CN212850561U - 实现内网信息安全的网络安全隔离装置 - Google Patents
实现内网信息安全的网络安全隔离装置 Download PDFInfo
- Publication number
- CN212850561U CN212850561U CN202022136979.9U CN202022136979U CN212850561U CN 212850561 U CN212850561 U CN 212850561U CN 202022136979 U CN202022136979 U CN 202022136979U CN 212850561 U CN212850561 U CN 212850561U
- Authority
- CN
- China
- Prior art keywords
- network
- intranet
- processing unit
- data
- isolation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型公开了一种实现内网信息安全的网络安全隔离装置,包括外网端口、外网过滤单元、外网处理单元、隔离网闸、内网处理单元、物理隔离卡和内网端口,本实用新型通过隔离网闸和物理隔离卡多层次构建物理隔离网络,物理隔离卡从计算机终端隔断与外部网络的连接,隔离网闸让内部网络和外部网络在任意时刻的不同时连接,形成空间间隔,实现物理隔离,以外网过滤单元作为进入内部网络的第一个检查点,完成初步的筛查,然后通过外网处理单元和隔离网闸进行进一步的隔离和防御,形成多层次纵深防御,禁止TCP会话和从外到内的访问,可以最大程度的防止外部网络未知种类的攻击。
Description
技术领域
本实用新型涉及网络安全技术领域,具体为一种实现内网信息安全的网络安全隔离装置。
背景技术
随着信息化的深入发展和计算机网络应用的不断普及,各种网络攻击和网络病毒层出不穷,一些机构和企业的重要数据往往都存储在计算机的内部,在遭受攻击时十分容易造成重要信息的泄露,若不与互联网进行连接,单单使用内网,确实可以很好地防止外部网络的攻击,但是使用时十分的不方便,为此,常常需要在外网和内网之间添加隔离装置,在网络安全防护方面,网络安全隔离也是网络安全防御最重要、最基础的手段之一,也是数据中心、信息系统建设最先需要考虑的基础性问题,网络安全隔离的目标是确保隔离有害的攻击,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。
申请号“CN201921438109.8”公开了一种实现内网信息安全的网络安全隔离装置,其只要是采用防火墙和机密机构来防止信息的泄露,但是该装置仍然没有完全断开内网和外网之间的TCP/IP和OSI数据模型的网络层连接,难以消除TCP/IP网络存在的攻击,内网和外网并未完全隔离,仍然存在着从外部网络攻击内网的隐患,而且所有的安全风险均通过防火墙来进行防御,这样虽然能够过滤掉一些攻击,但是防御层次单一,不能够不能抵抗最新的未设置策略的攻击漏洞,防火墙一旦被攻破,即可在局域网里为所欲为。
实用新型内容
本实用新型的目的在于提供一种实现内网信息安全的网络安全隔离装置,以解决上述背景技术中提出的问题。
为实现上述目的,本实用新型提供如下技术方案:
一种实现内网信息安全的网络安全隔离装置,包括:
外网端口,所述外网端口与外网进行连接,用于外部网络和所述网络安全隔离装置的通讯;
外网过滤单元,所述外网过滤单元和外网端口电性连接,用于对外网端口所接受的外部数据进行过滤检测和分类;
外网处理单元,所述外网处理单元和外网过滤单元电性连接,用于确认外网数据收发用户的身份,并对外网数据进行安全检测后剥离出纯数据进行存储;
隔离网闸,所述隔离网闸和外网处理单元、内网处理单元电性连接,用于在外网处理单元和内网处理单元形成物理隔离通道,并在外网处理单元和内网处理单元进行数据的摆渡传送;
内网处理单元,所述内网处理单元和物理隔离卡电性连接,用于确认内网数据收发用户的身份,并对内网数据进行安全检测后剥离出纯数据进行存储;
物理隔离卡,所述物理隔离卡和内网端口电性连接,用于切换内网端口的输入状态并将内网端口接收数据发送至内网处理单元;以及;
内网端口,所述内网端口与内网进行连接,用于内部网络和所述网络安全隔离装置的通讯。
优选的,所述外网过滤单元包括过滤路由器和堡垒主机,所述过滤路由器和堡垒主机电性连接,所述过滤路由器还分别和外网端口、外网处理单元电性连接。
优选的,所述堡垒主机内部设置有硬件防火墙单元。
优选的,所述隔离网闸包括存贮介质和控制模块,所述存贮介质和控制模块电性连接,所述控制模块分别与外网处理单元、内网处理单元电性连接。
优选的,所述控制模块内部包括缓冲存储模块和独立的逻辑控制单元。
优选的,所述外网处理单元包括:
外网接口模块,所述外网接口模块和外网过滤单元电性连接,用于为外网过滤单元和外网处理单元之间的网络通讯提供硬件支持;
外网检测模块,所述外网检测模块与外网接口模块电性连接,用于将外部网络传送的数据进行病毒检测、入侵防护的安全检测后剥离出纯数据;
外网认证模块,所述外网认证模块和外网接口模块电性连接,用于对来自外部网络的对用户身份进行验证和确认,确保数据的通道安全;
外网缓冲模块,所述外网缓冲模块和外网检测模块电性连接,用于暂时存储剥离完成的外部网络的纯数据,做好隔离网闸进行数据交换的准备。
优选的,所述内网处理单元包括:
内网接口模块,所述内网接口模块和物理隔离卡电性连接,用于为物理隔离卡和内网处理单元之间的网络通讯提供硬件支持;
内网检测模块,所述内网检测模块与内网接口模块电性连接,用于将内部网络传送的数据进行病毒检测、入侵防护的安全检测后剥离出纯数据;
内网认证模块,所述内网认证模块和内网接口模块电性连接,用于对来自内部网络的用户身份进行验证和确认,确保数据的通道安全;
内网缓冲模块,所述内网缓冲模块和内网检测模块电性连接,用于暂时存储剥离完成的内部网络的纯数据,做好隔离网闸进行数据交换的准备。
与现有技术相比,本实用新型的有益效果是:
(1)通过隔离网闸和物理隔离卡多层次构建物理隔离网络,物理隔离卡从计算机终端隔断与外部网络的连接,隔离网闸让内部网络和外部网络在任意时刻的不同时连接,形成空间间隔,实现物理隔离,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离,创建一个内、外网物理断开的环境,让内网的;
(2)以外网过滤单元作为进入内部网络的第一个检查点,过滤路由器收到外部数据后,要么直接丢弃,要么转发到堡垒主机上,堡垒主机通过对接收到的数据进行安全检查,并按照既定的安排策略对数据包进行处理,完成初步的筛查,然后通过外网处理单元和4隔离网闸进行进一步的隔离和防御,形成多层次纵深防御,禁止TCP会话和从外到内的访问,可以最大程度的防止外部网络未知种类的攻击。
附图说明
图1为本实用新型的整体结构框图;
图2为本实用新型的外网过滤单元结构框图;
图3为本实用新型的隔离网闸结构框图;
图4为本实用新型的外网处理单元结构框图;
图5为本实用新型的内网处理单元结构框图;
图中:1外网端口、2外网过滤单元、201过滤路由器、202堡垒主机、3外网处理单元、301外网接口模块、302外网检测模块、303外网认证模块、304外网缓冲模块、4隔离网闸、401存贮介质、402控制模块、5内网处理单元、501内网接口模块、502内网检测模块、503内网认证模块、504内网缓冲模块、6物理隔离卡、7内网端口。
具体实施方式
下面将结合本实用新型实施例中的附图,对本实用新型实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本实用新型一部分实施例,而不是全部的实施例。基于本实用新型中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本实用新型保护的范围。
请参阅图1-5,一种实现内网信息安全的网络安全隔离装置,包括外网端口1、外网过滤单元2、外网处理单元3、隔离网闸4、内网处理单元5、物理隔离卡6和内网端口7,所述外网端口1与外部网络进行连接,外部网络通过外网端口1接入所述网络安全隔离装置,所述外网过滤单元2包括过滤路由器201和堡垒主机202,所述过滤路由器201和堡垒主机202电性连接,所述堡垒主机202内部设置有硬件防火墙单元,所述过滤路由器201还分别和外网端口1、外网处理单元3电性连接,所述外网过滤单元2作为进入内部网络的第一个检查点,所述外网处理单元3和外网过滤单元2电性连接,外部网络数据通过外网端口1发送至过滤路由器201,所述过滤路由器201收到外部数据后,根据内部的程序对外部数据进行分类,要么直接丢弃,要么转发到堡垒主机202上,所述堡垒主机203通过内部的防火墙对接收到的数据进行初步的安全检查,并按照既定的安排策略对数据包进行处理,完成初步的筛查,然后将外部数据通过过滤路由器201转发至外网处理单元3,外网过滤单元2作为进入内部网络的第一个检查点,通过外网处理单元3和隔离网闸4进行进一步的隔离和防御,形成多层次纵深防御,禁止TCP会话和从外到内的访问,可以最大程度的防止外部网络未知种类的攻击。
所述外网处理单元3包括外网接口模块301、外网检测模块302、外网认证模块303和外网缓冲模块304,所述外网接口模块301和外网过滤单元2电性连接,所述外网接口模块301为外网过滤单元2和外网处理单元3之间的网络通讯提供硬件支持,能够根据内部的寻址信息寻址和转发外网过滤单元2发送过来的数据,所述外网接口模块301将外网过滤单元2过滤检测后的外部数据发送至外网检测模块302,所述外网检测模块302与外网接口模块301电性连接,所述外网检测模块302将外部网络传送的数据进行病毒检测、入侵防护的安全检测后剥离出纯数据,所述外网认证模块303和外网接口模块301电性连接,所述外网认证模块303通过外部数据提取发送数据的用户身份,然后对来自外部网络的对用户身份进行验证和确认,确保数据的通道安全,所述外网缓冲模块304和外网检测模块302电性连接,所述外网缓冲模块304,所述外网检测模块302剥离完成的外部网络的纯数据暂时存储在外网缓冲模块304内部,做好隔离网闸4进行数据交换的准备。
所述内网端口7与内部网络进行连接,内部网络通过内网端口7接入所述网络安全隔离装置,所述物理隔离卡6和内网端口7电性连接,所述物理隔离卡6将内部网络分隔出两个虚拟工作空间,实现真正的物理隔离,两个工作空间完全隔离,一部分完全与外部网络隔离,一部分可与外部网络进行连接,物理隔离卡6从计算机终端隔断与外部网络的连接,物理隔离卡6相当于单刀双掷开关的作用,可选择是否与外部网络进行连接通讯,所述物理隔离卡物理隔离卡6和内网处理单元5电性连接,在进行与外部网络进行信息交换时,内部网络的数据依次通过内网端口7和物理隔离卡6发送至内网处理单元5。
所述内网处理单元5包括内网接口模块501、内网检测模块502、内网认证模块503、内网缓冲模块504,所述内网接口模块501和物理隔离卡6电性连接,所述内网接口模块501为物理隔离卡6和内网处理单元5之间的网络通讯提供硬件支持,能够根据内部的寻址信息寻址和转发物理隔离卡6发送过来的数据,所述内网接口模块501将物理隔离卡6转发的内部数据发送至内网检测模块502,所述内网检测模块502与内网接口模块501电性连接,所述内网检测模块502将内部网络传送的数据进行病毒检测、入侵防护的安全检测后剥离出纯数据,所述内网认证模块503和内网接口模块501电性连接,所述内网认证模块503通过外部数据提取发送数据的用户身份,然后对来自内部网络的对用户身份进行验证和确认,确保数据的通道安全,所述内网缓冲模块504和内网检测模块502电性连接,所述内网缓冲模块504,所述内网检测模块502剥离完成的内部网络的纯数据暂时存储在内网缓冲模块504内部,做好隔离网闸4进行数据交换的准备。
所述隔离网闸4包括存贮介质401和控制模块402,所述存贮介质401和控制模块402电性连接,所述控制模块402分别与外网处理单元3、内网处理单元4电性连接,所述控制模块402内部包括缓冲存储模块和独立的逻辑控制单元,外部数据经过外网处理单元3发送至内网处理单元4时,首先完成与存贮介质401的数据交换,外部数据经过外网处理单元3,发送至控制模块402,控制模块402缓存后发送至存贮介质401进行存储,然后完成存贮介质401与内网处理单元4的数据交换,控制模块402提取存贮介质401内部数据放置在控制模块402内部进行缓存,再发送至内网处理单元5,完成外部数据经过完成数据的摆渡发送至内网处理单元5,内部数据经过内网处理单元5发送至外网处理单元3时与之同理,每一次数据交换,隔离网闸4都经历了数据对接收、存储和转发三个过程,每个过程中内网处理单元5和外网处理单元3之间都是断开的,动态断开的过程由独立的逻辑控制单元进行控制,隔离网闸4从而可以让内部网络和外部网络在任意时刻的不同时连接,形成空间间隔,实现物理隔离,中断了内外网的直接连接,采用私密的通讯手段形成内外网的物理隔离,创建一个内、外网物理断开的环境,隔离网闸4和物理隔离卡6多层次构建物理隔离网络,保证内网信息的安全。
外网端口1、外网过滤单元2、过滤路由器201、堡垒主机202、外网处理单元3、外网接口模块301、外网检测模块302、外网认证模块303、外网缓冲模块304、隔离网闸4、存贮介质401、控制模块402、内网处理单元5、内网接口模块501、内网检测模块502、内网认证模块503、内网缓冲模块504、物理隔离卡6、内网端口7
具体的,工作时,外部网络通过外网端口1连接到所述网络安全隔离装置,内部网络通过内网端口7连接到所述网络安全隔离装置,物理隔离卡6处于和外部网络进行连接的状态时,外部网络发送数据,通过外网过滤单元2进行过滤检测和分类,然后发送至外网处理单元3进行安全检测后剥离出纯数据进行存储,然后通过隔离网闸4摆渡后发送至内部网络,内部网络发送数据时,经由物理隔离卡6转发至内网处理单元5,对内网数据进行安全检测后剥离出纯数据进行存储,然后通过隔离网闸4摆渡后发送至外部网络。
尽管已经示出和描述了本实用新型的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本实用新型的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本实用新型的范围由所附权利要求及其等同物限定。
Claims (7)
1.一种实现内网信息安全的网络安全隔离装置,其特征在于,包括:
外网端口,所述外网端口与外网进行连接,用于外部网络和所述网络安全隔离装置的通讯;
外网过滤单元,所述外网过滤单元和外网端口电性连接,用于对外网端口所接受的外部数据进行过滤检测和分类;
外网处理单元,所述外网处理单元和外网过滤单元电性连接,用于确认外网数据收发用户的身份,并对外网数据进行安全检测后剥离出纯数据进行存储;
隔离网闸,所述隔离网闸和外网处理单元、内网处理单元电性连接,用于在外网处理单元和内网处理单元形成物理隔离通道,并在外网处理单元和内网处理单元进行数据的摆渡传送;
内网处理单元,所述内网处理单元和物理隔离卡电性连接,用于确认内网数据收发用户的身份,并对内网数据进行安全检测后剥离出纯数据进行存储;
物理隔离卡,所述物理隔离卡和内网端口电性连接,用于切换内网端口的输入状态并将内网端口接收数据发送至内网处理单元;以及;
内网端口,所述内网端口与内网进行连接,用于内部网络和所述网络安全隔离装置的通讯。
2.根据权利要求1所述的一种实现内网信息安全的网络安全隔离装置,其特征在于:所述外网过滤单元包括过滤路由器和堡垒主机,所述过滤路由器和堡垒主机电性连接,所述过滤路由器还分别和外网端口、外网处理单元电性连接。
3.根据权利要求2所述的一种实现内网信息安全的网络安全隔离装置,其特征在于:所述堡垒主机内部设置有硬件防火墙单元。
4.根据权利要求1所述的一种实现内网信息安全的网络安全隔离装置,其特征在于:所述隔离网闸包括存贮介质和控制模块,所述存贮介质和控制模块电性连接,所述控制模块分别与外网处理单元、内网处理单元电性连接。
5.根据权利要求4所述的一种实现内网信息安全的网络安全隔离装置,其特征在于:所述控制模块内部包括缓冲存储模块和独立的逻辑控制单元。
6.根据权利要求1所述的一种实现内网信息安全的网络安全隔离装置,其特征在于:所述外网处理单元包括:
外网接口模块,所述外网接口模块和外网过滤单元电性连接,用于为外网过滤单元和外网处理单元之间的网络通讯提供硬件支持;
外网检测模块,所述外网检测模块与外网接口模块电性连接,用于将外部网络传送的数据进行病毒检测、入侵防护的安全检测后剥离出纯数据;
外网认证模块,所述外网认证模块和外网接口模块电性连接,用于对来自外部网络的对用户身份进行验证和确认,确保数据的通道安全;
外网缓冲模块,所述外网缓冲模块和外网检测模块电性连接,用于暂时存储剥离完成的外部网络的纯数据,做好隔离网闸进行数据交换的准备。
7.根据权利要求6所述的一种实现内网信息安全的网络安全隔离装置,其特征在于:所述内网处理单元包括:
内网接口模块,所述内网接口模块和物理隔离卡电性连接,用于为物理隔离卡和内网处理单元之间的网络通讯提供硬件支持;
内网检测模块,所述内网检测模块与内网接口模块电性连接,用于将内部网络传送的数据进行病毒检测、入侵防护的安全检测后剥离出纯数据;
内网认证模块,所述内网认证模块和内网接口模块电性连接,用于对来自内部网络的用户身份进行验证和确认,确保数据的通道安全;
内网缓冲模块,所述内网缓冲模块和内网检测模块电性连接,用于暂时存储剥离完成的内部网络的纯数据,做好隔离网闸进行数据交换的准备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202022136979.9U CN212850561U (zh) | 2020-09-25 | 2020-09-25 | 实现内网信息安全的网络安全隔离装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202022136979.9U CN212850561U (zh) | 2020-09-25 | 2020-09-25 | 实现内网信息安全的网络安全隔离装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN212850561U true CN212850561U (zh) | 2021-03-30 |
Family
ID=75150039
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202022136979.9U Active CN212850561U (zh) | 2020-09-25 | 2020-09-25 | 实现内网信息安全的网络安全隔离装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN212850561U (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113111348A (zh) * | 2021-04-06 | 2021-07-13 | 深圳市四海众联网络科技有限公司 | 一种局域网安全管理系统 |
CN113472801A (zh) * | 2021-07-12 | 2021-10-01 | 中国人民解放军陆军勤务学院 | 一种物理隔绝的网络通信方法及模块 |
CN113872686A (zh) * | 2021-09-18 | 2021-12-31 | 中邮科通信技术股份有限公司 | 一种基于光宽带网络业务的客户自助排障处理方法 |
CN114143066A (zh) * | 2021-11-26 | 2022-03-04 | 国网四川省电力公司南充供电公司 | 一种基于代理隔离装置的内外网对接系统及方法 |
CN114500068A (zh) * | 2022-02-10 | 2022-05-13 | 广州云羲网络科技有限公司 | 一种基于安全隔离网闸的信息数据交换系统 |
-
2020
- 2020-09-25 CN CN202022136979.9U patent/CN212850561U/zh active Active
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113111348A (zh) * | 2021-04-06 | 2021-07-13 | 深圳市四海众联网络科技有限公司 | 一种局域网安全管理系统 |
CN113472801A (zh) * | 2021-07-12 | 2021-10-01 | 中国人民解放军陆军勤务学院 | 一种物理隔绝的网络通信方法及模块 |
CN113472801B (zh) * | 2021-07-12 | 2022-10-14 | 中国人民解放军陆军勤务学院 | 一种物理隔绝的网络通信方法及模块 |
CN113872686A (zh) * | 2021-09-18 | 2021-12-31 | 中邮科通信技术股份有限公司 | 一种基于光宽带网络业务的客户自助排障处理方法 |
CN114143066A (zh) * | 2021-11-26 | 2022-03-04 | 国网四川省电力公司南充供电公司 | 一种基于代理隔离装置的内外网对接系统及方法 |
CN114500068A (zh) * | 2022-02-10 | 2022-05-13 | 广州云羲网络科技有限公司 | 一种基于安全隔离网闸的信息数据交换系统 |
CN114500068B (zh) * | 2022-02-10 | 2024-01-09 | 广州云羲网络科技有限公司 | 一种基于安全隔离网闸的信息数据交换系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN212850561U (zh) | 实现内网信息安全的网络安全隔离装置 | |
KR101010465B1 (ko) | 엔드포인트 리소스를 사용하는 네트워크 보안 요소 | |
US10193924B2 (en) | Network intrusion diversion using a software defined network | |
US7581247B2 (en) | Network address translation gateway for networks using non-translatable port addresses | |
CN110071929B (zh) | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 | |
CN101378395B (zh) | 一种防止拒绝访问攻击的方法及装置 | |
US20040162992A1 (en) | Internet privacy protection device | |
CN110391988B (zh) | 网络流量控制方法、系统及安全防护装置 | |
Singh et al. | Malicious ICMP tunneling: Defense against the vulnerability | |
KR20210001728A (ko) | 이더넷 기반의 선박 네트워크 보호를 위한 선박 보안 시스템 | |
KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
Murthy et al. | Firewalls for security in wireless networks | |
AU2015301504B2 (en) | End point secured network | |
CN113630381A (zh) | 一种基于分布式与人工智能的双工赋能网络攻防的方法及系统 | |
JP2006501527A (ja) | ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム | |
KR100539760B1 (ko) | 인터넷 접근 제어를 통한 에이전트 설치 유도 시스템 및그 방법 | |
CN104348785B (zh) | IPv6网中防止主机PMTU攻击的方法、装置与系统 | |
TW202034658A (zh) | 立基於軟體定義網路之IPv6存取管理系統及其方法 | |
KR102184757B1 (ko) | 네트워크 은닉 시스템 및 방법 | |
CN115242730A (zh) | 基于正向代理技术的安全式互联网接入方法及其系统 | |
Ghosh et al. | Analysis of Network Security Issues and Threats Analysis on 5G Wireless Networks | |
Sun et al. | simulation and safety Analysis of 6to4 Tunnel Technology Based on eNsP | |
Liu et al. | Research on security of VoIP network | |
Kaur et al. | Potential Security Requirements in IoT to Prevent Attacks and Threats | |
Salih | An Ontological Approach to Secure Address Resolution Protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GR01 | Patent grant | ||
GR01 | Patent grant |