专利名称:一种单向物理隔离型网络安全装置的制作方法
技术领域:
本实用新型是一种网络安全物理隔离装置,通过对网络线路的输入和输出线的分离技术,实现单向完全隔断同外网的一切连接,同时可实现从内网到外网的单向数据传输功能,即完全实现了网络二极管功能。属网络安全领域。用于保护内部专用计算机网络系统的安全,同时实现单向向外网传输数据功能。
背景技术:
现代化企业的生产大量采用了各种计算机控制系统的组合,每套控制系统通常是由一专用封闭网络环境中的多台专用计算机组成,控制系统用计算机的操作系统及其应用软件在其整个生命周期(一般为5~20年)内很少变更,且由于是7*24小时连续运行,无法经常进行系统升级维护,因此,其计算机和网络的各种系统缺陷、漏洞常无法及时更新解决。但随着开放系统互联的需求,各控制系统又必需和其它生产控制系统、特别是需要和上层的其它非安全网络(如管理信息网等)之间进行信息交换。而不断发现的系统缺陷、漏洞、层出不穷的病毒、蠕虫、各种黑客和网络攻击破坏等等,对生产控制系统的计算机及网络的安全可靠运行构成了巨大威胁。各种系统补丁、防病毒手段均为后手且常常无法实施。
现有的各种网络安全产品,如防火墙、防病毒软件等软件安全产品,由于控制系统常常不直接和互联网相接,故无法获得经常更新,同时由于工作特点也无法不断更新维护。这两年出现的专用的硬件产品如网闸类产品,其安全性比软件防火墙类产品高,但其实现原理复杂且价格高,一般用户无法承受,因此其经济性和实用性均具有相当的局限性。
发明内容
本实用新型的目的就是在确保一专用网络(简称内网)封闭性情况下实现安全地向其它(含非安全)网络(简称外网)传输实时数据,并可主动防范一切可能影响内网的实时生产控制系统的风险的装置。即本装置实现了具有主动防御和安全隔离功能的网关。
现有网络安全类产品,技术上基本上是由两台计算机通过网络线的高速切换和中间数据摆渡技术实现的,其原理和结构均复杂,不易被用户理解和掌握。本装置采用固定单向切断技术实现的单向物理隔离功能,是直接实现了纯网络二极管的功能,从根本上解决网络安全集成问题,很易理解且不会出现误配置等管理漏洞。并可有效降低普通用户对安全系统方面的投资,从而具有很好的社会推广应用前景。
为进一步确保安全,本装置通过特殊的指令序列,实现了在网络驱动级的单向处理,为安全增加了新保险系数;并通过对满足条件的输入数据包进行重新封装后输出,可确保即使内外网误接反也不出现安全问题。
其主要特征是,一内装计算机的封闭机箱,对外仅提供一网络输入口和一网络输出口,分别连接内网和外网。内部通过将输入口的输出网线切断和将输出口的输入网线切断方法与内部计算机的网络口相连接,实现网络的单向物理隔离。内部计算机实现应用层数据的安全检查过滤解析重新另封装输出等功能。创新的全固化免管理的“傻瓜型”即插即用设计,更是解决了用户应用中可能出现误操作可能带来的安全隐患。从根本上解决了“要保障内网绝对安全”和“内网数据单向向外网传输”间的矛盾。
本装置连接在内网一侧的网络线(1),其中的网络接收线直接连接到内部主机的单收网络接口(A)中,同时单收网络接口(A)的网络发送线被连接到一空网络设备中,且网络线(1)的发线也连接到一空网络设备中。由于空网络设备根本不具备网络数据收发功能,故(1)口根本无法输出任何信息到内网。同理,外网接口(2)也根本不会接收来自外网的任何数据连接。
具体实施方式
在内网中设定一台数据发送用计算机,通过网络或以点到点方式连接本装置的输入口,数据发送用计算机的网卡配置符合本装置的安全配置,如要求相连接的数据发送用网卡的地址必须为特定的IP地址,数据发送用计算机上的程序将需要发送到外网的数据以广播数据包形式发送到本装置,本装置在收到并检查确认是需要发送到外网的数据后,将数据重新另封包后发送到输出口。使与输出口相连的外网上的计算机都可收到此数据包并进行相应的解析处理,如显示数据等。
因本装置对内网无任何数据输出,而对外网仅发送来自内网的合格的数据包,且对任何来自外网的攻击、嗅探、病毒传播等一切均无反应。故在本装置所连接的内外网中,均无法检测到本装置的存在。用户可简单的通过面板上的输入和输出灯的闪烁,直接确定是否内网的数据正确通过了本装置。
以上即可实现具有主动防御和安全隔离功能的实时网关。
权利要求1.一种单向物理隔离型网络安全装置,其特征在于一台至少有两个网络接口(A,B)的计算机,密闭封装于一机箱中,对外仅提供一个单接收功能网络接口(1)和一个单发送功能的网络接口(2),分别连接到内网和外网,网络数据从物理上仅可能从连接内网的输入端口(1)进入,并从连接外网的输出端口(2)出。
2.根据权利要求1所述的单向物理隔离型网络安全装置,其特征在于对外单接收的网络接口(1),和内部计算机的单接收用标准网络接口(A)间,物理上仅将接收线路直接相联,对外单收网络接收口上的发送线路则连接到了另一空设备上,内部计算机的单接收用标准网络接口的发送线路也被转发到一空设备上。
3.根据权利要求1所述的单向物理隔离型网络安全装置,其特征在于对外单发送的网络接口(2),和内部计算机的单发送用标准网络接口(B)间,物理上仅将发送线路直接相联,对外单发网络接口上的接收线路被连接到一空设备上,内部计算机的单发送用标准网络接口的接收线路也被连接到另一空设备上。
4.根据权利要求2或3中所述的网络空设备,可以由一个单独的网络收发器构成,也可以是一个没有被加载网络驱动的空闲网络接口。
5.根据权利要求1所述的单向物理隔离型网络安全装置,其特征在于面板上有网络读、写指示灯和网络连接状态指示灯。
专利摘要本实用新型是一种单向物理隔离型网络安全装置,属网络安全领域。解决了“要保障内网绝对安全”和“内网数据单向向外网传输”间的矛盾。其主要特征是,一内装计算机的封闭机箱,对外仅提供一网络输入口和一网络输出口,分别连接内网和外网。机箱内部通过将输入口的输出网线切断和将输出口的输入网线切断及网络驱动级单向控制技术,实现单向完全隔断同外网的一切连接,同时可实现从内网到外网的单向数据传输功能;应用层数据的安全检查过滤解析重新另封装输出技术、创新的全固化免管理的“傻瓜型”即插即用、防误操作设计,更增加了安全性。适用于单向数据传输且对内网安全有最高要求的场合,如生产控制系统向管理信息系统传输生产实时数据。
文档编号H04L12/04GK2850148SQ20052000154
公开日2006年12月20日 申请日期2005年1月28日 优先权日2005年1月28日
发明者朱寿祥 申请人:朱寿祥