CN107733871A - 网络安全隔离系统 - Google Patents
网络安全隔离系统 Download PDFInfo
- Publication number
- CN107733871A CN107733871A CN201710833519.1A CN201710833519A CN107733871A CN 107733871 A CN107733871 A CN 107733871A CN 201710833519 A CN201710833519 A CN 201710833519A CN 107733871 A CN107733871 A CN 107733871A
- Authority
- CN
- China
- Prior art keywords
- gateway
- data
- intranet
- module
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了网络安全隔离系统,包括内网关、外网关、安全隔离部件组成,本发明所述网络安全隔离系统的内网关、外网关的TCP/IP协议被停掉,不能够提供任何服务,黑客无法在网络上通过TCP/IP协议发现此系统,并对该系统实施破坏或攻击。本系统用于安全性高的网络(内网)向安全性相对较低的网络(外网)传送文件使用,由于产品功能专业性强,禁止任何其他的网络功能和应用;同时,产品的设计思路采用了纯单向的数据传输,保证了内网不会受到外网的病毒和黑客的攻击,因此可以提供很高的安全性,用户不会有任何对病毒、木马或黑客攻击的困扰。
Description
技术领域
本发明涉及网络系统,具体为网络安全隔离系统,属于网络安全领域。
背景技术
网络是由节点和连线构成,表示诸多对象及其相互联系。在数学上,网络是一种图,一般认为专指加权图。网络除了数学定义外,还有具体的物理含义,即网络是从某种相同类型的实际问题中抽象出来的模型。在计算机领域中,网络是信息传输、接收、共享的虚拟平台,通过它把各个点、面、体的信息联系到一起,从而实现这些资源的共享。网络是人类发展史来最重要的发明,提高了科技和人类社会的发展。
由于政府、银行、证券和军队等安全性要求很高的部门的内部网络(简称内网)接入国际互联网(简称外网)需求越来越多,如何万无一失地保证内部网络的安全,显得非常重要。国家计算机信息系统联网保密管理条例明确规定:“涉国家秘密的计算机信息系统,不得直接或间接地与国际互联网其他公共信息网络相联接,必须实行物理隔离”。另外,根据电力二次系统安全防护方案规定,安全区I/II与安全区III之间必须进行横向单向隔离。
目前市场上还没有一种专门用于保护内网的网络安全产品,它在保证内、外网实现安全隔离的同时,又能实现内、外网适度的信息交换的网络安全隔离系统。
发明内容
本发明的目的正是为了解决上述问题,提供一种专门用于保护内网的网络安全产品,它在保证内、外网实现安全隔离的同时,又能实现内、外网适度的信息交换的网络安全隔离系统。网络安全隔离系统。
本发明通过以下技术方案来实现上述目的,网络安全隔离系统,包括内网关、外网关、安全隔离部件组成,其特征在于内网关、外网关分别通过各自的网络接口与内网、外网相连,内网关、外网关各有一组数据线与安全隔离部件相连,所述安全隔离部件逻辑上主要由存储介质构成,所述存储介质通过单一的数据总线和地址总线选择性地与内网关或与外网关相连。所述内网关、外网关均采用TCP/IP协议栈被裁剪掉的嵌入式LINUX操作系统。所述LINUX操作系统采用非X86指令集的低功耗嵌入式处理器。所述内网关可以收到两种数据:一种是通过串行口得到的用于设备参数设置和身份认证的数据,一种是内外网交换的数据,第一种数据被写在一个配置文件里供系统需要时调用,如果是第二种用于内外网交换的数据,则被收发数据模块接收,并把它送到数据包分析模块,该模块调用用户校验模块,用户校验模块会从系统状态链表中读取该用户的各种权限信息,如果是合法的用户,并准许被发送到外网,则该数据包会被写入IP缓冲区链表,等待被收发数据模块发送到中间的安全隔离控制器中,从安全隔离控制器方向接收到的数据,可以直接通过数据收发模块发到内网网卡。所述外网关的收发数据模块接收到从安全隔离控制器来的数据以后,会把数据送入内外网地址转换模块,该模块将内网主机IP地址和端口号替换为外网关IP地址和端口号,并将内网主机IP地址和端口号等信息写入内外网关地址映射表,然后由收发数据模块将替换过地址的数据包发到外网关的网卡缓冲区,准备被网卡发送。所述外网关接收到从网卡来的数据以后,首先把数据包交给数据包分析模块处理,数据包分析模块会调用内外网地址映射表,与表中的IP地址、端口号、序列号等信息进行比较,如果确定该数据包是内网所发的数据包的回应包,则交给内外网地址转换模块进行处理,把外网关的IP地址和端口号转换为内网主机的IP地址和端口号,然后把数据包写入IP缓冲区链表等待被发送,收发数据模块把IP缓冲区链表中的数据包取走发送到安全隔离控制器。
本发明所述网络安全隔离系统的内网关、外网关的TCP/IP协议被停掉,不能够提供任何服务,黑客无法在网络上通过TCP/IP协议发现此系统,并对该系统实施破坏或攻击。本系统用于安全性高的网络(内网)向安全性相对较低的网络(外网)传送文件使用,由于产品功能专业性强,禁止任何其他的网络功能和应用;同时,产品的设计思路采用了纯单向的数据传输,保证了内网不会受到外网的病毒和黑客的攻击,因此可以提供很高的安全性,用户不会有任何对病毒、木马或黑客攻击的困扰。同时,内网的用户只有通过安全认证,经过授权以后的用户才能使用相应的软件进行文件的发送,因此,可以解决机密文件外泄的问题。
附图说明
附图中,图1是本发明的内网关软件示意图,图2是本发明的外网关软件示意图。
具体实施方式
下面结合具体实施例对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
网络安全隔离系统,包括内网关、外网关、安全隔离部件组成,其特征在于内网关、外网关分别通过各自的网络接口与内网、外网相连,内网关、外网关各有一组数据线与安全隔离部件相连,所述安全隔离部件逻辑上主要由存储介质构成,所述存储介质通过单一的数据总线和地址总线选择性地与内网关或与外网关相连。所述内网关、外网关均采用TCP/IP协议栈被裁剪掉的嵌入式LINUX操作系统。所述LINUX操作系统采用非X86指令集的低功耗嵌入式处理器。所述内网关可以收到两种数据:一种是通过串行口得到的用于设备参数设置和身份认证的数据,一种是内外网交换的数据,第一种数据被写在一个配置文件里供系统需要时调用,如果是第二种用于内外网交换的数据,则被收发数据模块接收,并把它送到数据包分析模块,该模块调用用户校验模块,用户校验模块会从系统状态链表中读取该用户的各种权限信息,如果是合法的用户,并准许被发送到外网,则该数据包会被写入IP缓冲区链表,等待被收发数据模块发送到中间的安全隔离控制器中,从安全隔离控制器方向接收到的数据,可以直接通过数据收发模块发到内网网卡。所述外网关的收发数据模块接收到从安全隔离控制器来的数据以后,会把数据送入内外网地址转换模块,该模块将内网主机IP地址和端口号替换为外网关IP地址和端口号,并将内网主机IP地址和端口号等信息写入内外网关地址映射表,然后由收发数据模块将替换过地址的数据包发到外网关的网卡缓冲区,准备被网卡发送。所述外网关接收到从网卡来的数据以后,首先把数据包交给数据包分析模块处理,数据包分析模块会调用内外网地址映射表,与表中的IP地址、端口号、序列号等信息进行比较,如果确定该数据包是内网所发的数据包的回应包,则交给内外网地址转换模块进行处理,把外网关的IP地址和端口号转换为内网主机的IP地址和端口号,然后把数据包写入IP缓冲区链表等待被发送,收发数据模块把IP缓冲区链表中的数据包取走发送到安全隔离控制器。
本发明所述网络安全隔离系统的内网关、外网关的TCP/IP协议被停掉,不能够提供任何服务,黑客无法在网络上通过TCP/IP协议发现此系统,并对该系统实施破坏或攻击。本系统用于安全性高的网络(内网)向安全性相对较低的网络(外网)传送文件使用,由于产品功能专业性强,禁止任何其他的网络功能和应用;同时,产品的设计思路采用了纯单向的数据传输,保证了内网不会受到外网的病毒和黑客的攻击,因此可以提供很高的安全性,用户不会有任何对病毒、木马或黑客攻击的困扰。同时,内网的用户只有通过安全认证,经过授权以后的用户才能使用相应的软件进行文件的发送,因此,可以解决机密文件外泄的问题。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (6)
1.网络安全隔离系统,包括内网关、外网关、安全隔离部件组成,其特征在于内网关、外网关分别通过各自的网络接口与内网、外网相连,内网关、外网关各有一组数据线与安全隔离部件相连,所述安全隔离部件逻辑上主要由存储介质构成,所述存储介质通过单一的数据总线和地址总线选择性地与内网关或与外网关相连。
2.根据权利要求1所述的网络安全隔离系统,其特征在于所述内网关、外网关均采用TCP/IP协议栈被裁剪掉的嵌入式LINUX操作系统。
3.根据权利要求2所述的网络安全隔离系统,其特征在于所述LINUX操作系统采用非X86指令集的低功耗嵌入式处理器。
4.根据权利要求1所述的网络安全隔离系统,其特征在于所述内网关可以收到两种数据:一种是通过串行口得到的用于设备参数设置和身份认证的数据,一种是内外网交换的数据,第一种数据被写在一个配置文件里供系统需要时调用,如果是第二种用于内外网交换的数据,则被收发数据模块接收,并把它送到数据包分析模块,该模块调用用户校验模块,用户校验模块会从系统状态链表中读取该用户的各种权限信息,如果是合法的用户,并准许被发送到外网,则该数据包会被写入IP缓冲区链表,等待被收发数据模块发送到中间的安全隔离控制器中,从安全隔离控制器方向接收到的数据,可以直接通过数据收发模块发到内网网卡。
5.根据权利要求1所述的网络安全隔离系统,其特征在于所述外网关的收发数据模块接收到从安全隔离控制器来的数据以后,会把数据送入内外网地址转换模块,该模块将内网主机IP地址和端口号替换为外网关IP地址和端口号,并将内网主机IP地址和端口号等信息写入内外网关地址映射表,然后由收发数据模块将替换过地址的数据包发到外网关的网卡缓冲区,准备被网卡发送。
6.根据权利要求1所述的网络安全隔离系统,其特征在于所述外网关接收到从网卡来的数据以后,首先把数据包交给数据包分析模块处理,数据包分析模块会调用内外网地址映射表,与表中的IP地址、端口号、序列号等信息进行比较,如果确定该数据包是内网所发的数据包的回应包,则交给内外网地址转换模块进行处理,把外网关的IP地址和端口号转换为内网主机的IP地址和端口号,然后把数据包写入IP缓冲区链表等待被发送,收发数据模块把IP缓冲区链表中的数据包取走发送到安全隔离控制器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710833519.1A CN107733871A (zh) | 2017-09-15 | 2017-09-15 | 网络安全隔离系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710833519.1A CN107733871A (zh) | 2017-09-15 | 2017-09-15 | 网络安全隔离系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107733871A true CN107733871A (zh) | 2018-02-23 |
Family
ID=61207174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710833519.1A Pending CN107733871A (zh) | 2017-09-15 | 2017-09-15 | 网络安全隔离系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107733871A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108933774A (zh) * | 2018-05-04 | 2018-12-04 | 北京明朝万达科技股份有限公司 | 数据交互系统和方法 |
| CN109150702A (zh) * | 2018-08-16 | 2019-01-04 | 南京南瑞信息通信科技有限公司 | 一种连通信息内外网的高性能移动接入网关及其方法 |
| CN109547457A (zh) * | 2018-12-07 | 2019-03-29 | 北京万维兴业科技有限责任公司 | 一种具有“微交互”功能的网络隔离系统 |
| CN110278184A (zh) * | 2019-03-29 | 2019-09-24 | 苏州玖品信息科技有限公司 | 一种网络安全隔离与数据交换油田电厂网络应用系统 |
| CN110278185A (zh) * | 2019-03-29 | 2019-09-24 | 苏州玖品信息科技有限公司 | 一种网络安全隔离与数据交换电力网络应用系统 |
| CN110519205A (zh) * | 2018-05-21 | 2019-11-29 | 北京仁光科技有限公司 | 用于对至少两个子网内的计算机进行交互的装置和方法 |
| CN112787974A (zh) * | 2019-11-05 | 2021-05-11 | 杭州海康威视数字技术股份有限公司 | 一种网关、数据传输方法及电子设备 |
| CN114710360A (zh) * | 2022-04-15 | 2022-07-05 | 北京全路通信信号研究设计院集团有限公司 | 基于审计的从内到外数据安全传输方法、系统及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7509520B1 (en) * | 2006-03-07 | 2009-03-24 | Sonicwall, Inc. | Network interface device having bypass capability |
| CN102006307A (zh) * | 2010-12-16 | 2011-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于应用代理的网管系统隔离控制装置 |
| CN102480530A (zh) * | 2010-11-25 | 2012-05-30 | 华为技术有限公司 | 一种报文发送方法及装置 |
| CN105007272A (zh) * | 2015-07-21 | 2015-10-28 | 陈巨根 | 一种具有安全隔离的信息交换系统 |
| CN106941494A (zh) * | 2017-03-30 | 2017-07-11 | 中国电力科学研究院 | 一种适用于用电信息采集系统的安全隔离网关及其使用方法 |
-
2017
- 2017-09-15 CN CN201710833519.1A patent/CN107733871A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7509520B1 (en) * | 2006-03-07 | 2009-03-24 | Sonicwall, Inc. | Network interface device having bypass capability |
| CN102480530A (zh) * | 2010-11-25 | 2012-05-30 | 华为技术有限公司 | 一种报文发送方法及装置 |
| CN102006307A (zh) * | 2010-12-16 | 2011-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于应用代理的网管系统隔离控制装置 |
| CN105007272A (zh) * | 2015-07-21 | 2015-10-28 | 陈巨根 | 一种具有安全隔离的信息交换系统 |
| CN106941494A (zh) * | 2017-03-30 | 2017-07-11 | 中国电力科学研究院 | 一种适用于用电信息采集系统的安全隔离网关及其使用方法 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108933774A (zh) * | 2018-05-04 | 2018-12-04 | 北京明朝万达科技股份有限公司 | 数据交互系统和方法 |
| CN110519205A (zh) * | 2018-05-21 | 2019-11-29 | 北京仁光科技有限公司 | 用于对至少两个子网内的计算机进行交互的装置和方法 |
| CN110519205B (zh) * | 2018-05-21 | 2020-06-02 | 北京仁光科技有限公司 | 用于对至少两个子网内的计算机进行交互的装置和方法 |
| CN109150702A (zh) * | 2018-08-16 | 2019-01-04 | 南京南瑞信息通信科技有限公司 | 一种连通信息内外网的高性能移动接入网关及其方法 |
| CN109547457A (zh) * | 2018-12-07 | 2019-03-29 | 北京万维兴业科技有限责任公司 | 一种具有“微交互”功能的网络隔离系统 |
| CN110278184A (zh) * | 2019-03-29 | 2019-09-24 | 苏州玖品信息科技有限公司 | 一种网络安全隔离与数据交换油田电厂网络应用系统 |
| CN110278185A (zh) * | 2019-03-29 | 2019-09-24 | 苏州玖品信息科技有限公司 | 一种网络安全隔离与数据交换电力网络应用系统 |
| CN112787974A (zh) * | 2019-11-05 | 2021-05-11 | 杭州海康威视数字技术股份有限公司 | 一种网关、数据传输方法及电子设备 |
| CN112787974B (zh) * | 2019-11-05 | 2024-01-02 | 杭州海康威视数字技术股份有限公司 | 一种网关、数据传输方法及电子设备 |
| CN114710360A (zh) * | 2022-04-15 | 2022-07-05 | 北京全路通信信号研究设计院集团有限公司 | 基于审计的从内到外数据安全传输方法、系统及电子设备 |
| CN114710360B (zh) * | 2022-04-15 | 2024-01-19 | 北京全路通信信号研究设计院集团有限公司 | 基于审计的从内到外数据安全传输方法、系统及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107733871A (zh) | 网络安全隔离系统 | |
| US10678913B2 (en) | Apparatus and method for enhancing security of data on a host computing device and a peripheral device | |
| US8566934B2 (en) | Apparatus and method for enhancing security of data on a host computing device and a peripheral device | |
| CN110233868A (zh) | 一种基于Fabric的边缘计算数据安全与隐私保护方法 | |
| CN104052789A (zh) | 用于虚拟联网系统的负载平衡 | |
| CN106789931A (zh) | 多系统的网络隔离共享方法及装置 | |
| CN104216761B (zh) | 一种在能够运行两种操作系统的装置中使用共享设备的方法 | |
| CN106022080A (zh) | 一种基于PCIe接口的密码卡及该密码卡的数据加密方法 | |
| US10031758B2 (en) | Chained-instruction dispatcher | |
| CN108809975B (zh) | 一种内外网隔离系统及实现内外网隔离的方法 | |
| CN101127761A (zh) | 网络中单向协议隔离方法及其装置 | |
| CN110138553A (zh) | 一种IPSec VPN网关数据包处理装置及方法 | |
| CN101127760A (zh) | 网络中双向协议隔离方法及其装置 | |
| CN106992987A (zh) | 一种基于usb的信息传输设备及方法 | |
| CN106603721A (zh) | 一种远程控制的方法及系统、一种远程控制客户端 | |
| CN204117142U (zh) | 提供主机即时切换分享通用串行总线电子设备的电子装置 | |
| CN101420299B (zh) | 提高智能密钥设备稳定性的方法和智能密钥设备 | |
| CN100452795C (zh) | 利用iSCSI协议访问逻辑设备的方法 | |
| CN110278185A (zh) | 一种网络安全隔离与数据交换电力网络应用系统 | |
| CN113949523A (zh) | 一种单兵使用的跨网传输系统及方法 | |
| KR102094315B1 (ko) | 계정별 ap 할당 기반 망분리 시스템 | |
| CN111131280A (zh) | 一种内外网隔离系统 | |
| CN107979609B (zh) | 后反应式防护方法及自主学习型防火墙系统 | |
| CN216819851U (zh) | 一种变电站内安全接入装置 | |
| CN109873769A (zh) | 一种基于5g通信的智能路由器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180223 |