一种网络安全隔离方法及装置与流程

本发明涉及网络安全，具体为一种网络安全隔离方法及装置。

背景技术：

1、近些年来，互联网发展迅速，为人们的生活带来许多的便利，使得信息交互更加便捷，这种便捷是建立在网络的互联互动上的，因此，在提供便利的同时，某些有组织有预谋的针对网络进行恶意攻击的情形也时有发生，网络安全问题日益严峻。

2、为了提高网络安全性能，通常会采用网络安全隔离的方式，在安全要求较高的网络中，不同等级网络互联互通时进行保护，现有设备在进行网络安全隔离以及加密时，层级不够清晰，加密设备功能单一，安全保护效果不理想。

技术实现思路

1、鉴于现有技术中所存在的问题，本发明公开了一种网络安全隔离方法，采用的技术方案是，包括以下步骤：

2、(1)构建接受数据所用的数据池，在数据池中配置分级工具，将数据分为垃圾数据与一般数据；

3、(2)将步骤(1)获取的垃圾数据与一般数据进一步传输，垃圾数据传输至数据粉碎工具处进行粉碎处理，一般数据打包为初级网络数据向网络接口传输；

4、(3)对网络接口进入的初级网络数据进行利用syn cookie及syn proxy技术进行防御，利用数据分类工具根据传输协议的不同对初级网络数据进行分类，并对分类后的网络数据进行分别病毒安全扫描；

5、(4)构建内部数据池，对步骤(3)只能未通过安全扫描即存在病毒风险的网络数据进行传输，传输至数据粉碎工具处进行粉碎，并在发现病毒风险的同时利用报警装置进行报警，通过安全扫描的网络数据传输至内部数据池；

6、(5)将步骤(4)内部数据池中的网络数据利用控制策略抓取至隔离模块中；

7、(6)将隔离模块内的网络数据进行协议剥离，将剥离后的数据根据预设协议进行组装，形成内部网络报文；

8、(7)将内部网络报文接入高级网络的内网接口。

9、作为本发明的一种优选技术方案，步骤(1)中分级工具的分级通过数据终端离线时长来确认，对分级工具预设时长阈值，当数据终端离线时长超出预设阈值时，判断为垃圾数据，反之为一般数据。

10、作为本发明的一种优选技术方案，步骤(2)中的传输协议包括但不限于http、tcp、ip、netbeui、dhcp、ftp，ftp是一个8位的客户端-服务器协议，能操作任何类型的文件而不需要进一步处理，就像mime或unicode一样。

11、作为本发明的一种优选技术方案，步骤(2)使用ldap方式实现安全接入认证，ldap是轻量目录访问协议，是基于x.500标准的，但是简单得多并且可以根据需要定制，与x.500不同，ldap支持tcp/ip。

12、作为本发明的一种优选技术方案，步骤(3)中的当收到来自数据连接请求时，采用syn cookie及syn proxy技术的防火墙对链表进行查询，是否存在对应连接信息，若存在，则直接连接，否则，按照syn cookie机制发送syn+ack给客户端，收到客户端返回的ack，并进行验证，若合法则让客户端重新连接，不合法则直接丢弃。

13、本发明公开了一种网络安全隔离装置，采用的技术方案是，包括外端机、隔离卡及内端机，三者依次连接；所述外端机内设置有数据池、粉碎工具、数据分类工具、访问控制模块、病毒扫描模块和剥离转换模；所述隔离卡内具有隔离模块；所述内端机内设有依次连接的协议转换模块、ipsec/hip/ssl模块及内网接口模块

14、本发明的有益效果：相较于现有技术，本发明通过分级工具首先剔除垃圾数据，减轻后续隔离加密任务量，并利用改进后的syn cookie及syn proxy技术的防火墙进行防护，能够大大降低对服务器资源的消耗，而后配合病毒安全扫描、协议剥离和协议组装的方式，实现不同等级网络的安全隔离数据传输，优化了整个隔离处理过程，降低设备资源占用与消耗，实用性较强。

技术特征：

1.一种网络安全隔离方法，其特征在于：包括

2.根据权利要求1所述的一种网络安全隔离方法，其特征在于：所述步骤(1)中分级工具的分级通过数据终端离线时长来确认，对分级工具预设时长阈值，当数据终端离线时长超出预设阈值时，判断为垃圾数据，反之为一般数据。

3.根据权利要求1所述的一种网络安全隔离方法，其特征在于：所述步骤(2)中的传输协议包括但不限于http、tcp、ip、netbeui、dhcp、ftp。

4.根据权利要求1所述的一种网络安全隔离方法，其特征在于：所述步骤(4)中配置有报警装置，在出现病毒风险网络数据时进行报警。

5.根据权利要求1所述的一种网络安全隔离方法，其特征在于：所述步骤(2)使用ldap方式实现安全接入认证。

6.根据权利要求1所述的一种网络安全隔离方法，其特征在于：所述步骤(3)中的当收到来自数据连接请求时，采用syncookie及synproxy技术的防火墙对链表进行查询，是否存在对应连接信息，若存在，则直接连接，否则，按照syncookie机制发送syn+ack给客户端，收到客户端返回的ack，并进行验证，若合法则让客户端重新连接，不合法则直接丢弃。

7.一种网络安全隔离装置，其特征在于：应用如权利要求1-权利要求6任意所述的一种网络安全隔离方法，包括外端机、隔离卡及内端机，三者依次连接；所述外端机内设置有数据池、粉碎工具、数据分类工具、访问控制模块、病毒扫描模块和剥离转换模；所述隔离卡内具有隔离模块；所述内端机内设有依次连接的协议转换模块、ipsec/hip/ssl模块及内网接口模块。

技术总结
本发明公开了一种网络安全隔离方法及装置，通过分级工具首先剔除垃圾数据，减轻后续隔离加密任务量，并利用改进后的SYNCookie及SYNProxy技术的防火墙进行防护，能够大大降低对服务器资源的消耗，而后配合病毒安全扫描、协议剥离和协议组装的方式，实现不同等级网络的安全隔离数据传输，优化了整个隔离处理过程，降低设备资源占用与消耗，实用性较强。

技术研发人员：尚文,朱睿,白静波,丁智慧
受保护的技术使用者：国网山西省电力公司大同供电公司
技术研发日：
技术公布日：2024/1/15