一种网络隔离装置及在网络隔离系统之间传输数据的方法制造方法及图纸

本申请实施例提供一种网络隔离装置及在网络隔离系统之间传输数据的方法，所述网络隔离装置包括：配置模块，被配置为：完成地址池中地址的预分配，得到本端地址预分配结果，其中，所述本端地址预分配结果是通过比较本端业务类型数目与本端地址池中地址的个数之间的大小关系确定的；维护所述本端地址预分配结果以及本端地址池地址使用状态；连接模块，被配置为依据所述本端地址预分配结果为对端的待传输数据报文获取本端数据传输地址和端口；数据传输模块，被配置为依据对端数据传输地址和端口向对端网络隔离装置发送本端的待传输数据报文。本申请的实施例在具体地址分配时不同业务类型预分配地址不完全隔离实现一定程度的共享。共享。共享。

【技术实现步骤摘要】
一种网络隔离装置及在网络隔离系统之间传输数据的方法


[0001]本申请涉及网络安全领域，具体而言本申请实施例涉及一种网络隔离装置及在网络隔离系统之间传输数据的方法。

技术介绍

[0002]在一些对隔离合规要求比较高的行业，为实现区域网络隔离和跨网安全数据交换，将跨网安全数据交换产品部署在不同的网络作为网络隔离和数据摆渡唯一通道，使跨网安全数据交换产品配合网闸或光闸组成一套完整的跨网数据摆渡解决方案。跨网安全数据交换产品可以应用于各行业网络隔离场景，为满足各种复杂的海量业务，需要满足用户对跨网安全数据交换产品高吞吐高并发的要求。如图1所示，跨网安全数据交换产品由前置(即网络隔离装置)和后置(即另一个网络个隔离装置)组成一套设备，即跨网络安全数据交换产品130。可以通过配置代理策略(即各业务类型支持的策略)实现两个网络区域的通信。通过配置策略，前置可以将位于第一网络110的客户端发送给前置的报文转交给后置，后置再将报文发给位于第二网络120的服务端，从而完成两个隔离网络中客户端和服务端的通信；也可以是客户端发送报文给后置，后置将报文转交给前置，前置本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络隔离装置，其特征在于，所述网络隔离装置包括：配置模块，被配置为：完成地址池中地址的预分配，得到本端地址预分配结果，其中，所述本端地址预分配结果是通过比较本端业务类型数目与本端地址池中地址的个数之间的大小关系确定的；维护所述本端地址预分配结果以及本端地址池地址使用状态；连接模块，被配置为依据所述本端地址预分配结果为对端的待传输数据报文获取本端数据传输地址和端口；数据传输模块，被配置为依据对端数据传输地址和端口向位于对端网络隔离装置发送本端的待传输数据报文。2.如权利要求1所述的网络隔离装置，其特征在于，所述配置模块进一步包括：地址池模块，被配置为：计算传输口地址所在子网的剩余可用地址，得到待分配地址集合；将所述待分配地址集合中的所有地址平分给所述网络隔离装置和所述对端网络隔离装置，得到所述本端地址池和对端地址池；按照所述本端业务类型数目和所述本端地址池中地址个数之间的大小关系确定地址预分配策略并依据所述地址预分配策略完成所述本端地址池中地址的预分配，得到所述本端地址预分配结果；记录表模块，被配置为存储所述本端地址预分配结果以及所述本端地址池地址使用状态。3.如权利要求2所述的网络隔离装置，其特征在于，所述地址池模块还被配置为：若确认所述本端业务类型数目大于所述本端地址池的地址个数，则为各业务类型分配第一标记并将所述本端地址池的地址作为第一本端地址预分配结果；若确认所述本端业务类型数目等于所述本端地址池的地址个数，则将所述本端地址池中的每个地址预分配给一个业务类型，得到各地址和端口与业务类型之间的对应关系，将所述对应关系作为第二本端地址预分配结果信息中的至少部分信息；若确认所述本端业务类型数目小于所述本端地址池中地址的个数，则将所述本端地址池中每个地址分配给一个业务类型，并将所述本端地址池地址中的剩余地址根据业务类型的策略数进行再次预分配；记录为各业务类型预分配的地址和端口，得到对应关系；将所述对应关系作为第三本端地址预分配结果中的至少部分信息。4.如权利要求3所述的网络隔离装置，其特征在于，所述第二本端地址预分配结果和所述第三本端地址预分配结果还分别用于记录当前时刻各业务类型启动的策略数。5.如权利要求1所述的网络隔离装置，其特征在于，所述连接模块包括：获取地址模块，被配置为根据所述对端的待传输数据所属的业务类型，通过查询所述本端地址预分配结果为所述对端的待传输数据获取所述本端数据传输地址和所述端口；连接判断模块，被配置为若所述对端的待传输数据报文属于首个报文则通过调用所述获取地址模块得到所述本端数据传输地址和端口，若所述对端的待传输数据报文不属于首个报文则通过调用所述记录表模块获取所述本端数据传输地址和端口，并将所述本端数据传输地址和所述端口提供给对端的数据传输模块。
6.如权利要求5所述的网络隔离装置，其特征在于，所述获取地址模块还被配置为：若确认所述对端的待传输数据所属的业务类型为第一类型，则从所述本端地址池中读取下一个地址及端口作为所述数据传输地址和所述端口。7.如权利要求6所述的网络隔离装置，其特征在于，所述获取地址模块还被配置为：若确认所述对端的待传输数据所属的业务类型不属于第一类型，则首先从所述本端地址池地址使用状态中查找用于传输所述对端待传输数据所属业务类型的数据传输地址和端口得到所述本端数据传输地址和端口，若从所述本端地址池地址使用状态信息中未查找到用于传输所述对端的待传输数据的数据传输地址和端口，则进一步查询所述本端地址预分配结果中是否存在没有启动策略的业务类型，若存在则从所述没有启动策略的业务类型对应的预分配地址中获取所述本端数据传输地址和端口，否则优先在启动策略数少的业务类型对应的预分配地址中获取所述本端数据传输地址和端口。8.一种在网络隔离系统之间传输数据的方法，所述网络隔离系统包括与客户端通信的第一网络隔离装置以...

【专利技术属性】
技术研发人员：陈静，杨勇，
申请(专利权)人：湖北天融信网络安全技术有限公司，
类型：发明
国别省市：