CN108234523B - 一种应用于电视台的多层次内外网数据交互系统 - Google Patents
一种应用于电视台的多层次内外网数据交互系统 Download PDFInfo
- Publication number
- CN108234523B CN108234523B CN201810189130.2A CN201810189130A CN108234523B CN 108234523 B CN108234523 B CN 108234523B CN 201810189130 A CN201810189130 A CN 201810189130A CN 108234523 B CN108234523 B CN 108234523B
- Authority
- CN
- China
- Prior art keywords
- dmz
- interaction
- cloud
- transmission
- external network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Abstract
应用于电视台的多层次内外网数据交互系统,在私有云与公有云之间设有如下构造;私有云连接的出口交换机通过电视台的主干平台、数据摆渡系统至中心交换机,中心交换机再连接公有云;私有云与公有云消息交互数据库同步构造是:私有云由出口交换机通过DMZ区的数据摆渡系统连接到中心交换机;DMZ区包括互联交换机、及网闸,数据摆渡系统是符合Infiniband协议的文件杀毒、文件头解析、用户鉴权模块。内外网媒体数据交互通过安全摆渡系统实现,内外网消息交互通过DMZ区实现。
Description
一、技术领域
本发明涉及一种在电视台内部建立的多层次内外网数据交互系统,兼顾了交互带宽及安全实时性要求。
二、背景技术
在当前媒体融合进程中,技术系统架构逐步向云平台转变,云平台按需分配、弹性扩展等特性给融合媒体业务的开展提供了极大便利,但同时也带来了一些新的挑战。
很多融合媒体业务的开展需要通过互联网对外提供服务,而电视台内部的私有云或传统制播网跟互联网又完全隔离,但在融合媒体业务开展过程中,内外网需要进行文件和消息交互。
本发明建立内外网多层次安全交互通道,兼顾了交互带宽及实时性要求。内外网视频类大文件交互通过安全摆渡系统实现,安全摆渡系统底层基于infiniband实现,infiniBand架构是一种支持多并发链接的"转换线缆"技术,在这种技术中,每种链接都可以达到2.5Gbps的运行速度。Infiniband开放标准技术简化并加速了服务器之间的连接,同时支持服务器与远程存储和网络设备的连接。Infiniband大量用于FC/IP SAN、NAS和服务器之间的连接,作为iSCSI RDMA的存储协议iSER已被IETF标准化。目前EMC全系产品已经切换到Infiniband组网;InfiniBand采用虚通道(VL即Virtual Lanes)方式来实现QoS,虚通道是一些共享一条物理链接的相互分立的逻辑通信链路,每条物理链接可支持多达15条的标准虚通道和一条管理通道(VL15)。InfiniBand也是一种分层协议(类似TCP/IP协议),每层负责不同的功能,下层为上层服务,不同层次相互独立。IB采用IPv6的报头格式。其数据包报头包括本地路由标识符LRH,全局路由标示符GRH,基本传输标识符BTH等。
infiniband灵活支持直连及交换机多种组网方式,主要用于HPC高性能计算场景,大型数据中心高性能存储等场景,HPC应用的共同诉求是低时延(<10微秒)、低CPU占有率(<10%)和高带宽(主流56或100Gbps);一方面Infiniband在主机侧采用RDMA技术释放CPU负载,可以把主机内数据处理的时延从几十微秒降低到1微秒;另一方面InfiniBand网络的高带宽(40G、56G和100G)、低时延(几百纳秒)和无丢包特性吸取了FC网络的可靠性和以太网的灵活扩展能力。
三、发明内容
本发明目的是,提出一种应用于电视台的多层次内外网数据交互系统,建立内外网多层次安全交互通道,兼顾了交互带宽及实时性要求。内外网视频类大文件交互通过安全摆渡系统实现,安全摆渡系统底层基于infiniband实现,流程里包括文件杀毒、文件头解析、用户鉴权等功能模块;内外网消息交互通过DMZ区实现(包含防火墙、入侵检测设备、Web应用防火墙、网闸等安全设备),交互实时性强,此外DMZ区还可实现内外网数据库的实时同步。
本发明的技术方案是:应用于电视台的多层次内外网数据交互系统,在私有云与公有云之间有如下构造;私有云连接的出口交换机通过电视台的主干平台、数据摆渡系统至中心交换机,中心交换机再连接公有云;私有云与公有云消息交互数据库同步构造是:私有云由出口交换机通过DMZ区的数据摆渡系统连接到中心交换机;DMZ区包括互联交换机、及网闸,数据摆渡系统是符合Infiniband协议的文件杀毒、文件头解析、用户鉴权模块。
基于上述构造建立多层次安全交互通道,内外网媒体数据交互通过安全摆渡系统实现,内外网消息交互通过DMZ区实现;所述安全摆渡系统底层基于Infiniband实现;
内外网消息交互通过DMZ区实现过程:DMZ区还设有防火墙、入侵检测设备、Web应用防火墙、网闸等安全设备。
外网向内网传输大文件,先后经过“传输申请”、“转发申请”、“文件下载”、“解析、杀毒、传输”、“目标通知”、“转发通知”、“传输反馈”、“转发反馈”、“修改传输任务状态”、“传输反馈”、“转发反馈”等流程环节;
内网向外网传输大文件,先后经过“传输申请”、“转发申请”、“文件下载”、“解析、杀毒、传输”、“目标通知”、“转发通知”、“传输反馈”、“转发反馈”、“修改传输任务状态”、“传输反馈”、“转发反馈”等流程环节。
进一步的,外网发起与内网进行消息交互,先后经过“内网提供目的IP和端口给DMZ区”、“DMZ区通过网闸进行IP地址及端口映射”、“DMZ区将映射后的IP地址及端口提供给外网”、“外网访问DMZ区提供的IP地址及端口”、“DMZ区通过防火墙、IPS、WAF对消息内容进行访问控制、入侵检测、恶意代码防范等”、“外网消息经DMZ区发送至内网”等流程环节;
进一步的,内网发起与外网进行消息交互,先后经过“外网提供目的IP和端口给DMZ区”、“DMZ区通过网闸进行IP地址及端口映射”、“DMZ区将映射后的IP地址及端口提供给内网”、“内网访问DMZ区提供的IP地址及端口”、“DMZ区通过防火墙、IPS、WAF对消息内容进行访问控制、入侵检测、恶意代码防范等”、“内网消息经DMZ区发送至内网”等流程环节。
本发明兼顾了交互带宽及安全实时性要求。可建立多层次安全交互通道,内外网消息交互通过DMZ区实现,内外网媒体数据交互通过安全摆渡系统实现,视频类大文件的安全摆渡系统底层基于Infiniband技术实现,流程里包含了文件杀毒、文件头解析、用户鉴权等模块。
有益效果:本发明是通过DMZ区实现,DMZ区(DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带)部署有防火墙、入侵防御设备、Web应用防火墙、网闸等安全设备,实现了访问控制、恶意代码防范、入侵检测、网络层隔离等功能,交互实时性强。
四、附图说明:
图1为公有云与私有云互相转移即内外网消息交互系统图;
图2为公有云/办公网到私有云的大文件交互流程;
图3为私有云到公有云/办公网的大文件交互流程;
图4为私有云到公有云/办公网的消息交互流程;
图5为公有云/办公网到私有云的消息交互流程。
五、具体实施方式:
1、公有云/办公网到私有云的大文件交互流程
公有云到私有云文件传输流程如图1、2所示,举例为公有云的业务板块A向私有云业务板块B传输文件。其每步流程如下:
1)公有云业务板块A从云公共服务支撑平台获取到业务板块B的配置信息,组织需要传输的文件信息及元数据信息。调用云公共服务支撑平台传输服务接口,发起传输任务申请。
2)云公共服务支撑平台接到业务板块A传输任务申请,按照安全传输平台提供的接口规范,调用接口转发该任务申请至安全传输平台。安全传输平台得到任务申请,判断该任务是否合法,不合法直接返回任务信息有误。
3)安全传输平台根据传输任务信息,下载源文件到外网临时存储指定文件夹。
4)下载到外网临时存储的文件,调用后台服务,进行文件解析、文件杀毒初步处理。再通过私有协议安全传输文件到内网临时存储指定目录。
5)安全交换平台通知云公共服务支撑平台任务到达,且文件已经准备完毕。
6)云公共服务支撑平台转发信息到业务板块B。业务板块B收到任务后,主动获取文件,入库到自身板块,完成云公共服务支撑平台资源注入。
7)业务板块B完成任务后续,调用任务信息中的回调函数通知云公共服务支撑平台。
8)云公共服务支撑平台转发任务反馈信息到安全交换平台。
9)安全交换平台根据任务执行状况,修改任务执行状态。
10)安全交换平台发送任务反馈信息到云公共服务支撑平台。
11)云公共服务支撑平台转发任务反馈信息到原业务板块A。完成传输任务。
2、私有云到公有云/办公网的大文件交互流程
私有云到公有云文件传输流程如图3所示,举例为私有云的业务板块A向公有云业务板块B传输文件。其每步流程如下:
1)私有云业务板块A从云公共服务支撑平台获取到业务板块B的配置信息,组织需要传输的文件信息及元数据信息。调用云公共服务支撑平台传输服务接口,发起传输任务申请。
2)云公共服务支撑平台接到业务板块A传输任务申请,按照安全传输平台提供的接口规范,调用接口转发该任务申请至安全传输平台。安全传输平台得到任务申请,判断该任务是否合法,不合法直接返回任务信息有误。
3)安全传输平台根据传输任务信息,下载源文件到内网临时存储指定文件夹。
4)下载到内网临时存储的文件,调用后台服务,进行文件解析初步处理。再通过私有协议安全传输文件到外网临时存储指定目录。
5)安全交换平台通知云公共服务支撑平台任务到达,且文件已经准备完毕。
6)云公共服务支撑平台转发信息到业务板块B。业务板块B收到任务后,主动获取文件,入库到自身板块,完成云公共服务支撑平台资源注入。
7)业务板块B完成任务后续,调用任务信息中的回调函数通知云公共服务支撑平台。
8)云公共服务支撑平台转发任务反馈信息到安全交换平台。
9)安全交换平台根据任务执行状况,修改任务执行状态。
10)安全交换平台发送任务反馈信息到云公共服务支撑平台。
11)云公共服务支撑平台转发任务反馈信息到原业务板块A。完成传输任务。
3、私有云到公有云/办公网的消息交互流程
私有云到公有云/办公网的消息交互通过DMZ区实现(图4),DMZ区通过网闸进行物理隔离,流程中还包含了访问控制(防火墙)、入侵检测(IPS)、恶意代码防范(IPS带防病毒模块)、Web应用检测(Web应用防火墙)。
1)公有云提供目的IP和端口给DMZ区;
2)DMZ区通过网闸把公有云提供的IP和端口进行映射;
3)把映射后的目的IP和端口给私有云;
4)私有云访问DMZ映射后的IP和端口发送消息;
5)DMZ区通过防火墙、IPS、WAF对消息内容进行访问控制、入侵检测、恶意代码防范等;
6)私有云的消息经DMZ区发送到公有云。
4、公有云/办公网到私有云的消息交互流程
公有云/办公网到私有云的消息交互也是通过DMZ区实现,DMZ区通过网闸进行物理隔离,流程中还包含了访问控制(防火墙)、入侵检测(IPS)、恶意代码防范(IPS带防病毒模块)、Web应用检测(Web应用防火墙),图5。
1)私有云提供目的IP和端口给DMZ区;
2)DMZ区通过网闸把私有云提供的IP和端口进行映射;
3)把映射后的目的IP和端口给公有云;
4)公有云访问DMZ映射后的IP和端口发送消息;
5)DMZ区通过防火墙、IPS、WAF对消息内容进行访问控制、入侵检测、恶意代码防范等;
6)公有云有云的消息经DMZ区发送到私有云。
以上实施例不以任何方式限定本发明,凡是对以上实施例以等效变换方式做出的其它改进与应用,都属于本发明的保护范围。
Claims (1)
1.应用于电视台的多层次内外网数据交互系统,其特征是,在私有云与公有云之间设有如下构造;私有云连接的出口交换机通过电视台的主干平台、安全摆渡系统至中心交换机,中心交换机再连接公有云;私有云与公有云消息交互数据库同步构造是:私有云由出口交换机通过隔离区(DMZ)的安全摆渡系统连接到中心交换机;DMZ区包括互联交换机、及网闸,安全摆渡系统是符合Infiniband协议的文件杀毒、文件头解析、用户鉴权模块;
基于上述构造建立多层次安全交互通道,内外网媒体数据交互通过安全摆渡系统实现,内外网消息交互通过DMZ区实现;所述安全摆渡系统底层基于Infiniband实现;
内外网消息交互通过DMZ区实现过程:DMZ区还设有防火墙、入侵检测设备、Web应用防火墙、网闸安全设备;多层次安全交互通道,内外网媒体数据交互通过安全摆渡系统和DMZ区实现;
外网向内网传输视频类大文件,先后经过“传输申请”、“转发申请”、“文件下载”、“解析、杀毒、传输”、“目标通知”、“转发通知”、“传输反馈”、“转发反馈”、“修改传输任务状态”、“传输反馈”、“转发反馈”流程环节;
内网向外网传输视频类大文件,先后经过“传输申请”、“转发申请”、“文件下载”、“解析、杀毒、传输”、“目标通知”、“转发通知”、“传输反馈”、“转发反馈”、“修改传输任务状态”、“传输反馈”、“转发反馈”流程环节;
外网发起与内网进行消息交互,先后经过“内网提供目的IP和端口给DMZ区”、“DMZ区通过网闸进行IP地址及端口映射”、“DMZ区将映射后的IP地址及端口提供给外网”、“外网访问DMZ区提供的IP地址及端口”、“DMZ区通过防火墙、IPS、WAF对消息内容进行访问控制、入侵检测、恶意代码防范”、“外网消息经DMZ区发送至内网”流程环节;
内网发起与外网进行消息交互,先后经过“外网提供目的IP和端口给DMZ区”、“DMZ区通过网闸进行IP地址及端口映射”、“DMZ区将映射后的IP地址及端口提供给内网”、“内网访问DMZ区提供的IP地址及端口”、“DMZ区通过防火墙、入侵防御系统(IPS)、网站应用防火墙(WAF)对消息内容进行访问控制、入侵检测、恶意代码防范”、“内网消息经DMZ区发送至内网”流程环节。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810189130.2A CN108234523B (zh) | 2018-03-08 | 2018-03-08 | 一种应用于电视台的多层次内外网数据交互系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810189130.2A CN108234523B (zh) | 2018-03-08 | 2018-03-08 | 一种应用于电视台的多层次内外网数据交互系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108234523A CN108234523A (zh) | 2018-06-29 |
CN108234523B true CN108234523B (zh) | 2020-05-08 |
Family
ID=62667135
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810189130.2A Active CN108234523B (zh) | 2018-03-08 | 2018-03-08 | 一种应用于电视台的多层次内外网数据交互系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108234523B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109120702B (zh) * | 2018-08-24 | 2021-07-27 | 高振宇 | 隔离云的方法及系统 |
CN109698837B (zh) * | 2019-02-01 | 2021-06-18 | 重庆邮电大学 | 一种基于单向传输物理介质的内外网隔离与数据交换装置及方法 |
CN110650149A (zh) * | 2019-10-09 | 2020-01-03 | 广东蓄能发电有限公司 | 一种基于云计算的可扩充多源数据并发信息通知的网络架构 |
CN111104458B (zh) * | 2019-11-12 | 2024-04-05 | 杭州创谐信息技术股份有限公司 | 基于RK3399Pro的分布式数据交换系统及交换方法 |
CN113079124B (zh) * | 2020-01-03 | 2023-04-07 | 中国移动通信集团广东有限公司 | 入侵行为检测方法、系统及电子设备 |
CN112511562A (zh) * | 2020-12-22 | 2021-03-16 | 航天科工网络信息发展有限公司 | 一种基于单向隔离一体机及云桌面技术的跨网数据传送系统 |
CN115118506B (zh) * | 2022-06-28 | 2023-10-13 | 平安银行股份有限公司 | 云网络之间的数据交互系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8799997B2 (en) * | 2011-04-18 | 2014-08-05 | Bank Of America Corporation | Secure network cloud architecture |
CN103532838B (zh) * | 2013-10-09 | 2017-09-08 | 中国联合网络通信集团有限公司 | 一种隔离网间实现数据交换的方法及系统 |
CN104378657A (zh) * | 2014-09-01 | 2015-02-25 | 国家电网公司 | 一种基于代理与隔离的视频安全接入系统及其方法 |
CN106227728A (zh) * | 2016-07-01 | 2016-12-14 | 江苏省广播电视集团有限公司 | 一种基于混合云服务平台的边传边编PaaS服务能力应用系统及方法 |
CN106713283B (zh) * | 2016-12-03 | 2019-12-17 | 浙江广播电视集团 | 一种基于PaaS媒体技术的网间安全交互的系统及其方法 |
-
2018
- 2018-03-08 CN CN201810189130.2A patent/CN108234523B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN108234523A (zh) | 2018-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108234523B (zh) | 一种应用于电视台的多层次内外网数据交互系统 | |
US8396954B2 (en) | Routing and service performance management in an application acceleration environment | |
EP3021534B1 (en) | A network controller and a computer implemented method for automatically define forwarding rules to configure a computer networking device | |
US9414136B2 (en) | Methods and apparatus to route fibre channel frames using reduced forwarding state on an FCoE-to-FC gateway | |
US8682968B2 (en) | Method, system, and node for node interconnection on content delivery network | |
EP3225014B1 (en) | Source ip address transparency systems and methods | |
US9118687B2 (en) | Methods and apparatus for a scalable network with efficient link utilization | |
US9614759B2 (en) | Systems and methods for providing anycast MAC addressing in an information handling system | |
US20230133809A1 (en) | Traffic forwarding and disambiguation by using local proxies and addresses | |
US20130329743A1 (en) | End-to-end fibre channel over ethernet | |
US8767751B2 (en) | Unsolicited FIP packet injection by proxy and spoofing and autoconfiguring intermediate bridges using FIP snooping | |
KR20090010951A (ko) | 네트워크 디바이스를 위한 가상 인라인 구성 | |
KR101472685B1 (ko) | 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템 | |
US9667753B2 (en) | Fibre channel gateway system | |
CN207853935U (zh) | 一种应用于电视台的多层次内外网数据交互系统 | |
EP2810408A1 (en) | Hierarchical network with active redundant links | |
US10848414B1 (en) | Methods and apparatus for a scalable network with efficient link utilization | |
CN112769670B (zh) | 一种vpn数据安全访问控制方法及系统 | |
CN213342247U (zh) | 一种IPv4/IPv6融合平台 | |
KR20170111305A (ko) | 망 분리된 네트워크 간 udp 프로토콜을 지원하는 망 연계 방법과 컴퓨터 네트워크 시스템 | |
CN115883256B (zh) | 基于加密隧道的数据传输方法、装置及存储介质 | |
CN117439815B (zh) | 一种基于反向透明桥接的内网穿透系统及方法 | |
Teraoka et al. | ZNA: A Six-Layer Network Architecture for New Generation Networks——Focusing on the Session Layer, the Network Layer, and Cross-Layer Cooperation—— | |
CN104618214A (zh) | 构建局域网进行信息传输的方法及系统 | |
JP2016123086A (ja) | 管理プレーンネットワーク統合 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |