CN206878844U - 通信处理装置及通信系统 - Google Patents
通信处理装置及通信系统 Download PDFInfo
- Publication number
- CN206878844U CN206878844U CN201720185646.0U CN201720185646U CN206878844U CN 206878844 U CN206878844 U CN 206878844U CN 201720185646 U CN201720185646 U CN 201720185646U CN 206878844 U CN206878844 U CN 206878844U
- Authority
- CN
- China
- Prior art keywords
- communication
- network security
- security device
- communication terminal
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 281
- 238000004891 communication Methods 0.000 title claims abstract description 279
- 238000012545 processing Methods 0.000 title claims abstract description 55
- 230000005856 abnormality Effects 0.000 claims abstract description 37
- 230000002159 abnormal effect Effects 0.000 abstract description 12
- 230000005540 biological transmission Effects 0.000 description 40
- 238000003672 processing method Methods 0.000 description 21
- XEEYBQQBJWHFJM-UHFFFAOYSA-N Iron Chemical compound [Fe] XEEYBQQBJWHFJM-UHFFFAOYSA-N 0.000 description 20
- 238000000034 method Methods 0.000 description 18
- 229910052742 iron Inorganic materials 0.000 description 10
- 101100388291 Arabidopsis thaliana DTX49 gene Proteins 0.000 description 7
- 101100048435 Caenorhabditis elegans unc-18 gene Proteins 0.000 description 7
- 101100268840 Danio rerio chrna1 gene Proteins 0.000 description 7
- 101150065731 NIC1 gene Proteins 0.000 description 7
- PWHVEHULNLETOV-UHFFFAOYSA-N Nic-1 Natural products C12OC2C2(O)CC=CC(=O)C2(C)C(CCC2=C3)C1C2=CC=C3C(C)C1OC(O)C2(C)OC2(C)C1 PWHVEHULNLETOV-UHFFFAOYSA-N 0.000 description 7
- 239000000853 adhesive Substances 0.000 description 6
- 230000001070 adhesive effect Effects 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 101100388299 Arabidopsis thaliana DTX54 gene Proteins 0.000 description 5
- 101100294133 Arabidopsis thaliana NIC2 gene Proteins 0.000 description 5
- GWWNCLHJCFNTJA-UHFFFAOYSA-N nicandrenone-2 Natural products C12OC2C2(O)CC=CC(=O)C2(C)C(CCC23C)C1C3CCC2(O)C(C)C1OC(O)C2(C)OC2(C)C1 GWWNCLHJCFNTJA-UHFFFAOYSA-N 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 210000004899 c-terminal region Anatomy 0.000 description 2
- 238000003745 diagnosis Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000003612 virological effect Effects 0.000 description 2
- 108091006146 Channels Proteins 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种通信处理装置及通信系统,应用通信系统中,通信系统包括产生数据包的第一通信终端和接收数据包的第二通信终端,网络安全装置和通信处理装置设置在第一通信终端和第二通信终端之间,通信处理装置包括第一旁路单元,用于在网络安全装置处于第一异常状态时开启第一旁路通信,第一旁路单元包括第一接收端口和第一输出端口,第一接收端口连接至第一通信终端,以接收来自所述第一通信终端的数据包;第一输出端口连接至第二通信终端,以及第一输出端口在网络安全装置处于第一异常状态时连接至第一接收端口,以从第一接收端口接收第一通信终端数据包且传输至第二通信终端。本公开能在网络安全装置的硬件出现异常时,开启旁路通信。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及通信处理装置及通信系统。
背景技术
由于安全原因,在工业网络的通信系统中,通常会设置有对数据包进行业务处理的网络安全装置,以对通信网络中传输的数据包进行处理,例如判断数据包中是否包含有恶意攻击数据或其他对通信系统有威胁的数据,但是网络安全装置可能会因为断电或死机等异常事件而不能正常工作,因此为了避免网络安全装置故障而影响整个通信系统的正常通信,通常都设置有旁路功能(Bypass)。
旁路功能(bypass)是指通过特定的触发状态(如断电或死机、业务程序运行异常等)让两个通信网络不通过网络安全装置,而直接物理上导通,所以有了Bypass后,当网络安全装置故障时,不影响正常的数据通信。
相关技术中,通常利用继电器原理,采用看门狗(Watchdog)或通用输入输出接口(GPIO)两种方式来实现Bypass功能。上述相关技术中的方案在开启Bypass后,网络安全装置无法接收数据包,因而无法对当前的数据包通信状态进行判断,尤其在因当前数据包数量超出业务程序处理能力而引起网络安全装置的业务处理程序运行异常(如通常所说的“卡死”现象)而启动Bypass时,由于网络安全装置不能探知目前通信状态下的数据包数量,因而不能及时恢复正常通信状态。在这种情况下,如果过早地恢复正常通信状态,将会因为业务程序未恢复异常而再次启动Bypass,反复启动Bypass会造成整体通信系统的功耗并会造成通信效率低下;而如果过迟地启动Bypass,又会导致数据包不能及时地被网络安全装置处理,从而将会增加整体通信系统被攻击的危险。
实用新型内容
为克服相关技术中存在部分问题,本公开提供一种通信处理装置及通信系统,能够及时在网络安全装置的工作状态异常时,及时进入旁路通信状态。
根据本公开实施例的第一方面,提供一种通信处理装置,应用在设置有网络安全装置的通信系统中,所述通信系统包括产生数据包的第一通信终端和接收数据包的第二通信终端,且所述网络安全装置和所述通信处理装置设置在第一通信终端和第二通信终端之间,
所述通信处理装置包括第一旁路单元,用于在所述网络安全装置处于第一异常状态时开启第一旁路通信,
所述第一旁路单元包括第一接收端口和第一输出端口,
所述第一接收端口连接至所述第一通信终端,以接收来自所述第一通信终端的数据包;所述第一输出端口连接至所述第二通信终端,以及所述第一输出端口在所述网络安全装置处于第一异常状态时连接至所述第一接收端口,以从所述第一接收端口接收所述第一通信终端数据包且传输至所述第二通信终端。
其中,所述第一旁路单元还包括第二输出端口,所述通信处理装置还包括第二旁路单元,所述第二输出端口连接至所述第二旁路单元,用于将接收到的来自所述第一通信终端的数据包传输至所述第二旁路单元,所述第二旁路单元用于在所述网络安全装置处于第二异常状态时开启第二旁路通信,以通过所述第二旁路通信将来自所述第一通信终端的数据包传输至所述第二通信终端。
其中,所述第二旁路单元包括第二接收端口、第三输出端口和第四输出端口,所述第二接收端口连接至所述第一输出端口,以与所述第一旁路单元连接;所述第三输出端口连接至所述网络安全装置;所述第四输出端口连接至所述第二通信终端;其中,在所述第二旁路通信的状态下,通过第二接收端口接收来自所述第一通信终端的数据包,并通过所述第四输出端口将所述数据包传输至所述第二通信终端。
其中,所述第二旁路单元还包括第三接收端口,所述第二旁路单元通过所述第三接收端口与所述网络安全装置连接,用于接收来自所述网络安全装置的心跳包,所述心跳包用于检测所述网络安全装置的工作状态。
其中,所述通信处理装置还包括控制器,所述控制器的接收端与所述网络安全装置连接,用于接收来自所述网络安全装置的心跳包,以检测所述网络安全装置的工作状态;所述控制器的输出端与所述第二旁路单元连接,用于向所述第二旁路单元发送控制指令,所述控制指令为在所述网络安全装置的工作状态为第二异常状态时生成的指令,以控制所述第二旁路单元开启第二旁路通信。
其中,所述第一旁路单元为继电器,所述第二旁路单元为交换芯片或者镜像开关。
本公开实施例的另一方面,还提供一种通信系统,其特征在于,所述通信系统包括第一通信终端、第二通信终端、网络安全装置和前述任一实施例所述的通信处理装置,
所述第一通信终端与所述第二通信终端建立有通信连接,用于产生数据包并发送至所述第二通信终端;所述第二通信终端用于接收所述数据包,以进行业务处理;所述网络安全装置连接在所述第一通信终端和所述第二通信终端之间,用于检测所述数据包的安全性。
本公开的实施例提供的技术方案可以包括以下有益效果:利用所述通信处理装置及通信系统,能够在网络安全装置出现硬件异常时及时启动旁路通信状态,提高通信系统的数据包传输效率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本实用新型的实施例,并与说明书一起用于解释本实用新型的原理。
图1是根据一示例性实施例示出的通信处理方法的流程图;
图2是根据一示例性实施例示出的通信处理方法的流程图;
图3是根据一示例性实施例示出的通信处理方法的流程图;
图4是根据一示例性实施例示出的通信处理方法的流程图;
图5是根据一示例性实施例示出的通信处理方法的流程图;
图6是根据一示例性实施例示出的通信处理方法的流程图;
图7是根据一示例性实施例示出的通信处理装置的结构框图;
图8是根据一示例性实施例示出的通信处理装置的结构框图;
图9是根据一示例性实施例示出的通信处理装置的结构框图;
图10是根据一示例性实施例示出的通信处理装置的结构框图;
图11是根据本实用新型实施例的一种通信系统的结构示意图;
图12是根据本实用新型实施例的另一种通信系统的结构示意图;
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本实用新型相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本实用新型的一些方面相一致的装置和方法的例子。
为了使本领域技术人员能够清楚、准确地理解本实用新型的技术方案,在描述本实用新型的优选实施例之前,先对本实用新型提供的通信处理装置和通信系统的应用场景进行简要的描述。
图7是根据一示例性实施例示出的通信处理装置的结构框图。
本实用新型实施例提供的通信处理装置可以应用在设置有网络安全装置的通信系统中,通信系统包括产生数据包的第一通信终端和接收数据包的第二通信终端,且网络安全装置和通信处理装置设置在第一通信终端和第二通信终端之间。如图7所示,通信处理装置可以包括第一旁路单元10,可以用于在网络安全装置处于第一异常状态时开启第一旁路通信,且第一旁路单元10包括第一接收端口101和第一输出端口102。第一接收端口101连接至第一通信终端,以接收来自第一通信终端的数据包。第一输出端口102连接至第二通信终端,以及第一输出端口102在网络安全装置处于第一异常状态时连接至第一接收端口,以从第一接收端口接收第一通信终端数据包且传输至第二通信终端。
利用所述通信处理装置,能够在网络安全装置出现硬件异常时及时启动旁路通信状态,提高通信系统的数据包传输效率。
图8是根据一示例性实施例示出的通信处理装置的结构框图。
如图8所示,在图7所示实施例的基础上,通信处理装置还可以包括第二旁路单元20,以及第一旁路单元10还可以包括第二输出端口103。第二输出端口103连接至第二旁路单元20,用于将接收到的来自第一通信终端的数据包传输至第二旁路单元。第二旁路单元20用于在网络安全装置处于第二异常状态时开启第二旁路通信,以通过第二旁路通信将来自第一通信终端的数据包传输至第二通信终端。
图9是根据一示例性实施例示出的通信处理装置的结构框图。
如图9所示,第二旁路单元20包括第二接收端口201、第三输出端口202和第四输出端口203,第二接收端口201连接至第二输出端口103,以与第一旁路单元10连接;第三输出端口202连接至网络安全装置;第四输出端口203连接至第二通信终端;其中,在第二旁路通信的状态下,通过第二接收端口201接收来自第一通信终端的数据包,并通过第四输出端口203将数据包传输至第二通信终端。
在另一些实施例中,第二旁路单元20还可以包括第三接收端口(图中未示出),第二旁路单元通过第三接收端口与网络安全装置连接,用于接收来自网络安全装置的心跳包,心跳包用于检测网络安全装置的工作状态。
在本实用新型实施例中,第一旁路单元可以采用继电器实现,第二旁路单元可以采用交换芯片实现。
应用上述实施例,可以针对网络安全装置不同的工作状态,采用不同的旁路通信,保障通信系统正常通信,且仍然将数据包转发给网络安全装置,实现为网络数据量的监测,此外,可以不断探测网络安全装置的工作状态,一旦其恢复正常工作状态,可以及时关闭旁路通信且切换为正常通信,提高通信系统的通信安全保障。
图10是根据一示例性实施例示出的通信处理装置的结构框图。
如图10所示,在图8和图9所示实施例的基础上,通信处理装置还可以包括控制器30,控制器30的接收端301与网络安全装置连接,用于接收来自网络安全装置的心跳包,以检测网络安全装置的工作状态;
控制器30的输出端302与第二旁路单元连接,用于向第二旁路单元20发送控制指令,其中,控制指令为在网络安全装置的工作状态为第二异常状态时生成的指令,以控制第二旁路单元20开启第二旁路通信。
其中控制器30可以采用任一类型的具有数据处理能力的处理器实现,例如单片机、FPGA、DPS等实现,在本实用新型中控制器30的类型不做限制,其可以通过运行现有的软件实现接收心跳包和发送控制指令,在本实用新型中重在保护其在通信处理装置中与各个部件、模块之间的连接关系。
图10所示的实施例,适用于在第二旁路通信单元的主要构成器件为无数据处理能力的交换芯片的场景。
下面结合图11和图12对本实用新型实施例提供的通信系统进行详细说明。本实用新型实施例提供的通信系统可以包括第一通信终端、第二通信终端、网络安全装置和通信处 理装置。其中,第一通信终端与第二通信终端建立有通信连接,用于产生数据包并发送至第二通信端,第二通信终端用于接收数据包,以进行业务处理;网络安全装置连接在第一通信终端和第二通信终端之间,用于检测数据包的安全性。
为了后续方便描述,在图11和图12的实施例中,第一通信终端以服务器31为例,第二通信终端以计算机34为例,网络安全装置可以用中转设备33代替,以及通信处理装置分别以继电器32为例,或者以继电器32和交换芯片35的结合使用为例。
图12是根据本实用新型实施例的另一种通信系统的结构示意图。
如图12所示,本实用新型实施例的应用场景例如可以包括有服务器31、继电器32、中转设备33和计算机34。可以理解的是,中转设备可以是入侵防护设备或网络安全装置等,例如,匡恩网络的IAD防护产品,或者其他能够实现网络安全防护的设备、网关。
在一些实施例中,当系统处于正常通信状态时,继电器32的动铁端与触点2吸合,服务器31产生的数据包通过LAN 1A发出,经继电器32传输至LAN 1B到达中转设备33,中转设备33对数据包进行数据分析(例如,病毒检测、白名单匹配等),在确定所述数据包不具备攻击数据时,通过LAN 2传输数据包给计算机34。
在另一些实施例中,当系统处于非正常通信状态下,例如,中转设备33出现故障(可以包括硬件故障和软件故障)或者断电状态时,为了保障数据包能够顺利发送至计算机34,可以通过旁路功能(Bypass)或者开启旁路通信状态传输数据包,即继电器32的动铁端与触点1吸合,服务器31产生的数据包通过LAN 1A发出,经继电器32传输至LAN 2,经过LAN2传输数据包给计算机34。
需要说明的是,图12所示的通信系统仅为示例性的,在实际应用中,各个节点之间还可以通信连接其他网络设备,例如,交换机、路由器等等。
图11是根据本实用新型实施例的一种通信系统的结构示意图。
如图11所示,本实用新型实施例的应用场景例如可以包括有服务器31、继电器32、交换芯片(或镜像开关)35、中转设备33和计算机34。在发明实施例中的通信处理装置可以包括有继电器32和交换芯片(或镜像开关)35,以实现bypass。可以理解的是,中转设备33可以是入侵防护设备或网络安全装置36等,例如,匡恩网络的IAD防护产品,或者其他能够实现网络安全防护的设备、网关。在本实用新型实施例的后续描述中,以中转设备33位网络安全装置36为例。
在一些实施例中,当通信系统处于正常通信状态时,继电器32的动铁端与触点2吸合,服务器31产生的数据包通过LAN 1A发出,经继电器32传输至交换芯片(或镜像开关)35,再经交换芯片(或镜像开关)35传输至LAN 1B到达中转设备,中转设备33对数据包进行数据分析(例如,病毒检测、白名单匹配等),在确定所述数据包不具备攻击数据时,通过LAN 2传输数据包给计算机34。
在一些实施例中,当系统处于非正常通信状态下,例如,中转设备33出现故障(可以包括硬件故障)或者断电状态时,为了保障数据包能够顺利发送至计算机34,可以通 过旁路功能(Bypass)或者开启旁路通信状态传输数据包,即继电器32的动铁端与触点1吸合,服务器产生的数据包通过LAN 1A发出,经继电器32传输至LAN 2,经过LAN 2传输数据包给计算机34。
在另一些实施例中,当系统处于非正常通信状态下,例如,中转设备33出现故障,例如其中的业务程序故障时,为了保障数据包能够顺利发送至计算机34,可以通过旁路功能(Bypass)或者开启旁路通信状态传输数据包,即数据包经过继电器32发送至交换芯片(或镜像开关)35,由交换芯片(镜像开关)35实现旁路功能,再经过LAN 2传输数据包给计算机34。
需要说明的是,图11所示的通信系统仅为示例性的,在实际应用中,各个节点之间还可以通信连接其他网络设备,例如,交换机、路由器等等。
前述实施例对通信处理装置及通信系统的结构进行了详细的描述,为了本领域技术人员能够清楚、准确地理解本实用新型实施例,下面进一步描述通信处理方法的实施例,其中,通信处理方法应用于上述通信处理装置及通信系统。
此外,以下对本实用新型优选实施例的说明时,为了节省篇幅,对于不同实施例中相同的步骤不再重复描述。
图1是根据一示例性实施例示出的通信处理方法的流程图。如图1所示,所述通信处理方法包括以下步骤:
在步骤S11中,检测网络安全装置的工作状态。
在本步骤中,在一些实施例中,可以通过心跳包机制实现对网络安全装置的工作状态的检测。例如,可以通过微处理器(例如,单片机、FPGA等)与网络安全装置建立心跳机制,网络安全装置可以定时地向微处理器发送心跳包。
在另一些实施例中,可以通过网络安全装置的丢包寄存器对网络安全装置的丢包情况进行监测、统计,以根据网络安全装置的丢包情况检测其工作状态。
在步骤S12中,判断网络安全装置的工作状态是否异常,如果是则进行步骤S13。
在本步骤中,在一些实施例中,当通过心跳包机制实现网络安全装置的工作状态的检测时,例如,当微处理器未在预定时间接收到网络安全装置发送的心跳包时,可以确定网络安全装置的工作状态处于异常状态。反之,可以确定网络安全装置处于正常工作状态。
在另一些实施例中,当通过丢包寄存器监测、统计网络安全装置的丢包情况时,可以统计网络安全装置的丢包的数量,根据丢包的数量来确定网络安全装置的工作状态。例如,当丢包的数量大于预设阈值时,可以确定网络安全装置处于异常状态。反之,可以确定网络安全装置处于正常工作状态。
在步骤S13中,当所述网络安全装置的工作状态异常时,开启旁路通信,以使所述网络安全装置所在的通信系统正常传输网络数据包。
在本步骤中,当在步骤S12中确定网络安全装置的工作状态处于异常状态时,开启旁路功能,实现bypass通信。在本实用新型实施例中,可以根据网络安全装置的不同的 异常状态,选择不同的方式实现bypass通信。
通本实施例,在网络安全装置出现故障时,能够保证其所在的通信系统,例如图11中所示的通信系统可以正常地进行数据包收发,保障通信系统通信效率。
下面结合图2和图4所示的实施例,进一步描述本实用新型实施例的根据网络安全装置的不同的异常状态,选择不同的方式实现bypass通信。以及通过图3所示的实施例进一步描述网络安全装置从异常状态转换至正常工作状态时,通信系统的正常通信状态。
在对图2至图4所示的实施例进行详细描述之前,需要说明的是,本实用新型实施例提供的通信处理方法可以基于图10所示的通信连接结构实现,图10所示的通信连接结构中可以包括有网络安全装置36、镜像开关(或者交换芯片)35和继电器32。基于图10所示的结构,可以根据网络安全装置36的不同异常状态,选择通过镜像开关(或者交换芯片)35实现bypass通信,或者通过继电器32实现bypass通信。下面通过具体实施例进行详述。
图2是根据一示例性实施例示出的通信处理方法的流程图。在图2中,步骤S21-S22同上述步骤S11-S12,此处不再重描述。本实施例为通过镜像开关(或者交换芯片)35实现bypass通信。如图2所示,所述通信处理方法还可以包括以下步骤:
在步骤S23中,判断网络安全装置的工作状态是否为第一异常状态。如果是,则执行步骤S24。
可以通过心跳包机制或者通过丢包寄存器进行丢包统计来判断网络安全装置是否为第一异常状态。在一个实施例中,在网络安全装置通电工作时,如果没有在预设时间收到网络安全装置的心跳包,则可以判定网络安全装置为第一异常状态。在另一个实施例中,当丢包寄存器检测到网络安全装置有丢包,且丢包的数量大于预设阈值时,可以判定网络安全装置为第一异常状态。第一异常状态例如可以是网络安全装置中的业务程序出现异常,如业务程序卡死,或者因通信系统中收发的数据包数量超出了业务程处理能力而引起数据包过度延时等。
在步骤S24中,第一传输控制物理网口的接收端与第一物理传输控制物理网口的发送端连通,以开启第一旁路通信状态。
在步骤S25中,在所述第一旁路通信状态下,使网络安全装置的接收端镜像到所述第一传输控制物理网口接收端。
通过步骤S24和步骤S25,可以在网络安全装置异常、不能对数据包进行数据处理(例如,检测数据包的安全性,并根据数据包的安全性确定是否对其进行拦截)时,网络安全装置所在的通信系统不会因为网络安全装置异常而不能正常通信,且仍能够将数据包发送给网络安全装置,在网络安全装置恢复正常后可以及时进行数据处理,可以最大限度地保障通信系统通信安全。
需要说明的是,步骤S24和步骤S25可以是同时进行、无先后顺序的。在一些实施例中,在通过交换芯片实现本实用新型实施例时,可以在交换芯片中预先配置数据包的转 发规则,转发规则例如:第一异常状态:从A端口接收到的数据传输至B端口和C端口,其中,A端口例如可以理解为第一传输控制物理网口的接收端,B端口例如可以理解为第一传输控制物理网口的发送端,以及C端口可以理解为网络安全装置的接收端。在另一些实施例中,可以通过镜像开关实现本实用新型实施例,镜像开关例如可以包括具备独立数据处理能力的处理器和硬件开关,处理器根据网络安全装置的状态,控制硬件开关的状态,处理器可以对硬件开关的状态进行控制,以及对数据包进行镜像处理,硬件可以开关包括动铁端1、动铁端2和固定端3,网络安全装置正常工作状态下,处理器控制硬件开关的动铁端1和固定端3吸合,将数据包传输至网络安全装置,在网络安全装置异常工作状态下,处理器控制硬件开关的动铁端1和固定端3吸合,以及硬件开关的动铁端2和动铁端1的节点吸合,实现bypass。
第一旁路通信状态即,数据包在传输过程中不实际经过网络安全装置,而是被镜像到网络安全装置的接收端和发送端,由此在第一旁路通信状态下,虽然网络安全装置不实际接收和发送数据包,但是能够探知数据包接收和发送的数量。因此,在第一旁路通信状态下,网络安全装置可以根据通信系统中传输的数据包的数量来判断当前传输中的数据包的数量是否在业务程序的处理能力范围之内,如果在业务程序的处理能力范围内,则可以关闭第一旁路通信状态,从而恢复正常的通信状态,即使数据包在传输过程中正常地经过网络安全装置的分析和处理。
根据本实用新型一实施例,步骤23-步骤25可以为图1所示实施例中步骤12的子步骤,即该实施例相对前述图2所示实施例少了步骤22。
因此,本实施例的通信处理方法不仅能够在网络安全装置的业务程序出现异常时开启旁路通信,保证数据包的正常传输,而且还能及时对旁路通信时的数据包进行监测,从而能及时恢复到正常的通信状态中,避免因旁路通信的时间过程而为通信系统带来安全隐患。
图3是根据一示例性实施例示出的通信处理方法的流程图。在图3中,步骤S32-S36同上述步骤S21-S25,因此不再重复描述。如图3所示,本实施例的通信处理方法还可以优选地包括以下步骤:
在步骤S31中,当网络安全装置处于正常工作状态时,使所述第一传输控制物理网口接收端与所述网络安全装置的接收端连接,并使所述第一传输控制物理网口发送端与所述网络安全装置发送端连接。
通过本实施例,可以在网络安全装置出现第一异常状态时,及时地进入第一旁路通信状态中,并能在网络安全装置恢复正常时及时地关闭第一旁路通信状态,恢复至正常的通信状态中,提高网络安全装置所在通信系统的通信安全。
图4是根据一示例性实施例示出的通信处理方法的流程图。在图4中,步骤S41-S42同上述步骤S11-S12。本实施例为通过继电器32实现bypass通信。如图4所示,本实施例的通信处理方法还可以包括以下步骤:
在步骤S43中,判断网络安全装置的工作状态是否为第二异常状态,如果是则进行步骤S44。第二异常状态例如可以是网络安全装置未正常启动或断电的情况。
在步骤S44中,当网络安全装置的工作状态为第二异常状态时,使第二传输控制物理网口接收端与第二传输控制物理网口发送端连通,以开启第二旁路通信状态。
第二旁路通信状态是指,数据包的传输不经过网络安全装置,并且也不被镜向到网络安全状态的旁路通信状态,而是在由第二传输控制物理网口的接收端接收后直接由其发送端发出。
通过本实施例,能够在网络安全装置的硬件出现异常时,例如无法正常启动或断电时,使数据包在通信系统中正常传输,从而不影响整体通信系统的通信效率。
图5是根据一示例性实施例示出的通信处理方法的流程图。在图5中,步骤S52-S55同上述步骤S41-S44。如图5所示,本实施例的通信处理方法还可以优选地包括以下步骤:
在步骤S51中,当网络安全装置处于正常启动状态时,所述第二传输控制物理网口接收端与所述第一传输控制物理网口接收端连接,所述第二传输控制物理网口发送端与所述第一传输控制物理网口发送端连接。
图6是根据一示例性实施例示出的通信处理方法的流程图。如图6所示,本实施例的通信处理方案可以包括以下步骤:
在步骤S61中,检测网络安全装置的工作状态。
在步骤S62中,判断网络安全装置的工作状态是否异常,如果是则进行步骤S63。
在步骤S63中,如果网络安全装置的工作状态异常,则判断网络安全装置的工作状态是否为第一异常状态,如果是进行步骤S64,如果不是则进行步骤S66。
在步骤S64中,当网络安全装置的工作状态为第一异常状态时,使第一传输控制物理网口的接收端与第一传输控制物理网口的发送端连通,以开启第一旁路通信状态。
在步骤S65中,在第一旁路通信状态下,使网络安全装置的接收端镜像到所述第一传输控制物理网口接收端,并使网络安全装置的发送端镜像到所述第一传输控制物理网口发送端。
在步骤S66中,判断网络安全装置的工作状态是否为第二异常状态,如果是则进行步骤S67。
在步骤S67中,当网络安全装置的工作状态为第二异常状态时,使第二传输控制物理网口接收端与第二传输控制物理网口发送端连通,以开启第二旁路通信状态。
为了使本领域技术人员能够清楚、准确地理解本实用新型的技术方案,下面结合图10所示的结构,进一步对前述实施例进行详细说明。
如图10所示,箭头表示数据包的传输方向,R1是继电器32的接收端,R2是继电器32的发送端。镜像开关35是具有镜像功能的开关,可以选用具有镜像功能的交换芯片,本实用新型在此不限制交换芯片的型号。NIC1可以是网络安全装置的接收端,NIC2可以是网络安全处装置的发送端。LAN3、LAN连接于镜像开关35和继电器32之间。
当网络安全装置的工作状态正常时,即当网络安全装置正常启动,且其中的业务程序正常运行时,通过镜像开关,可以使LAN3(可以理解为第一传输控制物理网口接收端)与NIC1(可以理解为网络安全装置的接收端)接通,LAN4(可以理解为第一传输控制物理网口发送端)与NIC2(可以理解为网络安全装置的发送端)接通。此时,通过继电器32使数据包经R1(可以理解为第二传输控制物理网口的接收端)接收,并由LAN3经过镜像开关传输至NIC1,网络安全装置36从其接收端NIC1接收到数据包之后,对数据包进进分析处理后,由网络安全装置的发送端NIC2发出,并经过镜向开关的LAN4,由继电器的发送端R2(可以理解为第二传输控制物理网口发送端)发出。在一些实施例中,例如,继电器32的R1接口可以连接至如图11中的服务器31,从而接收来自服务器31的数据包,继电器32的R2接口可以连接至如图11中的计算机34,将来自服务器31的数据包发送至计算机34。
当网络安全装置36未正常启动或断电时(第二异常状态),继电器32动作,使其接收端R1和发送端R2直接接通,数据包不经过镜像开关35和网络安全装置36,而是由R1被直接传输至R2之后被发出。即,通过继电器32实现bypass,通信系统通过第二通信状态进行数据传输。
当网络安全装置36正常启动,但其中的业务程序出现运行异常时(第一异常状态),可以通过第一通信状态实现通信。在第一通信状态下,继电器32的R1与LAN3接通、R2与LAN4接通,以及LAN3和LAN4直接接通,以形成新的数据传输通道,即通过镜像开关(或者交换芯片)35实现bypass,同时,镜像开关(或者交换芯片)35还可以进行数据镜像,将LAN3的数据包镜像到网络安全装置的接收端NIC1。因此,在本实用新型实施例中,从继电器32的R1接口接收到的数据包,在网络安全装置36处于第一异常状态下时,其所在的通信系统仍然可以正常地进行数据包的传输,例如,数据包从R1至LAN3、再从LAN3至LAN4,再从LAN4至R2,最后传输至目标地址(例如,图11中的计算机34),以及数据包还可以通过镜像开关(或者交换芯片)35的镜像功能,传输至网络安全装置36。
但是,由于镜像开关35的作用,由LAN3接收的数据包会被镜像到NIC1,LAN4发送的数据包会被镜像到NIC2,因此,网络安全装置36能够探知LAN3和LAN4的流量。当网络安全装置探知数据包的流量在其业务程序的处理能力范围内时,可通通过镜向开关35恢复NIC1与LAN3的连接以及NIC2与LAN4的连接。恢复之后,数据包可以经过网络安全装置36的分析处理后被发出,通信系统进入正常的通信状态中。
综上,通过该实施例,网络安全装置36在出现第一异常状态时,其所在的通信系统仍然可以正常进行数据通信,且通过数据镜像,可以实现监测、审计等功能,一旦网络安全装置36从第一异常状态恢复至正常工作状态时,可以及时地进行通信状态的切换,进而及时实现通信系统的数据隔离和保护。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实 施例中进行了详细描述,此处将不做详细阐述说明。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本实用新型的其它实施方案。本申请旨在涵盖本实用新型的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本实用新型的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本实用新型的真正范围和精神由下面的权利要求指出。
应当理解的是,本实用新型并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本实用新型的范围仅由所附的权利要求来限制。
Claims (7)
1.一种通信处理装置,其特征在于,应用在设置有网络安全装置的通信系统中,所述通信系统包括产生数据包的第一通信终端和接收数据包的第二通信终端,且所述网络安全装置和所述通信处理装置设置在第一通信终端和第二通信终端之间,
所述通信处理装置包括第一旁路单元,用于在所述网络安全装置处于第一异常状态时开启第一旁路通信,
所述第一旁路单元包括第一接收端口和第一输出端口,
所述第一接收端口连接至所述第一通信终端,以接收来自所述第一通信终端的数据包;所述第一输出端口连接至所述第二通信终端,以及所述第一输出端口在所述网络安全装置处于第一异常状态时连接至所述第一接收端口,以从所述第一接收端口接收所述第一通信终端数据包且传输至所述第二通信终端。
2.根据权利要求1所述的通信处理装置,其特征在于,所述第一旁路单元还包括第二输出端口,所述通信处理装置还包括第二旁路单元,
所述第二输出端口连接至所述第二旁路单元,用于将接收到的来自所述第一通信终端的数据包传输至所述第二旁路单元,
所述第二旁路单元用于在所述网络安全装置处于第二异常状态时开启第二旁路通信,以通过所述第二旁路通信将来自所述第一通信终端的数据包传输至所述第二通信终端。
3.根据权利要求2所述的通信处理装置,其特征在于,所述第二旁路单元包括第二接收端口、第三输出端口和第四输出端口,
所述第二接收端口连接至所述第二输出端口,以与所述第一旁路单元连接;
所述第三输出端口连接至所述网络安全装置;
所述第四输出端口连接至所述第二通信终端;
其中,在所述第二旁路通信的状态下,通过第二接收端口接收来自所述第一通信终端的数据包,并通过所述第四输出端口将所述数据包传输至所述第二通信终端。
4.根据权利要求2所述的通信处理装置,其特征在于,所述第二旁路单元还包括第三接收端口,
所述第二旁路单元通过所述第三接收端口与所述网络安全装置连接,用于接收来自所述网络安全装置的心跳包,所述心跳包用于检测所述网络安全装置的工作状态。
5.根据权利要求2所述的通信处理装置,其特征在于,所述通信处理装置还包括控制器,
所述控制器的接收端与所述网络安全装置连接,用于接收来自所述网络安全装置的心跳包,以检测所述网络安全装置的工作状态;
所述控制器的输出端与所述第二旁路单元连接,用于向所述第二旁路单元发送控制指令,所述控制指令为在所述网络安全装置的工作状态为第二异常状态时生成的指令,以控制所述第二旁路单元开启第二旁路通信。
6.根据权利要求2至5中任一项所述的通信处理装置,其特征在于,所述第一旁路单元为继电器,所述第二旁路单元为交换芯片或者镜像开关。
7.一种通信系统,其特征在于,所述通信系统包括第一通信终端、第二通信终端、网络安全装置和权利要求1至6中任一项所述的通信处理装置,
所述第一通信终端与所述第二通信终端建立有通信连接,用于产生数据包并发送至所述第二通信终端;
所述第二通信终端用于接收所述数据包,以进行业务处理;
所述网络安全装置连接在所述第一通信终端和所述第二通信终端之间,用于检测所述数据包的安全性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201720185646.0U CN206878844U (zh) | 2017-02-28 | 2017-02-28 | 通信处理装置及通信系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201720185646.0U CN206878844U (zh) | 2017-02-28 | 2017-02-28 | 通信处理装置及通信系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN206878844U true CN206878844U (zh) | 2018-01-12 |
Family
ID=61325396
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201720185646.0U Active CN206878844U (zh) | 2017-02-28 | 2017-02-28 | 通信处理装置及通信系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN206878844U (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108965314A (zh) * | 2018-08-01 | 2018-12-07 | 湖南中云飞华信息技术有限公司 | 基于飞腾处理器的网络通信装置 |
CN113259183A (zh) * | 2021-07-05 | 2021-08-13 | 北京简网科技有限公司 | 一种网络继电器的控制方法、装置、电子设备及存储介质 |
CN114828135A (zh) * | 2022-07-04 | 2022-07-29 | 北京安华金和科技有限公司 | 一种网络旁路功能控制处理方法和装置 |
JP2022164120A (ja) * | 2021-04-16 | 2022-10-27 | 三菱電機株式会社 | 経路制御装置、経路制御方法及び経路制御プログラム |
-
2017
- 2017-02-28 CN CN201720185646.0U patent/CN206878844U/zh active Active
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108965314A (zh) * | 2018-08-01 | 2018-12-07 | 湖南中云飞华信息技术有限公司 | 基于飞腾处理器的网络通信装置 |
CN108965314B (zh) * | 2018-08-01 | 2021-06-11 | 湖南中易利华信息技术有限公司 | 基于飞腾处理器的网络通信装置 |
JP2022164120A (ja) * | 2021-04-16 | 2022-10-27 | 三菱電機株式会社 | 経路制御装置、経路制御方法及び経路制御プログラム |
JP7270668B2 (ja) | 2021-04-16 | 2023-05-10 | 三菱電機株式会社 | 経路制御装置、経路制御方法及び経路制御プログラム |
CN113259183A (zh) * | 2021-07-05 | 2021-08-13 | 北京简网科技有限公司 | 一种网络继电器的控制方法、装置、电子设备及存储介质 |
CN113259183B (zh) * | 2021-07-05 | 2021-09-21 | 北京简网科技有限公司 | 一种网络继电器的控制方法、装置、电子设备及存储介质 |
CN114828135A (zh) * | 2022-07-04 | 2022-07-29 | 北京安华金和科技有限公司 | 一种网络旁路功能控制处理方法和装置 |
CN114828135B (zh) * | 2022-07-04 | 2022-09-23 | 北京安华金和科技有限公司 | 一种网络旁路功能控制处理方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN206878844U (zh) | 通信处理装置及通信系统 | |
CN1761240B (zh) | 用于高度可实现性应用的智能集成网络安全设备 | |
US5568471A (en) | System and method for a workstation monitoring and control of multiple networks having different protocols | |
EP2798782B1 (en) | Technique for handling a status change in an interconnect node | |
CN103051557A (zh) | 数据流处理方法及系统、控制器、交换设备 | |
CN101083563A (zh) | 一种防分布式拒绝服务攻击的方法及设备 | |
CN103609068A (zh) | 用于数据包冗余清除的系统和方法 | |
CN100574249C (zh) | 虚拟路由器冗余协议报文传输方法及装置 | |
KR102544682B1 (ko) | 소프트웨어 정의 네트워크 환경에서 기계 학습 기반의 경로 선택 장치 및 방법 | |
CN100499587C (zh) | 交换设备及其防止流量冲击的报文处理方法 | |
CN102255910B (zh) | 一种测试入侵防御产品性能的方法和装置 | |
JP4616020B2 (ja) | ネットワーク監視プログラム及びネットワークシステム | |
CN106972953A (zh) | 通信处理方法及装置 | |
CN105915467A (zh) | 一种面向软件定义的数据中心网络流量均衡方法及装置 | |
CN103973509A (zh) | 回路检测的方法及网络装置 | |
CN107241208A (zh) | 一种报文转发方法、第一交换机及相关系统 | |
CN106034038A (zh) | 防止多冲突堆叠的方法和装置 | |
CN103220189B (zh) | 一种mad检测备份方法和设备 | |
CN104506548A (zh) | 一种数据包重定向装置、虚拟机安全保护方法及系统 | |
EP2525527B1 (en) | Network relay device and network relay method | |
KR102239177B1 (ko) | 클라우드 서버 관리 방법, 이를 수행하는 클라우드 서버 관리 장치 및 클라우드 서비스 관리 시스템 | |
CN101331717B (zh) | 分组网络中传送数据的方法和系统 | |
JP2003152806A (ja) | 通信路のスイッチ接続制御システム | |
CN101098217A (zh) | 一种同异步串口备份的系统、装置及切换方法 | |
CN102164135B (zh) | 前置可重构DDoS攻击防御装置及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PP01 | Preservation of patent right | ||
PP01 | Preservation of patent right |
Effective date of registration: 20180306 Granted publication date: 20180112 |
|
PD01 | Discharge of preservation of patent | ||
PD01 | Discharge of preservation of patent |
Date of cancellation: 20210306 Granted publication date: 20180112 |
|
PP01 | Preservation of patent right | ||
PP01 | Preservation of patent right |
Effective date of registration: 20210306 Granted publication date: 20180112 |
|
PD01 | Discharge of preservation of patent | ||
PD01 | Discharge of preservation of patent |
Date of cancellation: 20240306 Granted publication date: 20180112 |