本发明属于网络安全传输领域,尤其是涉及一种网络安全隔离方法及装置。
背景技术:
在一些安全要求等级比较高的网络,不同等级的网络需要互联互通时,通常要求对网络进行隔离,传统的解决方法是在网络上安装上通信加密装置,实现通信内容的加密,但现有的加密设备功能单一,安全保护效果不理想,同时维护工作也比较复杂。
技术实现要素:
有鉴于此,本发明旨在提出一种网络安全隔离方法及装置,配合使用ddos防御、访问控制、文件内容过滤、病毒扫描、协议剥离转换、ipsec/hip/ssl解密;可以实现不同等级网络的安全隔离数据传输,具有应用范围广、功能丰富及效果可靠的特点。
为达到上述目的,本发明的技术方案是这样实现的:
一种网络安全隔离方法,包括:
步骤1:ddos防御;对外网接口进入的低级网络数据利用syncookie、synproxy及anti-flood技术实现ddos防御;
步骤2:访问控制;通过防火墙模块,利用状态检测技术,实现非规和合规数据鉴别;
步骤3:文件内容过滤;对http、ftp、邮件类及文件共享类应用进行文件内容扫描,防止非合规的文件进入;
步骤4:病毒扫描;对传输的数据内容进行病毒扫描,防止病毒文件进入;
步骤5:外端协议剥离转换;剥离数据协议ip、tcp、udp、ike、ah和esp的头部,将数据内容转发给电子隔离部件;
步骤6:电子隔离部件将传输数据摆渡到内部网络的内端协议剥离转换;
步骤7:通过内端协议剥离转换将数据还原成tcp/ip数据;
步骤8:对步骤7中还原完成的数据,进行ipsec/hip/ssl解密处理,解密完成后的数据可以安全地接入高级网络的内网接口。
ipsecvpn技术,得用ipsecvpn的密钥协商和传输模式,实现隧道内通信的数据加密。
hip技术,hip技术有简单高效的密钥协商技术,且hip专用于端到端的通信,可以很好保护通信数据安全。
ssl技术,ssl技术通过在设备两端建立ssl隧道的方式,利用ssl技术实现双方通信数据的安全。
进一步的,在步骤2中;使用radius方式实现安全接入认证。
进一步的,在步骤2中;使用windows域方式实现安全接入认证。
进一步的,在步骤2中;使用ldap方式实现安全接入认证。
一种网络安全隔离装置,应用上述网络安全隔离方法,包括外端机、隔离卡及内端机;外端机、隔离卡及内端机依次连接;外端机内设有依次连接的外网接口模块、访问控制模块、文件内容过滤模块、病毒扫描模块及外端协议剥离转换模块;隔离卡内设有电子隔离部件模块;内端机内设有依次连接的内端协议剥离转换模块、ipsec/hip/ssl模块及内网接口模块。
相对于现有技术,本发明一种网络安全隔离方法及装置,具有以下优势:
本发明一种网络安全隔离方法及装置,配合使用ddos防御、访问控制、文件内容过滤、病毒扫描、协议剥离转换、ipsec/hip/ssl解密;可以实现不同等级网络的安全隔离数据传输,具有应用范围广、功能丰富及效果可靠的特点。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
在附图中:
图1为本发明实施例一种网络安全隔离方法及装置结构第一示意图;
图2为本发明实施例一种网络安全隔离方法及装置结构第二示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本发明中的具体含义。
下面将参考附图并结合实施例来详细说明本发明。
如图1-2所示,一种网络安全隔离方法,包括:
步骤1:ddos防御;对外网接口进入的低级网络数据利用syncookie、synproxy及anti-flood技术实现ddos防御;
步骤2:访问控制;通过防火墙模块,利用状态检测技术,实现非规和合规数据鉴别;
步骤3:文件内容过滤;对http、ftp、邮件类及文件共享类应用进行文件内容扫描,防止非合规的文件进入;
步骤4:病毒扫描;对传输的数据内容进行病毒扫描,防止病毒文件进入;
步骤5:外端协议剥离转换;剥离数据协议ip、tcp、udp、ike、ah和esp的头部,将数据内容转发给电子隔离部件;
步骤6:电子隔离部件将传输数据摆渡到内部网络的内端协议剥离转换;
步骤7:通过内端协议剥离转换将数据还原成tcp/ip数据;
步骤8:对步骤7中还原完成的数据,进行ipsec/hip/ssl解密处理,解密完成后的数据可以安全地接入高级网络的内网接口。
ipsecvpn技术,得用ipsecvpn的密钥协商和传输模式,实现隧道内通信的数据加密。
hip技术,hip技术有简单高效的密钥协商技术,且hip专用于端到端的通信,可以很好保护通信数据安全。
ssl技术,ssl技术通过在设备两端建立ssl隧道的方式,利用ssl技术实现双方通信数据的安全。
如图1-2所示,在步骤2中;使用radius方式实现安全接入认证。
如图1-2所示,在步骤2中;使用windows域方式实现安全接入认证。
如图1-2所示,在步骤2中;使用ldap方式实现安全接入认证。
一种网络安全隔离装置,应用上述网络安全隔离方法,包括外端机、隔离卡及内端机;外端机、隔离卡及内端机依次连接;外端机内设有依次连接的外网接口模块、访问控制模块、文件内容过滤模块、病毒扫描模块及外端协议剥离转换模块;隔离卡内设有电子隔离部件模块;内端机内设有依次连接的内端协议剥离转换模块、ipsec/hip/ssl模块及内网接口模块。
以上仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。