基于网络隔离装置的数据通信方法和装置制造方法及图纸
【技术实现步骤摘要】
基于网络隔离装置的数据通信方法和装置
本专利技术适用于通信
,尤其是涉及基于网络隔离装置的数据通信方法。
技术介绍
随着互联网的飞速发展,使得信息能够高度共享和迅速传递,它的开放性在给人们带来巨大便利的同时,也带来了系统入侵、信息泄密等网络安全问题,因此,网络安全隔离技术也得到越来越多的重视。通过部署网络隔离装置可以真正的实现网络隔离,在阻断各种网络攻击的前提下,为用户提供安全的网络操作、邮件访问以及基于文件和数据库的数据交换。网络隔离装置部署在以太网链路上,内外主机连接两个独立网络进行传输控制协议/网际互联协议(TransmissionControlProtocol/InternetProtocol,TCP/IP)数据传输。现有的网络隔离装置具有内端主机和外端主机,内端主机与内网相连,外端主机与外网相连,内端主机与外端主机各自配有IP地址,当内网与外网进行通讯时,实际是通过与网络隔离装置中的内端主机和外端主机进行通信,例如,将数据包从外网终端发送至内网的设备,首先,将数据包发送到外端主机,外端主机对数据包进行安全检查,如包过滤,内容扫描,认证审查等,若通过安全检查,则去掉数据包各种包头信息,只保留应用层数据,也就是原始数据,然后用自定义的协议封装该数据,通过隔离通道发送至内端主机,再由内端主机发送至内网的设备。由于针对用户的各种基于TCP或者用户数据报协议(UserDataProtocol,UDP)的通信业务,例如邮件访问、数据库访问、OA办公等,内外端主机需要实现相关的协议代理功能,如TCP代理、UDP代理,以实现IP数据的正常传输。因此现有技术...
【技术保护点】
一种基于网络隔离装置的数据通信方法,其特征在于,包括:内端主机响应内网终端向外网终端发送的连接请求数据包并建立内端主机与内网终端的内网连接;所述连接请求数据包携带有内网终端网络地址和外网终端网络地址;所述内端主机通过隔离通道向对应的外端主机发送第一数据包,所述第一数据包携带有内网连接对应的内网连接标识、第一源网络地址和第一目的网络地址,所述第一源网络地址为所述内网终端网络地址,所述第一目的网络地址为所述外网终端网络地址;所述外端主机根据收到的第一数据包与外网终端建立外网连接,所述外网连接的源地址为外端主机虚拟网络地址,目的地址为第一目的网络地址;所述外端主机在预置的外网地址映射表中设置外网地址映射记录,所述外网地址映射记录包括所述外网连接对应的外网连接标识、所述内网连接标识、所述第一源网络地址和所述第一目的网络地址;所述内端主机通过所述内网连接接收内网终端发送的内网数据包,所述内网数据包携带有所述内网连接标识和内网载荷数据;所述内端主机将所述内网连接标识和内网载荷数据封装生成第二数据包,并将所述第二数据包通过隔离通道发送至外端主机;所述第二数据包的源地址为内端主机虚拟网络地址,目的地址...
【技术特征摘要】
1.一种基于网络隔离装置的数据通信方法,其特征在于,包括:内端主机响应内网终端向外网终端发送的连接请求数据包并建立内端主机与内网终端的内网连接;所述内网连接以内网终端网络地址为源地址、内端主机网络地址为目的地址,所述连接请求数据包携带有内网终端网络地址和外网终端网络地址;所述内端主机通过隔离通道向对应的外端主机发送第一数据包,所述第一数据包携带有内网连接对应的内网连接标识、第一源网络地址和第一目的网络地址,所述第一源网络地址为所述内网终端网络地址,所述第一目的网络地址为所述外网终端网络地址,所述内端主机网络地址为内端主机的本机的网络地址;所述外端主机根据收到的第一数据包与外网终端建立外网连接,所述外网连接的源地址为外端主机虚拟网络地址,目的地址为第一目的网络地址;所述外端主机在预置的外网地址映射表中设置外网地址映射记录,所述外网地址映射记录包括所述外网连接对应的外网连接标识、所述内网连接标识、所述第一源网络地址和所述第一目的网络地址;外端主机将所述第一数据包中的内网连接标识和所述第一源网络地址设置到预置的地址转换表中;所述内端主机通过所述内网连接接收内网终端发送的内网数据包,所述内网数据包携带有所述内网连接标识和内网载荷数据;所述内端主机将所述内网连接标识和内网载荷数据封装生成第二数据包,并将所述第二数据包通过隔离通道发送至外端主机;所述第二数据包的源地址为内端主机虚拟网络地址,目的地址为外端主机虚拟网络地址;所述外端主机从接收到的第二数据包中获取所述内网连接标识,并匹配所述内网连接标识与所述外网地址映射表,若不存在匹配的外网地址映射记录,则丢弃所述第二数据包,若存在匹配的外网地址映射记录,则继续执行后续步骤;所述外端主机以虚拟网络地址对所述第二数据包中的内网载荷数据进行封装,生成第一内网网络数据包,所述第一内网网络数据包的源地址为所述外端主机虚拟网络地址,目的地址为所述第一目的网络地址;所述外端主机根据预置的地址转换表对所述第一内网网络数据包进行地址转换,生成第二内网网络数据包;所述第二内网网络数据包的源地址为所述第一源网络地址,目的地址为所述第一目的网络地址;所述外端主机在预置的地址解析表中查找所述第二内网网络数据包对应的下一跳目的物理地址,并基于所述下一跳目的物理地址对所述第二内网网络数据包进行地址封装,生成内网链路数据包,所述下一跳目的物理地址具体为所述第二内网网络数据包下一跳路由器的MAC地址;所述外端主机通过所述外网连接将所述内网链路数据包发送至对应的外网终端;所述外端主机根据预置的地址转换表对所述第一内网网络数据包进行地址转换,生成第二内网网络数据包,具体包括:所述外端主机从所述第一内网网络数据包中获取内网连接标识;所述外端主机根据所述获取的内网连接标识从预置的地址转换表中获取对应的第一源网络地址;所述外端主机将所述第一内网网络数据包封装生成第二内网网络数据包,所述第二内网网络数据包的源地址为所述第一源网络地址。2.一种基于网络隔离装置的数据通信方法,其特征在于,包括:外端主机响应外网终端向内网终端发送的连接请求数据包并建立外端主机与外网终端的外网连接;外端主机以外端主机虚拟网络地址为目的地址,外网终端网络地址为源地址,建立外网连接,所述连接请求数据包携带有外网终端网络地址和内网终端网络地址;所述外端主机通过隔离通道向对应的内端主机发送第三数据包,所述第三数据包携带有外网连接对应的外网连接标识、第二源网络地址和第二目的网络地址,所述第二源网络地址为所述外网终端网络地址,所述第二目的网络地址为所述内网终端网络地址;所述内端主机根据收到的第三数据包与内网终端建立内网连接,所述内网连接的源地址为内端主机网络地址,目的地址为第二目的网络地址,所述内端主机网络地址为内端主机的本机的网络地址;所述内端主机在预置的内网地址映射表中设置内网地址映射记录,所述内网地址映射记录包括所述内网连接对应的内网连接标识、所述外网连接标识、所述第二源网络地址和所述第二目的网络地址;所述外端主机通过所述外网连接接收外网终端发送的外网数据包,所述外网数据包携带有所述外网连接标识和外网载荷数据;所述外端主机将所述外网连接标识和外网载荷数据封装生成第四数据包,并将所述第四数据包通过隔离通道发送至内端主机;所述第四数据包的源地址为外端主机虚拟网络地址,目的地址为内端主机虚拟网络地址;所述内端主机从接收到的第四数据包中获取所述外网连接标识,并匹配所述外网连接标识与所述内网地址映射表,若不存在匹配的内网地址映射记录,则丢弃所述第四数据包,若存在匹配的内网地址映射记录,则继续执行后续步骤;所述内端主机对所述第四数据包中的外网载荷数据进行封装,生成外网网络数据包,所述外网网络数据包的源地址为内端主机网络地址,目的地址为内网终端网络地址;所述内端主机查找内网终端目的物理地址,并基于内网终端目的物理地址对所述外网网络数据包进行地址封装,生成外网链路数据包;所述内端主机通过所述内网连接将所述外网链路数据包发送至对应的内网终端。3.一种网络隔离装置,其特征在于,所述装置包括:内端主机、隔离通道和外端主机;所述内端主机包括:内网连接代理模块、内网隔离通信模块、内网数据接收模块;所述外端主机包括:外网隔离通信模块、外网连接代理模块、外网网络地址封装模块、地址转换模块、外网物理地址封装模块、外网网桥;所述隔离通道,用于在内端主机和外端主机之间进行数据传输;所述内网连接代理模块,用于响应内网终端向外网终端发送的连接请求数据包并建立内端主机与内网终端的内网连接;所述内网连接以内网终端网络地址为源地址、内端主机网络地址为目的地址,所述连接请求数据包携带有内网终端网络地址和外网终端网络地址;所述内网隔离通信模块,用于通过隔离通道向对应的外端主机发送第一数据包,所述第一数据包携带有内网连接对应的内网连接标识、第一源网络地址和第一目的网络地址,所述第一源网络地址...
【专利技术属性】
技术研发人员:胡朝辉,梁智强,江泽鑫,陈炯聪,黄曙,余南华,林丹生,李闯,伍晓泉,
申请(专利权)人:广东电网公司电力科学研究院,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。