CN111526124A - 一种基于内外网的隔离通信系统及方法 - Google Patents

一种基于内外网的隔离通信系统及方法 Download PDF

Info

Publication number
CN111526124A
CN111526124A CN202010224622.8A CN202010224622A CN111526124A CN 111526124 A CN111526124 A CN 111526124A CN 202010224622 A CN202010224622 A CN 202010224622A CN 111526124 A CN111526124 A CN 111526124A
Authority
CN
China
Prior art keywords
physical interface
agent
module
proxy
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010224622.8A
Other languages
English (en)
Other versions
CN111526124B (zh
Inventor
王小峰
马骥
李昭熹
冀博
焦小涛
杨飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Jiean Information Technology Co Ltd
Original Assignee
Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Jiean Information Technology Co Ltd filed Critical Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority to CN202010224622.8A priority Critical patent/CN111526124B/zh
Publication of CN111526124A publication Critical patent/CN111526124A/zh
Application granted granted Critical
Publication of CN111526124B publication Critical patent/CN111526124B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了一种基于内外网的隔离通信系统及方法,所述系统包括:第一设备、第二设备、至少一个代理设备以及网闸,第一设备部署在外网,第二设备部署在内网;第一设备与第二设备能够进行网络通信,以实现数据交互;代理设备虚拟出前置代理模块和后置代理模块,前置代理模块通过代理设备自带的物理接口分别与第一设备和网闸进行通信连接,后置代理模块通过代理设备的物理接口分别与第二设备和网闸进行通信连接;网闸用于实现内外网之间的物理隔离。本发明能够节省基于内外网的隔离通信链路中的硬件部署成本;同时,本发明充分利用代理设备自带的物理接口等元器件资源,降低元器件资源的闲置率。

Description

一种基于内外网的隔离通信系统及方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于内外网的隔离通信系统及方法。
背景技术
随着计算机网络的发展和互联网的不断推广和应用,目前计算机网络安全已经是全球性的热点问题之一。在各种网络安全技术中,最具代表性的是防火墙技术。然后随着对防火墙技术的深入研究,逐渐的意识到防火墙存在着一定的局限性,无论是防火墙还是UTM等防护系统都无法保证攻击的阻断,入侵检测等监控系统也无法保证入侵行为完全被隔离和捕获,所以,目前最安全的方式就是通过网闸进行隔离。
由于网闸主要实现了内外网的逻辑隔离、物理隔离,在技术特征上,主要表现在网络模型各层(如物理层、链路层)的断开,各个协议(如TCP/IP协议、应用协议)的隔离。所以在网闸的前后侧需要配备前置代理机与后置代理机,以用于分别代理接收/发送内外网的网络数据包。传统的方案,前置代理机与后置代理机分别为独立的设备(如工控机),如果要构建一条基于内外网的隔离通信链路至少需要部署两个工控机和一个网闸,设备部署成本较高;同时,每个工控机上多余的物理网络端口也难以实现最大化利用,端口的利用率不高。
发明内容
基于上述,有必要提供一种基于内外网的隔离通信系统及方法,以实现内外网隔离通信的同时,进一步降低了通信链路的硬件部署成本。
本发明第一方面提出一种基于内外网的隔离通信系统,所述系统包括:第一设备、第二设备、至少一个代理设备以及网闸,所述第一设备部署在外网,所述第二设备部署在内网;
所述第一设备,用于产生对第二设备的第一访问请求,并接收来自第二设备的第一响应数据;
所述第二设备,用于产生对第一设备的第二访问请求,并接收来自第一设备的第二响应数据;
所述代理设备,通过虚拟技术虚拟出至少一个前置代理模块和至少一个后置代理模块,至少一个前置代理模块通过所述代理设备自带的物理接口分别与所述第一设备和所述网闸进行通信连接,至少一个后置代理模块通过所述代理设备自带的物理接口分别与所述第二设备和所述网闸进行通信连接;至少一个前置代理模块用于将所述第一访问请求或所述第二响应数据通过所述网闸发送给至少一个后置代理模块,并将接收到的第一响应数据或第二访问请求返回给所述第一设备;至少一个后置代理模块用于将所述第二访问请求或所述第一响应数据通过所述网闸发送给至少一个前置代理模块,并将接收到的第二响应数据或第一访问请求返回给所述第二设备;
所述网闸,用于实现内外网之间的物理隔离。
进一步的,所述前置代理模块与所述后置代理模块呈一一对应关系。
进一步的,所述代理设备包括m个物理接口,至少一个前置代理模块或至少一个后置代理模块的数量为n个,且m大于等于4n。
进一步的,所述代理设备包括至少八个物理接口;
至少八个物理接口包括第一物理接口、第二物理接口、第三物理接口、第四物理接口、第五物理接口、第六物理接口、第七物理接口、第八物理接口;
至少一个前置代理模块包括第一前置代理模块和第二前置代理模块;
至少一个后置代理模块包括第一后置代理模块和第二后置代理模块;
所述第一前置代理模块通过第一物理接口与第一设备进行通信连接,并通过第二物理接口与网闸进行通信连接;所述第一后置代理模块通过第三物理接口与网闸进行通信连接,并通过第四物理接口与第二设备进行通信连接,以建立第一业务的隔离通信链路;
所述第二前置代理模块通过第五物理接口与第一设备进行通信连接,并通过第六物理接口与网闸进行通信连接;所述第二后置代理模块通过第七物理接口与网闸进行通信连接,并通过第八物理接口与第二设备进行通信连接,以建立第二业务的隔离通信链路。
进一步的,所述代理设备为两个,分别为第一代理设备和第二代理设备;
第一代理设备包括前置代理模块A1和后置代理模块A2
第二代理设备包括前置代理模块B1和后置代理模块B2
所述第一代理设备还包括至少四个物理接口,分别为物理接口A3、物理接口A4、物理接口A5、物理接口A6
所述第二代理设备还包括至少四个物理接口,分别为物理接口B3、物理接口B4、物理接口B5、物理接口B6
所述第一代理设备的前置代理模块A1通过物理接口A3与第一设备进行通信连接,并通过物理接口A4与网闸进行通信连接;所述第一代理设备的后置代理模块A2通过物理接口A5与网闸进行通信连接,并通过物理接口A6与第二设备进行通信连接,以建立第一业务的隔离通信链路;
所述第二代理设备的前置代理模块B1通过物理接口B3与第一设备进行通信连接,并通过物理接口B4与网闸进行通信连接;所述第二代理设备的后置代理模块B2通过物理接口B5与网闸进行通信连接,并通过物理接口B6与第二设备进行通信连接,以建立第二业务的隔离通信链路。
进一步的,所述物理接口包括光纤接口、网线接口的任意一种或两种。
本发明第二方面还提出一种基于内外网的隔离通信方法,应用于上述的基于内外网的隔离通信系统,所述方法包括:
由第一设备产生向第二设备的第一访问请求;
通过代理设备虚拟的前置代理模块接收所述第一访问请求,并将其通过网闸进行物理隔离后发送给所述代理设备虚拟的后置代理模块;
所述后置代理模块接收所述第一访问请求并将其发送给所述第二设备;
由所述第二设备基于所述第一访问请求产生第一响应数据并将其返回给后置代理模块;
所述后置代理模块接收所述第一响应数据,并将其通过网闸进行物理隔离后发送给前置代理模块;
所述前置代理模块接收到第一响应数据并将其返回给所述第一设备。
进一步的,所述方法还包括:
由第二设备产生向第一设备的第二访问请求;
通过所述代理设备虚拟的后置代理模块接收所述第二访问请求,并将其通过网闸进行物理隔离后发送给所述代理设备虚拟的前置代理模块;
所述前置代理模块接收所述第二访问请求并将其发送给所述第一设备;
由所述第一设备基于所述第二访问请求产生第二响应数据并将其返回给前置代理模块;
所述前置代理模块接收所述第二响应数据,并将其通过网闸进行物理隔离后发送给后置代理模块;
所述后置代理模块接收到第二响应数据并将其返回给所述第二设备。
进一步的,所述代理设备虚拟出至少一个前置代理模块与至少一个后置代理模块,且至少一个前置代理模块与至少一个后置代理模块呈一一对应关系。
进一步的,所述代理设备包括m个物理接口,至少一个前置代理模块或至少一个后置代理模块的数量为n个,且m大于等于4n。
本发明通过在一个代理设备上虚拟出前置代理模块和后置代理模块以替代传统的两个代理设备,节省了部署成本。同时,本发明充分利用单个代理设备自带的物理接口等元器件资源,降低了元器件资源的闲置率,提升单个代理设备中元器件的资源利用率。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出了本发明一种基于内外网的隔离通信系统的框图;
图2示出了本发明一种基于内外网的隔离通信方法的流程图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了本发明一种基于内外网的隔离通信系统的框图。
如图1所示,本发明第一方面提出一种基于内外网的隔离通信系统,所述系统包括:第一设备、第二设备、至少一个代理设备以及网闸,所述第一设备部署在外网,所述第二设备部署在内网;
所述第一设备,用于产生对第二设备的第一访问请求,并接收来自第二设备的第一响应数据;
所述第二设备,用于产生对第一设备的第二访问请求,并接收来自第一设备的第二响应数据;
所述代理设备,通过虚拟技术虚拟出至少一个前置代理模块和至少一个后置代理模块,至少一个前置代理模块通过所述代理设备自带的物理接口分别与所述第一设备和所述网闸进行通信连接,至少一个后置代理模块通过所述代理设备自带的物理接口分别与所述第二设备和所述网闸进行通信连接;至少一个前置代理模块用于将接收到的所述第一访问请求或所述第二响应数据通过所述网闸发送给至少一个后置代理模块,并将接收到的第一响应数据或第二访问请求返回给所述第一设备;至少一个后置代理模块用于将接收到的所述第二访问请求或所述第一响应数据通过所述网闸发送给至少一个前置代理模块,并将接收到的第二响应数据或第一访问请求返回给所述第二设备;
所述网闸,用于实现内外网之间的物理隔离。
可以理解,所述第一设备和第二设备均可以为客户机或服务器,当访问方式为外网访问内网时,则所述第一设备被视为客户机,所述第二设备被视为服务器;当访问方式为内网访问外网时,则所述第二设备被视为客户机,所述第一设备被视为服务器。
可以理解,所述代理设备为物理设备,优选的,所述代理设备为工控机,但不限于此。本发明通过在一个代理设备上虚拟出前置代理模块和后置代理模块以替代传统的两个代理设备,节省了部署成本。同时,由于代理设备自带有多个物理接口,通常物理接口的数量超过两个,传统的方案,一个代理设备只能利用其中的两个物理接口,其中一个用于与第一设备或第二设备通信连接,另一个用于与网闸通信连接,然而对于剩余的物理接口不作利用,元器件的闲置率较高。本发明在一个代理设备虚拟出前置代理模块和后置代理模块,而每个前置代理模块和每个后置代理模块均会分别占用该代理设备自带的两个物理接口。因此,在现有单个代理设备的物理接口充足的前提下,本发明能够提升单个代理设备中的各个元器件的资源利用率,充分利用单个代理设备自带的所有元器件。
进一步的,所述前置代理模块与所述后置代理模块呈一一对应关系。
在本实施例中,前置代理模块与后置代理模块应配置相同的数量,并确保前置代理模块与后置代理模块呈一一对应关系,如此一来,每一个前置代理模块结合与之相对应的后置代理模块均可以构建独立的通信链路。优选的,前置代理模块与后置代理模块可以分别配置为一个,但不限于此。
进一步的,所述代理设备包括m个物理接口,至少一个前置代理模块或至少一个后置代理模块的数量为n个,且m大于等于4n。
可以理解,每个前置代理模块需要占用代理设备的两个物理接口,一个用于与第一设备建立通信连接,另一个用于与网闸建立通信连接;每个后置代理模块也需要占用代理设备的两个物理接口,一个用于与第二设备建立通信连接,另一个用于与网闸建立通信连接。因此由一个前置代理模块和一个后置代理模块构建的一条通信链路需要占用代理设备4个物理接口。进一步的,如果有n个前置代理模块和n个后置代理模块构建的n条通信链路,则需要占用代理设备4n个物理接口。所以,在具体的应用场景中,可以根据实际通信链路的数量来选择合适规格的代理设备,以使该代理设备的物理接口满足需求。
在具体实施例中,所述代理设备包括至少八个物理接口;
至少八个物理接口包括第一物理接口、第二物理接口、第三物理接口、第四物理接口、第五物理接口、第六物理接口、第七物理接口、第八物理接口;
至少一个前置代理模块包括第一前置代理模块和第二前置代理模块;
至少一个后置代理模块包括第一后置代理模块和第二后置代理模块;
所述第一前置代理模块通过第一物理接口与第一设备进行通信连接,并通过第二物理接口与网闸进行通信连接;所述第一后置代理模块通过第三物理接口与网闸进行通信连接,并通过第四物理接口与第二设备进行通信连接,以建立第一业务的隔离通信链路;
所述第二前置代理模块通过第五物理接口与第一设备进行通信连接,并通过第六物理接口与网闸进行通信连接;所述第二后置代理模块通过第七物理接口与网闸进行通信连接,并通过第八物理接口与第二设备进行通信连接,以建立第二业务的隔离通信链路。
可以理解,本发明可以根据代理设备的规格,如果代理设备上有足够多的物理接口,可以在一个代理设备上虚拟出多个代理模块(如两个前置代理模块和两个后置代理模块)。如此一来,只用一个代理设备就可以实现建立两个、甚至更多个隔离通信链路。
在具体实施例中,所述代理设备为两个,分别为第一代理设备和第二代理设备;
第一代理设备包括前置代理模块A1和后置代理模块A2
第二代理设备包括前置代理模块B1和后置代理模块B2
所述第一代理设备还包括至少四个物理接口,分别为物理接口A3、物理接口A4、物理接口A5、物理接口A6
所述第二代理设备还包括至少四个物理接口,分别为物理接口B3、物理接口B4、物理接口B5、物理接口B6
所述第一代理设备的前置代理模块A1通过物理接口A3与第一设备进行通信连接,并通过物理接口A4与网闸进行通信连接;所述第一代理设备的后置代理模块A2通过物理接口A5与网闸进行通信连接,并通过物理接口A6与第二设备进行通信连接,以建立第一业务的隔离通信链路;
所述第二代理设备的前置代理模块B1通过物理接口B3与第一设备进行通信连接,并通过物理接口B4与网闸进行通信连接;所述第二代理设备的后置代理模块B2通过物理接口B5与网闸进行通信连接,并通过物理接口B6与第二设备进行通信连接,以建立第二业务的隔离通信链路。
可以理解,根据代理设备的规格,一个代理设备上配置有限个物理接口。如一个代理设备仅有四个端口,可以在一个代理设备上虚拟出两个代理模块(一个前置代理模块和一个后置代理模块),如果需要建立两个业务的隔离通信链路,则需要配置两个代理设备和一个网闸,由第一设备、第一个代理设备虚拟的前置代理模块、网闸、第一个代理设备虚拟的后置代理模块、第二设备共同构建第一业务的隔离通信链路;由第一设备、第二个代理设备虚拟的前置代理模块、网闸、第二个代理设备虚拟的后置代理模块、第二设备共同构建第二业务的隔离通信链路。
具体的,所述第一业务可以为视频访问业务;所述第二业务可以为移动办公业务。但不限于此。
进一步的,所述物理接口包括光纤接口、网线接口的任意一种或两种。但不限于此。
在本发明的实施例中,可以将代理设备中所有种类的物理接口进行充分利用,提高单个代理设备上的物理接口的利用率,减少了物理接口的闲置率,实现了单个代理设备中元器件资源的最大化利用。
图2示出了本发明一种基于内外网的隔离通信方法的流程图。
如图2所示,本发明第二方面还提出一种基于内外网的隔离通信方法,应用于上述的基于内外网的隔离通信系统,所述方法包括:
S201,由第一设备产生向第二设备的第一访问请求;
S202,通过代理设备虚拟的前置代理模块接收所述第一访问请求,并将其通过网闸进行物理隔离后发送给所述代理设备虚拟的后置代理模块;
S203,所述后置代理模块接收所述第一访问请求并将其发送给所述第二设备;
S204,由所述第二设备基于所述第一访问请求产生第一响应数据并将其返回给后置代理模块;
S205,所述后置代理模块接收所述第一响应数据,并将其通过网闸进行物理隔离后发送给前置代理模块;
S206,所述前置代理模块接收到第一响应数据并将其返回给所述第一设备。
上述步骤S201至S206示出了外网访问内网的隔离通信方法。
本发明还包括内网访问外网的隔离通信方法,所述方法包括如下步骤:
由第二设备产生向第一设备的第二访问请求;
通过所述代理设备虚拟的后置代理模块接收所述第二访问请求,并将其通过网闸进行物理隔离后发送给所述代理设备虚拟的前置代理模块;
所述前置代理模块接收所述第二访问请求并将其发送给所述第一设备;
由所述第一设备基于所述第二访问请求产生第二响应数据并将其返回给前置代理模块;
所述前置代理模块接收所述第二响应数据,并将其通过网闸进行物理隔离后发送给后置代理模块;
所述后置代理模块接收到第二响应数据并将其返回给所述第二设备。
进一步的,所述代理设备虚拟出至少一个前置代理模块与至少一个后置代理模块,且至少一个前置代理模块与至少一个后置代理模块呈一一对应关系。
进一步的,所述代理设备包括m个物理接口,至少一个前置代理模块或至少一个后置代理模块的数量为n个,且m大于等于4n。
进一步的,所述代理设备包括至少八个物理接口;
至少八个物理接口包括第一物理接口、第二物理接口、第三物理接口、第四物理接口、第五物理接口、第六物理接口、第七物理接口、第八物理接口;
至少一个前置代理模块包括第一前置代理模块和第二前置代理模块;
至少一个后置代理模块包括第一后置代理模块和第二后置代理模块;
所述第一前置代理模块通过第一物理接口与第一设备进行通信连接,并通过第二物理接口与网闸进行通信连接;所述第一后置代理模块通过第三物理接口与网闸进行通信连接,并通过第四物理接口与第二设备进行通信连接,以建立第一业务的隔离通信链路;
所述第二前置代理模块通过第五物理接口与第一设备进行通信连接,并通过第六物理接口与网闸进行通信连接;所述第二后置代理模块通过第七物理接口与网闸进行通信连接,并通过第八物理接口与第二设备进行通信连接,以建立第二业务的隔离通信链路。
进一步的,所述代理设备为两个,分别为第一代理设备和第二代理设备;
第一代理设备包括前置代理模块A1和后置代理模块A2
第二代理设备包括前置代理模块B1和后置代理模块B2
所述第一代理设备还包括至少四个物理接口,分别为物理接口A3、物理接口A4、物理接口A5、物理接口A6
所述第二代理设备还包括至少四个物理接口,分别为物理接口B3、物理接口B4、物理接口B5、物理接口B6
所述第一代理设备的前置代理模块A1通过物理接口A3与第一设备进行通信连接,并通过物理接口A4与网闸进行通信连接;所述第一代理设备的后置代理模块A2通过物理接口A5与网闸进行通信连接,并通过物理接口A6与第二设备进行通信连接,以建立第一业务的隔离通信链路;
所述第二代理设备的前置代理模块B1通过物理接口B3与第一设备进行通信连接,并通过物理接口B4与网闸进行通信连接;所述第二代理设备的后置代理模块B2通过物理接口B5与网闸进行通信连接,并通过物理接口B6与第二设备进行通信连接,以建立第二业务的隔离通信链路。
优选的,所述物理接口包括光纤接口、网线接口的任意一种或两种。
本发明通过在一个代理设备上虚拟出前置代理模块和后置代理模块以替代传统的两个代理设备,节省了部署成本。同时,本发明充分利用单个代理设备自带的物理接口等元器件资源,降低了元器件资源的闲置率,提升单个代理设备中元器件的资源利用率。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种基于内外网的隔离通信系统,其特征在于,所述系统包括:第一设备、第二设备、至少一个代理设备以及网闸,所述第一设备部署在外网,所述第二设备部署在内网;
所述第一设备,用于产生对第二设备的第一访问请求,并接收来自第二设备的第一响应数据;
所述第二设备,用于产生对第一设备的第二访问请求,并接收来自第一设备的第二响应数据;
所述代理设备,通过虚拟技术虚拟出至少一个前置代理模块和至少一个后置代理模块,至少一个前置代理模块通过所述代理设备自带的物理接口分别与所述第一设备和所述网闸进行通信连接,至少一个后置代理模块通过所述代理设备自带的物理接口分别与所述第二设备和所述网闸进行通信连接;至少一个前置代理模块用于将所述第一访问请求或所述第二响应数据通过所述网闸发送给至少一个后置代理模块,并将接收到的第一响应数据或第二访问请求返回给所述第一设备;至少一个后置代理模块用于将所述第二访问请求或所述第一响应数据通过所述网闸发送给至少一个前置代理模块,并将接收到的第二响应数据或第一访问请求返回给所述第二设备;
所述网闸,用于实现内外网之间的物理隔离。
2.根据权利要求1所述的一种基于内外网的隔离通信系统,其特征在于,所述前置代理模块与所述后置代理模块呈一一对应关系。
3.根据权利要求2所述的一种基于内外网的隔离通信系统,其特征在于,所述代理设备包括m个物理接口,至少一个前置代理模块或至少一个后置代理模块的数量为n个,且m大于等于4n。
4.根据权利要求3所述的一种基于内外网的隔离通信系统,其特征在于,所述代理设备包括至少八个物理接口;
至少八个物理接口包括第一物理接口、第二物理接口、第三物理接口、第四物理接口、第五物理接口、第六物理接口、第七物理接口、第八物理接口;
至少一个前置代理模块包括第一前置代理模块和第二前置代理模块;
至少一个后置代理模块包括第一后置代理模块和第二后置代理模块;
所述第一前置代理模块通过第一物理接口与第一设备进行通信连接,并通过第二物理接口与网闸进行通信连接;所述第一后置代理模块通过第三物理接口与网闸进行通信连接,并通过第四物理接口与第二设备进行通信连接,以建立第一业务的隔离通信链路;
所述第二前置代理模块通过第五物理接口与第一设备进行通信连接,并通过第六物理接口与网闸进行通信连接;所述第二后置代理模块通过第七物理接口与网闸进行通信连接,并通过第八物理接口与第二设备进行通信连接,以建立第二业务的隔离通信链路。
5.根据权利要求3所述的一种基于内外网的隔离通信系统,其特征在于,所述代理设备为两个,分别为第一代理设备和第二代理设备;
第一代理设备包括前置代理模块A1和后置代理模块A2
第二代理设备包括前置代理模块B1和后置代理模块B2
所述第一代理设备还包括至少四个物理接口,分别为物理接口A3、物理接口A4、物理接口A5、物理接口A6
所述第二代理设备还包括至少四个物理接口,分别为物理接口B3、物理接口B4、物理接口B5、物理接口B6
所述第一代理设备的前置代理模块A1通过物理接口A3与第一设备进行通信连接,并通过物理接口A4与网闸进行通信连接;所述第一代理设备的后置代理模块A2通过物理接口A5与网闸进行通信连接,并通过物理接口A6与第二设备进行通信连接,以建立第一业务的隔离通信链路;
所述第二代理设备的前置代理模块B1通过物理接口B3与第一设备进行通信连接,并通过物理接口B4与网闸进行通信连接;所述第二代理设备的后置代理模块B2通过物理接口B5与网闸进行通信连接,并通过物理接口B6与第二设备进行通信连接,以建立第二业务的隔离通信链路。
6.根据权利要求1所述的一种基于内外网的隔离通信系统,其特征在于,所述物理接口包括光纤接口、网线接口的任意一种或两种。
7.一种基于内外网的隔离通信方法,应用于上述权利要求1至6任意一项所述的基于内外网的隔离通信系统,其特征在于,所述方法包括:
由第一设备产生向第二设备的第一访问请求;
通过代理设备虚拟的前置代理模块接收所述第一访问请求,并将其通过网闸进行物理隔离后发送给所述代理设备虚拟的后置代理模块;
所述后置代理模块接收所述第一访问请求并将其发送给所述第二设备;
由所述第二设备基于所述第一访问请求产生第一响应数据并将其返回给后置代理模块;
所述后置代理模块接收所述第一响应数据,并将其通过网闸进行物理隔离后发送给前置代理模块;
所述前置代理模块接收到第一响应数据并将其返回给所述第一设备。
8.根据权利要求7所述的一种基于内外网的隔离通信方法,其特征在于,所述方法还包括:
由第二设备产生向第一设备的第二访问请求;
通过所述代理设备虚拟的后置代理模块接收所述第二访问请求,并将其通过网闸进行物理隔离后发送给所述代理设备虚拟的前置代理模块;
所述前置代理模块接收所述第二访问请求并将其发送给所述第一设备;
由所述第一设备基于所述第二访问请求产生第二响应数据并将其返回给前置代理模块;
所述前置代理模块接收所述第二响应数据,并将其通过网闸进行物理隔离后发送给后置代理模块;
所述后置代理模块接收到第二响应数据并将其返回给所述第二设备。
9.根据权利要求7所述的一种基于内外网的隔离通信方法,其特征在于,所述代理设备虚拟出至少一个前置代理模块与至少一个后置代理模块,且至少一个前置代理模块与至少一个后置代理模块呈一一对应关系。
10.根据权利要求9所述的一种基于内外网的隔离通信方法,其特征在于,所述代理设备包括m个物理接口,至少一个前置代理模块或至少一个后置代理模块的数量为n个,且m大于等于4n。
CN202010224622.8A 2020-03-26 2020-03-26 一种基于内外网的隔离通信系统及方法 Active CN111526124B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010224622.8A CN111526124B (zh) 2020-03-26 2020-03-26 一种基于内外网的隔离通信系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010224622.8A CN111526124B (zh) 2020-03-26 2020-03-26 一种基于内外网的隔离通信系统及方法

Publications (2)

Publication Number Publication Date
CN111526124A true CN111526124A (zh) 2020-08-11
CN111526124B CN111526124B (zh) 2022-06-24

Family

ID=71901819

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010224622.8A Active CN111526124B (zh) 2020-03-26 2020-03-26 一种基于内外网的隔离通信系统及方法

Country Status (1)

Country Link
CN (1) CN111526124B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114500653A (zh) * 2022-01-27 2022-05-13 阿里巴巴(中国)有限公司 数据访问系统、方法及计算设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1571398A (zh) * 2004-04-29 2005-01-26 上海交通大学 基于代理映射的网络安全隔离与信息交换系统及方法
CN105656883A (zh) * 2015-12-25 2016-06-08 冶金自动化研究设计院 一种适用于工控网络的单向传输内外网安全隔离网闸
US20160379005A1 (en) * 2010-03-31 2016-12-29 Security First Corp. Systems and methods for securing data in motion
US20170111336A1 (en) * 2015-10-14 2017-04-20 FullArmor Corporation Resource access system and method
CN108040060A (zh) * 2017-12-18 2018-05-15 杭州优云软件有限公司 跨网闸通信的方法及装置
CN109067811A (zh) * 2018-10-22 2018-12-21 南京科远自动化集团股份有限公司 用于物理隔离网闸的内外网处理单元自动识别位置的方法
CN109150702A (zh) * 2018-08-16 2019-01-04 南京南瑞信息通信科技有限公司 一种连通信息内外网的高性能移动接入网关及其方法
CN110912940A (zh) * 2019-12-25 2020-03-24 普世(南京)智能科技有限公司 一种基于双单向交换设备的隔离网络透明业务访问方法及系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1571398A (zh) * 2004-04-29 2005-01-26 上海交通大学 基于代理映射的网络安全隔离与信息交换系统及方法
US20160379005A1 (en) * 2010-03-31 2016-12-29 Security First Corp. Systems and methods for securing data in motion
US20170111336A1 (en) * 2015-10-14 2017-04-20 FullArmor Corporation Resource access system and method
CN105656883A (zh) * 2015-12-25 2016-06-08 冶金自动化研究设计院 一种适用于工控网络的单向传输内外网安全隔离网闸
CN108040060A (zh) * 2017-12-18 2018-05-15 杭州优云软件有限公司 跨网闸通信的方法及装置
CN109150702A (zh) * 2018-08-16 2019-01-04 南京南瑞信息通信科技有限公司 一种连通信息内外网的高性能移动接入网关及其方法
CN109067811A (zh) * 2018-10-22 2018-12-21 南京科远自动化集团股份有限公司 用于物理隔离网闸的内外网处理单元自动识别位置的方法
CN110912940A (zh) * 2019-12-25 2020-03-24 普世(南京)智能科技有限公司 一种基于双单向交换设备的隔离网络透明业务访问方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
付建辉: "基于物理隔离的内网与外网信息交换研究", 《兰台世界》 *
连礼泉等: "基于多网闸的安全数据交换系统设计与实现", 《电脑知识与技术》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114500653A (zh) * 2022-01-27 2022-05-13 阿里巴巴(中国)有限公司 数据访问系统、方法及计算设备

Also Published As

Publication number Publication date
CN111526124B (zh) 2022-06-24

Similar Documents

Publication Publication Date Title
US11252183B1 (en) System and method for ransomware lateral movement protection in on-prem and cloud data center environments
US20130133068A1 (en) Method, apparatus and system for preventing ddos attacks in cloud system
CA2414869A1 (en) Method and apparatus for providing computer services
KR101472685B1 (ko) 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템
CN1761240A (zh) 用于高度可实现性应用的智能集成网络安全设备
CN114615082B (zh) 一种使用正反向网闸模拟tcp双工安全通讯系统和方法
CN111431881A (zh) 一种基于windows操作系统的诱捕节点实现方法及装置
JP4751379B2 (ja) 自動セキュリティ・プラットフォーム
CN111935312B (zh) 一种工业互联网容器云平台及其流量接入控制方法
CN104506548A (zh) 一种数据包重定向装置、虚拟机安全保护方法及系统
CN111526124B (zh) 一种基于内外网的隔离通信系统及方法
CN112953932B (zh) 基于ca证书的身份认证网关集成设计方法及集成系统
CN117118914A (zh) 流量限速方法、系统、装置、设备及介质
JP5345651B2 (ja) セキュアトンネリングプラットフォームシステム及び方法
CN107104964B (zh) 一种网络安全终端及使用方法
RU186862U1 (ru) Абонентское сетевое устройство с виртуализированными сетевыми функциями
CN103179218B (zh) 一种为云电脑分配ip地址的方法和系统
CN201707676U (zh) 虚拟化企业信息管理系统
CN114124477B (zh) 一种业务服务系统及方法
Vizvary Mitigation of DDoS attacks in software defined networks
Nessett A systematic methodology for analyzing security threats to interprocess communication in a distributed system
Bikbulatov et al. Simulation of DDoS attack on software defined networks
CN112202659B (zh) 一种道系统下网桥实现方法
KR102184757B1 (ko) 네트워크 은닉 시스템 및 방법
KR20170111305A (ko) 망 분리된 네트워크 간 udp 프로토콜을 지원하는 망 연계 방법과 컴퓨터 네트워크 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant