一种内外网隔离方法及系统与流程
本发明涉及电路设计技术领域,特别涉及一种内外网隔离方法及系统。
背景技术:
网络安全(networksecurity)包含网络设备安全、网络信息安全、网络软件安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。具有保密性、完整性、可用性、可控性、可审查性的特性。
一、保密性
信息不泄露给非授权用户、实体或过程,或供其利用的特性。
二、完整性
数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
三、可用性
可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
四、可控性
对信息的传播及内容具有控制能力。
五、可审查性
出现安全问题时提供依据与手段
从网络运行和管理者角度说,希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。
随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(intranet)、企业外部网(extranet)、全球互联网(internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。
在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。
通常,系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务(断开),外界是不可能构成安全威胁的。但是,随着近年来随着我国的通信基础设施的不断建设与完善,互联网已经成为日常生活、办公不可或缺的一部分。企业接入国际互连网络,提供网上商店和电子商务等服务,等于将一个内部封闭的网络建成了一个开放的网络环境,各种安全包括系统级的安全问题也随之产生。尤其是对一些保密机构而言,互联网安全性更是重中之重。
综上,计算机网络安全问题的重要性毋庸置疑。目前,构建网络安全系统,一方面由于要进行认证、加密、监听,分析、记录等工作,由此必然会影响网络效率,并且降低客户应用的灵活性;另一方面也增加了管理费用。
针对互联网安全这一问题,为了降低网络管理成本,提高网络管理效率,同时降低对网络效率和客户应用的影响,本发明提出了一种内外网隔离方法及系统,在不改变原有互联网架构及设施的前提下实现内外网隔离。
技术实现要素:
本发明为了弥补现有技术的缺陷,提供了一种简单高效的内外网隔离方法及系统。
本发明是通过如下技术方案实现的:
一种内外网隔离系统,其特征在于:内网与外网进行数据传输时,数据传输的网络包均由fpga捕获和解析后,发送至cpu单元;cpu单元对网络包进行安全策略查询,根据网络包的网络策略设定,对网络包进行处理;cpu单元对需过滤的网络包,直接丢弃,不再转发;其余无需过滤的网络包则由cpu单元转发至对应的目的网络;内网与外网进行数据传输时,网络包经过的路径不同,从而实现了安全隔离。
当内网向外网发送数据时,其发送的网络包被内网fpga捕获,并在解析后转发至内网cpu,由内网cpu对网络包进行安全策略查询,若网络包无需过滤,则由内网cpu转发至外网fpga,经外网fpga发送到外网。
当外网向内网发送数据时,其发送的网络包被外网fpga捕获,并在解析后转发至外网cpu,由外网cpu对网络包进行安全策略查询,若网络包无需过滤,则由外网cpu转发至内网fpga,经内网fpga发送到外网。
所述内网cpu和外网cpu对网络包进行安全策略查询后,若发现网络包无需加密,可以明码通信,则直接对网络包进行转发;若发现网络包需加密,则执行加密算法对网络包进行加密后转发。
所述内网cpu和外网cpu的加密算法分别设置,各自单独执行。
该内外网隔离方法的隔离系统,由内网fpga,内网策略cpu,外网fpga和外网策略cpu组成;所述外网策略cpu经外网fpga连接到外网,所述内网策略cpu经内网fpga连接到内网;所述内网fpga通过内网计算机网口或内网交换机网口连接到内网,所述外网fpga通过外网计算机网口或外网交换机网口连接到外网。
为了节省开销,提高处理速度,所述内网fpga和外网fpga均内置有网络协议解析程序,负责网络协议解析。
为了进一步提升隔离系统的安全性,所述内网策略cpu和外网策略cpu均采用国产申威处理器,负责加密算法的计算及其安全策略的查询。
本发明的有益效果是:该内外网隔离方法及系统,将网络双向性,更改成为单向性,内外网通路路径独立,无需改变原有的网络结构,即可实现内外网的完全隔离与加密功能,大大提升了安全性。
附图说明
附图1为本发明内外网隔离系统示意图。
附图中虚线链路为内网路径,实线链路为外网路径,内外网经过不同路径,实现安全隔离。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合实施例,对本发明进行详细的说明。应当说明的是,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
该内外网隔离方法,内网与外网进行数据传输时,数据传输的网络包均由fpga捕获和解析后,发送至cpu单元;cpu单元对网络包进行安全策略查询,根据网络包的网络策略设定,对网络包进行处理;cpu单元对需过滤的网络包,直接丢弃,不再转发;其余无需过滤的网络包则由cpu单元转发至对应的目的网络;内网与外网进行数据传输时,网络包经过的路径不同,从而实现了安全隔离。
当内网向外网发送数据时,其发送的网络包被内网fpga捕获,并在解析后转发至内网cpu,由内网cpu对网络包进行安全策略查询,若网络包无需过滤,则由内网cpu转发至外网fpga,经外网fpga发送到外网。
当外网向内网发送数据时,其发送的网络包被外网fpga捕获,并在解析后转发至外网cpu,由外网cpu对网络包进行安全策略查询,若网络包无需过滤,则由外网cpu转发至内网fpga,经内网fpga发送到外网。
所述内网cpu和外网cpu对网络包进行安全策略查询后,若发现网络包无需加密,可以明码通信,则直接对网络包进行转发;若发现网络包需加密,则执行加密算法对网络包进行加密后转发。
所述内网cpu和外网cpu的加密算法分别设置,各自单独执行。由于内网与外网可执行不同的安全加密策略,极大地提升了灵活性和安全性。
该内外网隔离方法的隔离系统,由内网fpga,内网策略cpu,外网fpga和外网策略cpu组成;所述外网策略cpu经外网fpga连接到外网,所述内网策略cpu经内网fpga连接到内网;所述内网fpga通过内网计算机网口或内网交换机网口连接到内网,所述外网fpga通过外网计算机网口或外网交换机网口连接到外网。
为了节省开销,提高处理速度,所述内网fpga和外网fpga均内置有网络协议解析程序,负责网络协议解析。
为了进一步提升隔离系统的安全性,所述内网策略cpu和外网策略cpu均采用国产申威处理器,负责加密算法的计算及其安全策略的查询。
与现有技术相比,该内外网隔离方法及系统,具有以下特点:
1、将网络双向性更改成为单向性,内外网通路路径独立,实现了内外网的完全隔离与加密功能,大大提升了安全性;
2、仅需将隔离系统的内网连接至相应的内网计算机网口或内网交换机网口;将隔离系统外网连接至外网计算机网口或外网交换机网口;无需改变原有的网络结构,即可实现内外网隔离,降低了网络安全管理成本;
3、内网与外网能够实现不同的安全策略的功能,大大提升了内网安全性;
4、采用fpga负责网络协议解析,相较于cpu节省开销,并大幅提升了处理速度,降低了对网络效率和客户应用的影响;
5、cpu单元采用申威处理器,完全国产化,进一步提升了隔离系统的安全性。
以上所述的实施例,只是本发明具体实施方式的一种,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!