一种跨网闸的通信方法和通信系统的制作方法

专利名称：一种跨网闸的通信方法和通信系统的制作方法
技术领域：
本发明涉及网络技术领域，特别涉及一种跨网闸的通信方法和通信系统。
背景技术：
安全隔离网闸是一种由带有多种控制功能专用硬件的网络安全设备，用 于切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交 换。作为提供数据交换的隔离设备，安全隔离网闸上内嵌病毒查杀的功能模 块，可以对交换的数据进行病毒检查。
传统的安全产品可以以不同的方式满足保护数据和网络安全的需要，但 不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限 性。网闸保护内网安全性的同时，限制了部分通信流向。某些通信业务需要 在网闸内外、或两个网闸后的设备之间展开。网闸对跨越网闸的通信，将分 别代理目的端和源端，从而将端到端的通信连接分割为两个独立的连接，并 由网闸在两个连接之间做数据过滤和摆渡。
以图1A所示的包括单个网闸的网络场景为例，位于可信网络内部的主才几 A需要和位于不可信网络中的B进行跨越网闸的通信时，网闸首先用一个可 信网络(内网)中的一个地址B，代理不可信网络(外网)的目的地址B。之 后，主机A发起目的地址为B，的通信Socketl, Socketl连接在可信网络内部 传输，终结在网闸内部；网闸对通信凄t据进行过滤处理，并建立转换表项； 如果网闸认为是安全通信流量，再用一个基于外网地址的Socket2代理主机A 的Socket,发起目的地址为B、源地址为A，的通信Socket2,将Socketl的内 容摆渡到Socket2上，Socket2连接在不可信网络内部传输，终结在主机B; 主机B如果需要回复，则在Socket2上回复，网闸对通行数据进行过滤处理后， 根据转换表项将数据摆渡到Socketl上。上述Socket (套接字)中包括地址和 端口信息，主机通常可以通过Socket向网络中的对端发出请求或者应答来自网络中的对端的请求。
通过上述流程，使得网闸将跨越可信网络、不可信网络之间的通信分割 为可信网络内部和不可信网络内部的两个独立连接，并由网闸在两个连接之 间做数据过滤和摆渡，从而保证通信数据的安全。另外，如果通信连接由内 网发起，转发表项可以动态建立。如果通信连接由外网发起，则需要在网闸 上配置静态转发表项。
对于需要跨越两个网闸的通信，以图1B所示的包括两个网闸的网络场景 为例，在网闸D上需要静态配置转换表项。然而从网闸C为主机A代理的 Socket2端口不固定，在网闸D上配置的转换表项不一定能匹配到Socket2, 因此网闸C也必须静态配置转换表项。因此，现有技术中对于需要跨越两个 网闸的通信，需要在两个网闸分别配置对应的转换表项，不方便设备的配置 和维护。

发明内容
本发明提供一种跨网闸的通信方法和通信系统，用于方便的实现需要跨 越两个网闸的il/[言。
为达到上述目的，本发明提供一种跨网闸的通信方法，应用在包括第一 通信设备和第二通信设备的网络中，所述第一通信设备位于第一网络中，所 述第二通信设备位于第二网络中，所述第 一 网络通过第 一 网闸设备与外部网 络分隔，所述第二网络通过第二网闸设备与外部网络分隔，其特征在于，所
述通信方法包括
所述第一网闸设备接收到所述第一通信设备对所述第二通信设备的通信 请求时，获取所述第二网闸设备的地址，建立与所述第一通信设备间的第一 业务流；
所述第一网闸设备根据所述第二网闸设备的地址，建立与所述第二网闸 设备间的第二业务流，并建立所述第一业务流与所述第二业务流之间的第一 地址端口动态转换关系；
所述第二网闸设备建立与所述第二通信设备间的第三业务流，并建立所述第二业务流与所述第三业务流之间的第二地址端口动态转换关系；
所述第 一 网闸设备^4居所述第 一地址端口动态转换关系、所述第二网闸 设备根据所述第二地址端口动态转换关系，实现所述第一通信设备和第二通 信i殳备间的通信。
其中，所述第一网闸设备接收到所述第一通信设备对所述第二通信设备 的通信请求时，获取所述第二网闸设备的地址包括
所述第一网闸设备接收到所述第一通信设备根据所述第二通信设备的域 名获取所述第二通信设备的地址的请求，向域名解析设备发送请求；
所述第 一 网闸设备接收所述域名解析设备根据所述第二通信设备的域名 返回的所述第二网闸设备的地址。
其中，还包括
在所述域名解析设备上存储所述第二通信设备的域名与所述第二网闸设 备的地址的域名解析对应关系。
其中，所述第 一 网闸设备建立与所述第 一通信设备间的第 一业务流包括
所述第一网闸设备生成与所述第二网闸设备的地址对应的第一代理地址 并通知所述第 一通信设备；
所述第一网闸设备与所述第一通信设备间建立第一业务流，所述第一业 务流的地址端口信息中，源地址为第一通信设备的地址，源端口为第一通信 设备建立所述第一业务流使用的端口 ，目的地址为所述第一网闸设备中的所 述第一代理地址，目的端口为所述第一网闸设备为所述第一业务流分配的端 c 。
其中，所述第一网闸设备根据所述第二网闸设备的地址，建立与所述第 二网闸设备间的第二业务流包括
所述第一网闸设备向所述第二网闸设备发送为新业务流分配目的端口的 请求，接收所述第二网闸设备分配的目的端口 ；
所述第一网闸设备与所述第二网闸设备间建立第二业务流，所述第二业 务流的地址端口信息中，源地址为第一网闸设备的地址，源端口为第一网闸 设备中建立所述第二业务流所使用的端口 ，目的地址为所述第二网闸设备的地址，目的端口为所述第二网闸i殳备为所述第二业务流分配的端口。
其中，所述第二网闸设备建立与所述第二通信设备间的第三业务流包括 所述第二网闸i殳备生成与所述第二通信i殳备的地址对应的第二代理地
址；
所述笫二网闸设备建立与所述第二通信设备间的第三业务流，所述第三 业务流的地址端口信息中，源地址为所述第二网闸设备中的所述第二代理地 址，源端口为所述第二网闸设备为所述第三业务流分配的端口，目的地址为 所述第二通信设备的地址，目的端口为所述第二通信设备上建立所述第三业 务流所使用的端口。
其中，所述第一网闸设备根据所述第一地址端口动态转换关系、所述第 二网闸设备所述第二地址端口动态转换关系，实现所述第一通信设备和第二 通信设备间的通信包括
所述第一网闸设备根据所述第一地址端口动态转换关系，将所述第一业 务流中所述第一通信设备发送的数据转换为所述第二业务流中的数据，并发 送到所述第二网闸设备；将所述第二业务流中所述第二通信设备发送的数据 转换为所述第 一业务流中的数据，并发送到所述第 一通信设备；
所述第二网闸设备根据所述第二地址端口动态转换关系，将所述第二业 务流中所述第一通信设备发送的数据转换为所述第三业务流中的数据，并发 送到所述第二通信设备；将所述第三业务流中所述第二通信设备发送的数据 转换为所述第二业务流中的数据，并发送到所述第一网闸设备。
本发明还提供一种通信系统，包括第一通信设备和第二通信设备，所述 第一通信设备位于第一网络中，所述第二通信设备位于第二网络中，所述第 一网络通过第一网闸设备与外部网络分隔，所述第二网络通过第二网闸设备 与外部网络分隔
所述第一网闸设备，用于接收到所述第一通信设备对所述第二通信设备 的通信请求时，获取所述第二网闸设备的地址，建立与所述第一通信设备间 的第一业务流；根据所述第二网闸设备的地址，建立与所述第二网闸设备间 的第二业务流，并建立所述第 一业务流与所述第二业务流之间的第 一地址端口动态转换关系；根据所述第一地址端口动态转换关系与所述第二网闸设备 实现所述第一通信设备和第二通信设备间的通信；
所述第二网闸设备，用于建立与所述第二通信设备间的第三业务流，并
建立所述第二业务流与所述第三业务流之间的第二地址端口动态转换关系； 根据所述第二地址端口动态转换关系与所述第 一 网闸设备实现所述第 一通信 设备和第二通信设备间的通信。 其中，所述第一网闸设备包括
地址获取单元，用于接收到所述第一通信设备根据所述第二通信设备的 域名获取所述第二通信设备的地址的请求，向域名解析设备发送请求；并接 收所述域名解析设备根据所述第二通信设备的域名返回的所述第二网闸设备 的地址；
第 一代理地址生成单元，用于生成与所述第二网闸设备的地址对应的第 一代理地址并通知所述第 一通信设备；
第一业务流建立单元，用于与所述第一通信设备间建立第一业务流，所 述第一业务流的地址端口信息中，源地址为第一通信i殳备的地址，源端口为 第一通信设备建立所述第一业务流使用的端口 ，目的地址为所述第一网闸设 备中的所述第一代理地址，目的端口为所述第一网闸设备为所述第一业务流 分配的端口。
其中，所述第一网闸设备还包括
端口获取单元，用于所述第二网闸设备发送为新业务流分配目的端口的 请求，接收所述第二网闸设备分配的目的端口；
第二业务流建立单元，用于与所述第二网闸设备间建立第二业务流，所 述第二业务流的地址端口信息中，源地址为第一网闸i殳备的地址，源端口为 第 一 网闸设备中建立所述第二业务流所使用的端口 ，目的地址为所述第二网 闸设备的地址，目的端口为所述第二网闸设备为所述第二业务流分配的端口 。
其中，所述第一网闸设备还包括
第 一地址端口动态转换关系建立单元，用于所述第一业务流与所述第二 业务流之间的第 一地址端口动态转换关系；第一转发单元，用于根据所述第一地址端口动态转换关系，将所述第一 业务流中所述第 一通信设备发送的数据转换为所述第二业务流中的数据，并
发送到所述第二网闸设备；将所述第二业务流中所述第二通信设备发送的数 据转换为所述第一业务流中的数据，并发送到所述第一通信设备。 其中，所述第二网闸设备包括
端口分配单元，用于根据所述第一网闸设备的请求，为第二业务流分配 目的端口；
第二代理地址生成单元，用于生成与所述第二通信设备的地址对应的第 二^理;也址；
第三业务流建立单元，用于建立与所述第二通信设备间的第三业务流， 所述第三业务流的地址端口信息中，源地址为所述第二网闸设备中的所述第 二代理地址，源端口为所述第二网闸设备为所述第三业务流分配的端口，目 的地址为所述第二通信设备的地址，目的端口为所述第二通信设备上建立所 述第三业务流所使用的端口 。
其中，所述第二网闸设备还包括
第二地址端口动态转换关系建立单元，用于所述第一业务流与所述第二 业务流之间的第二地址端口动态转换关系；
第二转发单元，用于根据所述第二地址端口动态转换关系，将所述第二 业务流中所述第一通信设备发送的数据转换为所述第三业务流中的数据，并 发送到所述第二通信设备；将所述第三业务流中所述第二通信设备发送的数 据转换为所述第二业务流中的数据，并发送到所述第一网闸设备。
其中，还包括
域名解析设备，用于存储所述第二通信设备的域名与所述第二网闸设备 的地址的域名解析对应关系。与现有技术相比，本发明具有以下优点
通过建立两个网闸设备之间的业务流的地址端口动态转换关系，实现了 跨越两个网闸的通信设备间的联动通信。该过程无需在两个网闸设备上手工 静态配置转换表项，配置更加灵活，便于网闸设备的配置和维护。


为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所 需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发 明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前 提下，还可以根据这些附图获得其他的附图。
图1A是现有技术中包括单个网闸的网络场景示意图1B是现有技术中包括两个网闸的网络场景示意图2是本发明中跨网闸的通信方法的流程图3是本发明中5争网闸的通信方法的一个应用场景示意图4A和图4B是本发明的应用场景中i 争网闸的通信方法的示意图5是本发明中的通信系统中第一网闸设备的结构示意图6是本发明中的通信系统中第二网闸设备的结构示意图。
具体实施例方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行 清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例， 而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有 做出创造性劳动前^R下所获得的所有其他实施例，都属于本发明保护的范围。
本发明实施例提供一种跨网闸的通信方法，应用在包括第一通信设备和 第二通信设备的网络中，第一通信设备位于第一网络中，第二通信设备位于 第二网络中，第一网络通过第一网闸设备与外部网络分隔，第二网络通过第 二网闸设备与外部网络分隔，该方法如图2所示，包括
步骤s201、第一网闸设备接收到第一通信设备对第二通信设备的通信请 求时，获取第二网闸设备的地址，建立与第一通信设备间的第一业务流。
步骤s202、第一网闸设备根据第二网闸设备的地址，建立与第二网闸设 备间的第二业务流，并建立第一业务流与第二业务流之间的第一地址端口动 态转换关系。
步骤s203、第二网闸设备建立与第二通信设备间的第三业务流，并建立第二业务流与第三业务流之间的第二地址端口动态转换关系。
步骤s204、第一网闸设备根据第一地址端口动态转换关系、第二网闸设 备根据第二地址端口动态转换关系，实现第 一通信设备和第二通信设备间的 通信。
本发明中，在第一网闸设备上建立第一业务流与第二业务流之间的第一 地址端口动态转换关系、在第二网闸设备上建立第二业务流与第三业务流之 间的第二地址端口动态转换关系；通过建立的上述业务流之间的地址端口动 态转换关系，实现了跨越两个网闸的通信设备间的联动通信，避免了在网闸 设备上手工静态配置转换表项的繁瑣操作。
以下结合一个具体的应用场景，描述本发明中跨网闸的通信方法的具体 实施方式。以图3所示的应用场景为例，其中包括:位于可信网络Domainl中 的主机A，位于可信网络Domain2中的主机B。可信网络Domainl与外部网 络通过网闸C分隔，可信网络Domain2与外部网络通过网闸D分隔，在网闸 C与网闸D上启动DNS代理功能。主机A与主机B分别在外网的DNS服务 器上注册域名HostA.domainl和HostB.domain2，对应的IP地址分别是网闸C、 网闸D的/>网》也址IPC、 IPD。
如图4A和图4B所示，本发明中主机A与主机B间的通信方法包括
步骤s401 、主才几A通过域名HostB.domain2访问主机B时，向网闸C请求关 于HostB.domain2的IPi也址。
步骤s402、网闸C向DNS ( Domain Name System,域名系统)月良务器请求 关于HostB.domain2的IP地址。
步骤s403、 DNS服务器回复网闸C, HostB.domain2对应的IP地址为网闸D 的公网地址IPD。上述步骤s402 ~ s403的实现需要网闸C具有DNS代理功能。 除了使用DNS获取主机B的地址以外，主机A还可以使用其他的名称解析服务， 比如NETBIOS等。网闸C和网闸D则需要启动相应的代理功能。
步骤s404、网闸C向主机A回复内网地址IPB，，并存储IPB，与IPD的对应关系。
具体的，网闸C具有一个内网地址池，并为每一个目的主机分配一个私网IP。网闸C得到DNS服务器回复的地址IPD后生成一个内网地址IPB，代理主机B 来以侦听来自主机A的Socket，并向主机A回复内网地址IPB，以使主机A认为 "HostB.domain2对应的IP地址为IPB，"。另夕卜，网闸C为了在收到不同的流时 能够区分流的目的地址，还需要存储IPB，与IPD的对应关系。
步骤s405、主才几A发送业务流Socketl, Socketl的地址端口信息中源地 址是主机A的地址IPA,源端口是主机A建立业务流Socketl使用的端口 SrcPortl,目的地址是网闸C中的代理地址IPB，，目的端口是网闸C中为业务流 Socketl分配的端口 DstPortl 。其中，主机A以为IPB，是真正的目的地址， DstPortl是真实的目的端口 。
步骤s406、网闸C收到Socketl的业务流后，经过过滤等安全处理后，在 不可信网络上转发Socketl的业务流。
具体的，网闸C首先緩存该流，并分配7>网源端口号SrcPort2以创建 Socket2;同时网闸C根据步骤s404中緩存的IPB ，与IPD的对应关系，向目的地 址为IPD的网闸D发送请求消息，请求网闸D为"IPC: SrcPort2 +域名 HostB.domain2: DstPortl"分配外网目的端口号，请求才艮文中同时包含请求ID， 用于表示来自不同的网闸的不同的请求。
步骤s407、网闸D回复网闸C主机B的外网目的端口号DstPort2。
网闸D收到请求后，如果满足代理要求，则为"HostB.domain2，，分配外网 目的端口号DstPort2 、并生成用于代理主机A的内网IP地址IPA，、代理主机A 的内网源端口 SrcPort3 。之后建立以下转换表项
(IPC + SrcPort2 ) + (IPD + DstPort2 )
I
(IPA， + SrcPort3 ) + (IPB + DstPortl ) 之后网闸D回复网闸C，内容包括请求ID以及主机B的外网目的端口号 DstPort2。
该步骤中，网闸D还可以首先对来自网闸C的请求报文源地址进行鉴权等 处理，以确定网闸C是否有权限申请外网目的端口。权限可以包括网闸C是 否属于本地配置需要联动通信的网闸；或网闸C与本设备是否属于同 一安全联盟等方式。另外，网闸D可以对请求连接的主机B的域名进行鉴权等处理，以 确定是否需要为主机B开启外网通信权限。采取的权限可以包括本地是否配 置了需要为主机B进行网闸联动通信；以及主机B属于某一安全联盟等方式。
步骤s408、网闸C收到网闸D的回复后，生成业务流Socket2， Socket2的地 址端口信息中，源地址为网闸C的地址IPC，源端口为网闸C中建立业务流 Socket2所使用的端口 SrcPort2，目的地址为网闸D的地址IPD,目的端口为网 闸D为业务流Socket2分配的端口 DstPort2。之后，网闸C将Socketl上的数据摆 渡至Socket2,并建立以下表项
(IPA + SrcPortl) + (IPB, + DstPortl)
(IPC + SrcPort2 ) + (IPD + DstPort2 )
该转换表项可以认为是Socketl的业务流与Socket2的业务流之间的第一 地址端口动态转换关系。
步骤s409、网闸D收到来自不可信网络中Socket2的数据、经过过滤等安全 处理后，根据步骤s407生成的转换表项，创建业务流Socket3，并将Socket2上 的数据摆渡至Socket3。 Socket3的地址端口信息中，源地址为网闸D中的代理 地址IPA，，源端口为网闸D为业务流Socket3分配的端口 SrcPort3,目的地址为 IPB的地址，目的端口为IPB上建立业务流Socket3所4吏用的端口DstPortl。
另外，上述步骤s407中网闸D建立转换表项的步骤也可以在本步骤中进 行。该转换表项可以认为是Socket2的业务流与Socket3的业务流之间的第二地 址端口动态转换关系。
步骤s410、主机B如果需要进行响应，则在Socket3上发送响应数据至IPA，。
步骤s411、网闸D把Socket3上的响应数据经过过滤等安全处理后，摆渡给 Socket2，发送给IPC。
步骤s412、网闸C把Socket2上的数据经过过滤等安全处理后，摆渡给 Socketl,发送给IPA。
另外，上述网闸C与网闸D的通信过程中，由于通信是在不安全网络中进 行，因此可以对网闸C与网闸D间的通信内容进行IPSec等数据加密技术，并通过IKE (Internet Key Exchange,因特网密钥交换协议)动态协商和更新密钥， 以保证网闸间通信的安全性。对于由主机B主动发起的与主机A的通信，与上 述图4A和图4B所示的过程相似，在此不进行重复描述。
本发明提供的方法中，通过建立两个网闸设备之间的业务流的地址端口 动态转换关系，实现了跨越两个网闸的通信设备间的联动通信。该过程无需 在两个网闸设备上手工静态配置转换表项，配置更加灵活，便于网闸设备的 配置和维护。
本发明还提供一种通信系统，包括第一通信设备和第二通信设备，第一 通信设备位于第一网络中，第二通信设备位于第二网络中，第一网络通过第 一网闸设备与外部网络分隔，第二网络通过第二网闸设备与外部网络分隔， 其特征在于
第一网闸设备，用于接收到第一通信设备对第二通信设备的通信请求时， 获取第二网闸设备的地址，建立与第一通信设备间的第一业务流；根据第二 网闸设备的地址，建立与第二网闸设备间的第二业务流，并建立第一业务流 与第二业务流之间的第 一地址端口动态转换关系；根据第一地址端口动态转 换关系与第二网闸设备实现第一通信设备和第二通信设备间的通信；
第二网闸设备，用于建立与第二通信设备间的第三业务流，并建立第二 业务流与第三业务流之间的第二地址端口动态转换关系；根据第二地址端口 动态转换关系与第 一 网闸设备实现第 一通信设备和第二通信设备间的通信。
该系统还可以包括域名解析设备，用于存储第二通信设备的域名与第二 网闸设备的地址的域名解析对应关系，以及第 一通信设备的域名与第 一 网闸 设备的地址的域名解析对应关系。
其中，第一网闸设备的结构示意图如图5所示，其中第一网闸设备10可 以包括
地址获取单元11,用于接收到第一通信设备根据第二通信设备的域名获 取第二通信设备的地址的请求，向域名解析设备发送请求；并接收域名解析 设备根据第二通信设备的域名返回的第二网闸设备的地址；
第一代理地址生成单元12,用于生成与第二网闸设备的地址对应的第一代理地址并通知第 一通信设备；
第一业务流建立单元13,用于与第一通信i殳备间建立第一业务流，第一 业务流的地址端口信息中，源地址为第一通信设备的地址，源端口为第一通 信设备建立第一业务流使用的端口 ，目的地址为第一网闸设备中的第一代理 地址，目的端口为第 一 网闸设备为第 一业务流分配的端口 ；
端口获取单元14，用于第二网闸设备发送为新业务流分配目的端口的请 求，接收第二网闸设备分配的目的端口 ；
第二业务流建立单元15,用于与第二网闸设备间建立第二业务流，第二 业务流的地址端口信息中，源地址为第一网闸设备的地址，源端口为第一网 闸设备中建立第二业务流所使用的端口 ，目的地址为第二网闸设备的地址， 目的端口为第二网闸i殳备为第二业务流分配的端口 ；
第一地址端口动态转换关系建立单元16，用于第一业务流与第二业务流 之间的第 一地址端口动态转换关系；
第一转发单元17,用于根据第一地址端口动态转换关系，将第一业务流 中第一通信设备发送的数据转换为第二业务流中的数据，并发送到第二网闸 设备；将第二业务流中第二通信设备发送的数据转换为第一业务流中的数据， 并发送到第一通信设备。
其中，第二网闸i殳备的结构示意图如图6所示，其中第二网闸设备20可 以包括
端口分配单元21，用于根据第一网闸设备的请求，为第二业务流分配目 的端口；
第二代理地址生成单元22,用于生成与第二通信设备的地址对应的第二 代理地址；
第三业务流建立单元23,用于建立与第二通信设备间的第三业务流，第 三业务流的地址端口信息中，源地址为第二网闸设备中的第二代理地址，源 端口为第二网闸设备为第三业务流分配的端口 ，目的地址为第二通信设备的 地址，目的端口为第二通信设备上建立第三业务流所使用的端口 ；
第二地址端口动态转换关系建立单元24,用于第二业务流与第三业务流之间的第二地址端口动态转换关系；
第二转发单元25，用于才艮据第二地址端口动态转换关系，将第二业务流 中第一通信设备发送的数据转换为第三业务流中的数据，并发送到第二通信 设备；将第三业务流中第二通信设备发送的数据转换为第二业务流中的数据， 并发送到第一网闸设备。
本发明提供的系统和设备中，通过建立两个网闸设备之间的业务流的地 址端口动态转换关系，实现了跨越两个网闸的通信设备间的联动通信。该过 程无需在两个网闸设备上手工静态配置转换表项，配置更加灵活，便于网闸 设备的配置和维护。
上述模块可以分布于一个装置，也可以分布于多个装置。上述模块可以 合并为一个模块，也可以进一步拆分成多个子模块。
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发 明可以通过硬件实现，也可以借助软件加必要的通用硬zf牛平台的方式来实现。 基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软 件产品可以存储在一个非易失性存储介质(可以是CD-ROM, U盘，移动硬 盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服 务器，或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的 模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述 进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一 个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆 分成多个子模块。
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此， 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种跨网闸的通信方法，应用在包括第一通信设备和第二通信设备的网络中，所述第一通信设备位于第一网络中，所述第二通信设备位于第二网络中，所述第一网络通过第一网闸设备与外部网络分隔，所述第二网络通过第二网闸设备与外部网络分隔，其特征在于，所述通信方法包括所述第一网闸设备接收到所述第一通信设备对所述第二通信设备的通信请求时，获取所述第二网闸设备的地址，建立与所述第一通信设备间的第一业务流；所述第一网闸设备根据所述第二网闸设备的地址，建立与所述第二网闸设备间的第二业务流，并建立所述第一业务流与所述第二业务流之间的第一地址端口动态转换关系；所述第二网闸设备建立与所述第二通信设备间的第三业务流，并建立所述第二业务流与所述第三业务流之间的第二地址端口动态转换关系；所述第一网闸设备根据所述第一地址端口动态转换关系、所述第二网闸设备根据所述第二地址端口动态转换关系，实现所述第一通信设备和第二通信设备间的通信。
2、 如权利要求l所述的方法，其特征在于，所述第一网闸设备接收到所 述第一通信设备对所述第二通信设备的通信请求时，获取所述第二网闸设备 的地址包括所述第一网闸设备接收到所述第一通信设备根据所述第二通信设备的域 名获取所述第二通信设备的地址的请求，向域名解析设备发送请求；所述第一网闸设备接收所述域名解析设备根据所述第二通信设备的域名 返回的所述第二网闸设备的地址。
3、 如权利要求2所述的方法，其特征在于，还包括在所述域名解析设备上存储所述第二通信设备的域名与所述第二网闸设 备的地址的域名解析对应关系。
4、 如权利要求1或2所述的方法，其特征在于，所述第一网闸设备建立 与所述第一通信设备间的第一业务流包括所述第一网闸设备生成与所述第二网闸设备的地址对应的第一代理地址乂；S Jm 6f;Je楚:吝^c— /| " Ji-/、" 〃| ""i!-^^ wit lo !^入Tlf ,所述第一网闸设备与所述第一通信设备间建立第一业务流，所述第一业 务流的地址端口信息中，源地址为第一通信设备的地址，源端口为第一通信 设备建立所述第一业务流使用的端口 ，目的地址为所述第一网闸设备中的所 述第一代理地址，目的端口为所述第一网闸设备为所述第一业务流分配的端 口 。
5、 如权利要求4所述的方法，其特征在于，所述第一网闸设备根据所述 第二网闸设备的地址，建立与所述第二网闸设备间的第二业务流包括所述第一网闸设备向所述第二网闸设备发送为新业务流分配目的端口的 请求，接收所述第二网闸设备分配的目的端口；所述第 一 网闸设备与所述第二网闸设备间建立第二业务流，所述第二业 务流的地址端口信息中，源地址为第一网闸设备的地址，源端口为第一网闸 设备中建立所述第二业务流所使用的端口 ，目的地址为所述第二网闸设备的 地址，目的端口为所述第二网闸设备为所述第二业务流分配的端口 。
6、 如权利要求4所述的方法，其特征在于，所述第二网闸设备建立与所 述第二通信设备间的第三业务流包括所述第二网闸设备生成与所述第二通信设备的地址对应的第二代理地址；所述第二网闸设备建立与所述第二通信设备间的第三业务流，所述第三 业务流的地址端口信息中，源地址为所述第二网闸i殳备中的所述第二代理地 址，源端口为所述第二网闸设备为所述第三业务流分配的端口，目的地址为 所述第二通信设备的地址，目的端口为所述第二通信设备上建立所述第三业 务流所使用的端口。
7、 如权利要求l所述的方法，其特征在于，所述第一网闸设备根据所述 第一地址端口动态转换关系、所述第二网闸设备所述第二地址端口动态转换 关系，实现所述第一通信设备和第二通信设备间的通信包括所述第一网闸设备根据所述第一地址端口动态转换关系，将所述第一业 务流中所述第一通信设备发送的数据转换为所述第二业务流中的数据，并发送到所述第二网闸设备；将所述第二业务流中所述第二通信设备发送的数据 转换为所述第 一业务流中的数据，并发送到所述第 一通信设备；所述第二网闸设备根据所述第二地址端口动态转换关系，将所述第二业 务流中所述第一通信设备发送的数据转换为所述第三业务流中的数据，并发 送到所述第二通信设备；将所述第三业务流中所述第二通信设备发送的数据 转换为所述第二业务流中的数据，并发送到所述第一网闸设备。
8、 一种通信系统，包括第一通信设备和第二通信设备，所述第一通信设 备位于第一网络中，所述第二通信设备位于第二网络中，所述第一网络通过 第一网闸设备与外部网络分隔，所述第二网络通过笫二网闸设备与外部网络 分隔，其特征在于所述第一网闸设备，用于接收到所述第一通信设备对所述第二通信设备 的通信请求时，获取所述第二网闸设备的地址，建立与所述第一通信设备间 的第一业务流；4艮据所述第二网闸设备的地址，建立与所述第二网闸设备间 的第二业务流，并建立所述第一业务流与所述第二业务流之间的第一地址端 口动态转换关系；根据所述第一地址端口动态转换关系与所述第二网闸设备 实现所述第一通信设备和第二通信设备间的通信；所述第二网闸设备，用于建立与所述第二通信设备间的第三业务流，并 建立所述第二业务流与所述第三业务流之间的第二地址端口动态转换关系； 根据所述第二地址端口动态转换关系与所述第一网闸设备实现所述第一通信 设备和第二通信设备间的通信。
9、 如权利要求8所述的通信系统，其特征在于，所述第一网闸设备包括 地址获取单元，用于接收到所述第一通信设备根据所述第二通信设备的域名获取所述第二通信设备的地址的请求，向域名解析设备发送请求；并接 收所述域名解析设备根据所述第二通信设备的域名返回的所述第二网闸设备 的地址；第一代理地址生成单元，用于生成与所述第二网闸设备的地址对应的第 一代理地址并通知所述第 一通信设备；第一业务流建立单元，用于与所述第一通信设备间建立第一业务流，所述第一业务流的地址端口信息中，源地址为第一通信设备的地址，源端口为 第一通信设备建立所迷第一业务流使用的端口 ，目的地址为所述第一网闸设 备中的所述第一代理地址，目的端口为所述第一网闸设备为所述第一业务流 分配的端口。
10、 如权利要求9所述的通信系统，其特征在于，所述第一网闸设备还 包括端口获耳又单元，用于所述第二网闸设备发送为新业务流分配目的端口的 请求，接收所述第二网闸设备分配的目的端口 ；第二业务流建立单元，用于与所述第二网闸设备间建立第二业务流，所 述第二业务流的地址端口信息中，源地址为第一网闸设备的地址，源端口为 第一网闸设备中建立所述第二业务流所使用的端口 ，目的地址为所述第二网 闸设备的地址，目的端口为所述第二网闸设备为所述第二业务流分配的端口 。
11、 如权利要求9或IO所述的通信系统，其特征在于，所述第一网闸设 备还包括第一地址端口动态转换关系建立单元，用于所述第一业务流与所述第二 业务流之间的第 一地址端口动态转换关系；第一转发单元，用于根据所述第一地址端口动态转换关系，将所述第一 业务流中所述第一通信设备发送的数据转换为所述第二业务流中的数据，并 发送到所述第二网闸设备；将所述第二业务流中所述第二通信设备发送的数 据转换为所述第一业务流中的数据，并发送到所述第一通信设备。
12、 如权利要求8所述的通信系统，其特征在于，所述第二网闸设备包括端口分配单元，用于根据所述第一网闸设备的请求，为第二业务流分配 目的端口；第二代理地址生成单元，用于生成与所述第二通信设备的地址对应的第 二^^理;也址；第三业务流建立单元，用于建立与所述第二通信设备间的第三业务流， 所述第三业务流的地址端口信息中，源地址为所述第二网闸设备中的所述第二代理地址，源端口为所述第二网闸设备为所述第三业务流分配的端口，目 的地址为所述第二通信设备的地址，目的端口为所述第二通信设备上建立所 述第三业务流所^使用的端口 。
13、 如权利要求12所述的通信系统，其特征在于，所述第二网闸设备还 包括第二地址端口动态转换关系建立单元，用于所述第二业务流与所迷第三 业务流之间的第二地址端口动态转换关系；第二转发单元，用于根据所述第二地址端口动态转换关系，将所述第二 业务流中所述第一通信设备发送的数据转换为所述第三业务流中的数据，并 发送到所述第二通信设备；将所述第三业务流中所述第二通信设备发送的数 据转换为所述第二业务流中的数据，并发送到所述第一网闸设备。
14、 如权利要求8所述的通信系统，其特征在于，还包括 域名解析设备，用于存储所述第二通信设备的域名与所述第二网闸设备的地址的域名解析对应关系。
全文摘要
本发明公开了一种跨网闸的通信方法和系统，应用在包括第一通信设备和第二通信设备的网络中，所述第一通信设备位于第一网络中，所述第二通信设备位于第二网络中，所述第一网络通过第一网闸设备与外部网络分隔，所述第二网络通过第二网闸设备与外部网络分隔。本发明中通过建立两个网闸设备之间的业务流的地址端口动态转换关系，实现了跨越两个网闸的通信设备间的联动通信。该跨网闸的通信过程无需在两个网闸设备上手工静态配置转换表项，配置更加灵活，便于网闸设备的配置和维护。
文档编号H04L12/66GK101447956SQ20091000021
公开日2009年6月3日 申请日期2009年1月13日 优先权日2009年1月13日
发明者迪 周, 佳 苏 申请人:杭州华三通信技术有限公司