具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
图1为本发明实施例提供的用于数据报文分离处理的系统的网络拓扑图,本实施例中的用于数据报文分离处理的系统的中心思想是:从客户端到服务器端的上行数据流和下行数据流分别通过不同的光口及电口进行分流、汇聚,并在数据的传输过程中实现对报文的过滤以及监控,进而大幅度地提升了网络自身的安全性。
如图1所示,为本发明实施例一提供的用于数据报文分离处理系统的网络拓扑图,本系统应用于客户端与服务器端之间,通常地,本发明所称的客户端为能够联网的计算机,服务器端则指能够提供网络的互联网服务器,客户端的物理层及数据链路层的信号通过解析并解帧后得到其请求的数据报文,经过网关及本发明实施例所提供系统的处理后传送至服务器端,而从服务器端中回应的数据报文,称为回应报文,则同样地通过网关、系统的处理之后传输至客户端。
在本实施例中,上行单元以及下行单元中可采取电口向光口分流、光口向电口汇聚的方式实现上行数据流和下行数据流的分离,也可采用交换机、路由器改变其上行数据流和下行数据流的路由的方法实现上下行数据流的分离,从成本角度考虑,本发明中采用电口向光口分流、光口向电口汇聚的方式。
又如图2所示,本发明所述的用于数据报文分离处理的系统,在采取电口向光口分流、光口向电口汇聚的方式时,包括有近于客户端210一侧的内侧子系统211,其包括有内侧电口201、第一内侧光口202以及第二内侧光口203,以及近于服务器端209一侧的外侧子系统212,其包括有外侧电口206、第一外侧光口207以及第二外侧光口208,其中,在所述第一内侧光口202以及第一外侧光207口之间还接有第一分光器204,在所述第二内侧光口208以及第二外侧光口203之间还设置有第二分光器205,所述的内侧电口201、第一内侧光口202、第一外侧光口207、第一分光器204以及外侧电口206组成上行单元,以用于上行数据流的流通,所述的外侧电口206、第二外侧光口208、第二分光器205、第二内侧光口203以及内侧电口201组成下行单元,以用于下行数据流的流通,在内侧子系统211以及外侧子系统212均部署过滤规则,用于对上下行数据流的过滤。
所述第一分光器204在客户端210请求的数据报文经由第一内侧光口202向第一外侧光口207的传输过程中,对数据上行流中的数据报文进行分光和镜像操作,分光后的数据报文中的其中一份用于传输至第一外侧光口207,另一份用于上行数据的监控。
所述第二分光器205在所述回应报文经由第二外侧光口208向第二内侧光口203的传输过程中,对数据下行流中的回应报文进行分光和镜像操作,分光后的回应报文中的其中一份用于传输至第二内侧光口203,另一份用于下行数据的监控。
具体地,从客户端210上行至服务器端209的上行数据流中的数据报文分流、汇聚、分光及监控的过程如下:
内侧子系统211(位于与客户端连结的一侧)的网络口即由连接客户端210的内侧电口201和第一内侧光口202、第二内侧光口203所组成,内侧电口201所属链路层驱动程序接收来自客户端210请求的数据报文,首先进行第一次的上行过滤规则比对,如果结果是匹配的,则选择第一内侧光口202的发送端口TX端口发送至外侧子系统212,如果不匹配,则丢弃该数据报文。
在本实施例的另一种实施情形中,内侧子系统211的第一内侧光口202的TX端口发送的数据报文发送至第一分光器204,该数据报文经过第一分光器204的分光操作后,一份送给外侧子系统212,另一份用于上行数据流的监控措施,其中,用于监控的分光数据是对所述数据报文的镜像数据,完整地对数据报文进行拷贝。
外侧子系统212(位于与服务器端连结的一侧)的网络口由连接服务器端209的外侧电口206和第一外侧光口207、第二外侧光口208所组成,外侧子系统212的第一外侧光口207的RX端口收到经过第一次过滤且分光后的数据报文,由第一外侧光口207所属链路层驱动程序接收该分光后的报文,首先进行第二次的上行过滤规则比对,如果匹配,则选择外侧电口206的发送口发送给服务器端209。如果不匹配,则将该分光后的报文丢弃。
至此完成上行数据流的网络链路流向。
同样地,从服务器端209下行至客户端210的下行数据流中的回应报文分流、汇聚、分光及监控的过程如下:
外侧子系统212的外侧电口206收到服务器端209的回应报文,首先进行第一次的下行过滤规则比对,如果结果是匹配的,则选择第二外侧光口207的发送口TX端口向内侧子系统211的方向发送。如果结果是不匹配的,则将该报文丢弃。
从外侧子系统212的第二外侧光口207的发送口TX端口发出的回应报文传输到第二分光器205,经过第二分光器205的分光操作后,其中一份传输送给内侧子系统211,另一份用于下行数据监控,此处用于数据监控的分光数据是亦是对回应报文的完整镜像之后的数据。
分光后的回应报文传输至内侧子系统的第二内侧光口203,第二内侧光口203所属链路层驱动程序接收该分光后的回应报文,首先进行第二次的下行过滤规则比对,如果结果是匹配的,则选择内侧电口201发送给客户端210。如果结果是不匹配的,则将该分光后的报文丢弃。
至此完成下行数据流的网络链路流向。
本发明的第一分光器和第二分光器中进行分光和镜像的路径比为8:2、7:3或者其它任何大于1:1的其它比值,以保证在监控时得到完整的数据镜像。
内侧子系统211和外侧子系统212的数据均由电口向光口分流,再由光口向电口汇聚。其中上行单元仅用于处理上行数据流,下行单元仅用于处理下行数据流,两数据流中的数据仅在内侧电口和外侧电口处进行汇聚并传输,而在传输的中间过程中(如在数据过滤阶段以及监控阶段),两数据流中的数据则均是单独地进行处理。
内侧电口201的上行数据流分派向第一内侧光口202,下行数据流则由第二内侧光口203接收,且外侧电口206的上行数据流由第一外侧光口207接收,下行数据流则由第二外侧光口208分派,采取上下行数据流向两个光口中分派的方式,一方面实现上行数据与下行数据分开检测,另一方面实现内侧子系统211亦即客户端不能由外侧网络访问,外侧子系统212亦即服务器端也不能向内侧网络访问,因此本发明系统的引入在任何情形下均不会引起自身的网络安全问题。
在本实施例的一些实施场景中,在客户端和服务器端的网络口部署的过滤规则可为:由协议(TCP/UDP)、源IP地址、源IP地址对应的掩码、源端口、目的IP地址、目的IP地址对应的掩码、目的端口组成。
上行过滤规则中源IP地址、源IP地址对应的掩码、源端口是指客户端IP、掩码和端口,目的IP地址、目的IP地址对应的掩码、目的端口是指服务器的IP、掩码和端口。下行过滤规则的源IP地址、源IP地址对应的掩码、源端口是指服务器的IP、掩码和端口,目的IP地址、目的IP地址对应的掩码、目的端口是指客户端的IP、掩码和端口,具体实施见于实施例二。
本实施例中将从过滤规则方面阐述本发明的用于数据报文分离处理的系统。
本实施例的网络拓扑图如图1所示。
本实施例中,设置客户端的IP地址为:192.168.1.100,设置服务器端的IP地址为:10.0.0.9。
本发明的系统内侧子系统211及外侧子系统212均部署过滤规则,如表1所示。
表1
本实施例的一具体实施场景中,客户端210尝试向服务器端209发起过滤规则之外的请求,如192.168.1.100:X->10.0.0.9:8009,其中X是随机端口。内侧子系统211的内侧电口所属链路层驱动程序接收来自客户端210的数据报文,首先进行上行过滤规则比对,发现没有匹配的规则,报文丢弃,在上行数据监控端不会有此报文输出。
本实施例的另一实施场景中,客户端210向服务器发起规则内的请求,如192.168.1.100:X->10.0.0.9:80,其中X是随机端口,内侧子系统211的内侧电口201所属链路层驱动程序接收来自客户端210的数据报文,首先进行上行过滤规则比对,发现是匹配的,选择第一内侧光口202的发送口TX端口发送给外侧子系统212。在传输的过程中经过第一次过滤后的数据报文到达第一分光器204,经过分光操作后,一份传送给外侧子系统212,另一份作完整的镜像操作,以用于上行数据监控。
外侧子系统212的第一外侧光口207收到分光后的报文,该第一外侧光口207所属链路层驱动程序接收该分光后的报文,首先进行第二次的上行过滤规则比对,若结果是匹配的,则选择外侧子系统212的外侧电口206的发送口发送给服务器端。
本实施例场景中,服务器端209向客户端210发出回应报文,如10.0.0.9:80->192.168.1.100:X,其过程如下:
外侧子系统212的外侧电口206收到服务器端209的回应报文,首先进行第一次的下行过滤规则比对,若结果是匹配的,则选择第二外侧光口208的发送口TX端口发送给内侧子系统211。经过第一次过滤后的报文到达第二分光器205,经过分光操作后,一份送给内侧子系统211,另一份作完整的镜像操作,并用于下行数据监控。内侧子系统211的第二内侧光口203收到经过第一次过滤且分光后的报文,第二内侧光口203所属链路层驱动程序接收该报文,首先进行第二次的下行过滤规则比对,若结果是匹配的,则选择内侧电口201发送给客户端210。
本实施例又一实施场景中,在受到网络攻击时,例如,给外侧子系统212的第二外侧光口208配置IP地址192.168.0.23,ping内侧子系统211相连的客户端192.168.1.100,内侧子系统211的第二内侧光口203所属链路层驱动程序接收ping请求报文,根据过滤规则该类型报文不转发直接丢弃,客户端也就收不到该ping报文。因此,即使外侧子系统212被攻击,黑客无法利用外侧子系统对内部网络进行攻击,大大提升网络安全性。
在本实施例的再一实施场景中,外侧子系统212的第二外侧光口208不配置IP,而给第一外侧光口207配置IP地址192.168.0.23,ping内侧子系统211相连的客户端192.168.1.100,因外侧子系统212的第一外侧光口207的TX端口闲置未用,没有连接光纤,因此,该报文亦无法发送给内侧网络,客户端210不受影响。
通过以上实施方式可以看出:
数据上行流从第一内侧光口202的TX端发送,并由第一外侧光口207的RX端口接收,数据下行流从第二外侧光口208的TX端口发出,并由第二内侧光口203的RX端口接收,此为数据流的正确路径,因此能够进行上下行规则过滤,且在报文不匹配的情况下,直接将不匹配的报文丢弃;
在配置监控的情况下,数据上行流进行上行规则过滤,能匹配,客户端210发送请求报文能到达服务器端209,上行的数据能得到监控;数据下行流进行下行规则过滤,能匹配,服务器发出的回应报文能到达客户端,下行的数据能得到监控;
而在其它实施场景中,在外侧子系统的第一外侧光口207的TX端口或者第二外侧光口208的RX端口上配置IP,都无法向内部网络进行访问;同样地,不管在内侧子系统的第一内侧光口202的RX端口以及第二内侧光口203的TX端口配置IP,都无法向外部网络进行访问,也无法接收外部网络的数据。因此本发明系统的引入在任何情况下均不会引起自身的网络安全问题。
对于访问的数据报文在第一次匹配、第二次匹配,回应报文的第一次匹配以及第二次匹配时中的至少一个在不匹配的情况下,则将该数据报文或者回应报文丢弃,丢弃的报文均不能达到客户端或服务器的任意一侧。
具体地,本发明还能够达到的有益效果是:
(1)本发明的数据上行流和数据下行流分别由上行单元和下行单元分别执行,网络链路分流并通过电口汇聚,解决了传统的数据流混乱的情况;
本发明中的外侧电口和内侧电口虽然分别隶属于下行单元和上行单元,然而,由于电口能够承载一定负荷的电信号,因此在数据传输过程中无须在服务器端或者客户端再行设置一个电口用于发出或者接收信号,因此,上行单元的数据报文在传递过程中可选择外侧电口传送至服务器端,下行单元中的回应报文在传送过程中也可选择内侧电口传递至客户端;
(2)在网络链路中通过报文分类技术-过滤规则的部署,使得数据流中的报文层层衰减,不符合规则的报文丢弃不用,仅保留并呈现有用的报文,大大减小了网络通路的阻滞,使得网络通路更加流畅,同时也能够降低客户端的处理器负荷;
(3)本发明可以为一种装置,安装并设置于客户端与服务器端,仅需要连接于客户端的电口(带双绞线的普通网卡)以及服务器端的电口(带双绞线的普通网卡)之间,具有十分的便携性和易用性;
(4)本发明的内侧电口及光口、外侧电口及光口之间连接设置的分光器,不仅实现对网络链路的分光功能,还可实现对数据的镜像备份,以对网络流数据进行分开监控;
(5)本发明的上行数据流和下行数据流分别通过不同的光口的RX端或TX端发送或者接收,外部网络攻击时仅能从下行数据流的路径中通过,因此,即使外侧子系统被攻击,该攻击行为也不能通过该外侧子系统进入到内侧系统,因其不能通过过滤规则的限制,因此,本发明的装置不会引起网络自身的安全问题。
本发明所述的第一内侧光口与第二内侧光口为与内侧电口配对存在的,并与客户端的设备端口连结,所述的第一外侧光口和第二外侧光口为与外侧电口配对存在的,并通过外侧电口与服务器端的设备端口相连结,以实现网络链路的通畅,本发明中的电口即接双绞线的普通网卡,用于承载电信号并使用传输协议的网线接口,光口即接光纤的光网卡,以接入光纤,且本发明所述的光口和电口均包括有其所属的物理层及数据链路层驱动程序,为便于表达而简略地以“光口”、“电口”进行表示,本发明系统的客户端和服务器端的网络流量通过物理层及数据链路层的信号解析和解帧,实现IP原始报文的获取。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。