CN202231742U - 网络隔离装置 - Google Patents
网络隔离装置 Download PDFInfo
- Publication number
- CN202231742U CN202231742U CN2011203654659U CN201120365465U CN202231742U CN 202231742 U CN202231742 U CN 202231742U CN 2011203654659 U CN2011203654659 U CN 2011203654659U CN 201120365465 U CN201120365465 U CN 201120365465U CN 202231742 U CN202231742 U CN 202231742U
- Authority
- CN
- China
- Prior art keywords
- network
- isolation
- protocol
- card
- tcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型涉及一种网络隔离装置,该隔离装置包括有两个PCI总线接口、两个隔离卡和LVDS总线,所述两个隔离卡上都设置有依次连接的TCP/IP协议栈、协议分析模块、协议重构模块和会话模块;所述PCI总线接口分别与两个隔离卡的TCP/IP协议栈连接,而LVDS总线与两个隔离卡的会话模块连接。本实用新型结构简单,使用方便,真正实现内外网络之间的协议隔离,保证内部网络安全,黑客不能与内部网络建立直接TCP/IP的会话,其中核心的隔离卡的功能不可编程的;提供内容审查,DNS保护,能抵抗恶意攻击行为;数据可以双向传输,即提供用户很好的安全性,也方便用户的数据访问。
Description
技术领域
本实用新型涉及一种网络隔离装置。
背景技术
信息化是发展我国经济的必由之路,可以说,在当今世界上,谁的信息化程度愈高,谁就占据着经济发展的主动。
电子政务作为国家信息化建设的重点工程,对于提高政府办公效率、增加政府办公透明度有重要作用。但是,电子政务建设的发展也给我们提出了新的问题。
尽管防火墙(Firewall)在安全防御中作为一种核心的访问控制手段,起到了不可替代的作用,但以防火墙为核心的防御体系已经不能满足网络安全的真正需求,因为防火墙始终保持了可信网络与不可信网络之间的TCP/IP连接。这样就不可能真正解决内外网络之间信息交互的安全问题。一旦防火墙因攻击或故障失效,或不能正确实现其职能时,始终存在的TCP/IP连接就成为攻击者攻击受保护网络的罪恶之手。因此,设计一种TCP/IP连接断开同时逻辑连接的安全设备是意义重大的。正是基于以上的想法,产生了新的协议隔离技术(GAP)。
协议隔离的指导思想与防火墙有很大的不同:(1)防火墙的思路是在保障互联互通的前提下,尽可能安全,而(2)协议隔离的思路是在保证必须安全的前提下,尽可能互联互通。通过协议隔离设备可以解决目前防火墙(Firewall)存在的根本问题:
1)防止TCP/IP的协议漏洞:其中一段不用TCP/IP,使用独立的GAP协议;
2)屏蔽防火墙中内网、外网和DMZ同时直接TCP/IP连接:采用双主机结构;
3)防护应用协议的漏洞,因为应用协议的命令和指令可能是非法的:进行应用层级别的协议内容检查。
在国内,目前许多公司开展了隔离技术研究,并推出了自己产品,但性能不如国外。最初第一代隔离技术提出的是双网的概念、即每个用户拥有两台独立的计算机,这种方式的最大缺点就是对资源的严重浪费,随着硬件和软件产品的飞速发展第二代第三代隔离产品相继问世。这些新产品在技术上比较第一代有了很大的改进与提高,方便了客户,降低了成本,但还是有很多问题没有得到妥善的解决,如内外网络物理隔离问题、内外网的信息高速交换问题等。国内现有的网络隔离产品,有的只是实现了隔离功能,但是内、外网络之间不能进行信息交换;有的产品虽然有内、外网信息交换功能,但是速度很慢,不能满足当今网络数据进行高速交换的需求。总之,目前国内的隔离技术存在如下问题:
1)有的是单纯基于开关方式隔离,不能在内外网络之间方便地进行数据交换;
2)即使是有基于开关方式数据交换功能的隔离技术,也是速度很慢,最高不过10Mbit/s;
3)没有高级的应用层检查功能、也没有病毒检测功能;
4)支持的用户数目少,只能针对很小的网络等诸多问题。
实用新型内容
本实用新型所要解决的技术问题是提出一种网络双向协议隔离装置,实现可信网络与不可信网络的之间的真正隔离,确保可信网络不受攻击,增强其安全系数。
本实用新型所提供的技术方案是:一种网络双向协议隔离装置,该隔离装置包括有两个PCI总线接口、两个隔离卡和LVDS总线,所述两个隔离卡上都设置有依次连接的TCP/IP协议栈、协议分析模块、协议重构模块和会话模块;所述PCI总线接口分别与两个隔离卡的TCP/IP协议栈连接,而LVDS总线与两个隔离卡的会话模块连接。
该隔离装置包括有两块安全板,两块隔离卡分别通过两个PCI总线接口插接在两块安全板上;该两块安全板上都设有网线插槽和电源接口;一主备电源,用于通过该电源接口为安全板单独供电。
所述两块安全板上都插有内存条。
本实用新型有如下优点:结构简单,使用方便,真正实现内外网络之间的协议隔离,保证内部网络安全,黑客不能与内部网络建立直接TCP/IP的会话,其中核心的隔离卡的功能不可编程的;提供内容审查,DNS保护,能抵抗恶意攻击行为;数据可以双向传输,即提供用户很好的安全性,也方便用户的数据访问。
附图说明
下面结合附图和具体实施例来说明本实用新型。
图1为本实用新型的原理框图;
图2为本实用新型的结构框图。
其中:1:不可信端隔离卡 2:可信端隔离卡 3:LVDS总线
11:不可信端安全板 21:可信端安全板
4:外网接口 5:内网接口
6:内存条 7:外接电源
具体实施方式
如图1所示的一种网络双向协议隔离装置的原理图,包括有两个PCI总线接口、两个隔离卡(不可信端隔离卡1、可信端隔离卡2)和LVDS总线3,不可信端隔离卡1和可信端隔离卡2(图中虚线框所示)上都设置有依次连接的TCP/IP协议栈、协议分析模块、协议重构模块和会话模块;所述PCI总线接口分别与两个隔离卡的TCP/IP协议栈连接,而LVDS总线3与两个隔离卡的会话模块连接。
如图1所示的一种网络双向协议隔离装置,包括有不可信端隔离卡1、可信端隔离卡2、LVDS总线3,还包括有不可信安全板11和可信端安全板21,不可信端隔离卡1通过不可信端网络PCI总线接口插接在不可信端安全板11上,可信端隔离卡2通过可信端网络PCI总线接口插接在可信端安全板21上;不可信端安全板11上设有外网接口4和电源接口,可信端安全板21上设有内网接口5和电源接口,两处的电源接口与外接电源7连接;不可信端安全板11和可信端安全板21上都插有内存条6,内存条6储存启动隔离卡的程序。
通过外网接口4与外部网络相连的计算机相连,内网接口5与内部网络相连的计算机相连,LVDS总线3用于在两个隔离卡之间传输数据,其交换速率可以达到1G/bps。不可信端隔离卡1和可信端隔离卡2的功能是对称的,它们的功能主要表现在将可信/不可信端计算机传输的专用格式的应用数据包进行源鉴别、缓存、中继等处理,并通过程序隔离开关传送到对端。
一主备电源,用于通过该电源接口为安全板单独供电。
关于隔离装置的具体电路,可采用现有的D1型号为PCI9054C芯片,为PLX公司开发的PCI总线接口芯片,主要功能为实现安全板和计算机之间的PCI连接和数据传输;
D2型号为XC2S100PQ208芯片,为XILINX公司开发的FPGA芯片,主要功能为实现安全板高速数据传输,以及完成安全板内部接口控制功能;
D3和D4型号为IDT72V3670芯片,为IDT公司开发的大容量同步FIFO芯片,主要功能为实现数据的发送和接收,在进行LVDS信号转化发送之前起到缓存数据的作用;
D5型号为XCF01S芯片,为XILINX公司开发的串行PROM,存储的XC2S100PQ208的执行逻辑,用于XC2S100PQ208的在线配置;
D9和D10的型号分别为SN65LVDS96和SN65LVDS95芯片,为TI公司开发的多通道高速LVDS串行总线的串行调制器和解调器,其中,SN65LVDS95为串行发送芯片,SN65LVDS96为串行解调器接收芯片,主要功能为实现安全板间高速数据连接。
使用时,网络数据通过网络双向协议隔离装置的步骤为:
a、网络数据为TCP/IP数据,通过不可信端网络接口层传递TCP/IP协议栈;
b、TCP/IP协议栈根据对网络数据依据全局安全策略库中的访问控制规则进行简单的访问控制;
c、TCP/IP数据在由TCP/IP协议栈传递给协议分析模块,协议分析模块根据应用协议不同采用不同应用协议状态机处理,其中,协议分析模块中输入的是TCP/IP应用协议数据,输出的GAP协议数据包;
d、GAP协议数据包由协议分析模块传递给会话模块,会话模块启动具体的隔离程序,把合理的数据摆渡带对方的会话模块中;
e、当数据传输到对端时,对端会话模块依据数据的会话ID,把GAP数据连同控制信息交到特定的协议重构模块,协议重构模块依据全局安全策略库的设置,完成应用数据协议重组,并交给TCP/IP协议栈处理;其中,协议重构模块中输入的是GAP协议数据包,输出的TCP/IP应用协议数据;
f、通过网络,TCP/IP协议栈构造合法数据包,通过可信端网络进行传输处理;
g、在需将内部网络中的TCP/IP数据传输到外部网络时,通过可信端网络接口层传递TCP/IP协议栈;
h、重复上述步骤b;
i、重复上述步骤c;
j、重复上述步骤d;
k、重复上述步骤e;
l、通过网络,TCP/IP协议栈构造合法数据包,通过不可信端网络进行传输处理。
由上述步骤可知,当数据通过该隔离装置,其格式经过变化:TCP/IP协议与GAP协议进行互换,从而实现协议隔离作用。
Claims (2)
1.一种网络隔离装置,其特征在于:该隔离装置包括有两个PCI总线接口、两个隔离卡和LVDS总线,所述两个隔离卡上都设置有依次连接的TCP/IP协议栈、协议分析模块、协议重构模块和会话模块;所述PCI总线接口分别与两个隔离卡的TCP/IP协议栈连接,而LVDS总线与两个隔离卡的会话模块连接;该隔离装置包括有两块安全板,两块隔离卡分别通过两个PCI总线接口插接在两块安全板上;该两块安全板上都设有网线插槽和电源接口;一主备电源,用于通过该电源接口为安全板单独供电。
2.根据权利要求1所述的隔离装置,其特征在于:所述两块安全板上都插有内存条。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011203654659U CN202231742U (zh) | 2011-09-28 | 2011-09-28 | 网络隔离装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011203654659U CN202231742U (zh) | 2011-09-28 | 2011-09-28 | 网络隔离装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN202231742U true CN202231742U (zh) | 2012-05-23 |
Family
ID=46082314
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011203654659U Expired - Fee Related CN202231742U (zh) | 2011-09-28 | 2011-09-28 | 网络隔离装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN202231742U (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270393A (zh) * | 2014-10-17 | 2015-01-07 | 陕西理工学院 | 一种网络隔离系统 |
| CN104601575A (zh) * | 2015-01-16 | 2015-05-06 | 网神信息技术(北京)股份有限公司 | 基于单向安全隔离网闸的数据传输方法和系统 |
| CN107070907A (zh) * | 2017-03-31 | 2017-08-18 | 杭州通悟科技有限公司 | 内外网数据单向传输方法及系统 |
| CN111294221A (zh) * | 2018-12-07 | 2020-06-16 | 网宿科技股份有限公司 | 一种基于haproxy的网络隔离配置方法及其装置 |
-
2011
- 2011-09-28 CN CN2011203654659U patent/CN202231742U/zh not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270393A (zh) * | 2014-10-17 | 2015-01-07 | 陕西理工学院 | 一种网络隔离系统 |
| CN104270393B (zh) * | 2014-10-17 | 2017-05-24 | 陕西理工学院 | 一种网络隔离系统 |
| CN104601575A (zh) * | 2015-01-16 | 2015-05-06 | 网神信息技术(北京)股份有限公司 | 基于单向安全隔离网闸的数据传输方法和系统 |
| CN107070907A (zh) * | 2017-03-31 | 2017-08-18 | 杭州通悟科技有限公司 | 内外网数据单向传输方法及系统 |
| CN111294221A (zh) * | 2018-12-07 | 2020-06-16 | 网宿科技股份有限公司 | 一种基于haproxy的网络隔离配置方法及其装置 |
| CN111294221B (zh) * | 2018-12-07 | 2023-03-03 | 网宿科技股份有限公司 | 一种基于haproxy的网络隔离配置方法及其装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109842585B (zh) | 面向工业嵌入式系统的网络信息安全防护单元和防护方法 | |
| CN101127760A (zh) | 网络中双向协议隔离方法及其装置 | |
| CN101127761A (zh) | 网络中单向协议隔离方法及其装置 | |
| CN104683352B (zh) | 一种具有双通道摆渡的工业通讯隔离网闸 | |
| CN202231742U (zh) | 网络隔离装置 | |
| CN110943913A (zh) | 一种工业安全隔离网关 | |
| CN204089858U (zh) | 一种安全隔离应用层网关 | |
| CN202424770U (zh) | 一种网络数据安全隔离器 | |
| CN101986638A (zh) | 千兆单向型网络隔离装置 | |
| CN106506510A (zh) | 动态振动信号数据跨网闸传输系统及其方法 | |
| CN103209191A (zh) | 一种实现内外网物理隔断的方法 | |
| CN103237036A (zh) | 一种实现内外网物理隔断的装置 | |
| DE112012003293T5 (de) | Vorrichtung und Verfahren zur Verbesserung der Datensicherheit in einer Host-Computer-Vorrichtung und einer Peripherie-Vorrichtung | |
| CN101483649A (zh) | 一种基于fpga的网络安全内容处理卡 | |
| CN107733871A (zh) | 网络安全隔离系统 | |
| CN102055765A (zh) | 一种网络通信系统 | |
| CN104270393A (zh) | 一种网络隔离系统 | |
| CN107612679A (zh) | 一种基于国密算法的安全以太网桥加扰终端 | |
| CN204089849U (zh) | 一种基于工业控制协议的网络隔离装置 | |
| CN105516189A (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| CN204719759U (zh) | 一种计算机网络病毒隔离系统 | |
| CN202979014U (zh) | 网络隔离装置 | |
| CN200941631Y (zh) | 网络单向协议隔离装置 | |
| CN201936307U (zh) | 电力系统专用物理隔离装置 | |
| CN2684479Y (zh) | 单向连接网络安全隔离装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120523 Termination date: 20130928 |