CN111083158A - 一种通过两单向网闸进行双向报文传输的处理方法及系统 - Google Patents
一种通过两单向网闸进行双向报文传输的处理方法及系统 Download PDFInfo
- Publication number
- CN111083158A CN111083158A CN201911373121.XA CN201911373121A CN111083158A CN 111083158 A CN111083158 A CN 111083158A CN 201911373121 A CN201911373121 A CN 201911373121A CN 111083158 A CN111083158 A CN 111083158A
- Authority
- CN
- China
- Prior art keywords
- message
- server
- transit
- machine room
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种通过两单向网闸进行双向报文传输的处理方法及系统,通过在机房A的两单向传输网闸之外加设中转服务器S1、中转服务器S2、中转服务器S3,将机房A发出的初始报文与各分支机房返回的回应报文分两路网络通道传输,在不修改机房A与各分支机房现有网络管理协议的基础上,实现机房A与各分支机房报文的双向传输。初始报文、回应报文封装前增加第一、第二UDP报文头部后进入一单向传输网闸,从网闸输出后再分别剥离第一、第二UDP报文头部,即采用UDP形式的封装,对整个网络环境消耗更少,且整个报文封装、剥离过程均在机房A内进行,初始报文、回应报文均为TCP管理协议的报文,进一步保证报文传输过程中的可靠性,避免传输过程中丢包情况发生。
Description
技术领域
本发明涉及网络安全设备技术领域,特别涉及一种通过两单向网闸进行双向报文传输的处理方法及系统。
背景技术
随着网络技术和互联网的不断发展和推广,目前计算机网络控制系统的安全已是全球性的热点问题之一。网络应用环境复杂多变,例如在工业机房中需要将计算系统、工控设备、监控设备、通信设备等设备连接成一整套的网络控制系统,但各设备处于不同的机房系统,现有技术中,一般在两个单位机房之间加入单向网闸以确保网络安全,因此设有管理服务器的主机房只能发出报文信息,而接受不到其他机房的回应,使得相邻两机房间得不到有效便捷的网络信息传递。
发明内容
本发明提出一种通过两单向网闸进行双向报文传输的处理方法及系统,旨在使相邻两机房间的报文实现双向传输。
为实现上述目的,本发明提出的通过两单向网闸进行双向报文传输的处理系统,包括用于发送初始报文的机房A,以及向机房A发出回应报文的若干分支机房,所述机房A内设有用于收发报文的管理服务器S0、中转服务器S1、中转服务器S3,以及用于分隔传输通道的网闸W1、网闸W2;
所述中转服务器S1、网闸W1、中转服务器S2、中转服务器S3依次连接形成一正向网络输出通道,所述中转服务器S3、中转服务器S2、网闸W2、中转服务器S1依次连接形成一反向网络输入通道;
且所述管理服务器S0与中转服务器S1双向传输连接,所述中转服务器S3分别与所述分支机房、中转服务器S2双向传输连接。
优选地,所述管理服务器S0配置有接口T2;
所述中转服务器S1配置有接口T2、T3、T4;
所述中转服务器S2配置有接口T2、T3、T4;
所述中转服务器S3配置有接口T1、T2、T3、T4;
所述网闸W1配置有接口WT2、NT2;
所述网闸W2配置有接口WT2、NT2;
所述管理服务器S0的接口T2与所述中转服务器S1接口T2双向传输连接;
所述中转服务器S1的接口T4与所述网闸W1的接口WT2、所述网闸W1的接口NT2与所述中转服务器S2的接口T4均单向传输连接,并设于所述正向网络输出通道内;
所述分支机房包括机房B、机房C、机房D,所述中转服务器S3的接口T1、T3、T4分别与所述机房B、机房C、机房D双向传输连接;
所述中转服务器S3的接口T2与所述中转服务器S2的接口T2双向传输连接;
所述中转服务器S2的接口T3与所述网闸W2的接口WT2、所述网闸W2的接口NT2与所述中转服务器S1的接口T3均单向传输连接,并设于所述反向网络输入通道内。
优选地,所述中转服务器S1的接口T3、接口T4合并为一路接口T2,并与所述管理服务器S0的T2接口连接,所述反向网络输入通道和正向网络输出通道公用所述管理服务器S0接口T2与所述中转服务器S1接口T2之间的传输通道;
所述中转服务器S2中的接口T3、接口T4合并为一路接口T2,并与所述中转服务器S3的T2接口连接,所述反向网络输入通道和正向网络输出通道公用所述中转服务器S2接口T2与所述中转服务器S3接口T2之间的传输通道。
本发明还提出一种通过两单向网闸进行双向报文传输的处理方法,包括如下步骤:
步骤S1:机房A的管理服务器S0向中转服务器S1发出初始报文;
步骤S2:中转服务器S1检查并修改初始报文,根据检测结果对初始报文封装前增加第一UDP报文头部,并将封装后的初始报文发送至网闸W1;网闸W1根据其配置策略修改封装后的初始报文,获得第一中转报文,并将第一中转报文发送至中转服务器S2;中转服务器S2检查第一中转报文,根据检测结果修改并剥离第一UDP报文头部,获取第一传送报文,将第一传送报文传输至中转服务器S3;
步骤S3:中转服务器S3检查第一传送报文所配置的协议,并根据各分支机房的简易路由表,将第一传送报文发送至对应的分支机房,完成报文发送;
步骤S4:分支机房再向机房A的中转服务器S3发送回应报文,中转服务器S3检查回应报文是否配置可放行至机房A的协议,根据检测结果将允许放行的回应报文发送至中转服务器S2;
步骤S5:中转服务器S2检查并修改各回应报文后,根据检测结果对各回应报文封装前增加第二UDP报文头部,并将封装后的回应报文发送至网闸W2;网闸W2根据其配置策略修改已封装的回应报文,获得第二中转报文,并将第二中转报文发送至中转服务器S1,中转服务器S1检查第二中转报文,根据检测结果剥离第二UDP报文头部,获取第二传送报文,将第二传送报文传输至的管理服务器S0,完成报文回应。
优选地,所述步骤S2和步骤S5中,中转服务器S1和中转服务器S3分别检查初始报文和回应报文是否配置允许放行的网络协议;
若检查结果为否,则不允许放行直接丢弃初始报文、回应报文;
若检查结果为是,则在初始报文封装、回应报文封装前分别增加第一UDP报文头部、第二UDP报文头部;
所述第一UDP报文头部、第二UDP报文头部均包括数据链路层、网络层头部、传输层头部。
优选地,所述步骤S2和步骤S5中,初始报文、回应报文均为含TCP管理协议的报文;
中转服务器S1、中转服务器S3分别检查和修改初始报文、回应报文的方式为:
当初始报文、回应报文TCPflag中的SYN分别为1时,检查初始报文、回应报文TCP管理协议的选项中是否包含MSS选项,若包含MSS选项,MSS选项值小于或等于1400字节,则初始报文、回应报文直接被允许放行,MSS选项值大于1400字节,则修改MSS选项值为1400字节后再放行初始报文、回应报文;
否则放行初始报文、回应报文。
优选地,所述步骤S2中,将封装后的初始报文记为m1,所述步骤S5中,将封装后的回应报文记为m2;
网闸W1在接收m1后,先发送ARP报文探测中转服务器S2是否存在,并获取中转服务器S2的MAC地址,再将m1第二报文头部内的IP地址和MAC地址修改为中转服务器S2的IP地址和MAC地址,获得第一中转报文;
网闸W2在接收m2后,先发送ARP报文探测中转服务器S1是否存在,并获取中转服务器S1的MAC地址,再将m2第二报文头部内的IP地址和MAC地址修改为中转服务器S1的IP地址和MAC地址,获得第二中转报文。
优选地,所述步骤S2和步骤S5中,所述中转服务器S2、中转服务器S1分别检查第一中转报文、第二中转报文是否为自定义格式报文,若结果为否,则丢弃第一中转报文、第二中转报文,若结果为是,则分别剥除第一中转报文、第二中转报文上的第一UDP报文头部、第二UDP报文头部,获得第一传送报文、第二传送报文。
与现有技术相比,本发明的有益效果是:通过在机房A的两单向传输网闸之外加设中转服务器S1、中转服务器S2、中转服务器S3,将机房A发出的初始报文与机房B、机房C、机房D返回的回应报文分两路网络通道传输,在不修改机房A与机房B、机房C、机房D现有网络管理协议的基础上,实现机房A与机房B、机房C、机房D报文的双向传输。
初始报文和回应报文封装前分别增加第一UDP报文头部、第二UDP报文头部后进入单向传输网闸W1、网闸W2,从网闸W1、网闸W2输出后再分别剥离第一UDP报文头部、第二UDP报文头部,即采用UDP形式的封装,对整个网络环境消耗更少,且整个报文封装、剥离过程均在机房A内进行,初始报文、回应报文均为TCP管理协议的报文,进一步保证报文传输过程中的可靠性,避免传输过程中丢包情况发生。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本发明机房A与机房B、机房C、机房D网络连接示意图;
图2为本发明通过两单向网闸进行双向报文传输处理方法流程图;
图3为本发明报文发送方法流程图;
图4为本发明报文回应方法流程图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
本发明提出一种通过两单向网闸进行双向报文传输的处理系统,如图1所示,包括用于发送初始报文的机房A,以及向机房A发出回应报文的若干分支机房。
所述机房A内设有用于收发报文的管理服务器S0、中转服务器S1、中转服务器S3,以及用于分隔传输通道的网闸W1、网闸W2;
所述管理服务器S0与中转服务器S1双向传输连接,所述中转服务器S3分别与所述分支机房、中转服务器S2双向传输连接;
所述中转服务器S1、网闸W1、中转服务器S2、中转服务器S3依次连接形成一正向网络输出通道,所述中转服务器S3、中转服务器S2、网闸W2、中转服务器S1依次连接形成一反向网络输入通道。
为便于网络传输,需要对各部分系统进行网络环境配置,具体地,
所述管理服务器S0配置有接口T2;
所述中转服务器S1配置有接口T2、T3、T4;
所述中转服务器S2配置有接口T2、T3、T4;
所述中转服务器S3配置有接口T1、T2、T3、T4;
所述网闸W1配置有接口WT2、NT2;
所述网闸W2配置有接口WT2、NT2;
进一步地,机房A外网中转服务器S1端口T3的IP配置为Q0;
网闸W1外网WT2端口IP为Q1、开放UDP端口配置为P1;
网闸W1内网NT2端口IP配置为Q2;
机房A内网中转服务器S2端口T3的IP配置为Q3;
机房A外网中转服务器S2端口T4的IP配置为Q4;
网闸WT2外网WT2端口IP配置为Q5、开放UDP端口配置为P5;
网闸WT2内网NT2端口IP配置为Q6;
机房A内网中转服务器S2端口T4的IP配置为Q7。
所述管理服务器S0的接口T2与所述中转服务器S1接口T2双向传输连接;
所述中转服务器S1的接口T4与所述网闸W1的接口WT2、所述网闸W1的接口NT2与所述中转服务器S2的接口T4均单向传输连接,并设于所述正向网络输出通道内;
所述分支机房包括机房B、机房C、机房D,所述中转服务器S3的接口T1、T3、T4分别与所述机房B、机房C、机房D双向传输连接;
所述中转服务器S3的接口T2与所述中转服务器S2的接口T2双向传输连接;
所述中转服务器S2的接口T3与所述网闸W2的接口WT2、所述网闸W2的接口NT2与所述中转服务器S1的接口T3均单向传输连接,并设于所述反向网络输入通道内。
由于不能修改管理服务器S0的现有管理协议程序,所以连接管理服务器S0的线路,以及连接机房B、机房C、机房D的线路不允许反向网络输入通道和正向网络输出通道发送的报文来自两个不同网络接口,需要在中转服务器S1、中转服务器S2分别接入网闸W1、网闸W2之前将分开的两个接口合并为一公用网络接口。具体地,按照如下方式进行设置:
中转服务器S1的接口T3、接口T4合并为一路接口T2,并与管理服务器S0的T2接口连接,反向网络输入通道和正向网络输出通道公用所述管理服务器S0接口T2与所述中转服务器S1接口T2之间的传输通道;
中转服务器S2中的接口T3、接口T4合并为一路接口T2,并与所述中转服务器S3的T2接口连接,反向网络输入通道和正向网络输出通道公用所述中转服务器S2接口T2与所述中转服务器S3接口T2之间的传输通道。
本发明的处理系统通过在机房A的中转服务器S1、中转服务器S2、中转服务器S1之间加设两单向传输网闸,将机房A发出的初始报文与机房B、机房C、机房D返回的回应报文分两路网络通道传输,在不修改机房A与机房B、机房C、机房D现有网络管理协议的基础上,实现机房A与机房B、机房C、机房D报文的双向报文传输。
基于上述处理系统,本发明还提出一种通过两单向网闸进行双向报文传输的处理方法,如图2所示,具体地,包括如下步骤:
步骤S1:机房A的管理服务器S0向中转服务器S1发出初始报文;
步骤S2:中转服务器S1检查并修改初始报文,根据检测结果对初始报文封装前增加第一UDP报文头部,并将封装后的初始报文发送至网闸W1;网闸W1根据其配置策略修改封装后的初始报文,获得第一中转报文,并将第一中转报文发送至中转服务器S2;中转服务器S2检查第一中转报文,根据检测结果修改并剥离第一UDP报文头部,获取第一传送报文,将第一传送报文传输至中转服务器S3;
步骤S3:中转服务器S3检查第一传送报文所配置的协议,并根据各分支机房的简易路由表,将第一传送报文发送至对应的分支机房,完成报文发送;
步骤S4:分支机房再向机房A的中转服务器S3发送回应报文,中转服务器S3检查回应报文是否配置可放行至机房A的协议,根据检测结果将允许放行的回应报文发送至中转服务器S2;
步骤S5:中转服务器S2检查并修改各回应报文后,根据检测结果对各回应报文封装前增加第二UDP报文头部,并将封装后的回应报文发送至网闸W2;网闸W2根据其配置策略修改已封装的回应报文,获得第二中转报文,并将第二中转报文发送至中转服务器S1,中转服务器S1检查第二中转报文,根据检测结果剥离第二UDP报文头部,获取第二传送报文,将第二传送报文传输至的管理服务器S0,完成报文回应。
本实施例中,分支机房包括机房B、机房C、机房D,如图3所示,机房A向机房B、机房C、机房D完成报文发送的具体方法如下。
机房A内管理服务器S0的T2接口先向中转服务器S1的T2接口发出初始报文,中转服务器S1检查初始报文是否配置允许放行的网络协议;
若检查结果为否,则不允许放行直接丢弃初始报文;
若检查结果为是,则在初始报文封装前增加第一UDP报文头部,其中,第一UDP报文头包括数据链路层、网络层头部、传输层头部;初始报文封装内容包括数据链路层、网络层头部、传输层头部、传输层负载。
其中,增加第一UDP报文头部后初始报文的UDP报文源IP为Q0,数据链路层目的MAC为网闸W1接口WT2的MAC地址,目的IP为Q1,目的端口为P1。
初始报文为含TCP管理协议的报文,中转服务器S1允许初始报文放行的条件为:
当初始报文的TCPflag中的SYN分别为1时,检查初始报文TCP管理协议的选项中是否包含MSS选项,若包含MSS选项,MSS选项值小于或等于1400字节,则初始报文直接被允许放行,MSS选项值大于1400字节,则修改MSS选项值为1400字节后再放行初始报文;
否则放行初始报文。
由于网闸W1的最大传输单元为1518字节,且不可修改,而管理服务器S0现有的TCP管理协议在连接过程中按照1518字节的MSS选项发起协商,第一UDP报文头部包含数据链路层14字节、网络层20字节、传输层8字节,共42字节,初始报文增加第一UDP报文头部后,超出网闸W1的最大传输单元1518字节的范围,在经过网闸W1时会被网闸W1丢弃,因此,需对初始报文的MSS选项进行修改,让增加第一UDP报文头部后的初始报文能通过网闸W1。
中转服务器S1将封装后的初始报文从T4接口传输至网闸W1的WT2接口。将封装后的初始报文记为m1,网闸W1在接收m1后,先发送ARP报文探测中转服务器S2是否存在,并获取中转服务器S2的MAC地址,再将m1第二报文头部内的IP地址和MAC地址修改为中转服务器S2的IP地址和MAC地址,获得第一中转报文,网闸W1将第一中转报文从其接口NT2发送至中转服务器S2的T4接口。
中转服务器S2检查T4接口输入的第一中转报文是否为自定义格式报文,若结果为否,则丢弃第一中转报文,若结果为是,则剥除第一中转报文上的第一UDP报文头部,获得第一传送报文,并将获得的第一传送报文从中转服务器S2的T2接口发送到中转服务器S3的T2接口。
中转服务器S3再检查第一传送报文是否配置允许被放行至机房B、机房C、机房D的网络协议,若结果为否,则丢弃第一传送报文,若结果为是,则按照中转服务器S3预设的简易路由表发送至对应的机房B、机房C、机房D,完成一次机房A到机房B、机房C、机房D的报文发送。
机房B、机房C、机房D内的设备接收到第一传送报文请求后,进行回应,分别向中转服务器S3的T1、T3、T4接口发出回应报文。如图4所示,机房B、机房C、机房D向机房A完成报文回应的具体方法如下。
中转服务器S3检查回应报文是否配置可放行至机房A的协议,根据检测结果将允许放行的回应报文从中转服务器S3的T2接口发送至中转服务器S2的T2接口。
中转服务器S2检查回应报文是否配置允许放行的网络配置;
若检查结果为否,则不允许放行直接丢弃回应报文;
若检查结果为是,则在回应报文封装前增加第二UDP报文头部,其中,第二UDP报文头包括数据链路层、网络层头部、传输层头部;回应报文封装内容包括数据链路层、网络层头部、传输层头部、传输层负载。
增加第二UDP报文头部后回应报文的UDP报文源IP为Q5,数据链路层目的MAC为网闸W2接口WT2的MAC地址,目的IP为Q5,目的端口为P5。
回应报文为含TCP管理协议的报文,中转服务器S3允许回应报文放行的条件为:
当回应报文TCPflag中的SYN分别为1时,检查回应报文TCP管理协议的选项中是否包含MSS选项,若包含MSS选项,MSS选项值小于或等于1400字节,则回应报文直接被允许放行,MSS选项值大于1400字节,则修改MSS选项值为1400字节后再放行回应报文;
否则放行回应报文。
同样的,机房B、机房C、机房D内的设备也按1518字节进行协商,且不可修改,第二UDP报文头部也包含数据链路层14字节、网络层20字节、传输层8字节,共42字节,回应报文增加第二UDP报文头部后,超出网闸W2的最大传输单元1518字节,在经过网闸W2时会被网闸W2丢弃,因此,需对回应报文的MSS选项进行修改,让增加第二UDP报文头部后的初回应报文能通过网闸W2。
中转服务器S2将封装后的回应报文从T3接口传输至网闸W2的WT2接口,将封装后的回应报文记为m2,网闸W2在接收m2时,需先将网闸W2接收端口的MAC地址与m2的ARP协议地址匹配成功后,网闸W2的WT2接口才可成功接收m2。
中转服务器S2将封装后的初始报文从T3接口传输至网闸W2的WT2接口。将封装后的初始报文记为m2,网闸W2在接收m2后,先发送ARP报文探测中转服务器S1是否存在,并获取中转服务器S1的MAC地址,再将m2第二报文头部内的IP地址和MAC地址修改为中转服务器S1的IP地址和MAC地址,获得第二中转报文。网闸W2将第二中转报文从其接口NT2发送至中转服务器S1的T3接口。
中转服务器S1检查T2接口输入的第二中转报文是否为自定义格式报文,若结果为否,则丢弃第二中转报文,若结果为是,则分别剥除第二中转报文上的第二UDP报文头部,获得第二传送报文,并将获得的第二传送报文从中转服务器S1的T2接口发送到管理服务器S0的T2接口,完成机房B、机房C、机房D到机房A的报文回应。
本发明初始报文和回应报文封装前分别增加第一UDP报文头部、第二UDP报文头部后进入单向传输网闸W1、网闸W2,从网闸W1、网闸W2输出后再分别剥离第一UDP报文头部、第二UDP报文头部,即采用UDP形式的封装,对整个网络环境消耗更少,且整个报文封装、剥离过程均在机房A内进行,初始报文、回应报文均为TCP管理协议的报文,进一步保证报文传输过程中的可靠性,避免传输过程中丢包情况发生。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是在本发明的发明构思下,利用本发明说明书及附图内容所作的等效结构变换,或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。
Claims (8)
1.一种通过两单向网闸进行双向报文传输的处理系统,包括用于发送初始报文的机房A,以及向机房A发出回应报文的若干分支机房,其特征在于,所述机房A内设有用于收发报文的管理服务器S0、中转服务器S1、中转服务器S3,以及用于分隔传输通道的网闸W1、网闸W2;
所述中转服务器S1、网闸W1、中转服务器S2、中转服务器S3依次连接形成一正向网络输出通道,所述中转服务器S3、中转服务器S2、网闸W2、中转服务器S1依次连接形成一反向网络输入通道;
且所述管理服务器S0与中转服务器S1双向传输连接,所述中转服务器S3分别与所述分支机房、中转服务器S2双向传输连接。
2.如权利要求1所述的通过两单向网闸进行双向报文传输的处理系统,其特征在于,
所述管理服务器S0配置有接口T2;
所述中转服务器S1配置有接口T2、T3、T4;
所述中转服务器S2配置有接口T2、T3、T4;
所述中转服务器S3配置有接口T1、T2、T3、T4;
所述网闸W1配置有接口WT2、NT2;
所述网闸W2配置有接口WT2、NT2;
所述管理服务器S0的接口T2与所述中转服务器S1接口T2双向传输连接;
所述中转服务器S1的接口T4与所述网闸W1的接口WT2、所述网闸W1的接口NT2与所述中转服务器S2的接口T4均单向传输连接,并设于所述正向网络输出通道内;
所述分支机房包括机房B、机房C、机房D,所述中转服务器S3的接口T1、T3、T4分别与所述机房B、机房C、机房D双向传输连接;
所述中转服务器S3的接口T2与所述中转服务器S2的接口T2双向传输连接;
所述中转服务器S2的接口T3与所述网闸W2的接口WT2、所述网闸W2的接口NT2与所述中转服务器S1的接口T3均单向传输连接,并设于所述反向网络输入通道内。
3.如权利要求2所述的通过两单向网闸进行双向报文传输的处理系统,其特征在于,所述中转服务器S1的接口T3、接口T4合并为一路接口T2,并与所述管理服务器S0的T2接口连接,所述反向网络输入通道和正向网络输出通道公用所述管理服务器S0接口T2与所述中转服务器S1接口T2之间的传输通道;
所述中转服务器S2中的接口T3、接口T4合并为一路接口T2,并与所述中转服务器S3的T2接口连接,所述反向网络输入通道和正向网络输出通道公用所述中转服务器S2接口T2与所述中转服务器S3接口T2之间的传输通道。
4.一种通过两单向网闸进行双向报文传输的处理方法,包括如下步骤:
步骤S1:机房A的管理服务器S0向中转服务器S1发出初始报文;
步骤S2:中转服务器S1检查并修改初始报文,根据检测结果对初始报文封装前增加第一UDP报文头部,并将封装后的初始报文发送至网闸W1;网闸W1根据其配置策略修改封装后的初始报文,获得第一中转报文,并将第一中转报文发送至中转服务器S2;中转服务器S2检查第一中转报文,根据检测结果修改并剥离第一UDP报文头部,获取第一传送报文,将第一传送报文传输至中转服务器S3;
步骤S3:中转服务器S3检查第一传送报文所配置的协议,并根据各分支机房的简易路由表,将第一传送报文发送至对应的分支机房,完成报文发送;
步骤S4:分支机房再向机房A的中转服务器S3发送回应报文,中转服务器S3检查回应报文是否配置可放行至机房A的协议,根据检测结果将允许放行的回应报文发送至中转服务器S2;
步骤S5:中转服务器S2检查并修改各回应报文后,根据检测结果对各回应报文封装前增加第二UDP报文头部,并将封装后的回应报文发送至网闸W2;网闸W2根据其配置策略修改已封装的回应报文,获得第二中转报文,并将第二中转报文发送至中转服务器S1,中转服务器S1检查第二中转报文,根据检测结果剥离第二UDP报文头部,获取第二传送报文,将第二传送报文传输至的管理服务器S0,完成报文回应。
5.如权利要求4所述的通过两单向网闸进行双向报文传输的处理方法,其特征在于,所述步骤S2和步骤S5中,
中转服务器S1和中转服务器S3分别检查初始报文和回应报文是否配置允许放行的网络协议;
若检查结果为否,则不允许放行直接丢弃初始报文、回应报文;
若检查结果为是,则在初始报文封装、回应报文封装前分别增加第一UDP报文头部、第二UDP报文头部;
所述第一UDP报文头部、第二UDP报文头部均包括数据链路层、网络层头部、传输层头部。
6.如权利要求5所述的通过两单向网闸进行双向报文传输的处理方法,其特征在于,所述步骤S2和步骤S5中,
初始报文、回应报文均为含TCP管理协议的报文;
中转服务器S1、中转服务器S3分别检查和修改初始报文、回应报文的方式为:
当初始报文、回应报文TCPflag中的SYN分别为1时,检查初始报文、回应报文TCP管理协议的选项中是否包含MSS选项,若包含MSS选项,MSS选项值小于或等于1400字节,则初始报文、回应报文直接被允许放行,MSS选项值大于1400字节,则修改MSS选项值为1400字节后再放行初始报文、回应报文;
否则放行初始报文、回应报文。
7.如权利要求6所述的通过两单向网闸进行双向报文传输的处理方法,其特征在于,所述步骤S2中,将封装后的初始报文记为m1,所述步骤S5中,将封装后的回应报文记为m2;
网闸W1在接收m1后,先发送ARP报文探测中转服务器S2是否存在,并获取中转服务器S2的MAC地址,再将m1第二报文头部内的IP地址和MAC地址修改为中转服务器S2的IP地址和MAC地址,获得第一中转报文;
网闸W2在接收m2后,先发送ARP报文探测中转服务器S1是否存在,并获取中转服务器S1的MAC地址,再将m2第二报文头部内的IP地址和MAC地址修改为中转服务器S1的IP地址和MAC地址,获得第二中转报文。
8.如权利要求4所述的通过两单向网闸进行双向报文传输的处理方法,其特征在于,所述步骤S2和步骤S5中,
所述中转服务器S2、中转服务器S1分别检查第一中转报文、第二中转报文是否为自定义格式报文,若结果为否,则丢弃第一中转报文、第二中转报文,若结果为是,则分别剥除第一中转报文、第二中转报文上的第一UDP报文头部、第二UDP报文头部,获得第一传送报文、第二传送报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911373121.XA CN111083158B (zh) | 2019-12-26 | 2019-12-26 | 一种通过两单向网闸进行双向报文传输的处理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911373121.XA CN111083158B (zh) | 2019-12-26 | 2019-12-26 | 一种通过两单向网闸进行双向报文传输的处理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111083158A true CN111083158A (zh) | 2020-04-28 |
| CN111083158B CN111083158B (zh) | 2022-03-08 |
Family
ID=70318289
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911373121.XA Active CN111083158B (zh) | 2019-12-26 | 2019-12-26 | 一种通过两单向网闸进行双向报文传输的处理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111083158B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351066A (zh) * | 2020-09-24 | 2021-02-09 | 成都飞机工业(集团)有限责任公司 | 一种基于单向光闸的信息双向传输方法及系统 |
| CN112866200A (zh) * | 2020-12-31 | 2021-05-28 | 深圳市东晟数据有限公司 | 一种复杂网络环境下的网络设备规则管理系统 |
| CN113965490A (zh) * | 2021-12-23 | 2022-01-21 | 网御安全技术(深圳)有限公司 | 网闸反向数据传输通道的测试方法、系统及相关设备 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6529475B1 (en) * | 1998-12-16 | 2003-03-04 | Nortel Networks Limited | Monitor for the control of multimedia services in networks |
| EP1881674A1 (en) * | 2006-04-21 | 2008-01-23 | Huawei Technologies Co., Ltd. | A sysetm, device and method for filtering session initiation protocol message |
| CN101753530A (zh) * | 2008-12-18 | 2010-06-23 | 宝山钢铁股份有限公司 | 穿越电力网络物理单向隔离装置的数据传输方法及装置 |
| CN101834700A (zh) * | 2010-05-12 | 2010-09-15 | 北京邮电大学 | 一种基于数据包的单向可靠传输方法及收发装置 |
| CN208063238U (zh) * | 2018-02-28 | 2018-11-06 | 北京崇远信达科技有限公司 | 数据加密安全网闸 |
| CN108881158A (zh) * | 2018-05-04 | 2018-11-23 | 北京明朝万达科技股份有限公司 | 数据交互系统和方法 |
| CN109391635A (zh) * | 2018-12-17 | 2019-02-26 | 北京奇安信科技有限公司 | 基于双向网闸的数据传输方法、装置、设备及介质 |
| CN109474628A (zh) * | 2018-12-27 | 2019-03-15 | 北京奇安信科技有限公司 | 一种基于双单向网闸的数据传输方法、系统、设备和介质 |
| CN109587450A (zh) * | 2018-12-20 | 2019-04-05 | 北京明朝万达科技股份有限公司 | 视频数据传输方法和系统 |
| CN110351028A (zh) * | 2019-07-15 | 2019-10-18 | 联想(北京)有限公司 | 一种数据处理方法及装置、以及电子设备 |
| CN110365779A (zh) * | 2019-07-17 | 2019-10-22 | 腾讯科技(深圳)有限公司 | 一种通信控制的方法、装置、电子设备和存储介质 |
-
2019
- 2019-12-26 CN CN201911373121.XA patent/CN111083158B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6529475B1 (en) * | 1998-12-16 | 2003-03-04 | Nortel Networks Limited | Monitor for the control of multimedia services in networks |
| EP1881674A1 (en) * | 2006-04-21 | 2008-01-23 | Huawei Technologies Co., Ltd. | A sysetm, device and method for filtering session initiation protocol message |
| CN101753530A (zh) * | 2008-12-18 | 2010-06-23 | 宝山钢铁股份有限公司 | 穿越电力网络物理单向隔离装置的数据传输方法及装置 |
| CN101834700A (zh) * | 2010-05-12 | 2010-09-15 | 北京邮电大学 | 一种基于数据包的单向可靠传输方法及收发装置 |
| CN208063238U (zh) * | 2018-02-28 | 2018-11-06 | 北京崇远信达科技有限公司 | 数据加密安全网闸 |
| CN108881158A (zh) * | 2018-05-04 | 2018-11-23 | 北京明朝万达科技股份有限公司 | 数据交互系统和方法 |
| CN109391635A (zh) * | 2018-12-17 | 2019-02-26 | 北京奇安信科技有限公司 | 基于双向网闸的数据传输方法、装置、设备及介质 |
| CN109587450A (zh) * | 2018-12-20 | 2019-04-05 | 北京明朝万达科技股份有限公司 | 视频数据传输方法和系统 |
| CN109474628A (zh) * | 2018-12-27 | 2019-03-15 | 北京奇安信科技有限公司 | 一种基于双单向网闸的数据传输方法、系统、设备和介质 |
| CN110351028A (zh) * | 2019-07-15 | 2019-10-18 | 联想(北京)有限公司 | 一种数据处理方法及装置、以及电子设备 |
| CN110365779A (zh) * | 2019-07-17 | 2019-10-22 | 腾讯科技(深圳)有限公司 | 一种通信控制的方法、装置、电子设备和存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112351066A (zh) * | 2020-09-24 | 2021-02-09 | 成都飞机工业(集团)有限责任公司 | 一种基于单向光闸的信息双向传输方法及系统 |
| CN112866200A (zh) * | 2020-12-31 | 2021-05-28 | 深圳市东晟数据有限公司 | 一种复杂网络环境下的网络设备规则管理系统 |
| CN112866200B (zh) * | 2020-12-31 | 2022-03-08 | 深圳市东晟数据有限公司 | 一种复杂网络环境下的网络设备规则管理系统 |
| CN113965490A (zh) * | 2021-12-23 | 2022-01-21 | 网御安全技术(深圳)有限公司 | 网闸反向数据传输通道的测试方法、系统及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111083158B (zh) | 2022-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111083158B (zh) | 一种通过两单向网闸进行双向报文传输的处理方法及系统 | |
| US8908704B2 (en) | Switch with dual-function management port | |
| US9762429B2 (en) | Control protocol encapsulation | |
| US11979322B2 (en) | Method and apparatus for providing service for traffic flow | |
| US9414136B2 (en) | Methods and apparatus to route fibre channel frames using reduced forwarding state on an FCoE-to-FC gateway | |
| CN110022264B (zh) | 控制网络拥塞的方法、接入设备和计算机可读存储介质 | |
| EP2291959B1 (en) | A method of data delivery across a network fabric in a router or ethernet bridge | |
| US7900115B2 (en) | Replacement messages for identifying and preventing errors during the transmission of realtime-critical data | |
| CN107147655A (zh) | 一种网络双协议栈并行处理模型及其处理方法 | |
| WO2013128483A1 (ja) | 中継装置、中継装置の制御方法、及び、ネットワークシステム | |
| CN107124393B (zh) | 通过网络的远程主机管理 | |
| CN111262715B (zh) | 一种虚拟内网加速方法、系统和计算机设备 | |
| CN110959272B (zh) | Ip/mpls网络隧道中的缺陷检测 | |
| CN106100960B (zh) | 跨存储区域网络Fabric互通的方法、装置及系统 | |
| CN107508828A (zh) | 一种超远程数据交互系统及方法 | |
| CN108064441B (zh) | 一种加速网络传输优化方法以及系统 | |
| CA3122556A1 (en) | Communication method for one-way transmission based on vlan id and switch device using the same | |
| CN116760911A (zh) | 一种异构协议转换系统和方法 | |
| CN110493191B (zh) | Windows平台数据转发方法、装置、电子设备及可读存储介质 | |
| CN113794715A (zh) | 一种虚拟点对点网络数据发送、接收、应答方法及其系统 | |
| CN114553567B (zh) | 多方安全计算中的网络传输方法、系统、存储介质及计算设备 | |
| US11115506B2 (en) | Inner VXLAN tunnel packet detection | |
| CN113163025B (zh) | 一种数据传输方法、装置、设备及存储介质 | |
| TWI773394B (zh) | 用於基於vlan id的單向傳輸的通訊方法及使用其的交換器裝置 | |
| CN114363027B (zh) | 一种用于引流、回流、远程访问的控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |