CN202424770U - 一种网络数据安全隔离器 - Google Patents
一种网络数据安全隔离器 Download PDFInfo
- Publication number
- CN202424770U CN202424770U CN2011205083178U CN201120508317U CN202424770U CN 202424770 U CN202424770 U CN 202424770U CN 2011205083178 U CN2011205083178 U CN 2011205083178U CN 201120508317 U CN201120508317 U CN 201120508317U CN 202424770 U CN202424770 U CN 202424770U
- Authority
- CN
- China
- Prior art keywords
- data
- interface
- receiving
- network
- control unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型公开了一种网络数据安全隔离器,包括:接收接口,从外部接收数据;连接到所述接收接口的数据接收控制单元,对从所述接收接口接收到的数据进行存储,并控制数据接收的允许/禁止;数据发送控制单元,对将发送的数据进行存储,并控制发送数据的允许/禁止;连接到所述数据发送控制单元的发送接口,向外部发送数据;物理隔离单元,连接在所述数据接收控制单元和所述数据发送控制单元之间;以及控制器,连接到所述数据接收控制单元、所述数据发送控制单元和所述物理隔离单元,对系统提供统一时序和控制。利用本实用新型的网络数据安全隔离器,可以在不改变现有网络拓扑结构的基础上,通过对物理层硬件的控制,实现网络之间的数据的安全交换。
Description
技术领域
本实用新型涉及计算机网络数据安全领域,特别是涉及一种网络数据安全隔离器。
背景技术
随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出。
隔离卡是一种对两个网络(分别称为“内网”和“外网”)进行隔离的硬件设备,其作用包括“网络隔离”和“数据隔离”两方面,“网络隔离”是指对内、外两个网络进行隔离,使两个网络之间不能存在物理连接。“数据隔离”是隔离卡的最主要功能,是指把内、外网的数据资料进行隔离,保证在一个网络不能访问另一个网络的数据,以防止涉密信息泄漏、外网病毒和黑客入侵,从而保证内网数据的安全。
网络隔离技术需具备以下的安全要点。
(1)要具有高度的自身安全性
隔离产品要保证自身具有高度的安全性,至少在理论和实践上要比防火墙高一个安全级别。从技术实现上,除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外,关键在于要把外网接口和内网接口从一套操 作系统中分离出来。也就是说至少要由两套主机系统组成,一套控制外网接口,另一套控制内网接口,然后在两套主机系统之间通过不可路由的协议进行数据交换,如此,既便黑客攻破了外网系统,仍然无法控制内网系统,就达到了更高的安全级别。
(2)要确保网络之间是隔离的
保证网间隔离的关键是网络包不可路由到对方网络,无论中间采用了什么转换方法,只要最终使得一方的网络包能够进入到对方的网络中,都无法称之为隔离,即达不到隔离的效果。显然,只是对网间的包进行转发,并且允许建立端到端连接的防火墙,是没有任何隔离效果的。此外,那些只是把网络包转换为文本,交换到对方网络后,再把文本转换为网络包的产品也是没有做到隔离的。
(3)要保证网间交换的只是应用数据
既然要达到网络隔离,就必须做到彻底防范基于网络协议的攻击,即不能够让网络层的攻击包到达要保护的网络中,所以就必须进行协议分析,完成应用层数据的提取,然后进行数据交换,这样就把诸如TearDrop、Land、Smurf和SYN Flood等网络攻击包,彻底地阻挡在了可信网络之外,从而明显地增强了可信网络的安全性。
现有技术方案实现的原理图如图1所示。其具体做法是,在计算机上电初期,利用FPGA芯片采集硬盘的数据信号及网络选择信号,判别是否是上电初期及是否要选择的网络,然后对控制信号进行锁存,进而完成对继电器的控制,达到内外网络隔离的目的。这种方案有很多缺点:
(1)由于利用了数据信号,以及继电器切换的延时,使得继电器的切换是在最初的几个数据交换之后,导致IDE控制器不能完整的获得某块硬盘的信息(具体视内外网络连接的硬盘与系统缺省的硬盘而定),引起硬盘与主板产生兼容性问题;
(2)该方案必须在计算机带电的情况下才能完成内外网络的切换功能;在计算机进入休眠方式下,由于所用电源被切断,导致指示灯不能正确指示计算机所使用的网络;在休眠模式下切换,由于相关信息保存在内存里,会导致整个系统崩溃。
(3)由于双网系统频繁的断电、上电,影响计算机的使用效率,并且会缩短硬盘的使用寿命。
实用新型内容
本实用新型的目的是提供一种网络数据安全隔离器,其能够在不改变现有网络拓扑结构的基础上,实现网络之间的数据的安全交换。
根据本实用新型的第一方面,提供一种网络数据安全隔离器,包括:接收接口,从外部接收数据;连接到所述接收接口的数据接收控制单元,对从所述接收接口接收到的数据进行存储,并控制通过所述接收接口进行数据接收的允许/禁止;数据发送控制单元,对将发送的数据进行存储,并控制发送数据的允许/禁止;连接到所述数据发送控制单元的发送接口,向外部发送数据;物理隔离单元,连接在所述数据接收控制单元和所述数据发送控制单元之间;以及控制器,连接到所述数据接收控制单元、所述数据发送控制单元和所述物理隔离单元,对系统提供统一时序和控制;其中,所述物理隔离单元根据从所述控制器接收到的隔离控制信号,对所述数据接收控制单元和所述数据发送控制单元之间进行物理隔离或连通。
利用本实用新型的网络数据安全隔离器,可以在不改变现有网络拓扑结构的基础上,通过对物理层硬件的控制,实现网络之间的数据的安全交换。
附图说明
图1是示出现有的网络隔离卡的原理图;
图2是示出本实用新型的网络数据安全隔离器的结构示意图;以及
图3是本实用新型的网络数据安全隔离器与网络服务器之间的连接示 意图。
具体实施方式
下面,将参照附图详细说明本实用新型的优选实施方式。
如图2所示,本实用新型的网络数据安全隔离器包括:接收接口21,从外部接收数据;连接到所述接收接口21的数据接收控制单元22,对从所述接收接口21接收到的数据进行存储,并控制通过所述接收接口21进行数据接收的允许/禁止;数据发送控制单元23,对将发送至计算机内部的数据进行存储,并控制向计算机内部发送数据的允许/禁止;连接到所述数据发送控制单元23的发送接口24,向外部发送数据;物理隔离单元25,连接在所述数据接收控制单元22和所述数据发送控制单元23之间;以及控制器20,连接到所述数据接收控制单元22、所述数据发送控制单元23和所述物理隔离单元25,对系统提供统一时序和控制;其中,所述物理隔离单元25根据从所述控制器20接收到的隔离控制信号,对所述数据接收控制单元22和所述数据发送控制单元23之间进行物理隔离或连通。
上述的接收接口21和发送接口24可以是PCI接口、USB接口、串行接口或并行接口,用于从设备外部接收数据或向计算机发送数据。
所述数据接收控制单元22和数据发送控制单元23在其内各包括一FIFO(先进先出存储器),用于对数据进行存储。该FIFO的大小可以根据实际需要进行选择。所述数据接收控制单元22接收从接收接口21接收的数据帧,并对其进行解密。根据控制器20的控制,该数据接收控制单元22对其内的FIFO的状态进行检测;当FIFO没有满时,允许接收数据,置位接收使能信号有效,依次接收接收接口21上的数据并将其暂存在FIFO中;而当FIFO满时,不响应数据接收,并等待FIFO状态不满。在一个实施例中,FIFO可以选用IDT公司的IDT7202LA芯片。
所述数据发送控制单元23对数据进行加密,当接收设备方的接收使能 信号有效时候,将加密的数据发送至发送接口24。
控制器20可以是常见的单片机、FPGA等,用于对整个设备提供统一时序和控制,例如定义数据传输协议等等。在一个实施例中,可以选用ALTERA公司的FPGA 6000系列。
物理隔离单元25连接在所述数据接收控制单元22和所述数据发送控制单元23之间,并通过从所述控制器20接收隔离控制信号,来控制其自身使能信号电平的高、低,从而控制数据传输的通和断,实现了网络数据的物理隔离。在需要发送、接收数据时,使能信号有效,网络数据安全隔离器之间可以传输数据;而当没有数据传输请求时,使能信号无效,网络数据安全隔离器之间断开连接,通信双方无法进行数据传输。该物理隔离单元例如可以是16245芯片。
图3是示出本实用新型的网络数据安全隔离器与网络服务器之间的连接示意图。分别装配有本实用新型的网络数据安全隔离器的两台网络服务器(例如,该网络数据安全隔离器的发送接口是PCI接口,插在网络服务器的PCI上)是通过网络数据安全隔离器31和32相连的,两台网络服务器分别连接至网络(例如企业内网等等)。数据通过网络数据安全隔离器31和32传输,可以根据需要进行网络数据安全隔离器31和32的物理通断控制,实现了网络服务器之间的物理隔断。
利用本实用新型的网络数据安全隔离器,可以在不改变现有网络拓扑结构的基础上,通过对物理层硬件的控制,实现网络之间的数据的安全交换。
以上所述的结构和处理仅仅是示例性的,而并非用于限制本实用新型的范围。本领域的技术人员可以理解,可以对本实用新型进行各种改动,而不脱离本实用新型的精神和范围。
Claims (4)
1.一种网络数据安全隔离器,包括:
接收接口,从外部接收数据;
连接到所述接收接口的数据接收控制单元,对从所述接收接口接收到的数据进行存储,并控制通过所述接收接口进行数据接收的允许/禁止;
数据发送控制单元,对将发送的数据进行存储,并控制发送数据的允许/禁止;
连接到所述数据发送控制单元的发送接口,向外部发送数据;
物理隔离单元,连接在所述数据接收控制单元和所述数据发送控制单元之间;以及
控制器,连接到所述数据接收控制单元、所述数据发送控制单元和所述物理隔离单元,对系统提供统一时序和控制;
其中,所述物理隔离单元根据从所述控制器接收到的隔离控制信号,对所述数据接收控制单元和所述数据发送控制单元之间进行物理隔离或连通。
2.如权利要求1所述的网络数据安全隔离器,其中所述接收接口和发送接口是PCI接口、USB接口、串行接口和并行接口之一,所述接收接口连接到外部网络,而所述发送接口连接到网络服务器。
3.如权利要求1所述的网络数据安全隔离器,其中所述数据接收控制单元和数据发送控制单元各包括一FIFO。
4.如权利要求1所述的网络数据安全隔离器,其中所述控制器是单片机或FPGA。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011205083178U CN202424770U (zh) | 2011-12-08 | 2011-12-08 | 一种网络数据安全隔离器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011205083178U CN202424770U (zh) | 2011-12-08 | 2011-12-08 | 一种网络数据安全隔离器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN202424770U true CN202424770U (zh) | 2012-09-05 |
Family
ID=46749492
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011205083178U Expired - Fee Related CN202424770U (zh) | 2011-12-08 | 2011-12-08 | 一种网络数据安全隔离器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN202424770U (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103209191A (zh) * | 2013-05-08 | 2013-07-17 | 天津工业大学 | 一种实现内外网物理隔断的方法 |
| CN103237036A (zh) * | 2013-05-08 | 2013-08-07 | 天津工业大学 | 一种实现内外网物理隔断的装置 |
| CN104168324A (zh) * | 2014-08-26 | 2014-11-26 | 浪潮集团有限公司 | 一种安全云存储层 |
| CN104270393A (zh) * | 2014-10-17 | 2015-01-07 | 陕西理工学院 | 一种网络隔离系统 |
| CN105208043A (zh) * | 2015-10-13 | 2015-12-30 | 网易(杭州)网络有限公司 | 外网代理模块、内网代理模块、数据传输方法及系统 |
| CN105721476A (zh) * | 2016-02-25 | 2016-06-29 | 深圳市亿威尔信息技术股份有限公司 | 一种网络安全管理系统及方法 |
| CN106992987A (zh) * | 2017-04-15 | 2017-07-28 | 北京科罗菲特科技有限公司 | 一种基于usb的信息传输设备及方法 |
| CN113364774A (zh) * | 2021-06-04 | 2021-09-07 | 安徽云图信息技术有限公司 | 数据安全治理协同平台 |
-
2011
- 2011-12-08 CN CN2011205083178U patent/CN202424770U/zh not_active Expired - Fee Related
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103209191A (zh) * | 2013-05-08 | 2013-07-17 | 天津工业大学 | 一种实现内外网物理隔断的方法 |
| CN103237036A (zh) * | 2013-05-08 | 2013-08-07 | 天津工业大学 | 一种实现内外网物理隔断的装置 |
| CN104168324A (zh) * | 2014-08-26 | 2014-11-26 | 浪潮集团有限公司 | 一种安全云存储层 |
| CN104270393A (zh) * | 2014-10-17 | 2015-01-07 | 陕西理工学院 | 一种网络隔离系统 |
| CN104270393B (zh) * | 2014-10-17 | 2017-05-24 | 陕西理工学院 | 一种网络隔离系统 |
| CN105208043A (zh) * | 2015-10-13 | 2015-12-30 | 网易(杭州)网络有限公司 | 外网代理模块、内网代理模块、数据传输方法及系统 |
| CN105721476A (zh) * | 2016-02-25 | 2016-06-29 | 深圳市亿威尔信息技术股份有限公司 | 一种网络安全管理系统及方法 |
| CN105721476B (zh) * | 2016-02-25 | 2019-05-28 | 深圳市亿威尔信息技术股份有限公司 | 一种网络安全管理系统及方法 |
| CN106992987A (zh) * | 2017-04-15 | 2017-07-28 | 北京科罗菲特科技有限公司 | 一种基于usb的信息传输设备及方法 |
| CN113364774A (zh) * | 2021-06-04 | 2021-09-07 | 安徽云图信息技术有限公司 | 数据安全治理协同平台 |
| CN113364774B (zh) * | 2021-06-04 | 2022-07-15 | 安徽云图信息技术有限公司 | 数据安全治理协同平台 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN202424770U (zh) | 一种网络数据安全隔离器 | |
| EP2945350B1 (en) | Protocol splitter and corresponding communication method | |
| CN103684954B (zh) | 能冗余操作的工业通信系统和用于操作所述工业通信系统的方法 | |
| CN101710856B (zh) | 一种聚合链路的环回检测处理方法及设备 | |
| CN204350029U (zh) | 数据交互系统 | |
| CN204089858U (zh) | 一种安全隔离应用层网关 | |
| CN103237036A (zh) | 一种实现内外网物理隔断的装置 | |
| CN103209191A (zh) | 一种实现内外网物理隔断的方法 | |
| CN103401707A (zh) | 链路聚合方法及接入设备 | |
| CN103067359A (zh) | 一种基于连接复用的提高服务器并发处理能力的系统及方法 | |
| CN103929377A (zh) | 一种有线网络与无线网络联合调度方法、相关设备及系统 | |
| CN103731303A (zh) | 一种纵向融合架构接口实现多活性实体检测的方法及设备 | |
| CN111556062B (zh) | 一种具备单向导入功能的网络安全隔离装置及方法 | |
| CN203378090U (zh) | 智能舞台灯光云终端控制系统 | |
| CN107835222A (zh) | 基于复合物联网的燃气数据传输方法及物联网系统 | |
| CN102195984A (zh) | 一种安全传输设备 | |
| CN2684479Y (zh) | 单向连接网络安全隔离装置 | |
| CN202231742U (zh) | 网络隔离装置 | |
| CN202424768U (zh) | 一种网络安全隔离器 | |
| CN102694727A (zh) | 实现网络数据包转发加速的方法及装置 | |
| CN103281205A (zh) | 一种配置端口隔离信息的方法和网络设备 | |
| CN103595511A (zh) | 一种电力系统内部网络i区至iii区数据传输的方法 | |
| CN115086083A (zh) | 一种基于fpga的网闸隔离交换系统及方法 | |
| CN101997778A (zh) | 一种发送报文的方法和装置 | |
| CN102764504B (zh) | 一种信息输出方法及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120905 Termination date: 20131208 |