包中的内网载荷数据进行封装和地址转换依次生成第一内网网络数据包、第二内网网络数据包和链路数据包;之后外端主机通过所述外网连接将所述内网链路数据包发送至对应的外网终端。相对于现有技术,本发明提供的方法在外端主机无需配置网络地址的情况下,内网终端和外网终端可以正常通信。
Description
技术领域
本发明适用于通信技术领域,尤其是涉及基于网络隔离装置的数据通信方法。
背景技术
随着互联网的飞速发展,使得信息能够高度共享和迅速传递,它的开放性在给人们带来巨大便利的同时,也带来了系统入侵、信息泄密等网络安全问题,因此,网络安全隔离技术也得到越来越多的重视。通过部署网络隔离装置可以真正的实现网络隔离,在阻断各种网络攻击的前提下,为用户提供安全的网络操作、邮件访问以及基于文件和数据库的数据交换。
网络隔离装置部署在以太网链路上,内外主机连接两个独立网络进行传输控制协议/网际互联协议(Transmission Control Protocol/Internet Protocol,TCP/IP)数据传输。现有的网络隔离装置具有内端主机和外端主机,内端主机与内网相连,外端主机与外网相连,内端主机与外端主机各自配有IP地址,当内网与外网进行通讯时,实际是通过与网络隔离装置中的内端主机和外端主机进行通信,例如,将数据包从外网终端发送至内网的设备,首先,将数据包发送到外端主机,外端主机对数据包进行安全检查,如包过滤,内容扫描,认证审查等,若通过安全检查,则去掉数据包各种包头信息,只保留应用层数据,也就是原始数据,然后用自定义的协议封装该数据,通过隔离通道发送至内端主机,再由内端主机发送至内网的设备。
由于针对用户的各种基于TCP或者用户数据报协议(User Data Protocol,UDP)的通信业务,例如邮件访问、数据库访问、OA办公等,内外端主机需要实现相关的协议代理功能,如TCP代理、UDP代理,以实现IP数据的正常传输。因此现有技术中内外端主机必须配置网络地址以支持TCP、UDP代理功能的实现。但是外端主机配置了网络地址,则外端主机所在网络的其它网络设备可以对其访问,恶意攻击者可以利用外端主机的漏洞对其攻击和入侵,存在着极大的安全隐患。
因此,目前需要本领域技术人员迫切解决的一个技术问题就是:如何解决由于网络隔离装置中的外端主机配置网络地址而存在安全隐患的问题,进而提高网络的安全性。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于网络隔离装置的数据通信方法和相应的网络隔离装置。
依据本发明的一个方面,提供了一种基于网络隔离装置的数据通信方法,包括:
内端主机响应内网终端向外网终端发送的连接请求数据包并建立内端主机与内网终端的内网连接;所述连接请求数据包携带有内网终端网络地址和外网终端网络地址;
所述内端主机通过隔离通道向对应的外端主机发送第一数据包,所述第一数据包携带有内网连接对应的内网连接标识、第一源网络地址和第一目的网络地址,所述第一源网络地址为所述内网终端网络地址,所述第一目的网络地址为所述外网终端网络地址;
所述外端主机根据收到的第一数据包与外网终端建立外网连接,所述外网连接的源地址为外端主机虚拟网络地址,目的地址为第一目的网络地址;
所述外端主机在预置的外网地址映射表中设置外网地址映射记录,所述外网地址映射记录包括所述外网连接对应的外网连接标识、所述内网连接标识、所述第一源网络地址和所述第一目的网络地址;
所述内端主机通过所述内网连接接收内网终端发送的内网数据包,所述内网数据包携带有所述内网连接标识和内网载荷数据;
所述内端主机将所述内网连接标识和内网载荷数据封装生成第二数据包,并将所述第二数据包通过隔离通道发送至外端主机;所述第二数据包的源地址为内端主机虚拟网络地址,目的地址为外端主机虚拟网络地址;
所述外端主机从接收到的第二数据包中获取所述内网连接标识,并匹配所述内网连接标识与所述外网地址映射表,若不存在匹配的外网地址映射记录,则丢弃所述第二数据包,若存在匹配的外网地址映射记录,则继续执行后续步骤;
所述外端主机以虚拟网络地址对所述第二数据包中的内网载荷数据进行封装,生成第一内网网络数据包,所述第一内网网络数据包的源地址为所述外端主机虚拟网络地址,目的地址为所述第一目的网络地址;
所述外端主机根据预置的地址转换表对所述第一内网网络数据包进行地址转换,生成第二内网网络数据包;所述第二内网网络数据包的源地址为所述第一源网络地址,目的地址为所述第一目的网络地址;
所述外端主机在预置的地址解析表中查找所述第二内网网络数据包对应的下一跳目的物理地址,并基于所述下一跳目的物理地址对所述第二内网网络数据包进行地址封装,生成内网链路数据包;
所述外端主机通过所述外网连接将所述内网链路数据包发送至对应的外网终端。
依据本发明的另一个方面,提供了一种基于网络隔离装置的数据通信方法,包括:
外端主机响应外网终端向内网终端发送的连接请求数据包并建立外端主机与外网终端的外网连接;所述连接请求数据包携带有外网终端网络地址和内网终端网络地址;
所述外端主机通过隔离通道向对应的内端主机发送第三数据包,所述第三数据包携带有外网连接对应的外网连接标识、第二源网络地址和第二目的网络地址,所述第二源网络地址为所述外网终端网络地址,所述第二目的网络地址为所述内网终端网络地址;
所述内端主机根据收到的第三数据包与内网终端建立内网连接,所述内网连接的源地址为内端主机网络地址,目的地址为第二目的网络地址;
所述内端主机在预置的内网地址映射表中设置内网地址映射记录,所述内网地址映射记录包括所述内网连接对应的内网连接标识、所述外网连接标识、所述第二源网络地址和所述第二目的网络地址;
所述外端主机通过所述外网连接接收外网终端发送的外网数据包,所述外网数据包携带有所述外网连接标识和外网载荷数据;
所述外端主机将所述外网连接标识和外网载荷数据封装生成第四数据包,并将所述第四数据包通过隔离通道发送至内端主机;所述第四数据包的源地址为外端主机虚拟网络地址,目的地址为内端主机虚拟网络地址;
所述内端主机从接收到的第四数据包中获取所述外网连接标识,并匹配所述外网连接标识与所述内网地址映射表,若不存在匹配的内网地址映射记录,则丢弃所述第四数据包,若存在匹配的内网地址映射记录,则继续执行后续步骤;
所述内端主机对所述第四数据包中的外网载荷数据进行封装,生成外网网络数据包,所述外网网络数据包的源地址为内端主机网络地址,目的地址为内网终端网络地址;
所述内端主机查找内网终端目的物理地址,并基于内网终端目的物理地址对所述外网网络数据包进行地址封装,生成外网链路数据包;
所述内端主机通过所述内网连接将所述外网链路数据包发送至对应的内网终端。
依据本发明的另一个方面,提供了一种网络隔离装置,包括:内端主机、隔离通道和外端主机;
所述内端主机包括:内网连接代理模块、内网隔离通信模块、内网数据接收模块;
所述外端主机包括:外网隔离通信模块、外网连接代理模块、外网网络地址封装模块、地址转换模块、外网物理地址封装模块、外网网桥;
所述隔离通道,用于在内端主机和外端主机之间进行数据传输;
所述内网连接代理模块,用于响应内网终端向外网终端发送的连接请求数据包并建立内端主机与内网终端的内网连接;所述连接请求数据包携带有内网终端网络地址和外网终端网络地址;
所述内网隔离通信模块,用于通过隔离通道向对应的外端主机发送第一数据包,所述第一数据包携带有内网连接对应的内网连接标识、第一源网络地址和第一目的网络地址,所述第一源网络地址为所述内网终端网络地址,所述第一目的网络地址为所述外网终端网络地址;
所述外网隔离通信模块,用于从隔离通道接收所述第一数据包,并将所述第一数据包发送至外网连接代理模块;
所述外网连接代理模块,用于根据从外网隔离通信模块收到的第一数据包与外网终端建立外网连接,所述外网连接的源地址为外端主机虚拟网络地址,目的地址为第一目的网络地址;
所述外网连接代理模块,还用于在预置的外网地址映射表中设置外网地址映射记录,所述外网地址映射记录包括所述外网连接代理模块建立的外网连接对应的外网连接标识、所述从隔离通道接收的第一数据包中的内网连接标识、第一源网络地址和第一目的网络地址;
所述内网数据接收模块,用于通过所述内网连接代理模块建立的内网连接接收内网终端发送的内网数据包,所述内网数据包携带有所述内网连接标识和内网载荷数据;
所述内网隔离通信模块,还用于将所述内网数据接收模块接收的内网数据包中的内网连接标识和内网载荷数据封装生成第二数据包,并将所述第二数据包通过隔离通道发送至外端主机中的外网隔离通信模块;所述第二数据包的源地址为内端主机虚拟网络地址,目的地址为外端主机虚拟网络地址;
所述外网连接代理模块,还用于从所述外网隔离通信模块接收到的第二数据包中获取所述内网连接标识,并匹配所述内网连接标识与所述外网地址映射表,若不存在匹配的外网地址映射记录,则丢弃所述第二数据包,若存在,则将所述内网连接标识和内网载荷数据发送至外网网络地址封装模块;
所述外网网络地址封装模块,用于对从所述外网连接代理模块接收到的第二数据包中的内网载荷数据进行封装,生成第一内网网络数据包,所述第一内网网络数据包的源地址为所述外端主机虚拟网络地址,目的地址为所述第一目的网络地址;
所述地址转换模块,用于根据预置的地址转换表对所述网络地址封装模块生成的第一内网网络数据包进行地址转换,生成第二内网网络数据包;所述第二内网网络数据包的源地址为所述第一源网络地址,目的地址为所述第一目的网络地址;
所述外网物理地址封装模块,用于在预置的地址解析表中查找所述第二内网网络数据包对应的下一跳目的物理地址,并基于所述下一跳目的物理地址对所述第二内网网络数据包进行地址封装,生成内网链路数据包;
所述外网网桥,用于通过所述外网连接代理模块所建立的外网连接将所述外网物理地址封装模块生成的内网链路数据包发送至对应的外网终端。
依据本发明的另一个方面,提供了一种网络隔离装置,包括:外端主机、隔离通道和内端主机;
所述外端主机包括:外网连接代理模块、外网隔离通信模块、外网数据接收模块;
所述内端主机包括:内网隔离通信模块、内网连接代理模块、内网网络地址封装模块、内网物理地址封装模块、内网网桥;
所述隔离通道,用于在外端主机和内端主机之间进行数据传输;
所述外网连接代理模块,用于响应外网终端向内网终端发送的连接请求数据包并建立外端主机与外网终端的外网连接;所述连接请求数据包携带有外网终端网络地址和内网终端网络地址;
所述外网隔离通信模块,用于通过隔离通道向对应的内端主机发送第三数据包,所述第三数据包携带有外网连接对应的外网连接标识、第二源网络地址和第二目的网络地址,所述第二源网络地址为所述外网终端网络地址,所述第二目的网络地址为所述内网终端网络地址;
所述内网隔离通信模块,用于从隔离通道接收所述第三数据包,并将所述第三数据包发送至内网连接代理模块;
所述内网连接代理模块,用于根据从内网隔离通信模块收到的第三数据包与内网终端建立内网连接,所述内网连接的源地址为内端主机网络地址,目的地址为第二目的网络地址;
所述内网连接代理模块,还用于在预置的内网地址映射表中设置内网地址映射记录,所述内网地址映射记录包括所述内网连接代理模块建立的内网连接对应的内网连接标识、所述外网连接标识、所述第二源网络地址和所述第二目的网络地址;
所述外网数据接收模块,用于通过所述外网连接代理模块建立的外网连接接收外网终端发送的外网数据包,所述外网数据包携带有所述外网连接标识和外网载荷数据;
所述外网隔离通信模块,还用于将所述外网数据接收模块接收的外网数据包中的外网连接标识和外网载荷数据封装生成第四数据包,并将所述第四数据包通过隔离通道发送至内端主机中的内网隔离通信模块;所述第四数据包的源地址为外端主机虚拟网络地址,目的地址为内端主机虚拟网络地址;
所述内网连接代理模块,还用于从所述内网隔离通信模块接收到的第四数据包中获取所述外网连接标识,并匹配所述外网连接标识与所述内网地址映射表,若不存在匹配的内网地址映射记录,则丢弃所述第四数据包,若存在,则将所述外网连接标识和外网载荷数据发送至内网网络地址封装模块;
所述内网网络地址封装模块,用于对从所述内网连接代理模块接收到的第四数据包中的外网载荷数据进行封装,生成外网网络数据包,所述外网网络数据包的源地址为内端主机网络地址,目的地址为内网终端网络地址;
所述内网物理地址封装模块,用于在预置的地址解析表中查找内网终端目的物理地址,并基于内网终端目的物理地址对所述外网网络数据包进行地址封装,生成外网链路数据包;
所述内网网桥,用于通过所述内网连接将所述外网链路数据包发送至对应的内网终端。
在本发明提供的基于网络隔离装置的通信方法中,内网终端向外网终端发送数据包之前,首先建立内网终端和内端主机之间的内网连接,然后再建立外端主机与外网终端之间的外网连接,由于外端主机没有设置网络地址,因此外端主机以本机的虚拟网络地址和外网终端建立外网连接,两个连接都建立成功后,内网终端开始发送数据,通过内网连接将数据发送至内端主机,内端主机通过隔离通道将数据发送至外端主机,由于外端主机没有设置网络地址,因此,需要对发向外网的数据进行源网络地址转换,之后,查找到当前数据包下一跳的MAC地址,对数据包进行封装并发送至外网终端,从而实现了在外端主机无网络地址配置的情况下,内网终端正常向外部网络发送数据的方法,避免了外端主机因配置网络地址而遭受外网攻击和入侵的问题,提高了网络隔离装置自身以及内部网络的安全性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明实施例一提供的一种基于网络隔离装置的数据通信方法流程示意图;
图2a示出了根据本发明实施例二提供的一种基于网络隔离装置的数据通信方法流程示意图;
图2b示出了根据本发明实施例二提供的一种基于网络隔离装置的数据通信方法流程框图;
图3示出了根据本发明实施例三提供的一种基于网络隔离装置的数据通信方法流程示意图;
图4示出了根据本发明实施例四提供的一种基于网络隔离装置的数据通信方法流程示意图;
图5示出了根据本发明实施例五提供的一种网络隔离装置结构框图;
图6示出了根据本发明实施例六提供的一种网络隔离装置结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例一
本实施例提供了一种基于网络隔离装置的数据通信方法,参见图1,所述方法包括:
步骤101,内端主机响应内网终端向外网终端发送的连接请求数据包并建立内端主机与内网终端的内网连接;所述连接请求数据包携带有内网终端网络地址和外网终端网络地址。
在网络数据传输时,使用面向连接的TCP传输协议、面向非连接的UDP传输协议或其它协议,本发明不做具体限制,在本发明实施例中,优选的,使用TCP传输协议。
基于TCP连接的网络数据传输,需要先建立TCP连接,TCP连接建立成功之后,双方才进行数据的传输。因此,在内网终端向外网终端发送数据之前,内网终端需要和外网终端建立TCP连接,TCP连接建立成功后才开始传输数据。
首先,内网终端向外网终端发送连接请求数据包,所述连接请求数据包携带有内网终端网络地址和外网终端网络地址。
然后,网络隔离装置中的内端主机对所述请求数据包做出响应,并建立内端主机与内网终端的内网连接。
最后,内网连接建立成功后,系统分配所述内网连接对应的内网连接标识。
步骤102,内端主机通过隔离通道向对应的外端主机发送第一数据包,所述第一数据包携带有内网连接对应的内网连接标识、第一源网络地址和第一目的网络地址,所述第一源网络地址为所述内网终端网络地址,所述第一目的网络地址为所述外网终端网络地址。
当内网连接建立成功之后,内端主机通过隔离通道向对应的外端主机发送第一数据包,并通知外端主机建立对应的外网连接。
步骤103,外端主机根据收到的第一数据包与外网终端建立外网连接,所述外网连接的源地址为外端主机虚拟网络地址,目的地址为第一目的网络地址。
外端主机接收到内端主机发送的第一数据包后,根据所述第一数据包与外网终端建立外网连接。在本发明实施例中,外端主机不设置网络地址,而仅设置虚拟网络地址。因此,外端主机以本机虚拟网络地址与外网终端建立外网连接,所述外网连接的源地址为外端主机虚拟网络地址,目的地址为第一目的网络地址,即目的地址为外网终端网络地址,外网连接建立成功之后,系统分配一个对应的外网连接标识。
步骤104,外端主机在预置的外网地址映射表中设置外网地址映射记录,所述外网地址映射记录包括所述外网连接对应的外网连接标识、所述内网连接标识、所述第一源网络地址和所述第一目的网络地址。
在本发明实施例中,优选的,使用SOCKET ID来唯一标识一个TCP连接,但是使用其它方式标识TCP连接也同样得到支持,例如用IP地址加上端口号也可以唯一标识一个TCP连接,对此,本发明不做具体限制。
在本发明实施例中,所述外网连接对应的外网连接标识为所述外网连接对应的SOCKET ID,所述内网连接对应的内网连接标识为内网连接对应的SOCKET ID。
在本发明的另一优选实施例中,步骤104之后,还包括:将所述第一数据包中的内网连接标识和所述第一源网络地址设置到预置的地址转换表中,也就是将所述内网连接对应的SOCKET ID和所述内网终端网络地址设置到所述预置的地址转换表中。
步骤105,内端主机通过所述内网连接接收内网终端发送的内网数据包,所述内网数据包携带有所述内网连接标识和内网载荷数据。
在内网连接和外网连接建立成功,并且外网地址映射表和地址转换表设置完成之后,所述内网终端开始通过内网连接向内端主机发送内网数据包。
步骤106,内端主机将所述内网连接标识和内网载荷数据封装生成第二数据包,并将所述第二数据包通过隔离通道发送至外端主机;所述第二数据包的源地址为内端主机虚拟网络地址,目的地址为外端主机虚拟网络地址。
本步骤具体包括:
内端主机接收到所述内网终端发送的内网数据包之后,对接收到的内网数据包进行解析,得到内网连接标识和内网载荷数据;
内端主机将内网连接标识和内网载荷数据封装生成第二数据包,所述第二数据包的源地址为内端主机虚拟网络地址,目的地址为外端主机虚拟网络地址;
内端主机将所述第二数据包通过隔离通道发送至外端主机。
步骤107,外端主机从接收到的第二数据包中获取所述内网连接标识,并匹配所述内网连接标识与所述外网地址映射表,若不存在匹配的外网地址映射记录,则丢弃所述第二数据包,若存在匹配的外网地址映射记录,则继续执行后续步骤。
所述外端主机接收到所述内端主机通过隔离通道发送的第二数据包之后,对所述第二数据包进行解析,得到所述内网连接标识,并在所述外网地址映射表中查找是否有所述内网连接标识对应的外网地址映射记录,若没有,则说明所述第二数据包没有建立好网络连接,则丢弃所述第二数据包,若有,则继续执行后续步骤。
步骤108,外端主机以虚拟网络地址对所述第二数据包中的内网载荷数据进行封装,生成第一内网网络数据包,所述第一内网网络数据包的源地址为所述外端主机虚拟网络地址,目的地址为所述第一目的网络地址。
所述外端主机根据所述内网连接标识,在预置的外网地址映射表中获取所述内网连接标识对应的第一目的网络地址,并且对所述第二数据包中的内网载荷数据进行封装,生成第一内网网络数据包,所述第一内网网络数据包的源地址为所述外端主机虚拟网络地址,目的地址为所述第一目的网络地址。
步骤109,外端主机根据预置的地址转换表对所述第一内网网络数据包进行地址转换,生成第二内网网络数据包;所述第二内网网络数据包的源地址为所述第一源网络地址,目的地址为所述第一目的网络地址。
由于所述第一内网网络数据包的源地址为外端主机虚拟网络地址,外端主机无法以虚拟网络地址发送所述第一内网网络数据包,因此外端主机需要对所述第一内网网络数据包进行源地址转换。
所述外端主机对所述内网载荷数据进行源地址转换的过程具体为:所述外端主机根据所述内网连接标识,在预置的地址转换表中查找所述内网连接标识对应的第一源网络地址,并将所述第一内网网络数据包的源地址设置为所述第一源网络地址。
步骤110,外端主机在预置的地址解析表中查找所述第二内网网络数据包对应的下一跳目的物理地址,并基于所述下一跳目的物理地址对所述第二内网网络数据包进行地址封装,生成内网链路数据包。
由于在具体实施时,网络隔离装置一般通过路由器连接外网,因此,在本发明实施例中,所述下一跳目的物理地址包括所述内网网络数据包下一跳路由器的MAC地址,所述外端主机查找所述内网网络数据包下一跳路由器的MAC地址,并用所述MAC地址对所述内网网络数据包进行地址封装,生成内网链路数据包。
步骤111,外端主机通过所述外网连接将所述内网链路数据包发送至对应的外网终端。
外端主机将所述内网链路数据包通过所述外网连接发送至下一跳路由器,再由所述下一跳路由器转发至对应的外网终端。
在本实施例提供的基于网络隔离装置的通信方法中,内网终端向外网终端发送数据包之前,首先建立内网终端和内端主机之间的内网连接,然后再建立外端主机与外网终端之间的外网连接,由于外端主机没有设置网络地址,因此外端主机以本机的虚拟网络地址和外网终端建立外网连接,两个连接都建立成功后,内网终端开始发送数据,通过内网连接将数据发送至内端主机,内端主机通过隔离通道将数据发送至外端主机,由于外端主机没有设置网络地址,因此,需要对发向外网的数据进行源网络地址转换,之后,查找到当前数据包下一跳的MAC地址,对数据包进行封装并发送至外网终端,从而实现了在外端主机无网络地址配置的情况下,内网终端正常向外部网络发送数据的方法,避免了外端主机因配置网络地址而遭受外网攻击和入侵的问题,提高了网络隔离装置自身以及内部网络的安全性。
实施例二
在本实施例中,结合具体实例提供了一种基于网络隔离装置的数据通信方法。在本发明实施例中,所述网络隔离装置包括:内端主机、隔离通道和外端主机。其中,内端主机包括:内网连接代理模块、内网隔离通信模块、内网数据接收模块;外端主机包括:外网隔离通信模块、外网连接代理模块、外网网络地址封装模块、地址转换(Network AddressTranslation,NAT)模块、外网物理地址(Media Access Control,MAC)封装模块、外网网桥。在本实施例中,我们以基于TCP协议的数据通信为例对给出的具体实例进行描述,所述内网连接代理模块具体为内网TCP代理模块,所述外网连接代理模块具体为外网TCP代理模块。进一步的,所述外端主机还包括地址转换配置模块,用于将外网隔离通信模块所接收的第一数据包中的内网连接标识、第一源网络地址设置到预置的地址转换表中;所述外端主机还包括外网地址解析(Address Resolution Protocol,ARP)表配置模块,用于接收外网终端对内网终端的物理地址请求,并把外端主机物理地址作为响应发送给请求终端,以及设置外网地址解析表。
参见图2a和图2b,所述方法包括:
步骤201,内端主机与内网终端建立内网连接。
在本实施例中,以内网终端网络地址为10.1.1.100,外网终端网络地址为20.1.1.100为例,所述内网终端向所述外网终端发送内网数据包之前,需要先建立内网终端与外网终端之间的TCP连接,因此,内网终端向外网终端发送TCP连接请求数据包,所述连接请求数据包携带有TCP连接请求源地址,即内网终端网络地址10.1.1.100,TCP连接请求目的地址,即外网终端网络地址20.1.1.100。
所述内端主机中的内网TCP代理模块响应所述连接请求数据包,并且以内端主机网络地址为目的地址,以10.1.1.200为例,内网终端网络地址10.1.1.100为源地址,建立内网连接。
所述内网连接建立成功之后,系统分配所述内网连接对应的内网连接标识,例如,SOCKET ID为SID1。
步骤202,内端主机向外端主机发送第一数据包。
当内网连接建立成功之后,所述内端主机中的内网隔离通信模块通过隔离通道向对应的外端主机发送第一数据包,并通知外端主机建立对应的外网连接。
所述第一数据包携带有内网连接对应的内网连接标识SID1、第一源网络地址和第一目的网络地址,所述第一源网络地址为数据发送端,即内网终端网络地址10.1.1.100,所述第一目的网络地址为数据接收端,即外网终端网络地址20.1.1.100。
步骤203,外端主机与外网终端建立外网连接。
所述外端主机中的外网隔离通信模块从隔离通道接收到第一数据包后,将所述第一数据包发送至外网TCP代理模块,所述外网TCP代理模块根据所述第一数据包与外网终端建立外网连接,所述外网连接的源地址为外端主机虚拟网络地址,以1.1.1.2为例,目的地址为第一目的网络地址20.1.1.100,外网连接建立成功之后,系统分配一个对应的外网连接标识,以SID2为例。
步骤204,外端主机在预置的外网地址映射表中设置外网地址映射记录。
外网TCP代理模块在预置的外网地址映射表中设置外网地址映射记录,外网地址映射记录包括所述外网连接对应的外网连接标识、内网连接标识、第一源网络地址和第一目的网络地址。地址映射表参见表1。
内网连接标识 | 外网连接标识 | 第一源网络地址 | 第一目的网络地址 |
SID1 | SID2 | 10.1.1.100 | 20.1.1.100 |
表1
在设置完外网地址映射表中的外网地址映射记录之后,地址转换配置模块将第一数据包中的内网连接标识和第一源网络地址设置到预置的地址转换表中。地址转换表参见表2。
内网连接标识 | 第一源网络地址 |
SID1 | 10.1.1.100 |
表2
步骤205,内端主机通过所述内网连接接收内网终端向外网终端发送的内网数据包。
在内网连接和外网连接建立成功,并且外网地址映射表和地址转换表设置完成之后,内网终端开始向外网终端发送内网数据包。
所述内端主机中的内网数据接收模块先通过所述内网连接接收内网终端发送的内网数据包,所述内网数据包携带有内网连接标识SID1和内网载荷数据。
步骤206,内端主机将接收到的内网数据包解析封装生成第二数据包,并通过隔离通道发送至外端主机。
所述内端主机中的内网数据接收模块接收到所述内网终端发送的内网数据包之后,将所述内网数据包发送至内网TCP代理模块,所述内网TCP代理模块对接收到的内网数据包进行解析,得到内网连接标识SID1和内网载荷数据;
内网隔离通信模块将所述内网连接标识SID1和内网载荷数据封装生成第二数据包,所述第二数据包的源地址为内端主机虚拟网络地址,以1.1.1.1为例,目的地址为外端主机虚拟网络地址1.1.1.2;
所述内网隔离通信模块将所述第二数据包通过隔离通道发送至外端主机。
所述第二数据包格式的实例参见表3。
1.1.1.1 | 1.1.1.2 | SID1 | 内网载荷数据 |
表3
步骤207,外端主机在外网地址映射表中匹配所述第二数据包中的内网连接标识对应的外网地址映射记录,若不存在匹配的记录,则丢弃该第二数据包,若存在,则执行后续步骤。
外端主机中的外网隔离通信模块从隔离通道接收到第二数据包之后,将所述第二数据包发送至外网TCP代理模块,所述外网TCP代理模块对所述第二数据包进行解析,得到所述内网连接标识SID1,之后,外网TCP代理模块在外网地址映射表中(表1中)查找是否有所述内网连接标识对应的外网地址映射记录,若没有,则丢弃所述第二数据包,若有,则继续执行后续步骤。在本实施例中,表1中有SID1对应的外网地址映射记录,因此,继续执行后续步骤。
步骤208,外端主机对内网载荷数据进行封装,生成第一内网网络数据包。
所述外端主机中的外网TCP代理模块根据所述内网连接标识SID1,在预置的外网地址映射表中获取所述内网连接标识对应的外网连接标识SID2,进而获取所述外网连接标识SID2对应的外网连接,所述外网连接的源地址位外端主机虚拟网络地址1.1.1.2,目的地址位外网终端网络地址20.1.1.100。
所述外网TCP代理模块将所述外网连接标识SID2和所述内网载荷数据发送至外端主机的外网网络地址封装模块,所述外网网络地址封装模块基于外端主机的虚拟网络地址对所述内网载荷数据进行封装,生成第一内网网络数据包,所述第一内网网络数据包的源地址为外端主机虚拟网络地址1.1.1.2,目的地址为外网终端网络地址20.1.1.100。
步骤209,外端主机对所述第一内网网络数据包进行地址转换,生成第二内网网络数据包。
外端主机中的地址转换模块对所述第一内网网络数据包进行源地址转换,所述地址转换模块根据所述内网连接标识SID1,在预置的地址转换表中查找到所述内网连接标识SID1对应的第一源网络地址10.1.1.100,并将所述第一内网网络数据包的源地址设置为所述第一源网络地址10.1.1.100。
经过地址转换模块进行源地址转换后,第二内网网络数据包的源地址为第一源网络地址10.1.1.100,目的地址为第一目的网络地址20.1.1.100。
所述地址转换前、后的第一、第二内网网络数据包格式的实例参见表4、表5:
源地址 | 目的地址 | 外网连接标识 | 载荷数据 |
1.1.1.2 | 20.1.1.100 | SID2 | 内网载荷数据 |
表4
源地址 | 目的地址 | 外网连接标识 | 载荷数据 |
10.1.1.100 | 20.1.1.100 | SID2 | 内网载荷数据 |
表5
步骤210,外端主机对所述第二内网网络数据包进行地址封装,生成内网链路数据包。
外端主机中的外网地址解析表配置模块用于维护外网地址解析表,所述外网地址解析表中记录了与外端主机相邻的各网络设备的IP地址和MAC地址映射关系,例如下一跳路由器的IP地址和MAC地址。
所述外网物理地址封装模块根据当前第二内网网络数据包的源/目的地址在外网地址解析表中查找对应的下一跳路由器的MAC地址,并对当前第二内网网络数据包进行二层地址封装,封装生成内网链路数据包,再将所述内网链路数据包发送至外网网桥。
步骤211,外端主机通过外网连接将所述内网链路数据包发送至对应的外网终端。
外网网桥将所述内网链路数据包通过外网连接发送至下一跳路由器,再由路由器转发至对应的外网终端。
在本发明实施例中,内网终端向外网终端发送数据包时,首先建立内网连接和外网连接,连接建立成功后,内网终端依据当前内网和外网连接向外网终端发送数据包,外端主机中设有外网TCP代理模块,用于与外网终端建立TCP连接,以及对接收到的数据进行解析处理,由于外端主机没有设置IP地址,因此,还需要NAT地址转换模块对发向外网的数据进行网络地址转换,之后,ARP代理模块根据ARP表查找到当前数据包下一跳的MAC地址,对数据包进行封装并发送至外网,从而实现了在外端主机无网络地址配置的情况下,内端主机正常向外部网络发送数据的方法,避免了外端主机因配置网络地址而遭受外网攻击和入侵的问题,提高了网络隔离装置自身以及内部网络的安全性。
实施例三
本实施例提供了一种基于网络隔离装置的数据通信方法,参见图3,所述方法包括:
步骤301,外端主机响应外网终端向内网终端发送的连接请求数据包并建立外端主机与外网终端的外网连接;所述连接请求数据包携带有外网终端网络地址和内网终端网络地址。
和实施例一中内网终端向外网终端发送数据同样的道理,外网终端向内网终端发送数据之前,也要先建立TCP连接。
一般而言,若内网通过路由器连接至外网,外网终端向内网终端发送的连接请求数据包首先会被发送至路由器,经路由器路由并转发至外端主机。本实施例对路由器的工作过程不作具体描述,为便于说明,本例中,外网终端向内网终端发送的连接请求数据包即被认为是经过路由的连接请求数据包,所述连接请求数据包携带有第二源网络地址,即外网终端网络地址,和经路由转换后的第二目的网络地址,即内网终端网络地址。
然后,网络隔离装置中的外端主机对所述请求数据包做出响应,并建立外端主机与外网终端的外网连接。在本发明实施例中,外端主机不设置网络地址,因此,外端主机以虚拟网络地址为目的地址,外网终端网络地址为源地址,建立外网连接。
最后,外网连接建立成功后,系统分配所述外网连接对应的外网连接标识。
步骤302,外端主机通过隔离通道向对应的内端主机发送第三数据包,所述第三数据包携带有外网连接对应的外网连接标识、第二源网络地址和第二目的网络地址,所述第二源网络地址为所述外网终端网络地址,所述第二目的网络地址为所述内网终端网络地址。
当外网连接建立成功之后,所述外端主机通过隔离通道向对应的内端主机发送第三数据包,并通知内端主机建立对应的内网连接。
步骤303,内端主机根据收到的第三数据包与内网终端建立内网连接,所述内网连接的源地址为内端主机网络地址,目的地址为第二目的网络地址。
所述内端主机接收到外端主机发送的第三数据包后,根据第三数据包与内网终端建立内网连接,由于内端主机连接的安全的内部网络,因此内端主机设置了网络地址,内端主机以本机的网络地址与内网终端建立内网连接,所述内网连接的源地址为内端主机网络地址,目的地址为内网终端网络地址,所述内网连接建立成功之后,系统分配一个对应的内网连接标识。
步骤304,内端主机在预置的内网地址映射表中设置内网地址映射记录,所述内网地址映射记录包括所述内网连接对应的内网连接标识、所述外网连接标识、所述第二源网络地址和所述第二目的网络地址。
步骤305,外端主机通过所述外网连接接收外网终端发送的外网数据包,所述外网数据包携带有所述外网连接标识和外网载荷数据。
在外网连接和内网连接建立成功之后,并且内网地址映射表也设置完成,所述外网终端开始通过外网连接向外端主机发送外网数据包。
步骤306,外端主机将所述外网连接标识和外网载荷数据封装生成第四数据包,并将所述第四数据包通过隔离通道发送至内端主机;所述第四数据包的源地址为外端主机虚拟网络地址,目的地址为内端主机虚拟网络地址。
所述外端主机接收到所述外网终端发送的外网数据包之后,对接收到的外网数据包进行解析,得到外网连接标识和外网载荷数据;
所述外端主机将外网连接标识和外网载荷数据封装生成第四数据包,所述第四数据包的源地址为外端主机虚拟网络地址,目的地址为内端主机虚拟网络地址;
所述外端主机将所述第四数据包通过隔离通道发送至内端主机。
步骤307,内端主机从接收到的第四数据包中获取所述外网连接标识,并匹配所述外网连接标识与所述内网地址映射表,若不存在匹配的内网地址映射记录,则丢弃所述第四数据包,若存在匹配的内网地址映射记录,则继续执行后续步骤。
所述内端主机接收到所述外端主机通过隔离通道发送的第四数据包之后,对所述第四数据包进行解析,得到所述外网连接标识,并在所述内网地址映射表中查找是否有所述外网连接标识对应的内网地址映射记录,若没有,则说明不存在与当前第四数据包中外网连接标识对应的由内网连接和外网连接构成的网络传输通道,则丢弃所述第四数据包,若有,则继续执行后续步骤。
步骤308,内端主机对所述第四数据包中的外网载荷数据进行封装,生成外网网络数据包,所述外网网络数据包的源地址为内端主机网络地址,目的地址为内网终端网络地址。
所述内端主机根据所述外网连接标识,在预置的内网地址映射表中获取所述外网连接标识对应的内网连接标识,进而得到所述内网连接标识对应的内网连接,所述内网连接的源地址为内端主机网络地址,目的地址为内网终端网络地址,所述内端主机以此对所述外网载荷数据进行封装,生成外网网络数据包,所述外网网络数据包的源地址为内端主机网络地址,目的地址为内网终端网络地址。
步骤309,内端主机查找内网终端目的物理地址,并基于内网终端目的物理地址对所述外网网络数据包进行地址封装,生成外网链路数据包。
所述内端主机查找所述外网网络数据包对应的内网终端的MAC地址,并用所述MAC地址对所述外网网络数据包进行地址封装,生成外网链路数据包。
步骤310,内端主机通过所述内网连接将所述外网链路数据包发送至对应的内网终端。
所述内端主机将所述外网链路数据包通过所述内网连接发送至对应的外网终端。
在本实施例提供的基于网络隔离装置的通信方法中,外网终端向内网终端发送数据包之前,首先建立外网终端和内端主机之间的外网连接,然后再建立内端主机与内网终端之间的内网连接,由于外端主机没有设置网络地址,因此外端主机以本机的虚拟网络地址和外网终端建立外网连接,两个连接都建立成功后,外网终端开始发送数据,通过外网连接将数据发送至外端主机,外端主机通过隔离通道将数据发送至内端主机,内端主机通过内网连接将数据包发送至内网终端,从而实现了在外端主机无网络地址配置的情况下,外网终端正常向内部网络发送数据的方法,避免了外端主机因配置网络地址而遭受外网攻击和入侵的问题,提高了网络隔离装置自身以及内部网络的安全性。
实施例四
在本实施例中,结合具体实例提供了一种基于网络隔离装置的数据通信方法。在本发明实施例中,所述网络隔离装置包括:外端主机、隔离通道和内端主机。其中,外端主机包括:外网连接代理模块、外网隔离通信模块、外网数据接收模块;内端主机包括:内网隔离通信模块、内网连接代理模块、内网网络地址封装模块、内网物理地址封装模块、内网网桥。在本实施例给出的具体实例中,所述外网连接代理模块具体为外网TCP代理模块。
参见图4,所述方法包括:
步骤401,外端主机与外网终端建立外网连接。
在本实施例中,以外网终端网络地址为20.1.1.100,内网终端网络地址为10.1.1.100为例,所述外网终端向所述内网终端发送外网数据包之前,需要先建立外网终端与内网终端之间的TCP连接,因此,外网终端向内网终端发送TCP连接请求数据包,所述连接请求数据包携带有TCP连接请求源地址,即外网终端网络地址20.1.1.100,TCP连接请求目的地址,即内网终端网络地址10.1.1.100。
所述外端主机中的外网TCP代理模块响应所述连接请求数据包,并且以外端主机虚拟网络地址为目的地址,以1.1.1.2为例,外网终端网络地址20.1.1.100为源地址,建立外网连接。
所述外网连接建立成功之后,系统分配所述外网连接对应的外网连接标识,例如,SOCKET ID为SID3。
步骤402,外端主机向内端主机发送第三数据包。
当外网连接建立成功之后,所述外端主机中的外网隔离通信模块通过隔离通道向对应的内端主机发送第三数据包,并通知内端主机建立对应的内网连接。
所述第三数据包携带有外网连接对应的外网连接标识SID3、第二源网络地址和第二目的网络地址,所述第二源网络地址为数据发送端,即外网终端网络地址20.1.1.100,所述第二目的网络地址为数据接收端,即内网终端网络地址10.1.1.100。
步骤403,内端主机与内网终端建立内网连接。
所述内端主机中的内网隔离通信模块从隔离通道接收到第三数据包后,将所述第三数据包发送至内网TCP代理模块,所述内网TCP代理模块根据所述第三数据包与内网终端建立内网连接,所述内网连接的源地址为内端主机网络地址,以10.1.1.200为例,目的地址为第二目的网络地址10.1.1.100,内网连接建立成功之后,系统分配一个对应的外网连接标识,以SID4为例。
步骤404,内端主机在预置的地址映射表中设置内网地址映射记录。
内网TCP代理模块在预置的内网地址映射表中设置内网地址映射记录,内网地址映射记录包括所述内网连接对应的内网连接标识、外网连接标识、第二源网络地址和第二目的网络地址。地址映射表参见表6。
内网连接标识 | 外网连接标识 | 第二源网络地址 | 第二目的网络地址 |
SID4 | SID3 | 20.1.1.100 | 10.1.1.100 |
表6
步骤405,外端主机通过所述外网连接接收外网终端向内网终端发送的外网数据包。
在外网连接和内网连接建立成功,并且内网地址映射表设置完成之后,外网终端开始向内网终端发送外网数据包。
所述外端主机中的外网数据接收模块先通过所述外网连接接收外网终端发送的外网数据包,所述外网数据包携带有外网连接标识(SID3)和外网载荷数据。
步骤406,外端主机将接收到的外网数据包解析封装生成第四数据包,并通过隔离通道发送至内端主机。
所述外端主机中的外网数据接收模块接收到所述外网终端发送的外网数据包之后,将所述外网数据包发送至外网TCP代理模块,所述外网TCP代理模块对接收到的外网数据包进行解析,得到外网连接标识SID3和外网载荷数据;
外网隔离通信模块将外网连接标识SID3和外网载荷数据封装生成第四数据包,所述第四数据包的源地址为外端主机虚拟网络地址1.1.1.2,目的地址为内端主机虚拟网络地址1,以.1.1.1为例;
所述外网隔离通信模块将所述第四数据包通过隔离通道发送至内端主机。
所述第四数据包格式的实例参见表7。
1.1.1.2 | 1.1.1.1 | SID3 | 外网载荷数据 |
表7
步骤407,内端主机在内网地址映射表中匹配所述第四数据包中的外网连接标识对应的内网地址映射记录,若不存在匹配的记录,则丢弃该第四数据包,若存在,则执行后续步骤。
内端主机中的内网隔离通信模块从隔离通道接收到第四数据包之后,将所述第四数据包发送至内网TCP代理模块,所述内网TCP代理模块对所述第四数据包进行解析,得到所述外网连接标识SID3,之后,内网TCP代理模块在内网地址映射表中(表6中)查找是否有所述外网连接标识对应的内网地址映射记录,若没有,则丢弃所述第四数据包,若有,则继续执行后续步骤。在本实施例中,表7中有SID3对应的内网地址映射记录,因此,继续执行后续步骤。
步骤408,内端主机对所述第四数据包中的外网载荷数据进行封装,生成外网网络数据包。
所述内网网络地址封装模块基于内端主机的网络地址对所述外网载荷数据进行封装,生成外网网络数据包,所述外网网络数据包的源地址为内端主机网络地址10.1.1.200,目的地址为内网终端网络地址10.1.1.100。
所述外网网络数据包格式的实例参见表8。
10.1.1.200 | 10.1.1.100 | SID4 | 外网载荷数据 |
表8
步骤409,内端主机对所述外网网络数据包进行MAC地址封装,生成外网链路数据包。
内网物理地址封装模块根据当前外网网络数据包的源/目的地址在预置的内网地址解析表中查找对应内网终端的MAC地址并进行二层地址封装,封装生成内网链路数据包,再将所述内网链路数据包发送至内网网桥。
步骤410,内端主机通过所述内网连接将所述外网链路数据包发送至对应的内网终端。
内网网桥将所述外网链路数据包通过内网连接发送至对应的外网终端。
在本发明实施例中,外网终端向内网终端发送数据包时,首先建立外网连接和内网连接,由于外端主机不设置网络地址,因此外端主机以虚拟网络地址与外网终端建立外网连接,连接建立成功后,外网终端依据当前外网连接和内网连接向内网终端发送数据包,从而实现了在外端主机无网络地址配置的情况下,外端主机正常向内部网络发送数据的方法,避免了外端主机因配置网络地址而遭受外网攻击和入侵的问题,提高了网络隔离装置自身以及内部网络的安全性。
实施例五
参照图5,给出了根据本发明实施例五提供的一种网络隔离装置的结构框图。
本发明提供的网络隔离装置包括:
内端主机510、隔离通道520和外端主机530;
所述内端主机510包括:内网连接代理模块511、内网隔离通信模块512、内网数据接收模块513;
所述外端主机530包括:外网隔离通信模块531、外网连接代理模块532、外网网络地址封装模块533、地址转换模块534、外网物理地址封装模块536、外网网桥537;
所述隔离通道520,用于在内端主机和外端主机之间进行数据传输;
所述内网连接代理模块511,用于响应内网终端向外网终端发送的连接请求数据包并建立内端主机与内网终端的内网连接;所述连接请求数据包携带有内网终端网络地址和外网终端网络地址;
所述内网隔离通信模块512,用于通过隔离通道向对应的外端主机发送第一数据包,所述第一数据包携带有内网连接对应的内网连接标识、第一源网络地址和第一目的网络地址,所述第一源网络地址为所述内网终端网络地址,所述第一目的网络地址为所述外网终端网络地址;
所述外网隔离通信模块531,用于从隔离通道接收所述第一数据包,并将所述第一数据包发送至外网连接代理模块;
所述外网连接代理模块532,用于根据从外网隔离通信模块收到的第一数据包与外网终端建立外网连接,所述外网连接的源地址为外端主机虚拟网络地址,目的地址为第一目的网络地址;
所述外网连接代理模块532,还用于在预置的外网地址映射表中设置外网地址映射记录,所述外网地址映射记录包括所述外网连接代理模块建立的外网连接对应的外网连接标识、所述从隔离通道接收的第一数据包中的内网连接标识、第一源网络地址和第一目的网络地址;
所述内网数据接收模块513,用于通过所述内网连接代理模块建立的内网连接接收内网终端发送的内网数据包,所述内网数据包携带有所述内网连接标识和内网载荷数据;
所述内网隔离通信模块512,还用于将所述内网数据接收模块接收的内网数据包中的内网连接标识和内网载荷数据封装生成第二数据包,并将所述第二数据包通过隔离通道发送至外端主机中的外网隔离通信模块;所述第二数据包的源地址为内端主机虚拟网络地址,目的地址为外端主机虚拟网络地址;
所述外网连接代理模块532,还用于从所述外网隔离通信模块接收到的第二数据包中获取所述内网连接标识,并匹配所述内网连接标识与所述外网地址映射表,若不存在匹配的外网地址映射记录,则丢弃所述第二数据包,若存在,则将所述内网连接标识和内网载荷数据发送至外网网络地址封装模块;
所述外网网络地址封装模块533,用于对从所述外网连接代理模块接收到的第二数据包中的内网载荷数据进行封装,生成第一内网网络数据包,所述第一内网网络数据包的源地址为所述外端主机虚拟网络地址,目的地址为所述第一目的网络地址;
所述地址转换模块534,用于根据预置的地址转换表对所述网络地址封装模块生成的第一内网网络数据包进行地址转换,生成第二内网网络数据包;所述第二内网网络数据包的源地址为所述第一源网络地址,目的地址为所述第一目的网络地址;
所述外网物理地址封装模块536,用于在预置的地址解析表中查找所述第二内网网络数据包对应的下一跳目的物理地址,并基于所述下一跳目的物理地址对所述第二内网网络数据包进行地址封装,生成内网链路数据包;
所述外网网桥537,用于通过所述外网连接代理模块所建立的外网连接将所述外网物理地址封装模块生成的内网链路数据包发送至对应的外网终端。
进一步的,在本发明给出的另一实施例中,所述外端主机530还包括:外网地址解析表配置模块535,用于设置外网地址解析表。
在本发明给出的另一实施例中,外端主机530还包括地址转换配置模块538,用于将内网隔离通信模块所接收的第一数据包中的内网连接标识、第一源网络地址设置到预置的地址转换表中。
基于本实施例中的网络隔离装置进行数据通信时,在外端主机无网络地址配置的情况下,内网终端通过网络隔离装置向外网终端发送数据,避免了外端主机遭受来自外网的网络攻击,保证了安全性。具体内容可参见上述方法实施例中的相关内容,此处不再赘述。
实施例六
参照图6,给出了根据本发明实施例六提供的一种网络隔离装置的结构框图。
本发明提供的网络隔离装置包括:
外端主机610、隔离通道620和内端主机630;
所述外端主机包括:外网连接代理模块611、外网隔离通信模块612、外网数据接收模块613;
所述内端主机包括:内网隔离通信模块631、内网连接代理模块632、内网网络地址封装模块633、内网物理地址封装模块635、内网网桥636;
所述隔离通道620,用于在外端主机和内端主机之间进行数据传输;
所述外网连接代理模块611,用于响应外网终端向内网终端发送的连接请求数据包并建立外端主机与外网终端的外网连接;所述连接请求数据包携带有外网终端网络地址和内网终端网络地址;
所述外网隔离通信模块612,用于通过隔离通道向对应的内端主机发送第三数据包,所述第三数据包携带有外网连接对应的外网连接标识、第二源网络地址和第二目的网络地址,所述第二源网络地址为所述外网终端网络地址,所述第二目的网络地址为所述内网终端网络地址;
所述内网隔离通信模块631,用于从隔离通道接收所述第三数据包,并将所述第三数据包发送至内网连接代理模块。
所述内网连接代理模块632,用于根据从隔离通道收到的第三数据包与内网终端建立内网连接,所述内网连接的源地址为内端主机网络地址,目的地址为第二目的网络地址;
所述内网连接代理模块632,还用于在预置的内网地址映射表中设置内网地址映射记录,所述内网地址映射记录包括所述内网连接代理模块建立的内网连接对应的内网连接标识、所述外网连接标识、所述第二源网络地址和所述第二目的网络地址;
所述外网数据接收模块613,用于通过所述外网连接代理模块建立的外网连接接收外网终端发送的外网数据包,所述外网数据包携带有所述外网连接标识和外网载荷数据;
所述外网隔离通信模块612,还用于将所述外网数据接收模块接收的外网数据包中的外网连接标识和外网载荷数据封装生成第四数据包,并将所述第四数据包通过隔离通道发送至内端主机中的内网隔离通信模块;所述第四数据包的源地址为外端主机虚拟网络地址,目的地址为内端主机虚拟网络地址;
所述内网连接代理模块632,还用于从所述内网隔离通信模块接收到的第四数据包中获取所述外网连接标识,并匹配所述外网连接标识与所述内网地址映射表,若不存在匹配的内网地址映射记录,则丢弃所述第四数据包,若存在,则将所述外网连接标识和外网载荷数据发送至内网网络地址封装模块;
所述内网网络地址封装模块633,用于对从所述内网连接代理模块接收到的第四数据包中的外网载荷数据进行封装,生成外网网络数据包,所述外网网络数据包的源地址为内端主机网络地址,目的地址为内网终端网络地址;
所述内网物理地址封装模块635,用于在预置的内网地址解析表中查找内网终端目的物理地址,并基于内网终端目的物理地址对所述外网网络数据包进行地址封装,生成外网链路数据包;
所述内网网桥636,用于通过所述内网连接将所述外网链路数据包发送至对应的内网终端。
进一步的,所述内端主机630还包括:内网地址解析表配置模块634,用于设置内网地址解析表。
基于本实施例中的网络隔离装置进行数据通信时,在外端主机无网络地址配置的情况下,外网终端通过网络隔离装置向内网终端发送数据,避免了外端主机遭受来自外网的网络攻击,保证了安全性。具体内容可参见上述方法实施例中的相关内容,此处不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的基于网络隔离装置的数据通信方法和对应的网络隔离装置设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (4)
1.一种基于网络隔离装置的数据通信方法,其特征在于,包括:
内端主机响应内网终端向外网终端发送的连接请求数据包并建立内端主机与内网终端的内网连接;所述内网连接以内网终端网络地址为源地址、内端主机网络地址为目的地址,所述连接请求数据包携带有内网终端网络地址和外网终端网络地址;
所述内端主机通过隔离通道向对应的外端主机发送第一数据包,所述第一数据包携带有内网连接对应的内网连接标识、第一源网络地址和第一目的网络地址,所述第一源网络地址为所述内网终端网络地址,所述第一目的网络地址为所述外网终端网络地址,所述内端主机网络地址为内端主机的本机的网络地址;
所述外端主机根据收到的第一数据包与外网终端建立外网连接,所述外网连接的源地址为外端主机虚拟网络地址,目的地址为第一目的网络地址;
所述外端主机在预置的外网地址映射表中设置外网地址映射记录,所述外网地址映射记录包括所述外网连接对应的外网连接标识、所述内网连接标识、所述第一源网络地址和所述第一目的网络地址;
外端主机将所述第一数据包中的内网连接标识和所述第一源网络地址设置到预置的地址转换表中;
所述内端主机通过所述内网连接接收内网终端发送的内网数据包,所述内网数据包携带有所述内网连接标识和内网载荷数据;
所述内端主机将所述内网连接标识和内网载荷数据封装生成第二数据包,并将所述第二数据包通过隔离通道发送至外端主机;所述第二数据包的源地址为内端主机虚拟网络地址,目的地址为外端主机虚拟网络地址;
所述外端主机从接收到的第二数据包中获取所述内网连接标识,并匹配所述内网连接标识与所述外网地址映射表,若不存在匹配的外网地址映射记录,则丢弃所述第二数据包,若存在匹配的外网地址映射记录,则继续执行后续步骤;
所述外端主机以虚拟网络地址对所述第二数据包中的内网载荷数据进行封装,生成第一内网网络数据包,所述第一内网网络数据包的源地址为所述外端主机虚拟网络地址,目的地址为所述第一目的网络地址;
所述外端主机根据预置的地址转换表对所述第一内网网络数据包进行地址转换,生成第二内网网络数据包;所述第二内网网络数据包的源地址为所述第一源网络地址,目的地址为所述第一目的网络地址;
所述外端主机在预置的地址解析表中查找所述第二内网网络数据包对应的下一跳目的物理地址,并基于所述下一跳目的物理地址对所述第二内网网络数据包进行地址封装,生成内网链路数据包,所述下一跳目的物理地址具体为所述第二内网网络数据包下一跳路由器的MAC地址;
所述外端主机通过所述外网连接将所述内网链路数据包发送至对应的外网终端;
所述外端主机根据预置的地址转换表对所述第一内网网络数据包进行地址转换,生成第二内网网络数据包,具体包括:
所述外端主机从所述第一内网网络数据包中获取内网连接标识;
所述外端主机根据所述获取的内网连接标识从预置的地址转换表中获取对应的第一源网络地址;
所述外端主机将所述第一内网网络数据包封装生成第二内网网络数据包,所述第二内网网络数据包的源地址为所述第一源网络地址。
2.一种基于网络隔离装置的数据通信方法,其特征在于,包括:
外端主机响应外网终端向内网终端发送的连接请求数据包并建立外端主机与外网终端的外网连接;外端主机以外端主机虚拟网络地址为目的地址,外网终端网络地址为源地址,建立外网连接,所述连接请求数据包携带有外网终端网络地址和内网终端网络地址;
所述外端主机通过隔离通道向对应的内端主机发送第三数据包,所述第三数据包携带有外网连接对应的外网连接标识、第二源网络地址和第二目的网络地址,所述第二源网络地址为所述外网终端网络地址,所述第二目的网络地址为所述内网终端网络地址;
所述内端主机根据收到的第三数据包与内网终端建立内网连接,所述内网连接的源地址为内端主机网络地址,目的地址为第二目的网络地址,所述内端主机网络地址为内端主机的本机的网络地址;
所述内端主机在预置的内网地址映射表中设置内网地址映射记录,所述内网地址映射记录包括所述内网连接对应的内网连接标识、所述外网连接标识、所述第二源网络地址和所述第二目的网络地址;
所述外端主机通过所述外网连接接收外网终端发送的外网数据包,所述外网数据包携带有所述外网连接标识和外网载荷数据;
所述外端主机将所述外网连接标识和外网载荷数据封装生成第四数据包,并将所述第四数据包通过隔离通道发送至内端主机;所述第四数据包的源地址为外端主机虚拟网络地址,目的地址为内端主机虚拟网络地址;
所述内端主机从接收到的第四数据包中获取所述外网连接标识,并匹配所述外网连接标识与所述内网地址映射表,若不存在匹配的内网地址映射记录,则丢弃所述第四数据包,若存在匹配的内网地址映射记录,则继续执行后续步骤;
所述内端主机对所述第四数据包中的外网载荷数据进行封装,生成外网网络数据包,所述外网网络数据包的源地址为内端主机网络地址,目的地址为内网终端网络地址;
所述内端主机查找内网终端目的物理地址,并基于内网终端目的物理地址对所述外网网络数据包进行地址封装,生成外网链路数据包;
所述内端主机通过所述内网连接将所述外网链路数据包发送至对应的内网终端。
3.一种网络隔离装置,其特征在于,所述装置包括:内端主机、隔离通道和外端主机;
所述内端主机包括:内网连接代理模块、内网隔离通信模块、内网数据接收模块;
所述外端主机包括:外网隔离通信模块、外网连接代理模块、外网网络地址封装模块、地址转换模块、外网物理地址封装模块、外网网桥;
所述隔离通道,用于在内端主机和外端主机之间进行数据传输;
所述内网连接代理模块,用于响应内网终端向外网终端发送的连接请求数据包并建立内端主机与内网终端的内网连接;所述内网连接以内网终端网络地址为源地址、内端主机网络地址为目的地址,所述连接请求数据包携带有内网终端网络地址和外网终端网络地址;
所述内网隔离通信模块,用于通过隔离通道向对应的外端主机发送第一数据包,所述第一数据包携带有内网连接对应的内网连接标识、第一源网络地址和第一目的网络地址,所述第一源网络地址为所述内网终端网络地址,所述第一目的网络地址为所述外网终端网络地址,所述内端主机网络地址为内端主机的本机的网络地址;
所述外网隔离通信模块,用于从隔离通道接收所述第一数据包,并将所述第一数据包发送至外网连接代理模块;
所述外网连接代理模块,用于根据从外网隔离通信模块收到的第一数据包与外网终端建立外网连接,所述外网连接的源地址为外端主机虚拟网络地址,目的地址为第一目的网络地址;
所述外网连接代理模块,还用于在预置的外网地址映射表中设置外网地址映射记录,所述外网地址映射记录包括所述外网连接代理模块建立的外网连接对应的外网连接标识、所述从隔离通道接收的第一数据包中的内网连接标识、第一源网络地址和第一目的网络地址;
所述内网数据接收模块,用于通过所述内网连接代理模块建立的内网连接接收内网终端发送的内网数据包,所述内网数据包携带有所述内网连接标识和内网载荷数据;
所述内网隔离通信模块,还用于将所述内网数据接收模块接收的内网数据包中的内网连接标识和内网载荷数据封装生成第二数据包,并将所述第二数据包通过隔离通道发送至外端主机中的外网隔离通信模块;所述第二数据包的源地址为内端主机虚拟网络地址,目的地址为外端主机虚拟网络地址;
所述外网连接代理模块,还用于从所述外网隔离通信模块接收到的第二数据包中获取所述内网连接标识,并匹配所述内网连接标识与所述外网地址映射表,若不存在匹配的外网地址映射记录,则丢弃所述第二数据包,若存在,则将所述内网连接标识和内网载荷数据发送至外网网络地址封装模块;
所述外网网络地址封装模块,用于对从所述外网连接代理模块接收到的第二数据包中的内网载荷数据进行封装,生成第一内网网络数据包,所述第一内网网络数据包的源地址为所述外端主机虚拟网络地址,目的地址为所述第一目的网络地址;
所述地址转换模块,用于根据预置的地址转换表对所述网络地址封装模块生成的第一内网网络数据包进行地址转换,生成第二内网网络数据包;所述第二内网网络数据包的源地址为所述第一源网络地址,目的地址为所述第一目的网络地址;
所述外网物理地址封装模块,用于在预置的地址解析表中查找所述第二内网网络数据包对应的下一跳目的物理地址,并基于所述下一跳目的物理地址对所述第二内网网络数据包进行地址封装,生成内网链路数据包,所述下一跳目的物理地址具体为所述第二内网网络数据包下一跳路由器的MAC地址;
所述外网网桥,用于通过所述外网连接代理模块所建立的外网连接将所述外网物理地址封装模块生成的内网链路数据包发送至对应的外网终端;
所述装置还包括:地址转换配置模块,用于将外网隔离通信模块所接收的第一数据包中的内网连接标识、第一源网络地址设置到预置的地址转换表中;
所述地址转换模块具体用于:
从网络地址封装模块生成的第一内网网络数据包中获取内网连接标识;
根据所述获取的内网连接标识从预置的地址转换表中获取对应的第一源网络地址;
将所述第一内网网络数据包封装生成第二内网网络数据包,所述第二内网网络数据包的源地址为所述第一源网络地址。
4.一种网络隔离装置,其特征在于,所述装置包括:外端主机、隔离通道和内端主机;
所述外端主机包括:外网连接代理模块、外网隔离通信模块、外网数据接收模块;
所述内端主机包括:内网隔离通信模块、内网连接代理模块、内网网络地址封装模块、内网物理地址封装模块、内网网桥;
所述隔离通道,用于在外端主机和内端主机之间进行数据传输;
所述外网连接代理模块,用于响应外网终端向内网终端发送的连接请求数据包并建立外端主机与外网终端的外网连接;所述连接请求数据包携带有外网终端网络地址和内网终端网络地址;所述外网连接代理模块以外端主机虚拟网络地址为目的地址,外网终端网络地址为源地址,建立外网连接;
所述外网隔离通信模块,用于通过隔离通道向对应的内端主机发送第三数据包,所述第三数据包携带有外网连接对应的外网连接标识、第二源网络地址和第二目的网络地址,所述第二源网络地址为所述外网终端网络地址,所述第二目的网络地址为所述内网终端网络地址;
所述内网隔离通信模块,用于从隔离通道接收所述第三数据包,并将所述第三数据包发送至内网连接代理模块;
所述内网连接代理模块,用于根据从内网隔离通信模块收到的第三数据包与内网终端建立内网连接,所述内网连接的源地址为内端主机网络地址,目的地址为第二目的网络地址,所述内端主机网络地址为内端主机的本机的网络地址;
所述内网连接代理模块,还用于在预置的内网地址映射表中设置内网地址映射记录,所述内网地址映射记录包括所述内网连接代理模块建立的内网连接对应的内网连接标识、所述外网连接标识、所述第二源网络地址和所述第二目的网络地址;
所述外网数据接收模块,用于通过所述外网连接代理模块建立的外网连接接收外网终端发送的外网数据包,所述外网数据包携带有所述外网连接标识和外网载荷数据;
所述外网隔离通信模块,还用于将所述外网数据接收模块接收的外网数据包中的外网连接标识和外网载荷数据封装生成第四数据包,并将所述第四数据包通过隔离通道发送至内端主机中的内网隔离通信模块;所述第四数据包的源地址为外端主机虚拟网络地址,目的地址为内端主机虚拟网络地址;
所述内网连接代理模块,还用于从所述内网隔离通信模块接收到的第四数据包中获取所述外网连接标识,并匹配所述外网连接标识与所述内网地址映射表,若不存在匹配的内网地址映射记录,则丢弃所述第四数据包,若存在,则将所述外网连接标识和外网载荷数据发送至内网网络地址封装模块;
所述内网网络地址封装模块,用于对从所述内网连接代理模块接收到的第四数据包中的外网载荷数据进行封装,生成外网网络数据包,所述外网网络数据包的源地址为内端主机网络地址,目的地址为内网终端网络地址;
所述内网物理地址封装模块,用于在预置的地址解析表中查找内网终端目的物理地址,并基于内网终端目的物理地址对所述外网网络数据包进行地址封装,生成外网链路数据包;
所述内网网桥,用于通过所述内网连接将所述外网链路数据包发送至对应的内网终端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410384892.XA CN104202300B (zh) | 2014-08-06 | 2014-08-06 | 基于网络隔离装置的数据通信方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410384892.XA CN104202300B (zh) | 2014-08-06 | 2014-08-06 | 基于网络隔离装置的数据通信方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104202300A CN104202300A (zh) | 2014-12-10 |
CN104202300B true CN104202300B (zh) | 2018-01-30 |
Family
ID=52087525
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410384892.XA Active CN104202300B (zh) | 2014-08-06 | 2014-08-06 | 基于网络隔离装置的数据通信方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104202300B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105187388B (zh) * | 2015-08-07 | 2018-05-11 | 深圳市科陆电子科技股份有限公司 | 使用集中器实现网络安全隔离的方法及集中器 |
CN107948122A (zh) * | 2016-10-12 | 2018-04-20 | 成都鼎桥通信技术有限公司 | 隔离装置穿越方法及装置 |
CN107770297A (zh) * | 2017-09-28 | 2018-03-06 | 上海斐讯数据通信技术有限公司 | 一种路由器以及路由器的应用方法和系统 |
CN107864200A (zh) * | 2017-11-08 | 2018-03-30 | 华勤通讯技术有限公司 | 一种机器人通信方法及系统 |
CN108040060B (zh) * | 2017-12-18 | 2021-04-27 | 杭州优云软件有限公司 | 跨网闸通信的方法及装置 |
CN108429729B (zh) * | 2018-01-19 | 2023-07-18 | 昆明理工大学 | 工业大数据采集环境下的数据通信隔离系统及其隔离方法 |
CN108471383B (zh) * | 2018-02-08 | 2021-02-12 | 华为技术有限公司 | 报文转发方法、装置和系统 |
CN108769076B (zh) * | 2018-07-06 | 2023-12-05 | 北京绪水互联科技有限公司 | 具有网络隔离功能的数据采集系统、方法及装置 |
CN109639707B (zh) * | 2018-12-27 | 2021-07-09 | 奇安信科技集团股份有限公司 | 基于网闸的数据传输方法、设备、系统和介质 |
CN109698837B (zh) * | 2019-02-01 | 2021-06-18 | 重庆邮电大学 | 一种基于单向传输物理介质的内外网隔离与数据交换装置及方法 |
CN110365795B (zh) * | 2019-07-31 | 2020-10-20 | 北京安盟信息技术股份有限公司 | 数据传输方法和数据传输网络 |
CN112738074B (zh) * | 2020-12-25 | 2023-02-24 | 成都鼎安华智慧物联网股份有限公司 | 一种网络隔离中实现Telnet通信的方法 |
CN114024741B (zh) * | 2021-11-03 | 2024-04-09 | 深信服科技股份有限公司 | 请求处理方法、装置、流量代理端、设备及可读存储介质 |
CN114666172B (zh) * | 2022-05-25 | 2022-07-29 | 成都瑞讯物联科技有限公司 | 一种内外网隔离通讯系统及方法 |
CN116094828B (zh) * | 2023-02-14 | 2023-11-17 | 深圳市利谱信息技术有限公司 | 一种基于物理隔离的动态协议网关系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1466344A (zh) * | 2002-06-21 | 2004-01-07 | 南京北极星软件有限公司 | VoIP应用穿越防火墙的方法 |
EP2154857A1 (en) * | 2007-08-26 | 2010-02-17 | Huawei Technologies Co., Ltd. | Data sending control method and data transmission device |
CN101697536A (zh) * | 2009-10-16 | 2010-04-21 | 深圳市科陆电子科技股份有限公司 | 穿透正向物理隔离装置大数据量实时传输的方法 |
-
2014
- 2014-08-06 CN CN201410384892.XA patent/CN104202300B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1466344A (zh) * | 2002-06-21 | 2004-01-07 | 南京北极星软件有限公司 | VoIP应用穿越防火墙的方法 |
EP2154857A1 (en) * | 2007-08-26 | 2010-02-17 | Huawei Technologies Co., Ltd. | Data sending control method and data transmission device |
CN101697536A (zh) * | 2009-10-16 | 2010-04-21 | 深圳市科陆电子科技股份有限公司 | 穿透正向物理隔离装置大数据量实时传输的方法 |
Non-Patent Citations (1)
Title |
---|
《网络隔离系统TCP透明代理的连接管理技术的研究与实现》;谭明君;《网络隔离系统TCP透明代理的连接管理技术的研究与实现》;20090715;论文正文部分第23页-第28页,第38页倒数第6行-第41页 * |
Also Published As
Publication number | Publication date |
---|---|
CN104202300A (zh) | 2014-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104202300B (zh) | 基于网络隔离装置的数据通信方法和装置 | |
CN107911258B (zh) | 一种基于sdn网络的安全资源池的实现方法及系统 | |
CN106161335B (zh) | 一种网络数据包的处理方法和装置 | |
US8259571B1 (en) | Handling overlapping IP addresses in multi-tenant architecture | |
EP3398077B1 (en) | Method and system for automatically bypassing network proxies in the presence of interdependent traffic flows | |
CN103650436B (zh) | 业务路径分配方法、路由器和业务执行实体 | |
EP3979559A1 (en) | Rule-based network-threat detection for encrypted communications | |
EP2712127A1 (en) | Interconnection method, device and system | |
CN107682370B (zh) | 创建用于嵌入的第二层数据包协议标头的方法和系统 | |
CN102148727B (zh) | 网络设备性能测试方法及系统 | |
US8601567B2 (en) | Firewall for tunneled IPv6 traffic | |
US9445384B2 (en) | Mobile device to generate multiple maximum transfer units and data transfer method | |
CN104767752A (zh) | 一种分布式网络隔离系统及方法 | |
CN106341404A (zh) | 基于众核处理器的IPSec VPN系统及加解密处理方法 | |
CN106233673A (zh) | 网络服务插入 | |
CN102457421B (zh) | 在两个网络间建立vpn连接的方法 | |
CN105052106B (zh) | 用于接收和传输互联网协议(ip)数据包的方法和系统 | |
CN107005430A (zh) | 一种基于数据链路层的通信方法、设备和系统 | |
WO2016183926A1 (zh) | 一种运营商级网络地址转换的方法及装置 | |
CN107733800A (zh) | 一种sdn网络报文传输方法及其装置 | |
CN103001966B (zh) | 一种私网ip的处理、识别方法及装置 | |
CN109005150B (zh) | 基于以太网mac地址的无链接通信方法及系统 | |
CN102647343B (zh) | 安全网络设备的流量控制方法及系统 | |
CN108989342A (zh) | 一种数据传输的方法及装置 | |
CN105577579A (zh) | 业务功能链中协议报文的处理方法、系统及业务功能节点 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: 510080 Dongfeng East Road, Dongfeng, Guangdong, Guangzhou, Zhejiang Province, No. 8 Patentee after: ELECTRIC POWER RESEARCH INSTITUTE, GUANGDONG POWER GRID CO., LTD. Address before: 510080 Dongfeng East Road, Dongfeng, Guangdong, Guangzhou, Zhejiang Province, No. 8 Patentee before: Electrical Power Research Institute of Guangdong Power Grid Corporation |