CN204089858U - 一种安全隔离应用层网关 - Google Patents
一种安全隔离应用层网关 Download PDFInfo
- Publication number
- CN204089858U CN204089858U CN201420266842.7U CN201420266842U CN204089858U CN 204089858 U CN204089858 U CN 204089858U CN 201420266842 U CN201420266842 U CN 201420266842U CN 204089858 U CN204089858 U CN 204089858U
- Authority
- CN
- China
- Prior art keywords
- soft switch
- intranet
- outer net
- end processor
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 29
- 230000003993 interaction Effects 0.000 claims abstract description 26
- 230000005540 biological transmission Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 125000006850 spacer group Chemical group 0.000 description 3
- 230000003139 buffering effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000000034 method Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000013497 data interchange Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型公开了一种安全隔离应用层网关,其由软交换前置机、正向隔离设备、反向隔离设备、软交换后置机组成。软交换前置机和软交换后置机分别可以是一台多网卡的工控机,通过网络接口软交换前置机连接外网的人机交互设备、正向隔离设备和反向隔离设备;通过网络接口软交换后置机连接内网的人机交互设备、正向隔离设备和反向隔离设备。本实用新型使内外网的数据实现互通,内网至外网的数据交换由内网经软交换后置机、正向隔离设备、软交换前置机至外网;外网至内网的数据交换由外网经软前置机、反向隔离设备、软交换后置机至内网。本实用新型有效地提高了内外网的数据交互性能。
Description
技术领域
本实用新型涉及一种安全隔离应用层网关,具体涉及一种基于网络隔离装置的文件传输网关。它特别适用于保密级别高的网络,在保证内网安全的同时,实现文件在内外网的高效传输。
背景技术
在网络安全方面,目前采用的是第五代隔离技术来保证网络的安全,其主要产品即网络安全隔离装置。大多数主流产商对于网络安全隔离装置的核心原理采用的是协议剥离和身份验证的方法,国内以山东思瑞,北京数码星辰等为代表的主要公司,目前大量采用的都是这一技术的产品。这一技术能够保证内网安全的关键点是通过开关切换及数据缓冲设施来进行数据交换。开关的切换使得在任何时刻两个网络没有直接连通,而数据流经网络安全隔离装置时TCP/IP协议被终止,防止了利用协议进行攻击,在某一时刻网络安全隔离装置只能连接到一个网络。网络安全隔离装置作为代理从内网的网络数据包中抽取出数据然后通过数据缓冲设施转到外网,完成数据中转。在中转过程中,网络安全隔离装置会对抽取的数据报文的IP地址、MAC地址、端口号、连接方向实施综合过滤控制,只有满足要求的报文才可以通过网络安全隔离装置。由于网络安全隔离装置采用了独特的开关切换机制,因此,在进行检查时网络实际上处于断开状态,即使遭到攻击,由于攻击发生时内外网始终处于物理断开状态,内网仍是安全的。
网络安全隔离装置在实现物理隔断的同时允许可信网络和不可信网络之间的数据和信息的安全交换。在安全岛硬件上将外网到内网传递的应用数据大小限定为用于TCP握手的几个字节外,保证从外网到内网的TCP应答禁止携带应用数据,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换,并提高了防止病毒和黑客非法访问的能力。
正是由于以上的安全机制,安全隔离装置不能部署应用层协议(如FTP,HTTP,SNMP等),同时目前广泛使用的单向隔离装置,不具备数据双向通信的功能,不能满足需要实现高效可靠双向通信的业务。因此,亟需解决利用单向安全隔离装置时限数据的高效可靠双向通信。
实用新型内容
本实用新型的目的在于通过采用两个网络安全隔离设备作为核心硬件,用于正反向数据传输,从而在保证内网安全的同时又大幅度提升数据交换的性能,并使整个系统可靠稳定工作。
实现本实用新型目标的技术解决方案为:
一种安全隔离应用层网关,由软交换前置机、正向隔离设备、反向隔离设备和软交换后置机组成。
软交换前置机和软交换后置机分别可以是一台多网卡的工控机,通过网络接口软交换前置机连接外网的人机交互设备、正向隔离设备和反向隔离设备;通过网络接口软交换后置机连接内网的人机交互设备、正向隔离设备和反向隔离设备。
正向隔离设备用于维护内网到外网的数据流,即内网的人机交互设备经软交换后置机、正向隔离设备、软交换前置机到外网的人机交互设备的数据流;反向隔离设备用于维护外网到内网的数据流,即外网的人机交互设备经软交换前置机、反向隔离设备、软交换后置机到内网的人机交互设备的数据流,保证数据的双向传输。
正向隔离设备和反向隔离设备中的控制台单元进行配置,使符合规则的数据流通过,即实现有具有可控性地双向数据传输。
正向隔离设备和反向隔离设备进行配置的规则包括IP地址、网络端口、特征码验证、MAC地址绑定。
本实用新型具有以下显著特点:
1)通过软交换前置机和软交换后置机分时序定义专有协议的工作模式,显著提高了文件数据在内外网传输的可控性,高效性,传输速率仅限于网络安全隔离的网络带宽,使整个系统的网络丢包率显著下降。
2)使内外网的文件数据能够互通,不局限于单向传输,内网的工作效率也相应提高。
附图说明
图1:为现有技术的网络安全隔离装置原理图。
图2:为本实用新型的总体框图。
具体实施方式
下面结合附图对本实用新型进行进一步描述:
图1为现有技术的网络安全隔离装置原理图,由控制台、内部单元、外部单元及数据交换单元4部分组成。其中:内部单元由端口转换、TCP代理和UDP代理构成,负责与内网交互;外部单元由TCP代理和UDP代理构成,负责与外网交互;数据交换单元是不基于网络传输的中介单元,负责内部单元和外部单元的数据交换;控制台控制内部单元和外部单元的配置信息,决定网络隔离装置的安全策略,保证了网络安全隔离装置连接着内网和外网,同时也保证着任意时刻它与内网和外网的其中一个相连接。
图2是本实用新型的总体框图,其由外网的人机交互设备、软交换前置机、正向隔离设备、反向隔离设备、软交换后置机和内网的人机交互设备组成。正向隔离设备用于维护内网到外网的数据流,即内网的人机交互设备经软交换后置机、正向隔离设备、软交换前置机到外网的人机交互设备的数据流;反向隔离设备用于维护外网到内网的数据流,即外网的人机交互设备经软交换前置机、反向隔离设备、软交换后置机到内网的人机交互设备的数据流,保证数据的双向传输;正、反向隔离设备中的控制台单元进行配置,使符合规则的数据流通过,配置的规则包括IP地址、网络端口、特征码验证、MAC地址绑定。
软交换前置机和软交换后置机分别可以是一台多网卡的工控机,通过网络接口软交换前置机连接外网的人机交互设备、正向隔离设备和反向隔离设备;通过网络接口软交换后置机连接内网的人机交互设备、正向隔离设备和反向隔离设备。
本实用新型的工作过程如下:
整个网关系统搭建完成之后,首先由正向隔离设备和反向隔离设备中的控制台单元配置网络安全隔离设备,设置允许通过隔离设备的单个IP地址或者多个IP网段;允许通过外网的人机交互设备向内网的人机交互设备请求连接,发送CON报文,内网的人机交互设备分析报文同意连接,并通知外网的人机交互设备可以进行下一步操作;外网的人机交互设备分析回馈报文,并发送GET或者PUT或者其他命令的报文;同理内网的人机交互设备完成外网的人机交互设备的请求,并发送或接收文件数据报文,完成文件数据在内外网的传输。
本实用新型能够解决单向网络安全隔离装置不能部署应用层协议,数据互通性能差的缺点,提高被隔离装置隔离的内外网数据交换效率。
Claims (1)
1.一种安全隔离应用层网关,其特征在于由软交换前置机、正向隔离设备、反向隔离设备和软交换后置机组成;
软交换前置机和软交换后置机分别可以是一台多网卡的工控机,通过网络接口软交换前置机连接外网的人机交互设备、正向隔离设备和反向隔离设备;通过网络接口软交换后置机连接内网的人机交互设备、正向隔离设备和反向隔离设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201420266842.7U CN204089858U (zh) | 2014-05-23 | 2014-05-23 | 一种安全隔离应用层网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201420266842.7U CN204089858U (zh) | 2014-05-23 | 2014-05-23 | 一种安全隔离应用层网关 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN204089858U true CN204089858U (zh) | 2015-01-07 |
Family
ID=52182524
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201420266842.7U Expired - Fee Related CN204089858U (zh) | 2014-05-23 | 2014-05-23 | 一种安全隔离应用层网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN204089858U (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103997495A (zh) * | 2014-05-23 | 2014-08-20 | 中国人民解放军理工大学 | 一种安全隔离文件传输控制方法 |
| CN105577785A (zh) * | 2015-12-22 | 2016-05-11 | 华立科技股份有限公司 | 一种跨区网络通信系统及其实现方法 |
| CN107454094A (zh) * | 2017-08-23 | 2017-12-08 | 北京明朝万达科技股份有限公司 | 一种数据交互方法和系统 |
| CN109510841A (zh) * | 2018-12-26 | 2019-03-22 | 杭州优稳自动化系统有限公司 | 一种控制装置及系统的安全隔离网关 |
| CN109547456A (zh) * | 2018-12-07 | 2019-03-29 | 北京万维兴业科技有限责任公司 | 基于信息单向传输技术具有可控交互能力的网络隔离系统 |
| CN109768923A (zh) * | 2018-12-26 | 2019-05-17 | 浪潮软件集团有限公司 | 一种安全隔离单向网闸及方法 |
| CN110572373A (zh) * | 2019-08-20 | 2019-12-13 | 北京安盟信息技术股份有限公司 | 一种数据交换平台和文件数据流处理方法 |
| CN113037696A (zh) * | 2019-12-25 | 2021-06-25 | 中移全通系统集成有限公司 | 一种数据传输方法、系统服务器、存储介质和计算机设备 |
-
2014
- 2014-05-23 CN CN201420266842.7U patent/CN204089858U/zh not_active Expired - Fee Related
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103997495A (zh) * | 2014-05-23 | 2014-08-20 | 中国人民解放军理工大学 | 一种安全隔离文件传输控制方法 |
| CN105577785A (zh) * | 2015-12-22 | 2016-05-11 | 华立科技股份有限公司 | 一种跨区网络通信系统及其实现方法 |
| CN105577785B (zh) * | 2015-12-22 | 2019-03-01 | 华立科技股份有限公司 | 一种跨区网络通信系统及其实现方法 |
| CN107454094A (zh) * | 2017-08-23 | 2017-12-08 | 北京明朝万达科技股份有限公司 | 一种数据交互方法和系统 |
| CN109547456A (zh) * | 2018-12-07 | 2019-03-29 | 北京万维兴业科技有限责任公司 | 基于信息单向传输技术具有可控交互能力的网络隔离系统 |
| CN109547456B (zh) * | 2018-12-07 | 2021-10-08 | 北京万维兴业科技有限责任公司 | 基于信息单向传输技术具有可控交互能力的网络隔离系统 |
| CN109510841A (zh) * | 2018-12-26 | 2019-03-22 | 杭州优稳自动化系统有限公司 | 一种控制装置及系统的安全隔离网关 |
| CN109768923A (zh) * | 2018-12-26 | 2019-05-17 | 浪潮软件集团有限公司 | 一种安全隔离单向网闸及方法 |
| CN109768923B (zh) * | 2018-12-26 | 2021-06-15 | 浪潮软件股份有限公司 | 一种安全隔离单向网闸 |
| CN109510841B (zh) * | 2018-12-26 | 2022-01-18 | 杭州优稳自动化系统有限公司 | 一种控制装置及系统的安全隔离网关 |
| CN110572373A (zh) * | 2019-08-20 | 2019-12-13 | 北京安盟信息技术股份有限公司 | 一种数据交换平台和文件数据流处理方法 |
| CN113037696A (zh) * | 2019-12-25 | 2021-06-25 | 中移全通系统集成有限公司 | 一种数据传输方法、系统服务器、存储介质和计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN204089858U (zh) | 一种安全隔离应用层网关 | |
| JP6106718B2 (ja) | 物理的単方向通信装置および方法 | |
| EP2945350B1 (en) | Protocol splitter and corresponding communication method | |
| CN102594814B (zh) | 基于端末的网络访问控制系统 | |
| CN104486336A (zh) | 工业控制网络安全隔离交换装置 | |
| CN102006307A (zh) | 一种基于应用代理的网管系统隔离控制装置 | |
| CN103997495A (zh) | 一种安全隔离文件传输控制方法 | |
| US20100070638A1 (en) | System and a method for secured data communication in computer networks by phantom connectivity | |
| CN104270344A (zh) | 万兆网闸 | |
| CN104270355A (zh) | 一种基于网络总线跨安全区传输数据的方法 | |
| CN104202322B (zh) | 一种基于OpenFlow协议的OpenFlow交换机报文安全监控方法 | |
| CN202424770U (zh) | 一种网络数据安全隔离器 | |
| CN103200123A (zh) | 一种交换机端口安全控制方法 | |
| CN103209191A (zh) | 一种实现内外网物理隔断的方法 | |
| CN104168257A (zh) | 基于非网络方式的数据隔离装置及其方法与系统 | |
| CN103237036A (zh) | 一种实现内外网物理隔断的装置 | |
| CN103856352A (zh) | 一种基于单网卡实现双网络跨网段访问的方法 | |
| CN105808364B (zh) | 融合PC系统和android系统的双系统通信方法和系统 | |
| CN102833137A (zh) | 一种基于智能网关的数字家庭系统 | |
| CN111787078B (zh) | 一种基于电梯物联网的信令控制系统及通讯方法 | |
| CN101867557A (zh) | 一种单向传输装置、数据采集系统及方法 | |
| CN110933385B (zh) | 基于可见光单向网络隔离的视频流传输系统 | |
| CN202231742U (zh) | 网络隔离装置 | |
| CN105763546A (zh) | 一种高可靠性远程维护方法 | |
| CN109714135A (zh) | 一种数据包传输方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150107 |