一种基于单向传输物理介质的内外网隔离与数据交换装置及
方法
技术领域
本发明涉及信息安全技术领域,特别是一种内、外网隔离与数据交换方法。
背景技术
随着计算机技术的飞速发展,网络信息安全已经成为社会发展的重要保证,其中存储着很多敏感信息,甚至是国家机密,难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。在网络数据交换过程中,服务系统通常有以下两方面的安全需求:
1. 对于在互联网上的服务,需要解决和防范来自互联网的安全问题,杜绝从互联网入侵到服务内网。
2. 两个服务系统,相互间需要交换数据,也要防范来自于系统间的安全问题,杜绝恶意用户从合作伙伴的网络攻击到本地服务网络。
为满足以上安全需求,传统方案中会使用光闸或防火墙。虽然传统的光闸具备物理隔离特性,但不具备实时性,无法提供实时的网络服务;传统的防火墙不具备高可靠性,一旦防火墙被攻破,内部网络将完全暴露。中国专利文献“一种网络隔离网闸数据交换系统”(CN105635079A)提出了利用网闸中断所有直接连接,并通过去协议的方式提取原始数据进行扫描检查的方式实现安全数据交换的方法;中国专利公开说明书“单向网络数据传输装置”(CN204993438U)利用光纤传输装置实现了外网到内网数据的单向不可逆传输;中国专利公开说明书“一种计算机网络隔离系统”(CN205068408U)利用位于内外网之间的计算机主机作为数据中转区,通过切换内外网网卡的方式,实现内外网物理隔绝,保障了内网的保密性和安全性。
但上述网络隔离技术采用传统的光闸隔离实现方案无法提供实时传输服务,访问控制模块与内外网两端直接交互,防火墙易被外部入侵或内部破坏。
发明内容
针对现有技术的上述缺陷,本发明提供一种基于单向传输的物理介质的内外网边界隔离与数据交换方法,在满足内外网物理隔离的条件下,通过单向镜像传输技术,实现内外网之间的数据实时交换,保证内外网之间具备逻辑连接性,同时采用授权访问控制,实现对未授权访问的拦截,隔离区无法与设备两侧网络进行交互,保障授权规则不会因为外部网络入侵或内部网络破坏而失效。本方法及装置对外部设备和内部网络而言是透明的。
本发明解决上述技术问题的技术方案具体包括,设计一种基于单向传输物理介质的内外网隔离与数据交换装置,包括:对外连接层单元、隔离防护层单元、对内连接层单元,对外连接层包括外部连接模块和外部上行单向传输模块,所述外部连接模块,与外部设备直接通信,对来自外部设备的通信数据进行访问控制,转发到外部上行单向传输模块,同时将内部通信数据发送给外部设备,外部上行单向传输模块负责数据从对外连接层到隔离防护层的单向传输;隔离防护层,基于单向传输物理介质形成独立的数据隔离区域,形成内外网的物理隔绝状态并进行独立的访问控制,由多个隔离防护通道构成,隔离防护通道由相应的隔离缓冲模块、访问控制模块和单向传输模块组成,所述隔离缓冲模块形成隔离防护通道中的数据缓冲区,负责缓冲上流处理层传输来的数据,所述访问控制模块,负责对数据进行访问控制,拒绝未经授权的请求或响应,只有经过授权的访问能够通过隔离防护层;隔离防护通道分别负责数据从上行隔离防护通道到对内连接层以及下行隔离防护通道到对外连接层的单向传输;对内连接模块,用于与内部网络直接连接,将外部设备通信数据转发给业务服务器,并负责转发业务服务器的下行数据到下行隔离防护通道,包括内部连接模块和内部下行单向传输模块,所述内部连接模块负责分发上行数据到相应的业务服务器,将业务服务器产生的下行数据分发到下行数据隔离防护通道,内部下行单向传输模块,负责数据从对内连接层到隔离防护层的单向传输。
本发明进一步包括,对外连接层单元、隔离防护层单元、对内连接层单元分别构成四类相互独立的处理区,各处理区独立工作,互不耦合,仅通过单向传输物理介质进行连接,具备物理网络链路隔绝性,同时实现外部网络与内部网络的逻辑连通性。所述边界隔离是内部网络与外部网络在物理上不存在网络链路,所述数据交换是指实现基于请求和响应的双工单向数据交互,其中支持外网向内网发起请求或内网向外网发起请求,但保证不同模式下两个方向请求的互斥。所述单向传输模块,依据所在位置与传输方向的不同分为外部上行单向传输模块、隔离上行单向传输模块、内部上行单向传输模块、隔离下行单向传输模块,上述模块利用单向传输物理介质实现数据的单向传输。所述隔离防护通道为隔离防护层中的独立处理区,包括上行隔离防护通道和下行隔离防护通道,上、小行隔离防护通道之间互不耦合。所述访问控制模块按需配置服务访问限制、服务访问授权以及协议审查选项,选项的调整不能通过内部网络或者外部网络进行修改。
本发明还提出一种基于单向传输物理介质的内外网隔离与数据交换方法,对外连接层包括外部连接模块和外部上行单向传输模块,外部连接模块与外部设备直接通信,对来自外部设备的通信数据进行访问控制,转发到外部上行单向传输模块,同时将内部通信数据发送给外部设备,外部上行单向传输模块负责数据从对外连接层到隔离防护层的单向传输;隔离防护层基于单向传输物理介质形成独立的数据隔离区域,形成内外网的物理隔绝状态并进行独立的访问控制,由多个隔离防护通道构成,隔离防护通道由相应的隔离缓冲模块、访问控制模块和单向传输模块组成,所述隔离缓冲模块形成隔离防护通道中的数据缓冲区,负责缓冲上流处理层传输来的数据,访问控制模块负责对数据进行访问控制,拒绝未经授权的请求或响应,只允许经过授权的访问能够通过隔离防护层,隔离防护通道分别负责数据从上行隔离防护通道到对内连接层以及下行隔离防护通道到对外连接层的单向传输;对内连接模块与内部网络直接连接,将外部设备通信数据转发给业务服务器,并负责转发业务服务器的下行数据到下行隔离防护通道,包括内部连接模块和内部下行单向传输模块,所述内部连接模块负责分发上行数据到相应的业务服务器,将业务服务器产生的下行数据分发到下行数据隔离防护通道,内部下行单向传输模块,负责数据从对内连接层到隔离摆渡模层的单向传输。
外部网络为本地计算机系统之外的外部计算机系统,该外部计算机系统能够通过本装置与内部网络进行通信,包括外部连接模块和外部上行单向传输模块等模块。
边界隔离是指内部网络与外部网络两端在物理上不存在网络链路,即内部网络与外部网络被隔离开来。数据交换是指基于请求和响应的双工单向数据交互,其中支持外网向内网发起请求或内网向外网发起请求,但应该保证不同模式下两个方向请求的互斥,即允许外网向内网发起请求时应拒绝内网主动向外网发起请求,反之亦然。
依据所在位置与传输方向的不同设置外部上行单向传输模块、隔离上行单向传输模块、内部上行单向传输模块、隔离下行单向传输模块,该类模块利用单向传输物理介质实现数据的单向传输,该方向无法通过规则配置进行变更,具备天然的单向隔离性。模块采用不同的单向传输物理介质独立实现,满足单向传输的要求即可。单向传输是指介质两端分别为发送端与接收端,数据只能从发送端传输到接收端,无法逆向传输,即逆向数据不可达。本发明提供TCP全协议支持,通信双方无需对协议进行修改即可正常通信,实现与现有应用以及网络无缝集成。本发明还提供UDP全协议支持,通信双方无需对协议进行修改即可正常通信,实现与现有应用以及网络无缝集成。
隔离防护通道为隔离防护层中的独立处理区,分为上行隔离防护通道和下行隔离防护通道两类,隔离防护通道之间互不耦合,可按需配置若干个,以满足对安全性的具体要求。访问控制模块可根据需求配置服务访问限制、服务访问授权以及协议审查等访问控制选项,这些选项的调整不能通过内部网络或者外部网络进行修改,实现逻辑网络的安全性。本装置与内部网络处于同一局域网,并接入外部网络,作为内部网络与外部网络间的边界设备。
本发明利用单向传输物理介质设置数据双向隔离防护通道,实现了内外网的物理网络链路隔绝和逻辑链路连通,在可控范围内实现外网与内网的数据实时交换。在设备内部,上下行隔离防护通道分别负责设备两侧的上下行数据交换,保障仅有授权通过的数据可以通过设备到达另一端,由于单向传输物理介质的单向传输特性,隔离层无法与设备两侧网络进行交互,保障了隔离层不会因外部入侵或内部破坏而崩溃。提供了既具有实时性,又可以通过物理隔绝保障安全的防护性能,解决了网络数据交换过程中的诸多安全问题。本发明提供TCP/UDP全协议支持的双工单向传输,解决了传统方案中无法提供实时传输服务的缺陷,也具备高安全性,同时将访问控制模块放置到隔离区中,无法与两端直接交互,解决了防火墙易被外部入侵或内部破坏的缺陷。
附图说明
为了使本发明的目的、技术方案和有益效果更加清楚,本发明提供如下附图进行说明:
图1为本发明的系统模块流程示意图;
图2为本发明的对外连接层内部示意图;
图3为本发明的隔离防护层内部示意图;
图4为本发明的对内连接层内部示意图;
图5为本发明向内请求实施例的典型部署示意图;
图6为本发明向外请求实施例的典型部署示意图。
具体实施方式
下面结合附图及实施例对本发明做进一步说明。
如图1所示为本发明系统模块示意图,具体包括:对外连接层11、隔离防护层、对内连接层13,对外连接层包括:外部连接模块,外部上行单向传输模块;隔离防护层包括:上行隔离防护通道12、下行隔离防护通道14,其中,上行隔离防护通道包括:隔离缓冲模块(上行)、访问控制模块(上行)、隔离上行单向传输模块;下行隔离防护通道包括:隔离下行单向传输模块、访问控制模块(下行)、隔离缓冲模块(下行);对内连接层包括:内部连接模块、内部下行单向传输模块。对外连接层,与外部网络直接连接,接收来自外部设备的数据,并转发至隔离防护层,从隔离防护层接收来自内部网络的数据,并发送给外部设备。
数据在上行隔离防护通道中单向上行传送,访问控制单元与外部网络和内部网络均处于隔离状态,来自两端的入侵者均无法对访问控制规则进行篡改,下行隔离防护通道同理。对内连接层与内部网络直接连接,接收来自隔离防护层的外部数据,并转发给内部网络中相应的业务服务器,接收来自内部网络的数据并对其进行访问控制,放行后转发至隔离防护层。
对外连接层单元、隔离防护层单元、对内连接层单元分别由四类相互独立的处理区构成,各处理区独立工作,互不耦合,仅通过单向传输物理介质进行连接,具备物理网络链路隔绝性,同时实现外部网络与内部网络的逻辑连通性。边界隔离是内部网络与外部网络在物理上不存在网络链路,数据交换是指实现基于请求和响应的双工单向数据交互,其中支持外网向内网发起请求或内网向外网发起请求,但保证不同模式下两个方向请求的互斥。
如图2所示为本发明的对外连接层内部示意图,外部连接模块内部结构主要包括广域网接口WAN口、防火墙以及数据处理单元。WAN口具有互联网地址或局域网地址,用来与外部网络进行全双工通信,可按需设置若干个WAN口,如图所示可设置WAN1口和WAN2口。防火墙负责承载外部连接模块的访问控制功能,是面向外部网络的第一道屏障。数据处理单元根据配置对接收到的数据进行转发处理,为对外连接层中业务逻辑的承载者。
单向传输模块依据所在位置与传输方向的不同分为外部上行单向传输模块、隔离上行单向传输模块、内部上行单向传输模块、隔离下行单向传输模块,该类模块具有类似的内部结构,包括发送端、单向传输物理介质以及接收端,图2中包含外部上行单向传输模块,虚线箭头表示通过单向传输物理介质进行传输,其中发送端与外部连接模块相连,接收端与隔离防护层中的上行隔离防护通道相连,将数据通信信号按照单向传输物理介质的类型进行处理,本发明可以结合不同单向传输介质使用,如可使用单向分光或无线电单向传输等形式。具体数据通信信号的处理与传输介质有关,例如使用单向分光则需要进行光电转换,使用无线电则不需要进行特殊处理。处理后将信号单向传送至隔离防护层。下述各类单向传输模块同理。
图3为隔离防护层内部示意图,包括上行隔离防护通道和下行隔离防护通道。
上行隔离防护通道,作为隔离防护层中的上行单元,通过单向传输物理介质与对外连接层和对内连接层连接,但不存在网络物理链路,数据只限于从对外连接层通过上行隔离防护通道流向对内连接层,同时负责对上行数据进行访问控制。上行隔离防护通道包括,隔离缓冲模块、访问控制模块、隔离上行单向传输模块。隔离缓冲模块内部设置隔离缓冲区,缓冲进入上行隔离防护通道的数据。访问控制单元负责根据配置对上行数据进行访问控制,拒绝非授权用户的访问,拒绝对非授权资源的访问,拒绝对非开放服务的访问。隔离上行单向传输模块,内部包括发送端、单向传输物理介质以及接收端,其中发送端与访问控制模块相连,接收端与对内连接层相连,将数据通信信号按照单向传输物理介质的类型进行处理,处理后将信号单向传送至对内连接层。
下行隔离防护通道,作为隔离防护层中的下行单元,通过单向传输物理介质与对外连接层和对内连接层连接,但不存在网络物理链路,数据只限于从对内连接层通过下行隔离防护通道流向对外连接层,同时负责对下行数据进行访问控制。包括:隔离缓冲模块、访问控制单元、隔离下行单向传输模块。隔离缓冲模块内部设置隔离缓冲区,缓冲进入下行隔离防护通道的数据;访问控制单元负责根据配置对下行数据进行访问控制,拒绝非授权用户的访问,拒绝对非授权资源的访问,拒绝对非开放服务的访问;隔离下行单向传输模块,内部包括发送端、单向传输物理介质以及接收端,图中虚线部分表示单向传输物理介质,其中发送端与访问控制模块相连,接收端与对外连接层相连,将数据通信信号按照单向传输物理介质的类型进行处理,处理后将信号单向传送至对外连接层。
图4所示为本发明对内连接层内部示意图,内部连接模块包括,局域网接口LAN口、防火墙与数据处理单元。LAN口具有内部网络地址,与内部网络直接相连,处于同一局域网,能够与内部网络中的设备进行全双工通信,可根据需求配置若干个LAN口,如图6中所示配置的LAN1口与LAN2口无本质区别。防火墙负责承载内部连接模块的访问控制功能,是向内部网络的第一道屏障,数据处理单元根据配置对接收到的数据进行转发,为对内连接层中的业务逻辑承担者。内部下行单向传输模块,内部包括发送端、单向传输物理介质以及接收端。图中虚线部分表示单向传输物理介质,其中发送端与内部连接模块相连,接收端与隔离防护层中的下行隔离防护通道相连,将数据通信信号按照单向传输物理介质的类型进行处理,处理后将信号单向传送至隔离防护层。
基于本发明的装置存在两种典型部署模式,分别为向外请求与向内请求部署模式,所述向外请求部署模式,是指内部网络中的授权设备通过基于边界设备请求外部网络中的指定资源,将拒绝内部网络中未授权用户的通信请求,同时也拒绝外部网络对内部网络的直接访问(即不是对内部请求的响应)。向内请求部署模式,是指外部网络中的授权用户通过基于边界设备请求内部网络中的指定资源或服务,将拒绝外部网络中非授权用户的通信请求,同时也拒绝内部网络向外部网络直接发送数据。
如图5所示为向内请求的典型部署示意图,外网用户发出请求,如果是非授权用户,边界设备拒绝其请求;如果是授权用户,边界设备解析其请求,若请求的是开放的服务/端口/设备(如图中的Web服务器)则转发其请求,同时将内部网络中的响应转发到外部网络,若请求的是未开放的服务/端口/设备(如图中的FTP与EMAIL服务)则拒绝该请求。同时这种模式下,边界设备拒绝内部到外部的所有请求。如图6所示为向外请求的典型部署示意图,内部用户向外部网络发出请求,如果是非授权用户,边界设备拒绝其请求;如果是授权用户,边界设备解析其请求,若请求的是允许的服务/端口/设备(如图中的目标服务器)则转发其请求,同时将目标服务器的响应转发到请求用户,若请求的是禁止的服务/端口/设备(如图中的非目标服务器和黑客)则拒绝该请求。同时这种模式下,边界设备拒绝外部到内部的所有请求。
由上述实施方式可知,上行数据与下行数据通过两类隔离区完全分离开来,外部网络与内部网络也通过隔离防护层实现了隔离,两端不存在网络物理链路,只存在单向流动的逻辑链路,具备逻辑链路连通性,通信双方以外的中间人无法对通过该方法及装置保护的数据实施劫持或入侵手段。同时,在保证安全接入的前提下,也提供了对TCP/UDP全协议支持的实时通信能力。