The invention provides a software-based security isolation gate, belonging to the field of network security equipment. The virtual machine management program VMM (3000) can be installed on a common X86 server supporting virtualization and having two network ports. The virtual machine management program VMM (3000) can be Centos V7.0 and VMM (VMM). 3000) Virtual Outbound Network Processing VM (1000) and Intranet Processing VM (2000) are two virtual machines. External Network Processing VM (1000) can only access the file system of the External Network. Intranet Processing VM (2000) can only access the file system of the Intranet. Files from the External Network Processing VM (1000) are ferryed to the Intranet Processing VM (2000) and eventually exchanged to the Intranet to achieve this goal. Intranet and Intranet security isolation and one-way security exchange of external network files to Intranet.
【技术实现步骤摘要】
一种基于软件的安全隔离网闸
本专利技术涉及网络安全设备领域,尤其涉及一种基于软件的安全隔离网闸。
技术介绍
网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。网闸是一般是专用硬件和改造后的专用操作系统实现,成本较高,且部署不灵活。不少网闸厂家在设计网闸产品时,为了方便客户业务的方便,在网闸内外网接口上解析各种应用协议,一方面剥离成数据,另一面又恢复成应用协议,网闸可以根据安全检测的结果,合乎要求的让通过,不合要求的就阻断。这样不仅仅实现数据的交换,而且实现了业务应用的代理访问,有些网闸产品实现了外网的访问者访问内网的服务器。这种解析不仅有覆盖常见应用协议的趋势,而且对数据库的访问也代理通过,为缓冲区溢出、SQL注入等攻击提供了生存的温床,存在极大的安全隐患。
技术实现思路
为了解决以上技术问题,本专利技术提出了一种基于软件的安全隔离网闸。它能隔断内外网任何协议连接,来自外网的任何攻击、病毒、木马等都不会影响到内网设备的正常运行,同时相对于传统的物理隔离网闸成本更加低廉且具有较好的文件摆渡性能。本专利技术的技术方案是:一种基于软件的安全隔离网闸,在一台普通的支持虚拟化和具有两个网口的X86服务器上安装虚拟机管理程序VMM(3000),虚拟机管理程序VMM(3000)是CentosV7.0,虚拟机管理程序VMM(3000)虚拟出外网处理VM(1000)和内网处理VM(2000)两台虚拟机,外网处理VM(1000)只可访问外网的文件系统, ...
【技术保护点】
1.一种基于软件的安全隔离网闸,其特征在于,在一台普通的支持虚拟化和具有两个网口的X86服务器上安装虚拟机管理程序VMM(3000),虚拟机管理程序VMM(3000)是Centos V7.0,虚拟机管理程序VMM(3000)虚拟出外网处理VM(1000)和内网处理VM(2000)两台虚拟机,外网处理VM(1000)只可访问外网的文件系统,内网处理VM(2000)只可访问内网的文件系统,来自外网的文件通过外网处理VM(1000)摆渡到内网处理VM(2000)并最终交换到内网,但外网任何协议不能通过以上VM连接到内网,内网任何协议也不能通过以上VM连接到外网。
【技术特征摘要】
1.一种基于软件的安全隔离网闸,其特征在于,在一台普通的支持虚拟化和具有两个网口的X86服务器上安装虚拟机管理程序VMM(3000),虚拟机管理程序VMM(3000)是CentosV7.0,虚拟机管理程序VMM(3000)虚拟出外网处理VM(1000)和内网处理VM(2000)两台虚拟机,外网处理VM(1000)只可访问外网的文件系统,内网处理VM(2000)只可访问内网的文件系统,来自外网的文件通过外网处理VM(1000)摆渡到内网处理VM(2000)并最终交换到内网,但外网任何协议不能通过以上VM连接到内网,内网任何协议也不能通过以上VM连接到外网。2.如权利要求1所述的安全隔离网闸,其特征在于,安装虚拟机管理程序VMM(3000)的X86服务器上有两个网口,eth0(3001)和eth1(3002),分别连接外网和内网,eth0(3001)和eth1(3002)间不能进行网络包转发;管理程序VMM(3000)除基本的操作系统功能和虚拟机管理模块外,不安装其它模块,关闭了与IP地址相关的服务和锁定root以外的用户并限制root用户不能远程登录,管理员只能通过连接该服务器的键盘和鼠标操作该系统,远程和其它方式均不能访问该系统。3.如权利要求2所述的安全隔离网闸,其特征在于,外网处理VM(1000)配置有两个虚拟网卡:veth0(1001)和veth1(1002),其中veth0(1001)与eth0(3001)以NAT方式建立映射关系,外...
【专利技术属性】
技术研发人员:李朝铭,肖雪,王建华,
申请(专利权)人:浪潮软件股份有限公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。