一种基于软件的安全隔离网闸制造技术

技术编号:19548863 阅读:21 留言:0更新日期:2018-11-24 21:29
本发明专利技术提供一种基于软件的安全隔离网闸,属于网络安全设备领域,本发明专利技术在一台普通的支持虚拟化和具有两个网口的X86服务器上安装虚拟机管理程序VMM(3000),虚拟机管理程序VMM(3000)可以是Centos V7.0,虚拟机管理程序VMM(3000)虚拟出外网处理VM(1000)和内网处理VM(2000)两台虚拟机,外网处理VM(1000)只可访问外网的文件系统,内网处理VM(2000)只可访问内网的文件系统,来自外网的文件通过外网处理VM(1000)摆渡到内网处理VM(2000)并最终交换到内网,达到内外网安全隔离和外网文件向内网单向安全交换目的。

A Software-based Safe Isolation Gate

The invention provides a software-based security isolation gate, belonging to the field of network security equipment. The virtual machine management program VMM (3000) can be installed on a common X86 server supporting virtualization and having two network ports. The virtual machine management program VMM (3000) can be Centos V7.0 and VMM (VMM). 3000) Virtual Outbound Network Processing VM (1000) and Intranet Processing VM (2000) are two virtual machines. External Network Processing VM (1000) can only access the file system of the External Network. Intranet Processing VM (2000) can only access the file system of the Intranet. Files from the External Network Processing VM (1000) are ferryed to the Intranet Processing VM (2000) and eventually exchanged to the Intranet to achieve this goal. Intranet and Intranet security isolation and one-way security exchange of external network files to Intranet.

【技术实现步骤摘要】
一种基于软件的安全隔离网闸
本专利技术涉及网络安全设备领域,尤其涉及一种基于软件的安全隔离网闸。
技术介绍
网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。网闸是一般是专用硬件和改造后的专用操作系统实现,成本较高,且部署不灵活。不少网闸厂家在设计网闸产品时,为了方便客户业务的方便,在网闸内外网接口上解析各种应用协议,一方面剥离成数据,另一面又恢复成应用协议,网闸可以根据安全检测的结果,合乎要求的让通过,不合要求的就阻断。这样不仅仅实现数据的交换,而且实现了业务应用的代理访问,有些网闸产品实现了外网的访问者访问内网的服务器。这种解析不仅有覆盖常见应用协议的趋势,而且对数据库的访问也代理通过,为缓冲区溢出、SQL注入等攻击提供了生存的温床,存在极大的安全隐患。
技术实现思路
为了解决以上技术问题,本专利技术提出了一种基于软件的安全隔离网闸。它能隔断内外网任何协议连接,来自外网的任何攻击、病毒、木马等都不会影响到内网设备的正常运行,同时相对于传统的物理隔离网闸成本更加低廉且具有较好的文件摆渡性能。本专利技术的技术方案是:一种基于软件的安全隔离网闸,在一台普通的支持虚拟化和具有两个网口的X86服务器上安装虚拟机管理程序VMM(3000),虚拟机管理程序VMM(3000)是CentosV7.0,虚拟机管理程序VMM(3000)虚拟出外网处理VM(1000)和内网处理VM(2000)两台虚拟机,外网处理VM(1000)只可访问外网的文件系统,内网处理VM(2000)只可访问内网的文件系统,来自外网的文件通过外网处理VM(1000)摆渡到内网处理VM(2000)并最终交换到内网,但外网任何协议不能通过以上VM连接到内网,内网任何协议也不能通过以上VM连接到外网。安装虚拟机管理程序VMM(3000)的X86服务器上有两个网口,eth0(3001)和eth1(3002),分别连接外网和内网,eth0(3001)和eth1(3002)间不能进行网络包转发;管理程序VMM(3000)除基本的操作系统功能和虚拟机管理模块外,不安装其它模块,关闭了与IP地址相关的服务和锁定root以外的用户并限制root用户不能远程登录,管理员只能通过连接该服务器的键盘和鼠标操作该系统,远程和其它方式均不能访问该系统。外网处理VM(1000)配置有两个虚拟网卡:veth0(1001)和veth1(1002),其中veth0(1001)与eth0(3001)以NAT方式建立映射关系,外网处理VM(1000)通过veth0(1001)访问外网,外网和内网均不能访问veth0(1001)。内网处理VM(2000)配置有两个虚拟网卡:veth0(2001)和veth1(2002),其中veth0(2001)与eth1(3002)以NAT方式建立映射关系,内网处理VM(2000)通过veth0(2001)访问内网,内网和外网均不能访问veth0(2001)。外网处理VM(1000)的veth1(1002)和内网处理VM(2000)的veth1(2002)通过虚拟机管理程序VMM(3000)建立私有的虚拟连接关系,外网处理VM(1000)和内网处理VM(2000)可基于此进行通信,但来自外网和内网的任何外部协议均不能使用这两个虚拟网卡;外网处理VM(1000)安装有外网摆渡模块(1003),内网处理VM(2000)安装有内网摆渡模块(2003),外网摆渡模块(1003)通过veth0(1001)获得外网需要摆渡的文件,再通过veth1(1002)和私有协议传输给内网摆渡模块(2003),内网摆渡模块(2003)通过veth1(2002)和私有协议获得摆渡的文件再通过veth0(2001)最终摆渡到内网。将eth0(3001)和eth1(3002)分别连接内网和外网即可实现内网向外网的单向交换。本专利技术的有益效果是在普通的X86服务器上,通过软件和相关设置,低成本地解决了外网向内网安全交换文件问题,同时保护了内网的安全。该方案反过来也适用于内网向外网安全交换文件。附图说明图1是本专利技术的结构示意图。具体实施方式下面对本专利技术的内容进行更加详细的阐述:如图所示,在一台普通的支持虚拟化和具有两个网口的X86服务器上安装虚拟机管理程序VMM(3000),虚拟机管理程序VMM(3000)可以是CentosV7.0等开源Linux,虚拟机管理程序VMM(3000)虚拟出外网处理VM(1000)和内网处理VM(2000)两台虚拟机,外网处理VM(1000)只可访问外网的文件系统,内网处理VM(2000)只可访问内网的文件系统,来自外网的文件通过外网处理VM(1000)摆渡到内网处理VM(2000)并最终交换到内网,但外网任何协议不能通过以上VM连接到内网,内网任何协议也不能通过以上VM连接到外网,达到内外网安全隔离和外网文件向内网单向安全交换目的。安装虚拟机管理程序VMM(3000)的X86服务器上有两个网口,eth0(3001)和eth1(3002),分别连接外网和内网,eth0(3001)和eth1(3002)间不能进行网络包转发。管理程序VMM(3000)除基本的操作系统功能和虚拟机管理模块外,不安装其它模块,关闭了与IP地址相关的服务和锁定root以外的用户并限制root用户不能远程登录,管理员只能通过连接该服务器的键盘和鼠标操作该系统,远程和其它方式均不能访问该系统。外网处理VM(1000)配置有两个虚拟网卡,veth0(1001)和veth1(1002),其中veth0(1001)与eth0(3001)以NAT方式建立映射关系,外网处理VM(1000)可以通过veth0(1001)访问外网,外网和内网均不能访问veth0(1001),此种方式保障了外网处理VM(1000)的安全性。内网处理VM(2000)配置有两个虚拟网卡,veth0(2001)和veth1(2002),其中veth0(2001)与eth1(3002)以NAT方式建立映射关系,内网处理VM(2000)可以通过veth0(2001)访问内网,内网和外网均不能访问veth0(2001),此种方式保障了内网处理VM(1000)的安全性。外网处理VM(1000)的veth1(1002)和内网处理VM(2000)的veth1(2002)通过虚拟机管理程序VMM(3000)建立私有的虚拟连接关系,外网处理VM(1000)和内网处理VM(2000)可基于此进行通信,但来自外网和内网的任何外部协议均不能使用这两个虚拟网卡。外网处理VM(1000)安装有外网摆渡模块(1003),内网处理VM(2000)安装有内网摆渡模块(2003),外网摆渡模块(1003)通过veth0(1001)获得外网需要摆渡的文件,再通过veth1(1002)和私有协议传输给内网摆渡模块(2003),内网摆渡模块(2003)通过veth1(2002)和私有协议获得摆渡的文件再通过veth0(2001)最终摆渡到内网。如果想实现内网向外网的单向交换,只需要将eth0(3001)和eth1(3002)分别连接内网和本文档来自技高网...

【技术保护点】
1.一种基于软件的安全隔离网闸,其特征在于,在一台普通的支持虚拟化和具有两个网口的X86服务器上安装虚拟机管理程序VMM(3000),虚拟机管理程序VMM(3000)是Centos V7.0,虚拟机管理程序VMM(3000)虚拟出外网处理VM(1000)和内网处理VM(2000)两台虚拟机,外网处理VM(1000)只可访问外网的文件系统,内网处理VM(2000)只可访问内网的文件系统,来自外网的文件通过外网处理VM(1000)摆渡到内网处理VM(2000)并最终交换到内网,但外网任何协议不能通过以上VM连接到内网,内网任何协议也不能通过以上VM连接到外网。

【技术特征摘要】
1.一种基于软件的安全隔离网闸,其特征在于,在一台普通的支持虚拟化和具有两个网口的X86服务器上安装虚拟机管理程序VMM(3000),虚拟机管理程序VMM(3000)是CentosV7.0,虚拟机管理程序VMM(3000)虚拟出外网处理VM(1000)和内网处理VM(2000)两台虚拟机,外网处理VM(1000)只可访问外网的文件系统,内网处理VM(2000)只可访问内网的文件系统,来自外网的文件通过外网处理VM(1000)摆渡到内网处理VM(2000)并最终交换到内网,但外网任何协议不能通过以上VM连接到内网,内网任何协议也不能通过以上VM连接到外网。2.如权利要求1所述的安全隔离网闸,其特征在于,安装虚拟机管理程序VMM(3000)的X86服务器上有两个网口,eth0(3001)和eth1(3002),分别连接外网和内网,eth0(3001)和eth1(3002)间不能进行网络包转发;管理程序VMM(3000)除基本的操作系统功能和虚拟机管理模块外,不安装其它模块,关闭了与IP地址相关的服务和锁定root以外的用户并限制root用户不能远程登录,管理员只能通过连接该服务器的键盘和鼠标操作该系统,远程和其它方式均不能访问该系统。3.如权利要求2所述的安全隔离网闸,其特征在于,外网处理VM(1000)配置有两个虚拟网卡:veth0(1001)和veth1(1002),其中veth0(1001)与eth0(3001)以NAT方式建立映射关系,外...

【专利技术属性】
技术研发人员:李朝铭肖雪王建华
申请(专利权)人:浪潮软件股份有限公司
类型:发明
国别省市:山东,37

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1