一種安全隔離設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本實用新型涉及一種信息隔離設(shè)備��,屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域����,特別涉及一種安全隔離設(shè)備。
【背景技術(shù)】
[0002]為了實現(xiàn)不同安全級別或不同安全域網(wǎng)絡(luò)之間的安全隔離與信息交換��,通常采用的手段是在網(wǎng)絡(luò)邊界處部署安全隔離與信息交換系統(tǒng)(例如網(wǎng)閘)����、防火墻等設(shè)備。
[0003]傳統(tǒng)的安全隔離與信息交換系統(tǒng)一般為“2+1”結(jié)構(gòu)��,2是指I個內(nèi)網(wǎng)處理單元����、I個外網(wǎng)處理單元,I是指I個隔離交換單元���。內(nèi)網(wǎng)處理單元與內(nèi)網(wǎng)連接����,外網(wǎng)處理單元與外網(wǎng)連接,隔離交換單元負責對內(nèi)外網(wǎng)處理單元進行隔離����,并根據(jù)預先配置的策略在兩者之間進行信息交換。當內(nèi)網(wǎng)需要向外網(wǎng)傳輸數(shù)據(jù)時�����,內(nèi)網(wǎng)處理單元以代理的形式和內(nèi)網(wǎng)主機通信��,將從內(nèi)網(wǎng)接收到的數(shù)據(jù)包的包頭信息扔掉�,將用戶數(shù)據(jù)緩存至自身緩沖區(qū)進行病毒查殺,然后再通過隔離交換單元以私有協(xié)議的形式將用戶數(shù)據(jù)交換至外網(wǎng)處理單元��,最后由外網(wǎng)處理單元再以代理的形式將用戶數(shù)據(jù)發(fā)送到外網(wǎng)目標主機�。反之����,當外網(wǎng)需要向內(nèi)網(wǎng)傳輸數(shù)據(jù)時原理類似。
[0004]這種傳統(tǒng)的“2+1”結(jié)構(gòu)存在以下缺點:1.完成一次信息交換需要兩次代理轉(zhuǎn)發(fā)����,使通信效率降低;2.需要在內(nèi)外網(wǎng)處理單元分別進行針對不同業(yè)務的策略配置�����,配置管理復雜;3.在網(wǎng)絡(luò)邊界處集中進行安全檢測�,數(shù)據(jù)處理運算量大,增加了網(wǎng)絡(luò)延遲��;4.只支持文件交換���、郵件交換�����、數(shù)據(jù)庫同步�����、網(wǎng)頁訪問等有限的幾種應用類型����,無法支持現(xiàn)有大量的各類應用�����。
【發(fā)明內(nèi)容】
[0005]為了克服上述現(xiàn)有技術(shù)的不足,本實用新型的目的在于提出一種安全隔離設(shè)備�,能夠?qū)W(wǎng)間交互的協(xié)議進行過濾,保證了內(nèi)��、外網(wǎng)均不會受到來自另一側(cè)網(wǎng)絡(luò)的任何基于網(wǎng)絡(luò)協(xié)議漏洞的攻擊���,提高了信息傳輸?shù)陌踩?���,具有結(jié)構(gòu)簡單�、安全性高的特點。
[0006]為了實現(xiàn)上述目的�����,本實用新型采用的技術(shù)方案是:
[0007]一種安全隔離設(shè)備����,包括多個用于收發(fā)內(nèi)、外網(wǎng)數(shù)據(jù)包以及和管理人員電腦通信的通信端口���,所述安全隔離設(shè)備還包括隔離交換單元和管理單元,所述隔離交換單元使用網(wǎng)線或光纖通過光口或電口分別與內(nèi)網(wǎng)主機�、外網(wǎng)主機電連接,管理單元通過單獨的通信端口與管理人員計算機電連接���。
[0008]所述安全隔離設(shè)備設(shè)置在內(nèi)�、外網(wǎng)邊界處。
[0009]本實用新型采用分布式系統(tǒng)架構(gòu)的網(wǎng)絡(luò)隔離系統(tǒng)��,通過在網(wǎng)絡(luò)邊界處部署安全隔離設(shè)備�,可對網(wǎng)間交互的協(xié)議進行過濾,保證了內(nèi)���、外網(wǎng)均不會受到來自另一側(cè)網(wǎng)絡(luò)的任何基于網(wǎng)絡(luò)協(xié)議漏洞的攻擊�,包括已知的網(wǎng)絡(luò)攻擊�,如DOS、DDOS, IPFragment, ARP等網(wǎng)絡(luò)攻擊�,及所有未知的網(wǎng)絡(luò)攻擊,提高了信息傳輸?shù)陌踩浴?br>【附圖說明】
[0010]圖1為本實用新型系統(tǒng)結(jié)構(gòu)框圖��。
【具體實施方式】
[0011]下面結(jié)合附圖對本實用新型作進一步詳細說明���。
[0012]參見附圖1���,一種分布式網(wǎng)絡(luò)隔離設(shè)備,包括多個用于收發(fā)內(nèi)�����、外網(wǎng)數(shù)據(jù)包以及和管理人員電腦通信的通信端口,所述安全隔離設(shè)備還包括隔離交換單元和管理單元��,所述隔離交換單元使用網(wǎng)線通過光口或電口分別與內(nèi)網(wǎng)主機�����、外網(wǎng)主機電連接���,管理單元通過單獨的通信端口與管理人員計算機電連接����。
[0013]所述安全隔離設(shè)備設(shè)置在內(nèi)�����、外網(wǎng)邊界處���。
[0014]本實用新型的工作原理是:
[0015]管理人員通過管理單元對安全隔離設(shè)備的各端口網(wǎng)絡(luò)參數(shù)和訪問規(guī)則進行配置���,然后隔離交換單元依據(jù)訪問規(guī)則對兩側(cè)網(wǎng)絡(luò)的私有協(xié)議數(shù)據(jù)包進行過濾。隔離交換單元負責對從一側(cè)網(wǎng)絡(luò)收到的數(shù)據(jù)包進行私有協(xié)議鑒別和訪問規(guī)則檢查�����,并將符合訪問規(guī)則的私有協(xié)議數(shù)據(jù)包發(fā)送到另一側(cè)網(wǎng)絡(luò)�,其它任何數(shù)據(jù)包,包括標準的TCP���、UDP�����、ARP��、ICMP等協(xié)議數(shù)據(jù)包都會被扔掉����,不能從一側(cè)網(wǎng)絡(luò)傳輸?shù)搅硪粋?cè)網(wǎng)絡(luò)�����。
【主權(quán)項】
1.一種安全隔離設(shè)備�����,包括多個用于收發(fā)內(nèi)��、外網(wǎng)數(shù)據(jù)包以及和管理人員電腦通信的通信端口,其特征在于�,所述安全隔離設(shè)備還包括隔離交換單元和管理單元,所述隔離交換單元使用網(wǎng)線或光纖通過光口或電口分別與內(nèi)網(wǎng)主機����、外網(wǎng)主機電連接,管理單元通過單獨的通信端口與管理人員計算機電連接���。
2.根據(jù)權(quán)利要求1所述的一種安全隔離設(shè)備����,其特征在于����,所述安全隔離設(shè)備設(shè)置在內(nèi)、外網(wǎng)邊界處��。
【專利摘要】一種安全隔離設(shè)備��,包括多個用于收發(fā)內(nèi)����、外網(wǎng)數(shù)據(jù)包以及和管理人員電腦通信的通信端口,所述安全隔離設(shè)備還包括隔離交換單元和管理單元��,所述隔離交換單元使用網(wǎng)線或光纖通過光口或電口分別與內(nèi)網(wǎng)主機、外網(wǎng)主機電連接�����,管理單元通過單獨的通信端口與管理人員計算機電連接�,管理人員通過管理單元對安全隔離設(shè)備的各端口網(wǎng)絡(luò)參數(shù)和訪問規(guī)則進行配置�,然后隔離交換單元依據(jù)訪問規(guī)則對兩側(cè)網(wǎng)絡(luò)的私有協(xié)議數(shù)據(jù)包進行過濾,并將符合訪問規(guī)則的私有協(xié)議數(shù)據(jù)包發(fā)送到另一側(cè)網(wǎng)絡(luò)����,其它任何數(shù)據(jù)包都會被扔掉,保證了內(nèi)�����、外網(wǎng)均不會受到來自另一側(cè)網(wǎng)絡(luò)的任何基于網(wǎng)絡(luò)協(xié)議漏洞的攻擊���,具有結(jié)構(gòu)簡單����、安全性高的特點��。
【IPC分類】H04L29-06
【公開號】CN204578564
【申請?zhí)枴緾N201520203855
【發(fā)明人】趙凱瑞, 武君勝, 賈濤, 閻恒毅, 李偉剛
【申請人】西安匯景倬元信息技術(shù)有限公司
【公開日】2015年8月19日
【申請日】2015年4月7日