本发明涉及网络安全设备领域,尤其涉及一种基于软件的安全隔离网闸。
背景技术
网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。网闸是一般是专用硬件和改造后的专用操作系统实现,成本较高,且部署不灵活。
不少网闸厂家在设计网闸产品时,为了方便客户业务的方便,在网闸内外网接口上解析各种应用协议,一方面剥离成数据,另一面又恢复成应用协议,网闸可以根据安全检测的结果,合乎要求的让通过,不合要求的就阻断。这样不仅仅实现数据的交换,而且实现了业务应用的代理访问,有些网闸产品实现了外网的访问者访问内网的服务器。这种解析不仅有覆盖常见应用协议的趋势,而且对数据库的访问也代理通过,为缓冲区溢出、sql注入等攻击提供了生存的温床,存在极大的安全隐患。
技术实现要素:
为了解决以上技术问题,本发明提出了一种基于软件的安全隔离网闸。它能隔断内外网任何协议连接,来自外网的任何攻击、病毒、木马等都不会影响到内网设备的正常运行,同时相对于传统的物理隔离网闸成本更加低廉且具有较好的文件摆渡性能。
本发明的技术方案是:
一种基于软件的安全隔离网闸,在一台普通的支持虚拟化和具有两个网口的x86服务器上安装虚拟机管理程序vmm(3000),虚拟机管理程序vmm(3000)是centosv7.0,虚拟机管理程序vmm(3000)虚拟出外网处理vm(1000)和内网处理vm(2000)两台虚拟机,外网处理vm(1000)只可访问外网的文件系统,内网处理vm(2000)只可访问内网的文件系统,来自外网的文件通过外网处理vm(1000)摆渡到内网处理vm(2000)并最终交换到内网,但外网任何协议不能通过以上vm连接到内网,内网任何协议也不能通过以上vm连接到外网。
安装虚拟机管理程序vmm(3000)的x86服务器上有两个网口,eth0(3001)和eth1(3002),分别连接外网和内网,eth0(3001)和eth1(3002)间不能进行网络包转发;管理程序vmm(3000)除基本的操作系统功能和虚拟机管理模块外,不安装其它模块,关闭了与ip地址相关的服务和锁定root以外的用户并限制root用户不能远程登录,管理员只能通过连接该服务器的键盘和鼠标操作该系统,远程和其它方式均不能访问该系统。
外网处理vm(1000)配置有两个虚拟网卡:veth0(1001)和veth1(1002),其中veth0(1001)与eth0(3001)以nat方式建立映射关系,外网处理vm(1000)通过veth0(1001)访问外网,外网和内网均不能访问veth0(1001)。
内网处理vm(2000)配置有两个虚拟网卡:veth0(2001)和veth1(2002),其中veth0(2001)与eth1(3002)以nat方式建立映射关系,内网处理vm(2000)通过veth0(2001)访问内网,内网和外网均不能访问veth0(2001)。
外网处理vm(1000)的veth1(1002)和内网处理vm(2000)的veth1(2002)通过虚拟机管理程序vmm(3000)建立私有的虚拟连接关系,外网处理vm(1000)和内网处理vm(2000)可基于此进行通信,但来自外网和内网的任何外部协议均不能使用这两个虚拟网卡;外网处理vm(1000)安装有外网摆渡模块(1003),内网处理vm(2000)安装有内网摆渡模块(2003),外网摆渡模块(1003)通过veth0(1001)获得外网需要摆渡的文件,再通过veth1(1002)和私有协议传输给内网摆渡模块(2003),内网摆渡模块(2003)通过veth1(2002)和私有协议获得摆渡的文件再通过veth0(2001)最终摆渡到内网。
将eth0(3001)和eth1(3002)分别连接内网和外网即可实现内网向外网的单向交换。
本发明的有益效果是
在普通的x86服务器上,通过软件和相关设置,低成本地解决了外网向内网安全交换文件问题,同时保护了内网的安全。该方案反过来也适用于内网向外网安全交换文件。
附图说明
图1是本发明的结构示意图。
具体实施方式
下面对本发明的内容进行更加详细的阐述:
如图所示,在一台普通的支持虚拟化和具有两个网口的x86服务器上安装虚拟机管理程序vmm(3000),虚拟机管理程序vmm(3000)可以是centosv7.0等开源linux,虚拟机管理程序vmm(3000)虚拟出外网处理vm(1000)和内网处理vm(2000)两台虚拟机,外网处理vm(1000)只可访问外网的文件系统,内网处理vm(2000)只可访问内网的文件系统,来自外网的文件通过外网处理vm(1000)摆渡到内网处理vm(2000)并最终交换到内网,但外网任何协议不能通过以上vm连接到内网,内网任何协议也不能通过以上vm连接到外网,达到内外网安全隔离和外网文件向内网单向安全交换目的。
安装虚拟机管理程序vmm(3000)的x86服务器上有两个网口,eth0(3001)和eth1(3002),分别连接外网和内网,eth0(3001)和eth1(3002)间不能进行网络包转发。管理程序vmm(3000)除基本的操作系统功能和虚拟机管理模块外,不安装其它模块,关闭了与ip地址相关的服务和锁定root以外的用户并限制root用户不能远程登录,管理员只能通过连接该服务器的键盘和鼠标操作该系统,远程和其它方式均不能访问该系统。
外网处理vm(1000)配置有两个虚拟网卡,veth0(1001)和veth1(1002),其中veth0(1001)与eth0(3001)以nat方式建立映射关系,外网处理vm(1000)可以通过veth0(1001)访问外网,外网和内网均不能访问veth0(1001),此种方式保障了外网处理vm(1000)的安全性。
内网处理vm(2000)配置有两个虚拟网卡,veth0(2001)和veth1(2002),其中veth0(2001)与eth1(3002)以nat方式建立映射关系,内网处理vm(2000)可以通过veth0(2001)访问内网,内网和外网均不能访问veth0(2001),此种方式保障了内网处理vm(1000)的安全性。
外网处理vm(1000)的veth1(1002)和内网处理vm(2000)的veth1(2002)通过虚拟机管理程序vmm(3000)建立私有的虚拟连接关系,外网处理vm(1000)和内网处理vm(2000)可基于此进行通信,但来自外网和内网的任何外部协议均不能使用这两个虚拟网卡。外网处理vm(1000)安装有外网摆渡模块(1003),内网处理vm(2000)安装有内网摆渡模块(2003),外网摆渡模块(1003)通过veth0(1001)获得外网需要摆渡的文件,再通过veth1(1002)和私有协议传输给内网摆渡模块(2003),内网摆渡模块(2003)通过veth1(2002)和私有协议获得摆渡的文件再通过veth0(2001)最终摆渡到内网。
如果想实现内网向外网的单向交换,只需要将eth0(3001)和eth1(3002)分别连接内网和外网即可。
本发明中,安装虚拟机管理程序vmm(3000)的x86服务器有网线与外网和内网有物理连接,但它不同于一般的服务器操作系统和防火墙等安全设备,它不允许任何协议和用户远程访问该系统,因此该系统安全性很高。